网络安全技术介绍.ppt

1、网网网网网网 络络络络络络 安安安安安安 全全全全全全 教教教教教教 程程程程程程2网络安全体系结构网络安全体系结构网络安全攻击网络安全攻击防火墙技术防火墙技术入侵检测技术入侵检测技术网络安全策略网络安全策略网络安全案例网络安全案例参考资料参考资料目录目录目录目录3网络安全必要性网络安全必要性网络安全体系结构网络安全体系结构网络安全体系结构网络安全体系结构l伴随互联网发展重要信息变得非常容易被获取个人数据重要企业资源政府机密l网络攻击变的越来越便利黑客（crack）技术在全球范围内共享易用型操作系统和开发环境普及4网络安全体系结构网络安全体系结构网络安全体系结构网络安全体系结构5网络安全体系结

2、构网络安全体系结构网络安全体系结构网络安全体系结构6可运营可运营IPIP网络的安全需求网络的安全需求网络安全体系结构网络安全体系结构网络安全体系结构网络安全体系结构l网络安全管理网络安全管理网络结构安全，路由的稳定性，各节点设备的安全，设备操作的安全以及网络安全政策实施。l信息安全管理信息安全管理信息传输的安全，计费/认证信息的安全，信息服务器的安全。l接入安全控制接入安全控制身份认证，用户隔离，访问控制。l业务安全开展业务安全开展增对不同的业务采取具体的措施，譬如高速上网业务需要保证用户之间的隔离，专线业务需要保证QoS，虚拟专线业务需要保证QoS和信息安全。7安全安全策略策略防护防护检测检

3、测检测检测检测检测响应响应响应响应响应响应入侵检测黑名单身份认证数据加密访问控制用户隔离告警策略更改ASPF日志P2DR（Policy、Protection、Detection、Response）模型是网络安全管理基本思想，贯穿IP网络的各个层次网络安全体系结构网络安全体系结构网络安全体系结构网络安全体系结构VRPVRP网网络络安全模型安全模型P2DRP2DR8IPIP网络网络的安全模型的安全模型网络安全体系结构网络安全体系结构网络安全体系结构网络安全体系结构l实实时时的的动动态态检检测测：包括设备日志、动态防火墙以及专用入侵检测等技术。l有有效效的的攻攻击击响响应应：包括告警等自动响应以及策

4、略更改、黑名单等手动响应操作。l基基本本的的预预防防防防护护：包括用户隔离、身份认证、访问控制、数据加密、动态防火墙等技术。l核心的策略管理：核心的策略管理：包括网管和策略管理技术。9企业接入安全企业接入安全专网安全专网安全安全安全VPN业务业务丰富的电子商务应用丰富的电子商务应用安安全全业业务务管理层面管理层面应用层面应用层面安全管理安全管理安安全全技技术术VRPVRP平台安全结构平台安全结构基础层面基础层面防火墙防火墙内容过滤内容过滤用户认证用户认证CA认证认证访问控制访问控制地址转换地址转换/隐藏隐藏数据加密数据加密入侵检测入侵检测安全日志安全日志 网络安全体系结构网络安全体系结构网络安

5、全体系结构网络安全体系结构10接入层汇聚层骨干层基本增强高级Vlan技术分级分权管理Vlan技术流控防火墙技术web认证分级分权管理VPN/MPLSIPSECEAPoE认证CA安全策略管理路由保护分级分权管理CA安全策略管理安全策略管理Web/PPPoE认证防火墙技术（增强）ASPF技术安全日志专用防火墙IDC二层防火墙安全日志简单防火墙安全日志网络安全关键技术的应用网络安全关键技术的应用网络安全体系结构网络安全体系结构网络安全体系结构网络安全体系结构11用户隔离和识别用户隔离和识别网络安全体系结构网络安全体系结构网络安全体系结构网络安全体系结构l关关键键技技术术：接入/汇聚层设备支持VLAN

6、的划分；VLAN数量应不受4096的限制；支持VLAN ID与IP地址或MAC地址的捆绑；采用2.5层的vlan聚合技术（如代理ARP等），解决vlan浪费IP地址的问题。l能能够够解解决决的的安安全全问问题题：防止用户之间利用二层窃取信息，利用vlan技术直接将用户从二层完全隔离；Vlan ID与IP地址和MAC地址的捆绑，防止用户进行IP地址欺骗，在安全问题发生时便于快速定位。12流控技术流控技术网络安全体系结构网络安全体系结构网络安全体系结构网络安全体系结构l关关键键技技术术：接入报文合法性验证、流分类、流量监管和控制（CAR）、路由转发、队列调度。l能能够够解解决决的的安安全全问问题题

7、：可以防止外部通过流量攻击接入用户，同时也可以对接入用户进行流量限制。13认证技术认证技术网络安全体系结构网络安全体系结构网络安全体系结构网络安全体系结构l关键技术：关键技术：PPPoE、WEB Portal认证和EAPoE。l能能够够解解决决的的安安全全问问题题：解决对用户的认证、授权和计费。对于固定用户，可以通过Vlan ID进行认证和授权，但经常需要移动的用户，不能通过vlan ID进行认证和授权，必须有相应的帐号。同时，单纯利用vlan技术不能解决用户按时长计费的要求，只能适用于包月制。14防火墙防火墙/ASPF/ASPF技术技术网络安全体系结构网络安全体系结构网络安全体系结构网络安全

8、体系结构l关关键键技技术术：包过滤防火墙技术；状态防火墙技术(ASPF)；专用防火墙技术。l能能够够解解决决的的安安全全问问题题：防火墙技术运用在汇聚层设备，主要保护接入用户，包括阻止用户的非授权业务，阻止外部对接入用户的非法访问等；ASPF技术可以保护接入用户和网络设备本身免受恶意攻击，但是ASPF技术的采用会带来设备性能的下降；另外在城域数据中心一般采用专用防火墙。15安全日志安全日志安全日志网络安全体系结构网络安全体系结构网络安全体系结构网络安全体系结构l关键技术：关键技术：网管技术；设备安全日志。l能够解决的安全问题：能够解决的安全问题：对网络攻击提供分析检测手段。16策略管理策略管理

9、策略管理网络安全体系结构网络安全体系结构网络安全体系结构网络安全体系结构l关关键键技技术术：LDAP协议；RADIUS+协议；策略服务器技术。l能能够够解解决决的的安安全全问问题题：通过对策略的管理和分配，能够实现全网范围内的网络安全。17VPNVPN技术技术网络安全体系结构网络安全体系结构网络安全体系结构网络安全体系结构l关关键键技技术术：目前有多种形式的VPN，对于运营商主要是VPDN和VPRN。VPDN技术比较明朗，主要是L2TP，VPRN技术包括GRE和MPLS，目前MPLS被普遍看好。MPLS技术又包括扩展BGP和VR两种方式。l能能够够解解决决的的安安全全问问题题：VPN主要运用在

10、一些安全性较高的组网业务中，例如企业之间可以通过VPN互联；城域网络本身计费、网管等可以通过VPN组成虚拟专网，保证安全性；另外VoIP应用，GPRS应用也都可以通过VPN，保证QoS和安全性。18IPSecIPSec技术技术网络安全体系结构网络安全体系结构网络安全体系结构网络安全体系结构l关关键键技技术术：IPSec技术是目前最重要的加密技术。IPSec在两个端点之间通过建立安全联盟（SA）进行数据传输。SA定义了数据保护中使用的协议和算法以及安全联盟的有效时间等属性。IPSec有隧道和传输两种工作方式。l能能够够解解决决的的安安全全问问题题：与VPN技术结合保证用户数据传输的私有性、完整性

11、、真实性和防重放性19网络安全体系结构网络安全体系结构网络安全体系结构网络安全体系结构l关关键键技技术术：CA技术是安全认证技术的一种，它基于公开密钥体系，通过安全证书来实现。安全证书由CA中心分发并维护。网络设备对CA中心的支持包含两方面的内容，其一是针对CA中心的管理功能完成与CA中心的交互；其二即是网络设备作为通信实体的认证功能。l能能够够解解决决的的安安全全问问题题：网络设备通过对CA的支持可以实现相互之间的认证，保证路由信息和用户数据信息的安全。CACA技术技术20网络安全体系结构网络安全体系结构网络安全攻击网络安全攻击防火墙技术防火墙技术入侵检测技术入侵检测技术网络安全策略网络安全

12、策略网络安全案例网络安全案例参考资料参考资料目录目录目录目录21网络攻击分类网络攻击分类网络安全攻击网络安全攻击网络安全攻击网络安全攻击l报文窃听（Packet Sniffers）lIP欺骗（IP Spoofing）l服务拒绝（Denial of Service）l密码攻击（Password Attacks）l中间人攻击(Man-in-the-Middle Attacks)l应用层攻击（Application Layer Attacks）l网络侦察（Network Reconnaissance）l信任关系利用（Trust Exploitation）l端口重定向（Port Redirection

13、）l未授权访问（Unauthorized Access）l病 毒 与 特 洛 伊 木 马 应 用（Virus and Trojan Horse Applications）22报报文窃听文窃听(Packet Sniffers)(Packet Sniffers)网络安全攻击网络安全攻击网络安全攻击网络安全攻击l报文窃听是一种软件应用，该应用利用一种处于无区别模式的网络适配卡捕获通过某个冲突域的所有网络分组。l可以轻易通过解码工具（sniffers/netxray等）获得敏感信息（用户密码等）。23报报文窃听文窃听(Packet Sniffers)(Packet Sniffers)网络安全攻击网络安

14、全攻击网络安全攻击网络安全攻击24报报文窃听文窃听(Packet Sniffers)(Packet Sniffers)网络安全攻击网络安全攻击网络安全攻击网络安全攻击l减轻危害的方法：减轻危害的方法：验证(Authentication)：采用一次性密码技术(one-time-passwords OTPs)交换型基础设施：用交换机来替代HUB，可以减少危害。防窃听工具：使用专门检测网络上窃听使用情况的软件与硬件。加密：采用IP Security(IPSec)、Secure Shell(SSH)、Secure Sockets Layer(SSL)等技术。25IPIP欺欺骗骗(IP Spoofing

15、)(IP Spoofing)网络安全攻击网络安全攻击网络安全攻击网络安全攻击lIP欺骗是指网络内部或外部的黑客模仿一台可靠计算机会话（IP协议头中源IP地址欺骗）lIP欺骗通常会引发其他的攻击DoS。l实现与攻击目标双向通讯办法更改网络上的路由表。26IPIP欺欺骗骗(IP Spoofing)(IP Spoofing)网络安全攻击网络安全攻击网络安全攻击网络安全攻击l减轻危害的方法：减轻危害的方法：访问控制：拒绝任何来自外部网络而其源地址为内部网络的流量。如果某些外部地址也可靠，此方法无效。RFC 2827过滤：防止一个网络的用户欺骗其他网络。27服服务务拒拒绝绝(Denial of Serv

16、ice)(Denial of Service)网络安全攻击网络安全攻击网络安全攻击网络安全攻击lDoS（Deny Of Service）就是攻击者通过使你的网络设备崩溃或把它压跨（网络资源耗尽）来阻止合法用户获得网络服务，DOS是最容易实施的攻击行为。lDoS主要包括ping of death、teardrop、UDP flood、TCP SYN Flood、land攻击、smurf攻击等。28服服务务拒拒绝绝(Denial of Service)(Denial of Service)网络安全攻击网络安全攻击网络安全攻击网络安全攻击lDDoS（Distributed Denial Of Service）黑客侵入并控制了很多台电脑，并使它们一起向主机发动DoS攻击，主机很快陷于瘫痪，这就是分布式拒绝服务攻击DDoS（Distributed Denial Of Service）。29死亡之死亡之死亡之ping(ping of death)ping(ping of death)ping(ping of death)DoS DoS DoS 网络安全攻击网络安全攻击网络安全攻击网络安全攻击l一般