2015版CISP0204网络安全v30研讨.ppt

案例：网络规划 注：请讲师根据自己的网络规划经验准备一个案例给学员讲解网络规划 * 总结 协议安全 TCP/IP协议各层安全性问题及解决 网络安全设备 防火墙 入侵检测 网络安全架构设计 * 谢谢，请提问题！ * * 防火墙部署结构 防火墙的部署位置 可信网络与不可信网络之间 不同安全级别网络之间 两个需要隔离的区域之间 防火墙的部署方式 单防火墙（无DMZ）部署方式 单防火墙（DMZ）部署方式 双防火墙部署方式 * 单防火墙（无DMZ）部署方式 区域划分：可信网络、不可信网络 结构简单，易于实施 内部网络 /24 GW:54 外部网络 /24 GW: 防火墙 Internet Intranet /24 54/24 * 单防火墙（DMZ）部署方式 区域划分：可信网络、不可信网络、DMZ区 提供对外服务安全区域 * 可信网络 不可信的网络 防火墙 路由器 Internet Intranet DMZ 非军事化区 双防火墙的部署方式 能提供更为安全的系统结构 实施复杂性和费用较高 * 可信网络 不可信的网络 防火墙 Internet 非军事化区 防火墙 防火墙的不足和局限性 难于管理和配置，易造成安全漏洞 防外不防内，不能防范恶意的知情者 只实现了粗粒度的访问控制 很难为用户在防火墙内外提供一致的安全策略 不能防范病毒 * 知识域：网络安全设备 知识子域：入侵检测系统 理解入侵检测系统的作用、功能及分类 了解入侵检测系统的主要技术原理 掌握入侵检测系统的典型部署方式 理解入侵检测系统的局限性 * 入侵检测系统的作用与功能 入侵检测系统的作用 防火墙的重要补充 构建网络安全防御体系重要环节 克服传统防御机制的限制 入侵检测系统功能 监测并分析用户和系统的活动 核查系统配置和漏洞 对操作系统进行日志管理，并识别违反安全策略的用户活动 针对已发现的攻击行为作出适当的反应，如告警、中止进程等 * 入侵检测系统的分类 按入侵检测形态 硬件入侵检测 软件入侵检测 按目标系统的类型 网络入侵检测 主机入侵检测 按系统结构 集中式 分布式 * 入侵检测的技术架构 事件产生器：采集和监视被保护系统的数据 事件分析器：分析数据，发现危险、异常事件，通知响应单元 响应单元：对分析结果作出反应 事件数据库：存放各种中间和最终数据 * * 入侵检测工作过程 数据检测技术 误用检测技术 建立入侵行为模型(攻击特征) 假设可以识别和表示所有可能的特征 基于系统和基于用户的误用 异常检测技术 设定“正常”的行为模式 假设所有的入侵行为是异常的 基于系统和基于用户的异常 * 误用检测 * 优点 准确率高 算法简单 关键问题 有所有的攻击特征，建立完备的特征库 特征库要不断更新 无法检测新的入侵 异常检测 * 误报率、漏报率较高 优点 可检测未知攻击 自适应、自学习能力 关键问题 “正常”行为特征的选择 统计算法、统计点的选择 基于网络的入侵检测系统 * 入侵检测系统布署 入侵检测系统布署 基于主机的入侵检测系统 * 入侵检测系统的局限性 * 对用户知识要求较高，配置、操作和管理使用较为复杂 网络发展迅速，对入侵检测系统的处理性能要求越来越高，现有技术难以满足实际需要 高虚警率，用户处理的负担重 由于警告信息记录的不完整，许多警告信息可能无法与入侵行为相关联，难以得到有用的结果 在应对对自身的攻击时，对其他数据的检测也可能会被抑制或受到影响 知识域：网络安全设备 知识子域：其它网络安全设备 了解安全隔离与信息交换系统的原理、特点及适用场景 了解入侵防御系统（IPS）的原理与特点 了解安全管理平台（SOC）的主要功能 了解统一威胁管理系统（UTM）的功能与特点 了解网络准入控制（NAC）的功能、组成及控制方式 * 安全隔离与信息交换系统（网闸） 组成 外部处理单元、内部处理单元、仲裁处理单元 特点 断开内外网之间的会话（物理隔离、协议隔离） 同时集合了其他安全防护技术 * 入侵防御系统(IPS) 接入方式：串行 工作机制：检测+阻断 不足：单点故障、性能瓶颈、误报 * 可信网络 不可信的网络服务 Internet Intranet IPS 安全管理平台（SOC） SOC的含义 狭义：安全设备集中管理中心 广义：IT资源集中管理中心 SOC的主要功能 风险管理 服务管理 系统管理 专业安全系统 * 统一威胁管理系统（UTM） 接入方式：串行 工作机制：检测+阻断+病毒防护+流控+…… 不足：单点故障、性能瓶颈、误报、…… * 可信网络 不可信的网络服务 Internet Intranet UTM 网络准入控制 作用：对接入终端进行授权 组成：策略服务器、接入设备、终端检查 * 认证服务器 Radius Server 接入设备 终端设备 知识域：网络架构