【2018年整理】安全主流产品与常见工具.ppt

supurui@ 页眉 安全主流产品与常见工具 天马行空官方博客：/tmxk_docin ；QQ:1318241189；QQ群：175569632 课程内容 ? 防火墙 ?? VPN 内外网隔离 ?? 日志审计 ?? 入侵检测 ?? 隐患扫描 PKI(CA) ?? PGP ?? 安全加固 ?? 防病毒 课程内容 ? 防火墙 ?? VPN 内外网隔离 ?? 日志审计 ?? 入侵检测 ?? 隐患扫描 PKI(CA) ?? PGP ?? 安全加固 ?? 防病毒 防火墙（Firewall） 防火墙基础知识 防火墙体系结构 防火墙技术 防火墙评测指标 防火墙（Firewall） 防火墙基础知识 什么是防火墙 防火墙可以做什么 防火墙的局限性 防火墙体系结构 防火墙技术 防火墙评测指标 什么是防火墙（图） 什么是防火墙 防火墙是在被保护网络与因特网之间，或者在不同的网络之间，实施访问控制的一种或一系列部件。 防火墙可以做什么 防火墙是安全决策的焦点（阻塞点） 防火墙能强制安全策略 防火墙能有效地记录网络活动 防火墙的局限性 限制了可用性 对网络内部的攻击无能为力 不能防范不经过防火墙的攻击 不能防范因特网上不断产生的新的威胁和攻击 不能完全防范恶意代码的通过 防火墙（Firewall） 防火墙基础知识 防火墙体系结构 双重宿主主机体系结构 屏蔽主机体系结构 屏蔽子网体系结构 其他体系结构 防火墙技术 防火墙评测指标 双重宿主主机体系结构（图） 双重宿主主机体系结构 是最基本的防火墙系统结构 双重宿主主机位于外部网络和受保护网络之间，至少有两个网络接口。所有在这两个网络间发送的IP数据包都会经过该主机，该主机可以对转发的IP包进行安全检查 优点：构造简单 缺点：易受攻击 屏蔽主机体系结构（图） 屏蔽主机体系结构 屏蔽主机结构将提供安全保护的堡垒主机置于内部网上，使用一个单独的路由器对该主机进行屏蔽 优点：能够提供更高层次的安全保护 缺点：堡垒主机一旦被攻破，整个网络就会被攻破 屏蔽子网体系结构（图） 屏蔽子网体系结构 屏蔽子网结构在屏蔽主机结构基础上，增加了一层周边网络的安全机制，使内部网络与外部网络之间有两层隔离。 优点：即使堡垒主机被攻破，也不能直接侵入内部网络。 体系结构的其他形式 使用多堡垒主机 合并内部与外部路由器 合并堡垒主机与外部路由器 使用多台外部路由器、多个周边网络 组合使用双重宿主主机和屏蔽子网 不宜采用的体系结构 合并堡垒主机与内部路由器 使用多台内部路由器 防火墙（Firewall） 防火墙基础知识 防火墙体系结构 防火墙技术 数据包过滤 应用代理 NAT 个人防火墙 防火墙评测指标 数据包过滤(1) 数据包过滤是一个网络安全保护机制，它用来控制流出和流入网络的数据 在TCP/IP网络中，数据都是以IP包的形式传输的，数据包过滤机制就是对通过防火墙的IP包进行安全检查，将通过安去检查的IP包进行转发，否则就阻止通过 数据包过滤(2)（图） 数据包过滤(3) 判断依据有： 数据包协议类型：TCP、UDP、ICMP、IGMP等 源、目的IP地址 源、目的端口：FTP、HTTP、DNS等 IP选项：源路由、记录路由等 TCP选项：SYN、ACK、FIN、RST等 其它协议选项：ICMP ECHO、ICMP ECHO REPLY等 数据包流向：in或out 数据包流经网络接口：eth0、eth1 数据包过滤设置实例 数据包过滤(4) 数据包过滤的优点： 一个配置适当的数据包过滤器可以保护整个网络 对用户透明度高 易实现：大多数路由器都具有数据包过滤功能 数据包过滤的缺点： 配置和检验较为困难 一些协议不适合数据包过滤 某些策略难以执行 应用代理(1) 是各种应用服务的转发器 它接收来自内部网络特定用户应用程序的通信，然后建立与公共网络服务器单独的连接 代理防火墙通常支持的一些常见的应用程序有：HTTP、HTTPS/SSL、SMTP、POP3等等 应用代理(2)（图） 应用代理(3)（图） 应用代理(4) 它的优点是： 对用户透明 支持用户认证 可以产生小并且更有效的日志。 它的缺点是： 速度比较慢 对一些新的或不常用的服务不支持 NAT（网络地址转换协议） 可以使多个用户分享单一的IP地址 为Internet连接提供一些安全机制 可以向外界隐藏内部网结构 转换机制： 当内部用户与一个公共主机通信时，NAT追踪是哪一个用户作的请求，修改传出的包，这样包就像是来自单一的公共IP地址 个人防火墙(1) 是一种能够保护个人计算机系统安全的软件，它可以直接在用户的计算机上运行 可以对用户计算机的网