信息安全技术基础第9章.pptxVIP

第9章 网络安全技术学习目标本章主要讲解网络环境下安全防范技术： 网络安全包括哪些常用技术和手段网络扫描技术作用和实施网络防火墙的作用和工作机理入侵检测系统的作用和工作机理使用蜜罐技术有效发现网络入侵行为如何保护网络免遭入侵？目 录9.1 网络安全技术概述9.2 网络扫描技术9.3 网络防火墙技术9.4 入侵检测技术9.5 蜜罐技术9.1 网络安全技术概述由于网络的存在，攻击者更容易通过网络非法入侵他人网络系统、计算机系统，非法访问网络上的资源，非法窃取终端系统中的数据。网络通常分为内部网络和外部网络（也称公共网络，如Internet），对安全边界的监控是网络安全的重要内容。构建网络安全防御体系，除了必要的人、制度、机制、管理等方面保障，还要依赖于各种网络安全技术。9.1 网络安全技术概述扫描技术：发现内部网络安全薄弱环节，进行完善保护。防火墙技术：在内部与外部网络衔接处，阻止外部对内部网络的访问，限制内部对外部网络的访问等。入侵检测系统：发现非正常的外部对内部网络的入侵行为，报警并阻止入侵行为和影响的进一步扩大。隔离网闸技术：在物理隔离的两个网络之间进行安全数据交换。如何探测网络拓扑结构及网络中系统存在的安全弱点？目 录9.1 网络安全技术概述9.2 网络扫描技术9.3 网络防火墙技术9.4 入侵检测技术9.5 蜜罐技术9.2 网络扫描技术发现网络中设备及系统是否存在漏洞。主机扫描：确定在目标网络上的主机是否可达，常用的扫描手段如ICMP Echo 扫描、Broadcast ICMP 扫描等。防火墙和网络过滤设备常常导致传统的探测手段变得无效。为了突破这种限制，攻击者通常利用ICMP协议提供的错误消息机制，例如发送异常的IP 包头、在IP头中设置无效的字段值、错误的数据分片，以及通过超长包探测内部路由器和反向映射探测等。9.2 网络扫描技术端口扫描发现目标主机的开放端口，包括网络协议和各种应用监听的端口。TCP Connect 扫描和TCP反向ident 扫描口。TCP Xmas 和TCP Null 扫描是FIN 扫描的两个变种。TCP FTP 代理扫描。分段扫描，将数据包分为两个较小的IP 段。TCP SYN 扫描和TCP 间接扫描，两种半开放扫描。9.2 网络扫描技术发现网络中设备及系统是否存在漏洞。主机扫描：确定在目标网络上的主机是否可达，常用的扫描手段如ICMP Echo 扫描、Broadcast ICMP 扫描等。防火墙和网络过滤设备常常导致传统的探测手段变得无效。为了突破这种限制，攻击者通常利用ICMP协议提供的错误消息机制，例如发送异常的IP 包头、在IP头中设置无效的字段值、错误的数据分片，以及通过超长包探测内部路由器和反向映射探测等。9.2 网络扫描技术端口扫描发现目标主机的开放端口，包括网络协议和各种应用监听的端口。TCP Connect 扫描和TCP反向ident 扫描口。TCP Xmas 和TCP Null 扫描是FIN 扫描的两个变种。TCP FTP 代理扫描。分段扫描，将数据包分为两个较小的IP 段。TCP SYN 扫描和TCP 间接扫描，两种半开放扫描。如何隔离内部网络与外部网络？目 录9.1 网络安全技术概述9.2 网络扫描技术9.3 网络防火墙技术9.4 入侵检测技术9.5 蜜罐技术9.3.1 防火墙概念、功能9.3.1 防火墙概念、功能1．防火墙的特性（1）内部网络和外部网络之间的所有网络数据流都必须经过防火墙。（2）只有符合安全策略的数据流才能通过防火墙。（3）防火墙自身应具有非常强的抗攻击免疫力。9.3.1 防火墙概念、功能2．防火墙的功能（1）防火墙是网络安全的屏障（2）防火墙可以强化网络安全策略（3）对网络存取和访问进行监控审计（4）防止内部信息的外泄9.3.2 防火墙工作原理1．包过滤技术 “静态包过滤”? “动态包过滤”对通过防火墙的每个IP数据报文（简称数据包）的头部、协议、地址、端口、类型等信息进行检查，与预先设定好的防火墙过滤规则进行匹配，一旦发现某个数据包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候，这个数据包就会被丢弃。9.3.2 防火墙工作原理1．包过滤技术 9.3.2 防火墙工作原理通常需要检查下列分组字段：源IP地址和目的IP地址；TCP、UDP和ICMP等协议类型；源TCP端口和目的TCP端口；源UDP端口和目的UDP端口；ICMP消息类型；输出分组的网络接口。9.3.2 防火墙工作原理匹配结果分为三种情况：如果一个分组与一个拒绝转发的规则相匹配，则该分组将被禁止通过；如果一个分组与一个允许转发的规则相匹配，则该分组将被允许通过；如果一个分组没有与任何的规则相匹配，则该分组将被禁止通过。这里遵循了“一切未被允许的都是禁止的”的原则。9.3.2