資源描述:
《信息安全技術(shù)基礎(chǔ) 張浩軍楊衛(wèi)東譚玉波等編著 第9章.pptx》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1、第9章網(wǎng)絡(luò)安全技術(shù)學(xué)習(xí)目標(biāo)網(wǎng)絡(luò)安全包括哪些常用技術(shù)和手段網(wǎng)絡(luò)掃描技術(shù)作用和實施網(wǎng)絡(luò)防火墻的作用和工作機理入侵檢測系統(tǒng)的作用和工作機理使用蜜罐技術(shù)有效發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為本章主要講解網(wǎng)絡(luò)環(huán)境下安全防范技術(shù):2如何保護(hù)網(wǎng)絡(luò)免遭入侵?3目錄9.1網(wǎng)絡(luò)安全技術(shù)概述9.2網(wǎng)絡(luò)掃描技術(shù)9.3網(wǎng)絡(luò)防火墻技術(shù)9.4入侵檢測技術(shù)9.5蜜罐技術(shù)49.1網(wǎng)絡(luò)安全技術(shù)概述由于網(wǎng)絡(luò)的存在,攻擊者更容易通過網(wǎng)絡(luò)非法入侵他人網(wǎng)絡(luò)系統(tǒng)、計算機系統(tǒng),非法訪問網(wǎng)絡(luò)上的資源,非法竊取終端系統(tǒng)中的數(shù)據(jù)。網(wǎng)絡(luò)通常分為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)(也稱公共網(wǎng)絡(luò),如Internet),對安全邊界的監(jiān)控是網(wǎng)絡(luò)安全的重要內(nèi)容。構(gòu)
2、建網(wǎng)絡(luò)安全防御體系,除了必要的人、制度、機制、管理等方面保障,還要依賴于各種網(wǎng)絡(luò)安全技術(shù)。59.1網(wǎng)絡(luò)安全技術(shù)概述掃描技術(shù):發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)安全薄弱環(huán)節(jié),進(jìn)行完善保護(hù)。防火墻技術(shù):在內(nèi)部與外部網(wǎng)絡(luò)銜接處,阻止外部對內(nèi)部網(wǎng)絡(luò)的訪問,限制內(nèi)部對外部網(wǎng)絡(luò)的訪問等。入侵檢測系統(tǒng):發(fā)現(xiàn)非正常的外部對內(nèi)部網(wǎng)絡(luò)的入侵行為,報警并阻止入侵行為和影響的進(jìn)一步擴(kuò)大。隔離網(wǎng)閘技術(shù):在物理隔離的兩個網(wǎng)絡(luò)之間進(jìn)行安全數(shù)據(jù)交換。6如何探測網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及網(wǎng)絡(luò)中系統(tǒng)存在的安全弱點?7目錄9.1網(wǎng)絡(luò)安全技術(shù)概述9.2網(wǎng)絡(luò)掃描技術(shù)9.3網(wǎng)絡(luò)防火墻技術(shù)9.4入侵檢測技術(shù)9.5蜜罐技術(shù)89.2網(wǎng)絡(luò)掃描技術(shù)發(fā)現(xiàn)
3、網(wǎng)絡(luò)中設(shè)備及系統(tǒng)是否存在漏洞。主機掃描:確定在目標(biāo)網(wǎng)絡(luò)上的主機是否可達(dá),常用的掃描手段如ICMPEcho掃描、BroadcastICMP掃描等。防火墻和網(wǎng)絡(luò)過濾設(shè)備常常導(dǎo)致傳統(tǒng)的探測手段變得無效。為了突破這種限制,攻擊者通常利用ICMP協(xié)議提供的錯誤消息機制,例如發(fā)送異常的IP包頭、在IP頭中設(shè)置無效的字段值、錯誤的數(shù)據(jù)分片,以及通過超長包探測內(nèi)部路由器和反向映射探測等。99.2網(wǎng)絡(luò)掃描技術(shù)端口掃描發(fā)現(xiàn)目標(biāo)主機的開放端口,包括網(wǎng)絡(luò)協(xié)議和各種應(yīng)用監(jiān)聽的端口。TCPConnect掃描和TCP反向ident掃描口。TCPXmas和TCPNull掃描是FIN掃描的兩個變種。
4、TCPFTP代理掃描。分段掃描,將數(shù)據(jù)包分為兩個較小的IP段。TCPSYN掃描和TCP間接掃描,兩種半開放掃描。109.2網(wǎng)絡(luò)掃描技術(shù)發(fā)現(xiàn)網(wǎng)絡(luò)中設(shè)備及系統(tǒng)是否存在漏洞。主機掃描:確定在目標(biāo)網(wǎng)絡(luò)上的主機是否可達(dá),常用的掃描手段如ICMPEcho掃描、BroadcastICMP掃描等。防火墻和網(wǎng)絡(luò)過濾設(shè)備常常導(dǎo)致傳統(tǒng)的探測手段變得無效。為了突破這種限制,攻擊者通常利用ICMP協(xié)議提供的錯誤消息機制,例如發(fā)送異常的IP包頭、在IP頭中設(shè)置無效的字段值、錯誤的數(shù)據(jù)分片,以及通過超長包探測內(nèi)部路由器和反向映射探測等。119.2網(wǎng)絡(luò)掃描技術(shù)端口掃描發(fā)現(xiàn)目標(biāo)主機的開放端口,包括網(wǎng)
5、絡(luò)協(xié)議和各種應(yīng)用監(jiān)聽的端口。TCPConnect掃描和TCP反向ident掃描口。TCPXmas和TCPNull掃描是FIN掃描的兩個變種。TCPFTP代理掃描。分段掃描,將數(shù)據(jù)包分為兩個較小的IP段。TCPSYN掃描和TCP間接掃描,兩種半開放掃描。12如何隔離內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)?13目錄9.1網(wǎng)絡(luò)安全技術(shù)概述9.2網(wǎng)絡(luò)掃描技術(shù)9.3網(wǎng)絡(luò)防火墻技術(shù)9.4入侵檢測技術(shù)9.5蜜罐技術(shù)149.3.1防火墻概念、功能159.3.1防火墻概念、功能1.防火墻的特性(1)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻。(2)只有符合安全策略的數(shù)據(jù)流才能通過防火墻。(3
6、)防火墻自身應(yīng)具有非常強的抗攻擊免疫力。169.3.1防火墻概念、功能2.防火墻的功能(1)防火墻是網(wǎng)絡(luò)安全的屏障(2)防火墻可以強化網(wǎng)絡(luò)安全策略(3)對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(4)防止內(nèi)部信息的外泄179.3.2防火墻工作原理1.包過濾技術(shù)“靜態(tài)包過濾”?“動態(tài)包過濾”對通過防火墻的每個IP數(shù)據(jù)報文(簡稱數(shù)據(jù)包)的頭部、協(xié)議、地址、端口、類型等信息進(jìn)行檢查,與預(yù)先設(shè)定好的防火墻過濾規(guī)則進(jìn)行匹配,一旦發(fā)現(xiàn)某個數(shù)據(jù)包的某個或多個部分與過濾規(guī)則匹配并且條件為“阻止”的時候,這個數(shù)據(jù)包就會被丟棄。189.3.2防火墻工作原理1.包過濾技術(shù)199.3.2防火墻工作原理通
7、常需要檢查下列分組字段:源IP地址和目的IP地址;TCP、UDP和ICMP等協(xié)議類型;源TCP端口和目的TCP端口;源UDP端口和目的UDP端口;ICMP消息類型;輸出分組的網(wǎng)絡(luò)接口。209.3.2防火墻工作原理匹配結(jié)果分為三種情況:如果一個分組與一個拒絕轉(zhuǎn)發(fā)的規(guī)則相匹配,則該分組將被禁止通過;如果一個分組與一個允許轉(zhuǎn)發(fā)的規(guī)則相匹配,則該分組將被允許通過;如果一個分組沒有與任何的規(guī)則相匹配,則該分組將被禁止通過。這里遵循了“一切未被允許的都是禁止的”的原則。219.3.2防火墻工作原理2.應(yīng)用代理技術(shù)“應(yīng)用協(xié)議分析”技術(shù)工作在OSI模型的最高層——應(yīng)用層上,在這