国家信息安全测评中心CISP培训.pptx

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,国家信息安全测评中心,CISP,培训,主讲：樊山,QQ,：,86485660,电话：,15918780740,E_Mail,：,fanfox7405,大纲,网络与通信安全基础,网络安全应用（防火墙、入侵检测技术、漏洞扫描）,大纲,KA,（知识域）：电信和网络安全,SA,：,OSI,分层模型和,TCP/IP,协议族；,理解,OSI,的七层模型、,TCP/IP,协议族及其特征，理解,OSI,分层模型和,TCP/IP,协议族的对应关系；,理解各种相关协议同,OSI,和,TCP/IP,的对应关系。,SA,：通信和网

2、络技术,理解各种物理介质（例如：光纤,/,同轴电缆,/,双绞线等）的特征；,理解各种链路层协议和技术，例如：,HDLC/SDLC/,帧中继等。,理解各种网络拓扑结构（总线,/,星型,/,环型）等的特征；,理解各种局域网,/,城域网,/,广域网的各种通信网络，例如：帧中继,/ATM,网络等的特征；,理 解 各 种 远 程 拨 号 访 问 协 议 和 技 术，例 如：,RADIUS/TACACS/TACACS+/Diameter,等。,大纲,SA,：互联网技术和服务,理解,TCP/IP,协议族中的相关基础协议，包括：,SLIP/PPP/CHAP/PAP,协议，,ARP/RARP,协议，,IP,协议

3、，,TCP/UDP,协议；,理解各种网络设备分类及其特征，包括：复用器,/,集线器,/,交换机,/,路由器,/,网关等；,理解,IP,地址划分和编址技术，理解,RIP/OSPF,等路由协议和技术；,理解,DNS/SNMP/Telnet/SMTP/WWW,等互联网重要协议的原理和应用；,理解,SSL/S/MIME/SSL/SET/PEM,等重要的安全协议；,理解各种,VPN,技术，例如,PPTP,、,MPLS,等,VPN,技术（,IPSec VPN,技术在密码系统及其应用中详细讨论）。,大纲,SA,：网络安全设备：防火墙,/,入侵检测和入侵防御系统等,理解各种网络安全设备的概念和基本原理；,理解

4、防火墙的分类、应用和实践。,网络与通信安全基础,OSI,模型和,TCP/IP,协议簇,通信和网络技术,互联网技术与服务,主要网络安全协议和机制,OSI,模型和,TCP/IP,协议簇,OSI,模型,，即,开放式通信系统互联参考模型,(Open System Interconnection),，是国际标准化组织,(ISO),提出的一个试图使各种计算机在世界范围内互连为网络的标准框架，简称,OSI,。,OSI,模型,-,层次划分,OSI,将计算机网络体系结构,(architecture),划分为以下七层：,7,应用层：,Application Layer,6,表示层：,Presentation La

5、yer,5,会话层：,Session Layer,4,传输层：,Transport Layer,3,网络层：,Network Layer,2,数据链路层：,Data Link Layer,1,物理层：,Physical Layer,OSI,模型和,TCP/IP,协议簇,OSI,模型和,TCP/IP,协议簇,7,应用层：老板,6,表示层：相当于公司中简报老板、替老板写信的助理,5,会话层：相当于公司中收寄信、写信封与拆信封的秘书,4,传输层：相当于公司中跑邮局的送信职员,3,网络层：相当于邮局中的排序工人,2,数据链路层：相当于邮局中的装拆箱工人,1,物理层：相当于邮局中的搬运工人,OSI,模型

6、和,TCP/IP,协议,OSI,模型,-,历史,在制定计算机网络标准方面，起着重大作用的两大国际组织是：国际电报与电话咨询委员会（,CCITT,），与国际标准化组织,(ISO),，虽然它们工作领域不同，但随着科学技术的发展，通信与信息处理之间的界限开始变得比较模糊，这也成了,CCITT,和,ISO,共同关心的领域。,1974,年，,ISO,发布了著名的,ISO/IEC 7498,标准，它定义了网络互联的,7,层框架，也就是开放式系统互连参考模型。,OSI,模型,-,影响,OSI,是一个定义良好的协议规范集，并有许多可选部分完成类似的任务。,它定义了开放系统的层次结构、层次之间的相互关系以及各层

7、所包括的可能的任务。是作为一个框架来协调和组织各层所提供的服务。,OSI,参考模型并没有提供一个可以实现的方法，而是描述了一些概念，用来协调进程间通信标准的制定。即,OSI,参考模型并不是一个标准，而是一个在制定标准时所使用的概念性框架。,OSI,模型和,TCP/IP,协议,OSI,模型和,TCP/IP,协议,物理层定义物理链路的电气、机械、通信规程、功能要求等；,电压，数据速率，最大传输距离，物理连接器；,线缆，物理介质；,将比特流转换成电压；,物理层设备,Repeater,Hub,Multiplexers,NIC,；,物理层协议,100BaseT,OC-3,OC-12,DS1,DS3,E1

8、,E3,；,OSI,模型和,TCP/IP,协议,物理层考虑的是怎样才能在连接各种计算机的传输媒体上传输数据的比特流，而不是指连接计算机的具体的物理设备或具体的传输媒体。现有的计算机网络中的物理设备和传输媒体的种类繁多，而通信手段也有许多不同方式。物理层的作用正是要尽可能地屏蔽掉这些差异，使物理层上面的数据链路层感觉不到这些差异，这样可使数据链路层只需要考虑如何完成本层的协议和服务，而不必考虑网络具体的传输媒体是什么。,功能特性：主要定义各条物理线路的功能 规程特性：主要定义各条物理线路的工作规程和时序关系,OSI,模型和,TCP/IP,协议,数据链路层,物理寻址，网络拓扑，线路规章等；,错误检

9、测和通告（但不纠错）；,将比特聚成帧进行传输；,流量控制（可选）；,数据链路层设备,网桥和交换机；,数据链路层协议,PPP,HDLC,F.R,Ethernet,Token Ring,FDDI,ISDN,ARP,RARP,L2TP,PPTP.,OSI,模型和,TCP/IP,协议,两个子层,MAC,（,Media Access Control,）物理地址；,烧录到网卡,ROM,；,48,比特；,唯一性；,LLC,（,Logical Link Control,）为上层提供统一接口；,使上层独立于下层物理介质；,提供流控、排序等服务；,OSI,模型和,TCP/IP,协议,数据链路层是,OSI,参考模型

10、中的第二层，介乎于物理层和网络层之间。数据链路层在物理层提供的服务的基础上向网络层提供服务，其最基本的服务是将源机网络层来的数据可靠地传输到相邻节点的目标机网络层。,为达到这一目的，数据链路必须具备一系列相应的功能，主要有：,如何将数据组合成数据块，在数据链路层中称这种数据块为帧（,frame,），帧是数据链路层的传送单位；,如何控制帧在物理信道上的传输，包括如何处理传输差错，如何调节发送速率以使与接收方相匹配；,在两个网络实体之间提供数据链路通路的建立、维持和释放的管理。,OSI,模型和,TCP/IP,协议,网络层逻辑寻址；,路径选择；,网络问题管理（如拥塞）；,MTU,；,网络层设备,路由

11、器，三层交换机；,网络层协议,IP,IPX,RIP,OSPF,EIGRP,IS-IS,ICMP,；,OSI,模型和,TCP/IP,协议,网络层是,OSI,参考模型中的第三层，介于运输层和数据链路层之间，它在数据链路层提供的两个相邻端点之间的数据帧的传送功能上，进一步管理网络中的数据通信，将数据设法从源端经过若直干个中间节点传送到目的端，从而向运输层提供最基本的端到端的数据传送服务。主要内容有：虚电路分组交换和数据报分组交换、路由选择算法、阻塞控制方法、,X.25,协议、综合业务数据网（,ISDN,）、异步传输模式（,ATM,）及网际互连原理与实现。,OSI,模型和,TCP/IP,协议,OSI,

12、模型和,TCP/IP,协议,传输层,端到端数据传输服务；,建立逻辑连接；,传输层协议,TCP(Transmission Control Protocol),状态协议；,按序传输；,纠错和重传机制；,Socket,；,UDP(User Datagram Protocol),无状态协议；,SPX,OSI,模型和,TCP/IP,协议,传输层是,OSI,中最重要,最关键的一层，是唯一负责总体的数据传输和数据控制的一层。传输层提供端到端的交换数据的机制，传输层对会话层等高三层提供可靠的传输服务,对网络层提供可靠的目的地站点信息。,传输层功能的最终目的是为会话提供可靠的，无误的数据传输,.,传输层的服务一

13、般要经历传输连接建立阶段，数据传送阶段，传输连接释放阶段,3,个阶段才算完成一个完整的服务过程,.,而在数据传送阶段又分为一般数据传送和加速数据传送两种。传输层服务分成,5,种类型,.,基本可以满足对传送质量,传送速度,传送费用的各种不同需要。,OSI,模型和,TCP/IP,协议,会话层不同应用的数据隔离；,会话建立，维持，终止；,同步服务；,名称标识和识别；,会话控制（单向或双向）；,会话层协议,NFS,SQL,RPC,；,SSL/TLS,，,SSH,；,OSI,模型和,TCP/IP,协议,会话层,(Session),提供的服务可使应用建立和维持会话，并能使会话获得同步。会话层使用校验点可使

14、通信会话在通信失效时从校验点继续恢复通信。这种能力对于传送大的文件极为重要。,OSI,模型和,TCP/IP,协议,表示层数据格式表示；,协议转换；,字符转换；,数据加密,/,解密；,数据压缩等；,表示层数据格式,ASCII,MPEG,TIFF,GIF,JPEG,；,OSI,模型和,TCP/IP,协议,表示层的作用之一是为异种机通信提供一种公共语言，以便能进行互操作。这种类型的服务之所以需要，是因为不同的计算机体系结构使用的数据表示法不同。例如，,IBM,主机使用,EBCDIC,编码，而大部分,PC,机使用的是,ASCII,码。在这种情况下，便需要会话层来完成这种转换。,OSI,模型和,TCP/

15、IP,协议,OSI,模型和,TCP/IP,协议,应用层应用接口；,网络访问流处理；,流控；,错误恢复；,应用层协议,FTP,Telnet,HTTP,SNMP,SMTP,DNS,；,OSI,模型和,TCP/IP,协议,应用层也称为应用实体（,AE,），它由若干个特定应用服务元素（,SASE,）和一个或多个公用应用服务元素（,CASE,）组成。每个,SASE,提供特定的应用服务，例如文件运输访问和管理（,FTAM,）、电子文电处理（,MHS,）、虚拟终端协议（,VAP,）等。,CASE,提供一组公用的应用服务，例如联系控制服务元素（,ACSE,）、可靠运输服务元素（,RTSE,）和远程操作服务元素

16、（,ROSE,）等。,OSI,模型和,TCP/IP,协议,物理层,提供传输介质；将数据转换为与传输介质相应的传输信号；在传输介质中发送信号；包括网络的物理布局；监视传输错误；确定数据信号传输的电压级并同步传输；确定信号类型是数字信号还是模拟信号。,数据链路层,使用网络适当的格式构造数据帧；创建,CRC,信息，使用,CRC,信息检查错误，如果出现错误就重新传输数据；初始化通信链接，并且为了结点到结点的可靠性，要保证链接不被中断；检验设备地址；确认接收到了帧。,网络层,确定路由包的网络路径；帮助减少网络阻塞；建立虚拟电路；将帧路由到 其他网络，在需要时对包的传输进行重新排序；在协议间转换。,传输层

17、,确保结点与结点间包传输的可靠性；确保数据发送和接收时顺序相同；当包接收到后，给出确认信息；监控包传输错误，再发坏了的包；将大的数据单元分割成小的单元，对于采用不同协议的网络，要在接收端重构这些单元。,会话层,初始化通信链接；确保通信链接受到维护；确定在各个点上，要哪个结点及时传输数据；通信会话结束后，断开连接；转换结点地址。,表示层,将数据转换为接收结点理解的格式；执行数据加密；执行数据压缩。,应用层,使得可以共享远程驱动器；使得可以共享远程打印机；处理电子邮件消息；提供文件传输服务；提供文件管理服务；提供终端仿真服务。,OSI,模型和,TCP/IP,协议,OSI,模型和,TCP/IP,协议

18、,认证；,访问控制；,数据机密性；,数据完整性；,抗抵赖；,OSI,模型和,TCP/IP,协议,加密；,数字签名；,访问控制；,数据完整性；,认证；,流量填充；,路由控制；,公证（,notarization,）；,OSI,模型和,TCP/IP,协议,OSI,模型和,TCP/IP,协议,OSI,模型和,TCP/IP,协议,IP,地址,A,类,:1-126,；,B,类,:128-191,；,C,类,:192-223,；,D,类,:224-239,；,E,类,:240-254,；,RFC1918,；,通信和网络技术,局域网（,LAN,）,特点高数据传输率；,短距离；,低误码率；,线缆,光纤（,Fib

19、er Optic,）,非屏蔽双绞线（,Unshielded Twisted Pair,UTP,）；,屏蔽双绞线（,Shielded Twisted Pair,STP,）；,同轴电缆（,Coaxial Cable,）；,介质：以太网、令牌环、,FDDI,；,拓扑：总线，星形，环形，网状；,通信和网络技术,同轴电缆（,Coaxial Cable,）,构成,Copper conductor,；,Shielding layer,；,Grounding wire,；,Outer jacket,；,类型,50 ohm-,以太网；,75 ohm-,视频；,规范,10Base2,（,thinnet,）,10M

20、bs,；,Baseband,；,185 meters,；,10Base5,（,thicknet,）,通信和网络技术,双绞线（,Twisted Pair,）,构成多对铜线；,Outer jacket,；,类型,UTP,（,Unshielded Twisted Pair,）；,STP,（,Shielded Twisted Pair,）；,通信和网络技术,光纤（,Fiber Optics,）,构成,Core,；,Cladding,；,Buffer coating,；,Outer jacket,；,类型,单模（,9micron,）；,多模（,62.5micron,）；,光源,激光（,Laser,）；,

21、发光二极管（,LED,）；,通信和网络技术,物理拓扑,总线（,Bus,）；,Ethernet,；,星形（,Star,）；,Ethernet,（逻辑上是总线）；,Token Ring,（逻辑上是环形）；,环形（,Ring,）；,FDDI,；,网状（,Mesh,）；,Internet,；,互联网技术与服务,集线器（,Hub,）,集线器的英文称为“,Hub”,。“,Hub”,是“中心”的意思，集线器的主要功能是对接收到的信号进行再生整形放大，以扩大网络的传输距离，同时把所有节点集中在以它为中心的节点上。它工作于,OSI(,开放系统互联参考模型,),参考模型第一层，即“物理层”。集线器与网卡、网线等传

22、输介质一样，属于局域网中的基础设备，采用,CSMA/CD,访问方式。,集线器常见端口,集线器通常都提供三种类型的端口，即,RJ-45,端口、,BNC,端口和,AUI,端口，以适用于连接不同类型电缆构建的网络。一些高档集线器还提供有光纤端口和其他类型的端口。,互联网技术与服务,当一个集线器提供的端口不够时，一般有以下两种拓展用户数目的方法。,(1),堆叠,堆叠是解决单个集线器端口不足时的一种方法，但是因为堆叠在一起的多个集线器还是工作在同一个环境下，所以堆叠的层数也不能太多。然而，市面上许多集线器以其堆叠层数比其他品牌的多而作为卖点，如果遇到这种情况，要区别对待：一方面可堆叠层数越多，一般说明集

23、线器的稳定性越高；另一方面可堆叠层数越多，每个用户实际可享有的带宽则越小。,(2),级连,级连是在网络中增加用户数的另一种方法，但是此项功能的使用,般是有条件的，即,Hub,必须提供可级连的端口，此端口上常标为“,Uplink”,或“,MDI”,的字样，用此端口与其他的,Hub,进行级连。如果没有提供专门的端口而必须要进行级连时，连接两个集线器的双绞线在制作时必须要进行错线。,互联网技术与服务,网桥（,Bridge,）,网桥是一种对帧进行转发的技术，根据,MAC,分区块，可隔离碰撞。网桥将网络的多个网段在数据链路层连接起来。,网桥的基本特征,1,、网桥在数据链路层上实现局域网互连；,2,、网桥

24、能够互连两个采用不同数据链路层协议、不同传输介质与不同传输速率的网络；,3,、网桥以接收、存储、地址过滤与转发的方式实现互连的网络之间的通信；,4,、网桥需要互连的网络在数据链路层以上采用相同的协议；,5,、网桥可以分隔两个网络之间的广播通信量，有利于改善互连网络的性能与安全性。,互联网技术与服务,1,、透明网桥,第一种,802,网桥是透明网桥,(transparentbridge),或,生成树,网桥,(spanningtreebridge),。支持这种设计的人首要关心的是完全透明。按照他们的观点，装有多个,LAN,的单位在买回,IEEE,标准网桥之后，只需把连接插头插入网桥，就万事大吉。不需

25、要改动硬件和软件，无需设置地址开关，无需装入路由表或参数。,2,、源路由选择网桥,透明网桥的优点是易于安装，只需插进电缆即大功告成。但是从另一方面来说，这种网桥并没有最佳地利用带宽，因为它们仅仅用到了拓扑结构的一个子集,(,生成树,),。这两个（或其他）因素的相对重要性导致了,802,委员会内部的分裂。支持,CSMA/CD,和令牌总线的人选择了透明网桥，而令牌环的支持者则偏爱一种称为源路由选择,(sourcerouting),的网桥（受到,IBM,的鼓励）。,互联网技术与服务,交换机,(,英文,:Switch,，意为“开关”,),是一种用于电信号转发的网络设备。它可以为接入交换机的任意两个网络

26、节点提供独享的电信号通路。最常见的交换机是以太网交换机。其他常见的还有电话语音交换机、光纤交换机等。,交换机的传输模式,全双工，半双工，全双工,/,半双工自适应,互联网技术与服务,几种交换技术,1.,端口交换,端口交换技术最早出现在插槽式的集线器中，这类集线器的背板通常划分有多条以太网段（每条网段为一个广播域），不用网桥或路由连接，网络之间是互不相通的。根据支持的程度，端口交换还可细分为：,模块交换：将整个模块进行网段迁移。,端口组交换：通常模块上的端口被划分为若干组，每组端口允许进行网段迁移。,端口级交换：支持每个端口在不同网段之间进行迁移。这种交换技术是基于,OSI,第一层上完成的，具有灵

27、活性和负载平衡能力等优点。如果配置得当，那么还可以在一定程度进行容错，但没有改变共享传输介质的特点，自而未能称之为真正的交换。,互联网技术与服务,2.,帧交换,帧交换是目前应用最广的局域网交换技术，它通过对传统传输媒介进行微分段，提供并行传送的机制，以减小冲突域，获得高的带宽。一般来讲每个公司的产品的实现技术均会有差异，但对网络帧的处理方式一般有以下几种：,直通交换：提供线速处理能力，交换机只读出网络帧的前,14,个字节，便将网络帧传送到相应的端口上。,存储转发：通过对网络帧的读取进行验错和控制。,3.,信元交换,ATM,技术采用固定长度,53,个字节的信元交换。由于长度固定，因而便于用硬件实

28、现。,ATM,采用专用的非差别连接，并行运行，可以通过一个交换机同时建立多个节点，但并不会影响每个节点之间的通信能力。,ATM,还容许在源节点和目标、节点建立多个虚拟链接，以保障足够的带宽和容错能力。,互联网技术与服务,路由器（,router,）：,连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号的设备。路由器英文名,Router,，路由器是互联网络的枢纽、“交通警察”。,网络层设备；,广播控制；,最优路径选择；,逻辑寻址；,流量管理；,互联网技术与服务,路由协议,内部网关协议（,IGP,）,RIP,，,RIPv2,；,IGRP,，,EI

29、GRP,；,OSPF,；,IS-IS,；,外部网关协议（,EGP,）,BGP,；,距离向量协议（,DV,）,RIP,，,RIPv2,；,IGRP,，,EIGRP,；,链路状态协议（,LS,）,OSPF,；,IS-IS,；,路径向量协议（,PV,）,BGP,；,有类路由协议（,Classful,）,RIP,；,IGRP,；,无类路由协议（,Classless,）,RIPv2,；,EIGRP,；,OSPF,；,IS-IS,；,BGP,；,互联网技术与服务,认证,Authentication,你是谁,?,Authorization,你被允许做什么,?,Accounting,你做了什么,?,认证发生在

30、主体与认证服务器或主体与认证服务器代理之间；,希望认证协议具有信任凭证易于管理；,抵御窃听和中间人攻击；,抗抵赖；,认证可以单向或双向；,互联网技术与服务,认证协议,PAP,口令以明文方式传输；,由客户端发起；,一次会话只进行一次认证；,CHAP,口令从不在线路上传输；,由,Challenger,发起；,一次连接发生多次认证；,互联网技术与服务,EAP,本身并不是认证方法，而是一个较为灵活的用以承载认证信息的传输协议；,出发点是降低系统间的复杂关系，提供更加安全的认证方法；,通常直接运行在数据链路层，如,PPP,或,IEEE 802,介质；,在终端和认证服务器之间代理认证；,802.1x,80

31、2.1x,在客户端和认证代理（如以太网交换机、无线,AP,）之间进行,EAP,认证信息的封装；,互联网技术与服务,Kerberos,认证协议,:,口令从不在网络中传输；,SSO,（,Single sign-on,）；,三个实体,:,访问应用服务器上运行服务的客户端；,认证服务器，即,KDC(Key Distribution Center,认证服务；,ticket-granting,服务；,应用服务器；,使用,DES,对所有消息（除初始化请求）进行加密；,主要网络安全协议和机制,网络安全,“,Security is only as strong as the weakest link!”,主要网

32、络安全协议和机制,主要网络安全协议和机制,网络层安全,IPsec,（略）；,PPTP,（略）；,L2TP,（略）；,路由协议安全；,NAT,；,主要网络安全协议和机制,路由协议安全,主要攻击行为,traffic redirection,traffic black hole,router/routing protocol DoS,unauthorized prefix origination,破坏最大的攻击是由攻击者操控路由器造成；加固至关重要！,使用,Prefix filtering,预防虚假路由信息；,至少，应使用路由消息的,MD5,验证机制,(available for RIPv2,OSP

33、F,BGP,EIGRP,ISIS),主要网络安全协议和机制,传输层安全,SSL,；,TLS,；,SSH,；,主要网络安全协议和机制,应用层安全,SET,PEM,S-HTTP Vs HTTPS,MIME,S/MIME,PGP,网络安全应用 （,防火墙、入侵检测技术、漏洞扫描）,防火墙,入侵检测系统,漏洞扫扫描系统,安全隔离与信息交换系统（网闸）,防火墙,1,、概念：,防火墙的英文名为“,FireWall”,，它是目前一种最重要的网络防护设备。,从专业角度讲，防火墙是位于两个,(,或多个,),网络间，实施网络之间访问控制的一组组件集合。,典型的防火墙具有以下三个方面的基本特性：,（,1,）内部网络

34、和外部网络之间的所有网络数据流都必须经过防火墙,防火墙,（,2,）只有符合安全策略的数据流才能通过防火墙,（,3,）防火墙自身应具有非常强的抗攻击免疫力,防火墙,2,、防火墙的作用,过滤进出网络的数据包；,管理进出网络的访问行为；,封堵某些禁止的访问行为；,记录通过防火墙的信息内容和活动；,对网络攻击进行检测和告警,能过滤大部分的危险端口,设置严格的外向内的状态过滤规则,抵挡大部分的拒绝服务攻击,加强了访问控制能力,防火墙,3,、防火墙常用术语,硬件参数,：防火墙硬件参数是指设备使用的处理器类型或芯片及主频，内存容量，闪存容量，网络接口，存储容量类型等数据。,并发连接数：,并发连接数是指防火墙

35、或代理服务器对其业务信息流的处理能力，是防火墙能够同时处理的点对点连接的最大数目，它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力，这个参数的大小直接影响到防火墙所能支持的最大信息点数。,（,1,）并发连接数的增大意味着对系统内存资源的消耗,以每个并发连接表项占用,300B,计算,1000,个并发连接将占用,300B10008bit/B2.3Mb,内存空间,10000,个并发连接将占用,23Mb,内存空间,100000,个并发连接将占用,230Mb,内存空间,1000000,个并发连接需要提供,2.24Gb,内存空间,防火墙,（,2,）并发连接数的增大应当充分考虑,CPU,的处理能

36、力,CPU,的主要任务是把网络上的流量从一个网段尽可能快速地转发到另外一个网段上，并且在转发过程中对此流量按照一定的访问控制策略进行许可检查、流量统计和访问审计等操作，这都要求防火墙对并发连接表中的相应表项进行不断的更新读写操作。,如果不顾,CPU,的实际处理能力而贸然增大系统的并发连接表，势必影响防火墙对连接请求的处理延迟，造成某些连接超时，让更多的连接报文被重发，进而导致更多的连接超时，最后形成雪崩效应，致使整个防火墙系统崩溃。,（,3,）物理链路的实际承载能力将严重影响防火墙发挥出其对海量并发连接的处理能力,虽然目前很多防火墙都提供了,10/100/1000Mbps,的网络接口，但是，由

37、于防火墙通常都部署在,Internet,出口处，在客户端,PC,与目的资源中间的路径上，总是存在着瓶颈链路,该瓶颈链路可能是,2Mbps,专线，也可能是,512Kbps,乃至,64Kbps,的低速链路。这些拥挤的低速链路根本无法承载太多的并发连接，所以即便是防火墙能够支持大规模的并发访问连接，也无法发挥出其原有的性能。,防火墙,吞吐量,：网络中的数据是由一个个数据包组成，防火墙对每个数据包的处理要耗费资源。,吞吐量是指在没有帧丢失的情况下，设备能够接受的最大速率。吞吐量测试结果以比特,/,秒或字节,/,秒表示。,吞吐量和报文转发率是关系防火墙应用的主要指标，一般采用,FDT(Full Dupl

38、ex Throughput),来衡量，指,64,字节数据包的全双工吞吐量，该指标既包括吞吐量指标也涵盖了报文转发率指标。,吞吐量的大小主要由防火墙内网卡，及程序算法的效率决定，尤其是程序算法，会使防火墙系统进行大量运算，通信量大打折扣。因此，大多数防火墙虽号称,100M,防火墙，由于其算法依靠软件实现，通信量远远没有达到,100M,实际只有,10M-20M,。纯硬件防火墙，由于采用硬件进行运算，因此吞吐量可以达到线性,90-95M,是真正的,100M,防火墙。,对于中小型企业来讲，选择吞吐量为百兆级的防火墙即可满足需要，而对于电信、金融、保险等大公司大企业部门就需要采用吞吐量千兆级的防火墙产品

39、。,防火墙,NAT,：,NAT,英文全称是“,Network Address Translation”,，中文意思是“网络地址转换”，它是一个,IETF(Internet Engineering Task Force,Internet,工程任务组,),标准，允许一个整体机构以一个公用,IP,（,Internet Protocol,）地址出现在,Internet,上。顾名思义，它是一种把内部私有网络地址（,IP,地址）翻译成合法网络,IP,地址的技术。如图,简单的说，,NAT,就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关处，将内部地址替换成公用地址，从而在外部

40、公网（,internet,）上正常使用，,NAT,可以使多台计算机共享,Internet,连接，这一功能很好地解决了公共,IP,地址紧缺的问题。,防火墙,NAT,技术类型,NAT,有三种类型：静态,NAT(,Static NAT,),、动态地址,NAT(,Pooled NAT,),、网络地址端口转换,NAPT,（,Port,Level NAT,）。,静态,NAT,设置起来最为简单和最容易实现的一种，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。,动态地址,NAT,只是转换,IP,地址，它为每一个内部的,IP,地址分配一个临时的外部,IP,地址，主要应用于拨号，对于频繁的远程联接

41、也可以采用动态,NAT,。当远程用户联接上之后，动态地址,NAT,就会分配给他一个,IP,地址，用户断开时，这个,IP,地址就会被释放而留待以后使用。,网络地址端口转换,NAPT,（,Network Address Port Translation,）是人们比较熟悉的一种转换方式。,NAPT,普遍应用于接入设备中，它可以将中小型的网络隐藏在一个合法的,IP,地址后面。,NAPT,与动态地址,NAT,不同，它将内部连接映射到外部网络中的一个单独的,IP,地址上，同时在该地址上加上一个由,NAT,设备选定的,TCP,端口号。,防火墙,DMZ,：,DMZ,是英文“,demilitarized zon

42、e”,的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业,Web,服务器、,FTP,服务器和论坛等。另一方面，通过这样一个,DMZ,区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。,VPN,：,VPN,的英文全称是“,Virtual Private Network”,，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络我们

43、可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在,Internet,上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。目前，绝大部分防火墙产品都支持,VPN,功能，但也有少部分不支持，建议在选购时注意此参数。,防火墙,4,、防火墙架构对比,最初的千兆防火墙是基于,X86,架构。,X86,架构采用通用,CPU,和,PCI,总线接口，具有很高的灵活性和可扩展性，过去一直是防火墙开发的主要平台。其产品功

44、能主要由软件实现，可以根据用户的实际需要而做相应调整，增加或减少功能模块，产品比较灵活，功能十分丰富。,ASIC,防火墙通过专门设计的,ASIC,芯片逻辑进行硬件加速处理。,ASIC,通过把指令或计算逻辑固化到芯片中，获得了很高的处理能力，因而明显提升了防火墙的性能。新一代的高可编程,ASIC,采用了更灵活的设计，能够通过软件改变应用逻辑，具有更广泛的适应能力。但是，它的灵活性和扩展性不够，开发费用高，开发周期太长，一般耗时接近,2,年。,NP,可以说是介于两者之间的技术，,NP,是专门为网络设备处理网络流量而设计的处理器，其体系结构和指令集对于防火墙常用的包过滤、转发等算法和操作都进行了专门

45、的优化，可以高效地完成,TCP/IP,栈的常用操作，并对网络流量进行快速的并发处理。,防火墙,5,、防火墙的局限性,对新出现的漏洞和攻击方式不能迅速提供有效的防御方法,管理困难,容易出现配置的安全误区,并且紧急情况下无法做到迅速响应,性能和稳定性制约了大范围的使用,不能关闭需提供对外服务的端口,防火墙,-,简单包过滤防火墙,防火墙,-,状态检测包过滤防火墙,防火墙,-,应用代理防火墙,防火墙,-,复合型防火墙,防火墙,-,构造,-,筛选路由器,筛选路由器的另一个术语就是包过滤路由器并且至少有一个接口是连向公网的，如,Internet,。它是对进出内部网络的所有信息进行分析，并按照一定的安全策略

46、,信息过滤规则对进出内部网络的信息进行限制，允许授权信息通过，拒绝非授权信息通过。信息过滤规则是以其所收到的数据包头信息为基础的。采用这种技术的防火墙优点在于速度快、实现方便，但安全性能差，且由于不同操作系统环境下,TCP,和,UDP,端口号所代表的应用服务协议类型有所不同，故兼容性差。,防火墙,-,构造,-,筛选路由器,防火墙,-,构造,-,双宿主主机,双宿主主机（,Dual-Homed Host,）结构是围绕着至少具有两个网络接口的双宿主主机而构成的。双宿主主机内外的网络均可与双宿主主机实施通信，但内外网络之间不可直接通信，内外部网络之间的,IP,数据流被双宿主主机完全切断。双宿主主机可以

47、通过代理或让用户直接注册到其上来提供很高程度的网络控制。,防火墙,-,构造,-,双宿主主机,防火墙,-,构造,-,屏蔽主机,屏蔽主机由包过滤器和堡垒主机组成。,1,、堡垒主机在网络内部，通过防火墙的过滤使得这个主机是唯一可从外部到达的主机。,2,、实现了应用层和网络层的安全，比单独的包过滤或应用网关代理更安全。,3,、过滤路由器是否配置正确是这种防火墙安全的关键。,防火墙,-,构造,-,屏蔽主机,防火墙,-,构造,-,屏蔽子网,屏蔽子网模式,屏蔽子网模式采用了两个包过滤路由器和一个堡垒主机，在内个网络之间建立了被隔离的子网，称作周边网。,将堡垒主机、,WEB,服务器、,E-MAIL,服务器放在

48、被屏蔽的子网内，外部、内部都可以访问。但禁止他们通过屏蔽子网通信。,如果堡垒主机被控制，内部网络仍然受内部包过滤路由器保护。,防火墙,-,构造,-,屏蔽子网,防火墙,防火墙,防火墙,最简单安全的防火墙架构,Internet,外网区,办公,PC,机,内网区,办公,PC,机,防火墙,貌似安全的防火墙架构,Internet,外网区,WWW Server,内网区,办公,PC,机,防火墙,最安全的防火墙架构,WWW Server,Internet,非军事化区,(DMZ,区,),Mail Server,内网区,一种高级访问控制设备，置于不同,网络安全域,之间的一系列部件的组合，它是不同网络安全域间通信流的

49、,唯一通道,，能根据企业有关的安全政策,控制,（允许、拒绝、监视、记录）进出网络的访问行为。,两个安全域之间通信流的唯一通道,安全域,1,Host A,Host B,安全域,2,Host C,Host D,UDP,Block,Host C,Host B,TCP,Pass,Host C,Host A,Destination,Protocol,Permit,Source,根据访问控制规则决定进出网络的行为,防火墙的作用,入侵检测系统,防火墙的局限,%c1%1c,%c1%1c,Dir c:,入侵检测系统,防火墙的局限,防火墙不能防止通向站点的后门。,防火墙一般不提供对内部的保护。,防火墙无法防范数据

50、驱动型的攻击。,防火墙不能防止用户由,Internet,上下载被病毒感染的计算机程序或者将该类程序附在电子邮件上传输。,确保网络的安全,就要对网络内部进行实时的检测,这就需要,IDS,无时不在的防护！,入侵检测系统,什么是入侵行为,入侵行为主要是指对系统资源的非授权使用，它可以造成系统数据的丢失和破坏、可以造成系统拒绝对合法用户服务等危害。,什么是入侵检测系统,IDS,（,Intrusion Detection System,）就是入侵检测系统，它通过抓取网络上的所有报文，分析处理后，报告异常和重要的数据模式和行为模式，使网络安全管理员清楚地了解网络上发生的事件，并能够采取行动阻止可能的破坏。