广西壮族自治区国家保密局北海会议

广西大学信息网络中心南宁金寰宇信息工程公司

广西壮族自治区国家保密局北海会议

网络安全的技术支持网络安全的技术支持—— —— 网络安全若干技术介绍网络安全若干技术介绍

主讲广西大学网络中心主讲广西大学网络中心莫林莫林

2002 年 6 月


物理风险物理风险网络风险网络风险系统风险系统风险信息风险信息风险应用风险应用风险管理风险管理风险其他风险其他风险

一、网络安全存在的问题


设备防盗，防毁设备防盗，防毁链路老化，人为破坏，被动物咬断等链路老化，人为破坏，被动物咬断等网络设备自身故障网络设备自身故障停电导致网络设备无法工作停电导致网络设备无法工作机房电磁辐射机房电磁辐射其他其他

系统风险系统风险

信息风险信息风险

应用风险应用风险

管理风险管理风险

物理风险物理风险

网络风险网络风险

其他风险其他风险



设备防盗、防毁设备防盗、防毁

Internet

WEB 服务器

http://www.sina.com.cn

路由器被盗走连接中断

破坏了网络的破坏了网络的可用性可用性


机房电磁辐射机房电磁辐射监听监听

干扰器

• 建立标准机房，减少辐射建立标准机房，减少辐射• 采用人为干扰措施采用人为干扰措施


安全拓扑安全拓扑安全路由安全路由其他其他










安全拓扑安全拓扑

安全域 1 安全域 3安全域 2

不信任域安全域 4 不信任域

•将安全等级相同的设备划归在同一个安全域• 将不信任域与安全域隔开


Internet

内部网

远程访问

监听者

安全路由安全路由非安全路径

安全路径 B 安全路径 A

路径路径选择？选择？

Router A

Router B

Router BRouter B 应该选择一条不经过应该选择一条不经过 RoRouter Auter A 的路径转发数据包的路径转发数据包

因此引入了因此引入了路由控制机制路由控制机制


操作系统漏洞系统配置安全安全数据库系统中运行的服务安全其他










信息存储安全信息存储安全信息传输安全信息传输安全信息访问安全信息访问安全其他其他










信息存储风险信息存储风险

磁盘意外损坏磁盘意外损坏

光盘意外损坏光盘意外损坏

磁带被意外盗走磁带被意外盗走

• 导致数据丢失导致数据丢失• 导致数据无法访问导致数据无法访问


搭线窃听信息

总部总部

下属机构下属机构

公网公网

黑客

• 信息泄密信息泄密• 信息被篡改信息被篡改

信息传输风险信息传输风险


网络中有拨号服务器

内部网络内部网络

非法用户非法用户

非法登录非法登录

合法用户合法用户

访问了自己访问了自己权限以外的资源权限以外的资源

信息访问安全信息访问安全


网络反病毒身份鉴别

电子邮件应用安全 WEB 服务安全 FTP 服务安全 DNS 服务安全业务应用软件安全其它










C/S 模式：客户机除了 GUI 显示、事件输入外，应用逻辑和业务处理也在客户机上。客户机的升级以及硬件的适应性都牵制者系统中的客户机 , 造成资金的开销的增加和管理难度加大。与 OS 有关，不同 OS 对应不同语言和开发工具通讯、命令解释通过自己的程序进行，不存在专用软件的漏洞








B/S 模式：浏览器 -WEB 服务器 - 数据库三层结构。与 OS 无关，用 JAVE 、 HTML 开发的软件应用逻辑、业务处理在服务器端必须用 WEB 服务器对浏览器的请求作解释。编程人员对安全性考虑不多，所以 CGI 请求时可能造成缓冲区溢出。


国家是否制定了健全、完善的信息安全法规国家是否制定了健全、完善的信息安全法规国家是否成立了专门的机构来规范和管理信息安全国家是否成立了专门的机构来规范和管理信息安全

用户需制定相应的安全管理规则、责权分明的机房管理制用户需制定相应的安全管理规则、责权分明的机房管理制度度用户可以考虑建立自己的安全管理机构用户可以考虑建立自己的安全管理机构明确有效的安全策略、高素质的安全管理人员明确有效的安全策略、高素质的安全管理人员行之有效的监督检查体系，保证规章制度被顺利执行行之有效的监督检查体系，保证规章制度被顺利执行使用网管软件统一管理自己的网络使用网管软件统一管理自己的网络其他其他










网络畅通问题网络畅通问题误操作导致数据被删除、修改等误操作导致数据被删除、修改等其他没有想到的风险其他没有想到的风险










企业网络系统和外界的网络系统具有安全隔离，以及良好的安全边企业网络系统和外界的网络系统具有安全隔离，以及良好的安全边界界

网络系统能阻止来自外部的攻击行为和防止内部职工的违规操作行网络系统能阻止来自外部的攻击行为和防止内部职工的违规操作行为为

确保合法用户使用合法网络资源确保合法用户使用合法网络资源网络传输的信息资源不被窃取、篡改。网络传输的信息资源不被窃取、篡改。网络的入侵能够被检测并提供日志，以便跟踪和事后追踪网络的入侵能够被检测并提供日志，以便跟踪和事后追踪检测并处理网络安全漏洞，减少可能被黑客利用的不安全因素。检测并处理网络安全漏洞，减少可能被黑客利用的不安全因素。信息审计系统，审计、跟踪敏感信息的流向，防范敏感信息通过网信息审计系统，审计、跟踪敏感信息的流向，防范敏感信息通过网

络泄露。络泄露。在病毒到达内部网之前或者是在病毒传播感染和发作之前就被检测在病毒到达内部网之前或者是在病毒传播感染和发作之前就被检测

并清除。并清除。确保重要服务器系统在意外损坏情况下，通过灾难恢复系统在最短确保重要服务器系统在意外损坏情况下，通过灾难恢复系统在最短时间内恢复正常工作。时间内恢复正常工作。

二、网络安全的目标二、网络安全的目标


访问控制访问控制

入侵检测入侵检测

安全评估安全评估

信息审计信息审计

信息保密信息保密

病毒防护病毒防护

数据备份数据备份

三、网络安全的若干技术三、网络安全的若干技术


Internet Internet

Host AHost A Host BHost B Host CHost C

公司用于连接公司用于连接 INTERNEINTERNETT 的局域网的局域网

防火墙

192.168.1.1192.168.1.1 192.168.1.2192.168.1.2 192.168.1.3192.168.1.3

192.168.1.5192.168.1.5

202.102.100.5202.102.100.5

提供网络地址转换功能，解决提供网络地址转换功能，解决 IPIP地址不足的问题地址不足的问题

保留保留 IPIP地址地址保留保留 IPIP地址地址保留保留 IPIP地址地址

保留保留 IPIP地址地址

合法合法 IPIP地址地址

访问控制一访问控制一企业网络系统和外界的网络系统隔离企业网络系统和外界的网络系统隔离


Internet Internet

WWWWWW MailMail FTPFTP

黑客对网黑客对网站的攻击站的攻击

用于连接 INTERNET 的局域网

防火墙

1.1. 做端口映射，隐藏做端口映射，隐藏WWWWWW 服务器结构服务器结构

2.2. 与与 IDSIDS联动，直接阻断黑客攻击联动，直接阻断黑客攻击

3.3. 使用使用 WEBGUARDWEBGUARD站点保护软件站点保护软件

4.4. 进行严格的访问控制进行严格的访问控制

访问控制二访问控制二网站的保护网站的保护


财务子网财务子网Host AHost A Host BHost B Host CHost C Host EHost E Host FHost F Host GHost G

OAOA 子网子网

防火墙

VLAN 2VLAN 2

安全级别高安全级别高

VLAN 1VLAN 1

安全级别低安全级别低内部网络内部网络

严格控制两个不同安全级别严格控制两个不同安全级别子网之间的访问子网之间的访问

访问控制三访问控制三内部不同级别子网之间的严格控制内部不同级别子网之间的严格控制


生产服务器生产服务器

OAOA 服务器服务器

财务服务器财务服务器

其他服务器其他服务器

生产部门生产部门

OAOA 子网子网

财务部门财务部门

其他子网其他子网

核心交换机核心交换机

次级交换机次级交换机




SiSi

只接受生产部只接受生产部门员工的访问门员工的访问

只接受只接受 OAOA 子子网员工的访问网员工的访问

只接受财务部只接受财务部门员工的访问门员工的访问

只接受其他子只接受其他子网员工的访问网员工的访问

访问控制四访问控制四合法用户使用合法的资源合法用户使用合法的资源


FTP Server

WWW Server

Mail Server

帧中继

DDN

拨号服务器

InternetInternet

FTP Server

WWW Server

Mail Server

FTP Server

WWW Server

Mail Server

下属单位下属单位

XXXX 中心局中心局域网域网

分支机构分支机构 BB

分支机构分支机构 AA

XX 集团

Internet

入侵检测（入侵检测（ IDIDSS））


FTP Server

WWW Server

Mail Server

帧中继

DDN

拨号服务器

InternetInternet

FTP Server

WWW Server

Mail Server

FTP Server

WWW Server

Mail Server





XX 集团

Internet



Internet Internet

内网内网

企业内部不满员工

发表反动言论发表反动言论

进行信息审计进行信息审计

员工信息审计员工信息审计


FTP Server

WWW Server

Mail Server

帧中继

DDN

拨号服务器

InternetInternet

FTP Server

WWW Server

Mail Server

FTP Server

WWW Server

Mail Server





XX 集团

Internet

网关防网关防病毒病毒

工作站防病工作站防病毒毒

服务器服务器防病毒防病毒

全网的病毒防护全网的病毒防护


FTP Server

WWW Server

Mail Server

帧中继

DDN

拨号服务器

InternetInternet

FTP Server

WWW Server

Mail Server

FTP Server

WWW Server

Mail Server





XX 集团

Internet

数据备份数据备份


四、防火墙原理及技术

1 、防火墙技术类型2 、防火墙种类3 、包过滤原理4 、防火墙功能5 、防火墙在网络中的位置


防火墙技术类型

• 分组过滤：作用在网络层和传输层

• 应用代理：作用在应用层


防火墙种类

工作在网络层和传输层，根据数据包的源地址、源端口号、目的地址、目的端口号、协议类型、标志来决定是否允许数据包通过。

优点：不用改变客户机上的应用程序。缺点：安全性不能充分满足。

1 、包过滤型防火墙


2 、应用代理防火墙

工作在应用层，监视和隔绝应用层的通信流


3 、复合型防火墙复合型防火墙是包过滤与应用代理的结合这种结合通常是以下两种方案：屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与 Internet 相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒机成为 Internet上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两个分组过滤路由器放在这一子网的两端，使这一子网与 Internet 及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。


包过滤原理以一个 telnet 的建立过程为例：

1633 23SYN（第一步）

1633

23

SYN/ACK（第二步）

ACK（第三步）1633

23

客户端

服务端

在 CLIENT 端发起一个 TELNET 连接到 SERVER 端，首先 CLIENT 端打开一个大于 1023 的 TCP 端口，向 SERVER 端 23 端口发出一个连接请求（ SYN ）

如果 SERVER 端允许 23 端口连接 ,那么 SERVER 端的 23 端口向 CLINET 端的大于 1023 的 TCP 端口发出一个允许连接的回应（ SYN/ACK ）

最后 CLIENT 端的大于 1023 的端口向 SERVER 端的 23 端口发出一个确认连接的数据包（ ACK ）。这称为TCP 的三步握手


图（一）

图（二）1 、拒绝所有的 TCP 连接

2 、允许源 IP 地址为安全网段的 TCP 端口大于 1023 ，目的 IP 地址为 0.0.0.0 （所有 IP 地址） TCP 端口等于 23 的 TCP 包从 FIREWALL内部经 FIREWALL 出站。 3 、允许源 IP 地址为 0.0.0.0 、 TCP 端口等于 23 ，目的 IP 地址为安全网段 IP 、目的 TCP 端口大于 1023 的 TCP/ACK 包从 FIREWALL

外部经 FIREWALL 进站。

外网源端口 >1023 ，目的端口 =23 的 TCP 连接未被允许，所以外网不能 TELNET内网

23 1633

服务器

客户端

防火墙

SYN

内网外网

1633 23

1633 23

客户端

服务端

防火墙

内网外网


防火墙

网络反病毒

入侵检测

漏洞扫描

加密设备

存储与备份

信息审计

页面恢复

隔离设备

PKI/CA

防火墙的功能

访问控制

附加功能

基于源 IP 地址基于目的 IP 地址基于源端口基于目的端口高层协议命令级控制状态检测URL 过滤

IP 与 MAC绑定IP 与用户名绑定基于时间控制基于流量控制NAT转换MAP功能QOS功能加密功能SNMP 管理双机热备安全联动

防火墙功能


FTP Server

WWW Server

Mail Server

帧中继

DDN

拨号服务器

InternetInternet

FTP Server

WWW Server

Mail Server

FTP Server

WWW Server

Mail Server





防火墙在网络中位置防火墙在网络中位置 // 作用作用


五、 VPN原理技术及实现方法

1 、 VPN 的概念2 、 VPN 在网络中的位置3 、 VPN 的实现4 、 VPN 的好处5 、公开密钥体系6 、 CA认证中心7、证书申请过程


VPN 的概念

VPN（ Virtual Private Network）：虚拟专用网络

组成：客户机、传输通道和服务器


VPN 的实现


VPN 使用三个方面的技术保证了通信的安全性：隧道协议、身份验证和数据加密。客户机向 VPN 服务器发出请求， VPN 服务器响应请求并向客户机发出身份质询，客户机将加密的响应信息发送到 VPN 服务器， VPN 服务器根据用户数据库检查该响应，如果账户有效， VPN 服务器将检查该用户是否具有远程访问权限，如果该用户拥有远程访问的权限， VPN 服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。

广西大学信息网络中心南宁金寰宇信息工程公司提纲提纲

• 现有那些现有那些 VPNVPN 解决方案？解决方案？• VPNVPN 如何实现信息传输安全？如何实现信息传输安全？• 天融信天融信 VPNVPN 解决方案介绍解决方案介绍• 天融信天融信 VPNVPN 解决方案的特点解决方案的特点

广西大学信息网络中心南宁金寰宇信息工程公司现有的 VPN解决方案

应用层应用层

TCP TCP 层层

网络层网络层

网络接口层网络接口层

应用层应用层

TCP TCP 层层

网络层网络层

网络接口层网络接口层

应用层应用层 VPNVPN：比如：比如 MSMS代理、应用代理代理、应用代理

网络层网络层 VPNVPN：比如：比如 IPSECIPSEC 、、 GGRERE

链路层链路层 VPNVPN：比如：比如 PPTPPPTP 、、 L2FL2F 、、 L2TPL2TP 、、 FRFR 、、ATMATM

我们怎样选择适合自己的我们怎样选择适合自己的 VPNVPN解决方案？解决方案？

传输层传输层 VPNVPN：比如：比如 SOCKv5SOCKv5 、、 SSLSSL 、、 TLSTLS


TCPTCP 101001011101001011IPIP帧帧

进行加密进行加密

1.1. 全程加密（密文数据从全程加密（密文数据从 PC——PCPC——PC ））

2.2. 全程密文，包括在路由器中的数据全程密文，包括在路由器中的数据

3.3. 不管是不管是 DDNDDN 、、 ATM…ATM… 链路都跟链路都跟 VPNVPN 设备设备无关无关

10100101010010

@#$%#@@#$%#@

10100101010010

应用层加密？

加密加密

解密解密

广西大学信息网络中心南宁金寰宇信息工程公司链路层加密？链路层加密？

1.1. 用了这么多的链路加密机？用了这么多的链路加密机？

2.2. 还不能保证全程是密文？还不能保证全程是密文？

3.3. 链路加密机需要多种类型链路加密机需要多种类型 DDNDDN 、、 ATMATM………… ？？

4.4. 链路加密机跟物理链路有关链路加密机跟物理链路有关

TCPTCP 101001011101001011IPIP帧帧


1010100110101001

@##@@%

@##@@%

1010100110101001

1010

1001

10101

001

@##@@%

@##@@%

@##@

@%

@##@

@%

10101001

10101001

1010

1001

1010

1001

@##@@%

@##@@%

广西大学信息网络中心南宁金寰宇信息工程公司网络层加密？网络层加密？

1.1. 只需只需 55台台 VPNVPN 设备设备

2.2. 全程密文，包括在路由器中的数据全程密文，包括在路由器中的数据

3.3. 不管是不管是 DDNDDN 、、 ATM…ATM… 链路都跟链路都跟 VPNVPN 设备无设备无关关

TCPTCP 101001011101001011IPIP帧帧


1010100110101001

@##@@%@##@@%

101001001101001001

广西大学信息网络中心南宁金寰宇信息工程公司 Windows 自带的 VPN ？



广西大学信息网络中心南宁金寰宇信息工程公司 VPNVPN 的基本原理的基本原理

1.1. 数据机密性保护的实现数据机密性保护的实现

2.2. 数据完整性保护的实现数据完整性保护的实现

3.3. 数据源发性保护的实现数据源发性保护的实现

广西大学信息网络中心南宁金寰宇信息工程公司数据机密性保护数据机密性保护

11001110011100111001

01000101000100010100

10101001001010100100

01001001000100100100

00010000000001000000

11001110011100111001

01000101000100010100

10101001001010100100

01001001000100100100

00010000000001000000

明文明文

加密加密解密解密

明文明文密文密文·#·#￥￥ ^&(%^&(%

##

%$%^&*(!%$%^&*(!

#$%*((_%$#$%*((_%$

@#$%%^*@#$%%^*

&**)%$#@&**)%$#@

保证数据在传输途中不被窃取保证数据在传输途中不被窃取

发起方发起方接受方接受方

密文密文·#·#￥￥ ^&(%^&(%

##

%$%^&*(!%$%^&*(!

#$%*((_%$#$%*((_%$

@#$%%^*@#$%%^*

&**)%$#@&**)%$#@


发起方发起方接受方接受方

1001000110010001

0101001001010010

1000010010000100

0000110100001101

1000101010001010

1000101010001010

1001000110010001

0101001001010010

1000010010000100

0000110100001101

1000101010001010

HashHashHashHash

1000101010001010

1001000110010001

0101001001010010

1000010010000100

0000110100001101

1000101010001010

是否一样？是否一样？

数据完整性保护

防止数据被篡改防止数据被篡改

广西大学信息网络中心南宁金寰宇信息工程公司数据源发性保护

BobBob

AliceAlice

假冒的“假冒的“ BoBob”b”

假冒VPN

internetinternet

1010110110101101

1110100111101001

1001010010010100

私钥签名私钥签名

验证签名，证实数据来源验证签名，证实数据来源




VPN 网关

VPN 网关

VPN 客户端

VPN 网关

VPN 客户端

VPN 客户端

VPN 客户端

总部总部



移动用户移动用户 AA

移动用户移动用户 BB

黑客黑客

天融信天融信 VPNVPN整体解决方案架构整体解决方案架构

VRC

VRC

SCM

VRC

VRC

Internet

实现安全到桌面实现安全到桌面


总部总部



移动用户移动用户 AA

移动用户移动用户 BB

黑客黑客

固定边界对固定边界固定边界对固定边界

固定边界对固定边界的安全传输方案固定边界对固定边界的安全传输方案

Internet



广西大学信息网络中心南宁金寰宇信息工程公司天融信天融信 VPN VPN 解决方案的特点解决方案的特点

1.1. 是一个整体解决方案，能够实现安全到桌面是一个整体解决方案，能够实现安全到桌面a)a) 产品包括：产品包括： VPNVPN 网关、网关、 VRCVRC 、、 SCM SCM 等产品等产品

b)b) 能够根据用户需要灵活构建能够根据用户需要灵活构建

2.2. 解决了固定边界到固定边界、移动用户到固定边界、端用户到端用户之间的信息传输安全问题解决了固定边界到固定边界、移动用户到固定边界、端用户到端用户之间的信息传输安全问题

3.3. 提供从局域网到广域网、从网络边界到桌面的完整解决方案提供从局域网到广域网、从网络边界到桌面的完整解决方案


VPN 带来的好处（ 1）降低费用：以 Internet 作为隧道与企业

内部专用网络相连，通信费用大幅度降低（ 2）增强的安全性： VPN 通过使用点到点协议（ PPP）用户级身份验证的方法进行验证，并且采用微软点对点加密算法（MPPE）和网际协议安全（ IPSec）机制对数据进行加密。（ 3）网络协议支持： VPN 支持最常用的网络协议，基于 IP 、 IPX 和 NetBEUI协议网络中的客户机都可以很容易地使用 VPN 。


防火墙

网络反病毒

入侵检测

漏洞扫描

加密设备

存储与备份

信息审计

页面恢复

隔离设备

PKI/CA

• 用户甲拥有两个对应的密钥• 用其中一个加密，只有另一个能够解密• 用户甲将其中一个私下保存（私钥），另一个公开发布（公钥）• 如果乙想送秘密信息给甲

– 乙获得甲的公钥– 乙使用该公钥加密信息发送给甲– 甲使用自己的私钥解密信息

公钥

密文

??是甲的公钥吗

甲乙

私钥

公钥

公开密钥体系


CA（ Certification Authority）认证中心是值得信赖的第三方机构 , 来确认公钥拥有人的身份，就象公安局发放的身份证一样，该机构发放数字证书来验证用户的身份。

防火墙

网络反病毒

入侵检测

漏洞扫描

加密设备

存储与备份

信息审计

页面恢复

隔离设备

PKI/CA

证书包含的内容用户的公钥用户的姓名、地址等个人信息证书的有效期和序列号证书签发者的姓名等等

CA认证中心


防火墙

网络反病毒

入侵检测

漏洞扫描

加密设备

存储与备份

信息审计

页面恢复

隔离设备

PKI/CA

CA 中心

证书发布服务

器

证书签发服务

器

下载 ca 中心公钥

本地产生公钥、私钥

将自己的公钥、用户名等加密

用户证书

-----

----- CA

证书申请过程


基于基于 CACA 证书的身份认证证书的身份认证

CA 中心

证书发布服务

器

证书签发服务

器

用户证书

-----

----- CA

服务器证书

-----

----- CA

用户证书

-----

----- CA

传送证书给对方用于身份

认证

服务器证书

-----

----- CA

传送证书给对方用于身份

认证开始数字证书的签名验证

开始数字证书的签名验证

查找

CA确

认用

户公钥

查询

黑名单验证

都通

过

查找 CA 确认服务器公钥

查询黑名单

验证通过

开始安全通讯

防火墙

网络反病毒

入侵检测

漏洞扫描

加密设备

存储与备份

信息审计

页面恢复

隔离设备

PKI/CA

SUM


六、攻击检测技术及工作原理

1 、攻击检测的工作原理2 、攻击检测的方法 3 、防火墙与防火墙与 IDSIDS 联动原理图联动原理图44 、、 IDSIDS 在网络中的位置在网络中的位置 // 作用作用


攻击检测的工作原理

攻击检测可分为两种：

1 、实时攻击检测 2 、事后攻击检测


实时攻击检测的功能原理图实时攻击检测的功能原理图


实时攻击检测原理

系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现攻击迹象就立即断开攻击者与主机的连接，并收集证据和实施数据恢复，这个检测过程是不断循环进行的


事后攻击检测原理由网络管理人员进行

根据计算机系统对用户操作所做的历史审计记录判断用户是否具有攻击行为，如果有就断开连接，记录入侵证据并进行数据恢复。

缺点：不具有实时性，因此防御攻击的能力不如实时攻击检测系统强。


攻击检测的方法

1 、基于用户行为概率统计模型的攻击检测

2 、基于神经网络的攻击检测 3 、基于专家系统的攻击检测 4 、基于模型推理的攻击检测


攻击主机攻击主机受保护主机受保护主机 IDSIDS 主机主机 IDSIDS 控制控制

台台

防火墙生成动态规则防火墙生成动态规则

防火墙防火墙

受到攻击受到攻击检测到攻击检测到攻击

向控制向控制台报警台报警

通知防火墙通知防火墙

防火墙阻断攻击防火墙阻断攻击

发送响应报文发送响应报文

防火墙与防火墙与 IDSIDS联动原理图联动原理图


FTP Server

WWW Server

Mail Server

帧中继

DDN

拨号服务器

InternetInternet

FTP Server

WWW Server

Mail Server

FTP Server

WWW Server

Mail Server





控制台

控制台

控制台

IDSIDS 在网络中的位置在网络中的位置 // 作用作用


攻击检测发展简史攻击检测技术自 80年代提出以来得到了极

大的发展，国外一些研究机构已经开发出了应用于不同操作系统的几种典型的攻击检测系统（ IDS）。典型的 IDS 通常采用静态异常模型和规则的误用模型来检测入侵，这些 IDS 的检测基本是基于服务器或网络的。基于服务器的 IDS 采用服务器操作系统的检测序列作为主要输入源来检测入侵行为，而大多数基于网络的 IDS则以监控网络故障作为检测机制，但有些则用基于服务器的检测模式和典型的 IDS静态异常算法。


防火墙

网络反病毒

入侵检测

漏洞扫描

加密设备

存储与备份

信息审计

页面恢复

隔离设备

PKI/CA

漏洞扫描

扫描操作系统漏洞操作系统漏洞扫描数据库的漏洞数据库的漏洞扫描应用程序的漏洞应用程序的漏洞扫描网络设备的漏洞网络设备的漏洞

七、漏洞扫描技术


内部工作子网内部工作子网

一般子网

管理子网

重点子网

SSNSSN 区域区域

WWW Mail

Internet Internet 区域区域

InternetInternet边界路由器边界路由器

扫描整个网络与系统

安全评估软件：1. 扫描整个网络系统的弱点和漏洞并

建议采取相应的补救措施2. 提前发现网络系统的弱点和漏洞，

防范于未然。

扫描对象 : 对全网的 Router 、 Switch 、 FireWall 、Host 等进行安全评估

扫描 Switch 扫描 Firewall

扫描 Server

漏洞扫描设备

扫描路由器

漏洞扫描的位置漏洞扫描的位置 // 作用作用


防火墙

网络反病毒

入侵检测

漏洞扫描

加密设备

存储与备份

信息审计

页面恢复

隔离设备

PKI/CA

网络反病毒

网关病毒防护网关病毒防护工作站病毒防护工作站病毒防护服务器病毒防护服务器病毒防护控制台控制台

八、网络防病毒技术


防火墙

网络反病毒

入侵检测

漏洞扫描

加密设备

存储与备份

信息审计

页面恢复

隔离设备

PKI/CA

Internet Internet 区域区域

InternetInternet边界路由器边界路由器

SSNSSN 区域区域

WWW Mail

带有病毒的数据包


管理子网

一般子网

内部 WWW

重点子网

是否含毒否

是

杀毒

网关防病毒网关病毒防护网关病毒防护


防火墙

网络反病毒

入侵检测

漏洞扫描

加密设备

存储与备份

信息审计

页面恢复

隔离设备

PKI/CA

工作站防毒软件

发现病毒立即采取相应的措施


管理子网

一般子网

内部 WWW

重点子网

发现病毒

均为客户端工作站

带有病毒的数据包

工作站病毒防护工作站病毒防护


防火墙

网络反病毒

入侵检测

漏洞扫描

加密设备

存储与备份

信息审计

页面恢复

隔离设备

PKI/CA

服务器反病毒

WWW E-MAIL DNS

发现病毒立即采取相应的措施

服务器病毒防护服务器病毒防护


FTP Server

WWW Server

Mail Server

帧中继

DDN

拨号服务器

InternetInternet

FTP Server

WWW Server

Mail Server

FTP Server

WWW Server

Mail Server





网络反病毒配置网络反病毒配置 // 作用作用


一个好的杀毒软件应具备的功能一个好的杀毒软件应具备的功能

1 、实时监控与扫描：能保持全天 24小时监控，实时扫描所有进出网络的文件。

2 、能隔离受感染的文件：对那些不能杀掉的病毒可将其隔离，防止病毒扩散。

3 、强大的病毒库。4 、自动报警功能：发现病毒时可立即产生报警，

通知管理员，并可追踪病毒来源。5 、详细的扫描日志与报告：记录规定时间内追踪网络所有病毒的活动，可给出扫描报告、扫描日志等多种报告。

6 、能自动在线升级病毒库。


九、网络安全产品应用实例

1 、天融信防火墙网络卫士 3000 应用实例2 、防火墙 +VPN 应用实例3 、农行解决方案


1 、天融信防火墙网络卫士 3000 应用实例网络中心通过联通光纤接入，连接在原有的边界路由器上。网络卫士 3000 防火墙安装在边界路由器和三层交换机之间。网络卫士 3000标准配置有三个 100M 网络接口，将网络划分为三个网段：外部网，内部网，安全服务区。外部网为非保护区，内部网为受保护区，安全服务区既是内部网的一部分，又与内部网隔离，这就是安全服务器网络（ SSN ）技术。它实现了对公开服务器自身的安全保护，同时也避免了公开服务器对内部网的安全威胁。

内部服务器群

联通

内部局域网

三层交换机

二级交换机

WWW 服务器

边界路由器

防火墙


天融信网络卫士 3000 系列防火墙的主要功能

• 包过滤• NAT（网络地址转换）• 反向 NAT

• 应用代理• 流量管理功能• IP 和 MAC地址绑定• 用户权限控制• 用户和 IP绑定• 支持透明接入

•支持安全服务器网络 SSN•基于用户和 IP 的计费•支持内部网段分割•安全审计•支持规则检查•安全管理•防止 IP地址欺骗•入侵检测•支持 VPN功能（可选）


2 、防火墙 +VPN 应用实例

INTERNET

南宁卫生厅办公网域网

预科院办公局域网ETH0:211.167.248.20

172.16.11.0/24

Web 服务器

Email 服务器

FW—VPN

FW—VPN


3 、农行解决方案

农行解决方案农行解决方案

农行网络情况农行网络情况

网络中存在的风险网络中存在的风险

网络安全的需求网络安全的需求

安全产品配备与说明安全产品配备与说明


VVVV

网上银行及代收业务

ISDN

外网或互联网

地市行网络中心

sdlc

Cisco7xxx

储蓄所

ATM

sdlc

sdlc

Cisco2610

营业网点

FRAME-RELAY/DDN

统计业务

国际业务

OA

省行网络中心

网管机

Web 服务器对外前置机

业务主机

Hub 或 Switch

ISDN

VV

备份主机

Cisco7xxx/CIP

Cisco7xxxCisco36xx

外网或互联网

PSTN

30条拨号或专线线路（ IP ）

支行网络中心

XXXX省农行原有网络拓扑图省农行原有网络拓扑图








网络中存在着的风险网络中存在着的风险物理安全物理安全链路安全链路安全网络安全网络安全系统安全系统安全应用安全应用安全其它其它


农行网络安全解决方案农行网络安全解决方案







网络安全需求

• 访问控制的需求• 信息加密的需求• 入侵检测的需求• 安全评估的需求• 网络反病毒的需求


农行网络安全解决方案农行网络安全解决方案







安全产品的配备

• 防火墙设备

• 入侵检测

• 安全评估

• 网络反病毒系统

广西大学信息网络中心南宁金寰宇信息工程公司省行防火墙产品分布图

FRAME-RELAY/DDN

网管机

Web 服务器对外前置机

业务主机

ISDN

统计业务

国际业务

OA

省行网络中心

VV

备份主机

Cisco7xxx/CIP

Cisco7xxxCisco36xx

外网或互联网

40条拨号或专线线路（ IP ）

PSTN

40条点对点专用拨号线路

防火墙 -2 防火墙 -1

防火墙 -3防火墙 -4

地市行

1.1. 网段隔离网段隔离

2.2. IPIP 与与 MACMAC 绑定绑定

3.3. IPIP 与用户绑定与用户绑定

4.4. 信息审计信息审计

5.5. 日志记录日志记录

6.6. 一次性口令认证一次性口令认证

7.7. …………

营业网点营业网点 IDSIDS


IDSIDS

服务器服务器防病毒防病毒

工作站防工作站防病毒病毒

网关防病毒网关防病毒


VV

外网或互联网

地市行网络中心

sdlc

Cisco7xxx

FRAME-RELAY/DDN

ISDN

防火墙

备份线路

备份线路

省行网络中心

地、市行防火墙产品分布图

1.1. 网段隔离网段隔离

2.2. 细粒度的访问控制细粒度的访问控制

3.3. 信息审计信息审计

4.4. 日志记录日志记录

5.5. 一次性口令认证一次性口令认证

6.6. …………

IDSIDS


防病毒防病毒


广西大学信息网络中心电话： 0771-3235214转 8013

0771-3234959

广西壮族自治区 国家保密局北海会议

Documents

广西壮族自治区国家保密局北海会议