第7章 网络安全设计 7.1 网络安全体系与技术 7.2 防火墙与DMZ设计【重点】 7.3 网络安全设计技术【重点】 7.1 网络安全体系与技术 7.2 防火墙与DMZ设计【重点】 7.3 网络安全设计技术【重点】 7.4 网络物理隔离设计 主讲：易建勋

7.1 网络安全体系与技术 教学讨论： （1） （2） （3） 主讲：易建勋

7.1.1 网络安全故障案例分析 7.1 网络安全体系与技术 网络安全性是指在人为攻击或自然破坏作用下，网络在规定条件下生存的能力。 7.1 网络安全体系与技术 7.1.1 网络安全故障案例分析 网络安全性是指在人为攻击或自然破坏作用下，网络在规定条件下生存的能力。 网络安全设计往往是多种方法综合的结果。 主讲：易建勋

7.1 网络安全体系与技术 1. 519网络故障事件 【案例7-1】 2009年5月19日晚，一个游戏“私服”网站对它的竞争对手发动攻击，黑客对国内最大的免费域名服务器DNSpod进行了攻击，大流量攻击导致DNSpod服务中止，运行在DNSpod免费服务器上的10万个域名无法解析，由于DNSpod的DNS服务完全中断。造成北京、天津、上海、河北、山西、内蒙古、辽宁、吉林、江苏、黑龙江、浙江、安徽、湖北、广西、广东等地区的DNS陆续瘫痪。中国互联网遭遇了“多米诺骨牌”连锁反应，出现了全国范围的网络故障。 主讲：易建勋

DNS提供公共服务，IP地址必须向公众公开，而且相对固定。如果IP地址经常变更，会影响客户端的服务，因此DNS具有目标大、易受攻击的特点。 7.1 网络安全体系与技术 2. 519网络故障原因分析 网络故障的三个关键环节： DNSPod服务器 暴风影音软件 电信运营商DNS服务器。 DNS提供公共服务，IP地址必须向公众公开，而且相对固定。如果IP地址经常变更，会影响客户端的服务，因此DNS具有目标大、易受攻击的特点。 519网络故障事件曝露出我国互联网诸多环节中，存在大量潜在的安全风险。 主讲：易建勋

距离计算机数百米的地方，都可以收到并还原计算机屏幕上的图像。 网络设备电磁辐射引起的安全问题不容忽视。 7.1 网络安全体系与技术 3. 范·艾克实验 【案例7-2】 1985年，在国际计算机安全会议上，范·艾克（Fan Ettc）用几百美元的器件，对普通电视机进行改造，安装在汽车里，这样从街道上接收到了放置在8层楼上的计算机电磁波信息，并显示出计算机屏幕上的图像。他的演示给与会的各国代表以巨大的震动。 距离计算机数百米的地方，都可以收到并还原计算机屏幕上的图像。 网络设备电磁辐射引起的安全问题不容忽视。 主讲：易建勋

7.1.2 IATF网络安全体系结构 7.1 网络安全体系与技术 1．IATE （信息保障技术框架）标准 IATF标准理论：深度保护战略。 7.1 网络安全体系与技术 7.1.2 IATF网络安全体系结构 1．IATE （信息保障技术框架）标准 IATF标准理论：深度保护战略。 IATF标准三个核心原则：人、技术和操作。 四个信息安全保障领域： 保护网络和基础设施； 保护边界； 保护计算环境； 保护支撑基础设施。 主讲：易建勋

7.1 网络安全体系与技术 [案例] IATF深度保护战略结构 主讲：易建勋

7.1 网络安全体系与技术 2．IATF网络模型 飞地指位于非安全区中的一小块安全区域。 IATF模型将网络系统分成4种类型 局域网; 7.1 网络安全体系与技术 2．IATF网络模型 飞地指位于非安全区中的一小块安全区域。 IATF模型将网络系统分成4种类型 局域网; 飞地边界; 网络设备; 支持性基础设施。 主讲：易建勋

[P165] IATF模型 7.1 网络安全体系与技术 [P165图7-1] IATF模型 主讲：易建勋

7.1 网络安全体系与技术 在IATF模型中，局域网包括: 涉密网络（红网，如财务网）; 专用网络（黄网，如内部办公网络）; 7.1 网络安全体系与技术 在IATF模型中，局域网包括: 涉密网络（红网，如财务网）; 专用网络（黄网，如内部办公网络）; 公共网络（白网，如公开信息网站） 网络设备。 这些部分由企业建设和管理。 网络支持性基础设施包括： 专用网络（如VPN）； 公共网络（如Internet）； 通信网等基础电信设施（如城域传输网）； 这些部分由电信服务商提供。 主讲：易建勋

在网络中进行不同等级的区域划分与网络边界保护。 7.1 网络安全体系与技术 IATF最重要的设计思想： 在网络中进行不同等级的区域划分与网络边界保护。 主讲：易建勋

7.1 网络安全体系与技术 [案例] 安全等级防护设计 主讲：易建勋

7.1 网络安全体系与技术 3．对手、动机和攻击类型 5类攻击方法： 被动攻击; 主动攻击; 物理临近攻击; 内部人员攻击; 分发攻击。 7.1 网络安全体系与技术 3．对手、动机和攻击类型 5类攻击方法： 被动攻击; 主动攻击; 物理临近攻击; 内部人员攻击; 分发攻击。 主讲：易建勋

7.1 网络安全体系与技术 [案例] 黑客攻击过程 主讲：易建勋

[P165] IATF模型 7.1 网络安全体系与技术 [案例] 黑客攻击路径发现 主讲：易建勋

7.1 网络安全体系与技术 4．安全威胁的表现形式 安全威胁的表现形式： 7.1 网络安全体系与技术 4．安全威胁的表现形式 安全威胁的表现形式： 信息泄漏、媒体废弃（如报废的硬盘）、人员不慎、非授权访问、旁路控制（如线路搭接）、假冒、窃听、电磁信号截获、完整性侵犯（如篡改Email内容）、数据截获与修改、物理侵入、重放（如后台屏幕录像或键盘扫描）、业务否认、业务拒绝、资源耗尽、业务欺骗、业务流分析、特洛伊木马程序等。 主讲：易建勋

7.1 网络安全体系与技术 5．深度保护战略模型 深度保护战略（DDS）认为： 信息保障依赖于人、技术和操作共同实现。 操作也称为运行 7.1 网络安全体系与技术 5．深度保护战略模型 深度保护战略（DDS）认为： 信息保障依赖于人、技术和操作共同实现。 操作也称为运行 操作是各种安全技术结合在一起的过程。 操作包括：风险评估、安全监控、安全审计、跟踪告警、入侵检测、响应恢复等。 主讲：易建勋

7.1.3 TCP/IP各层安全技术 7.1 网络安全体系与技术 1．常用网络安全技术 7.1 网络安全体系与技术 7.1.3 TCP/IP各层安全技术 1．常用网络安全技术 定义：网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改和泄漏，系统能连续、可靠地正常运行，网络服务不中断。 主讲：易建勋

7.1 网络安全体系与技术 表7-2 TCP/IP各个层次常用安全保护技术 网络层次 硬件安全保护技术 软件安全保护技术 应用层 7.1 网络安全体系与技术 表7-2 TCP/IP各个层次常用安全保护技术 网络层次 硬件安全保护技术 软件安全保护技术 应用层 较少，如数据加密机 文件加密、数字签名、安全认证、安全补丁、AAA、病毒防护、防火墙 传输层 SSL加密机、防火墙 软件SSL、TLS、防火墙 网络层 防火墙、IDS、IPS、VPN网关、ACL、NAT 软件防火墙、软件VPN网关、安全认证 接口层 链路加密网卡、链路加密机 MAC地址绑定、VLAN划分 物理隔离、线路屏蔽、设备屏蔽、设备冗余 极少 主讲：易建勋

搭线窃听，电磁辐射信号还原、物理临近等。 3．网络层的安全 7.1 网络安全体系与技术 2．接口层的安全 物理层面临的安全威胁有： 搭线窃听，电磁辐射信号还原、物理临近等。 3．网络层的安全 网络层的安全威胁有： 数据包窃听、ARP欺骗、流量攻击、拒绝服务攻击等。 网络层的安全技术有： IP路由安全机制、IPSec（IP安全协议）和防火墙技术。 主讲：易建勋

传输层主要的安全协议有SSL（安全套接层协议），它在两实体之间建立了一个安全通道，当数据在通道中传输时是经过认证和保密的。 7.1 网络安全体系与技术 4．传输层的安全 传输层主要的安全协议有SSL（安全套接层协议），它在两实体之间建立了一个安全通道，当数据在通道中传输时是经过认证和保密的。 SSL提供三个方面的服务：用户和服务器认证，对数据进行加密服务和维护数据的完整性。 SSL对于应用层协议和程序是透明的，它可以为HTTP、SMTP和FTP等应用层协议提供安全性。 主讲：易建勋

操作系统漏洞，应用程序BUG，非法访问，病毒木马程序攻击等。 应用层采用的安全技术： 加密、用户级认证、数字签名等。 7.1 网络安全体系与技术 5．应用层的安全 应用层的安全问题： 操作系统漏洞，应用程序BUG，非法访问，病毒木马程序攻击等。 应用层采用的安全技术： 加密、用户级认证、数字签名等。 应用层安全协议为特定应用提供安全服务。 如S/MIME（安全/通用因特网邮件扩展服务）是一个用于保护电子邮件的规范，标准内容包括数据加密、数据签名等。 主讲：易建勋

[P165] IATF模型 7.1 网络安全体系与技术 [案例] 网络计算机病毒解决方案 主讲：易建勋

7.1.4 网络信息加密技术 7.1 网络安全体系与技术 加密系统包括4个组件： 1. 加密系统的组成 软件组件 加密算法 协议 加密密钥 7.1 网络安全体系与技术 7.1.4 网络信息加密技术 1. 加密系统的组成 加密系统包括4个组件： 软件组件 负责各功能子系统的协调和用户交互 加密算法 根据一定规则对输入信息进行加密处理 协议 加密系统和运行环境需要 加密密钥 用户加密/解密信息所需的钥匙 主讲：易建勋

加解密的高速度和使用长密钥时难以破解性。 常见的对称加密算法： DES、3DES、IDEA等。 7.1 网络安全体系与技术 2.常用加密算法 （1）对称加密 加密和解密都使用相同密钥的加密算法。 优点： 加解密的高速度和使用长密钥时难以破解性。 常见的对称加密算法： DES、3DES、IDEA等。 DES的典型应用是IPSec（VPN安全标准） 主讲：易建勋

加解密速度远远慢于对称加密，在某些极端情况下，比对称加密慢1000倍。 7.1 网络安全体系与技术 （2）非对称加密 加密和解密使用不同密钥的加密算法。 常见的非对称加密算法： RSA，SSL（传输层安全标准），ECC（移动设备安全标准），S-MIME（电子邮件安全标准），SET（电子交易安全标准），DSA（数字签名安全标准）等。 缺点： 加解密速度远远慢于对称加密，在某些极端情况下，比对称加密慢1000倍。 主讲：易建勋

7.1 网络安全体系与技术 （3）Hash（哈希）加密 Hash算法是一种单向加密算法。 常见Hash算法： MD5（消息摘要）等。 7.1 网络安全体系与技术 （3）Hash（哈希）加密 Hash算法是一种单向加密算法。 常见Hash算法： MD5（消息摘要）等。 MD5常用于密码校验、数字签名等应用中。 主讲：易建勋

数据量较少时，常采用RSA等对称加密算法； 校验常采用MD5算法； 商业加密软件PGP； 开源加密软件GPG等。 7.1 网络安全体系与技术 3. 加密系统在网络中的应用 基本应用：存储、传输、认证 数据量较少时，常采用RSA等对称加密算法； 校验常采用MD5算法； 商业加密软件PGP； 开源加密软件GPG等。 主讲：易建勋

7.1 网络安全体系与技术 【案例7-4】 经常采用MD5算法进行用户密码校验。 7.1 网络安全体系与技术 【案例7-4】 经常采用MD5算法进行用户密码校验。 用户密码经过MD5运算后存储在文件系统中。当用户登录时，系统将用户输入的密码进行MD5运算，然后再与系统中保存密码的MD5值进行比较，从而确定输入的密码是否正确。 通过这样的步骤，系统在并不知道用户密码的情况下，就可以确定用户登录系统的合法性。这可以避免用户密码被具有系统管理员权限的人员知道。 主讲：易建勋

7.2 防火墙与DMZ设计 教学讨论： （1） （2） （3） 主讲：易建勋

7.2.1 防火墙的类型与功能 7.2 防火墙与DMZ设计 防火墙是由软件或硬件构成的网络安全系统，用来在两个网络之间实施访问控制策略。 7.2.1 防火墙的类型与功能 防火墙是由软件或硬件构成的网络安全系统，用来在两个网络之间实施访问控制策略。 1．防火墙在网络中的位置 所有从内网到外网或从外网到内网的通信都必须经过防火墙，否则，防火墙将无法起到保护作用。 防火墙本身应当是一个安全、可靠、防攻击的可信任系统，它应有足够的可靠性和抵御外界的攻击。 主讲：易建勋

硬件防火墙可以是一台独立的硬件设备（如Cisco PIX）；也可以在一台路由器上，经过配置成为一台具有安全功能的防火墙。 7.2 防火墙与DMZ设计 2. 防火墙的类型 硬件防火墙可以是一台独立的硬件设备（如Cisco PIX）；也可以在一台路由器上，经过配置成为一台具有安全功能的防火墙。 软件防火墙是运行在服务器主机上的一个软件（如ISA Server）。 硬件防火墙在功能和性能上都优于软件防火墙，但是成本较高。 主讲：易建勋

所有内部网络和外部网络之间的数据交换，都可以而且必须经过防火墙。 只有符合防火墙安全策略的数据，才可以自由出入防火墙。 7.2 防火墙与DMZ设计 3．防火墙的功能 所有内部网络和外部网络之间的数据交换，都可以而且必须经过防火墙。 只有符合防火墙安全策略的数据，才可以自由出入防火墙。 防火墙受到攻击后，应能稳定有效地工作。 应当记录和统计网络的使用情况。 有效地过滤、筛选和屏蔽有害服务和数据包。 能隔离网络中的某些网段，防止一个网段的故障传播到整个网络。 主讲：易建勋

不能防止受病毒感染的软件或木马文件的传输。 防火墙不检测数据包的内容，因此不能防止数据驱动式的攻击。 7.2 防火墙与DMZ设计 4．防火墙的不足 不能防范不经过防火墙的攻击。 不能防范恶意的知情者。 不能防范内部用户误操作造成的威胁。 不能防止受病毒感染的软件或木马文件的传输。 防火墙不检测数据包的内容，因此不能防止数据驱动式的攻击。 不安全的防火墙、配置不合理的防火墙、防火墙在网络中的位置不当等，会使防火墙形同虚设。 主讲：易建勋

7.2.2 DMZ的功能与安全策略 7.2 防火墙与DMZ设计 1．DMZ（隔离区/非军事区）的基本结构和功能 【案例7-5】 如图7-3所示，DMZ位于企业内部网络和外部网络之间的一个区域内，在DMZ内可以放置一些对外的服务器设备，如企业Web服务器、FTP服务器和论坛等。 DMZ的目的是将敏感的内部网络和提供外部访问服务的网络分离开，为网络提供深度防御。 主讲：易建勋

7.2 防火墙与DMZ设计 [P171图7-3] DMZ网络安全结构 主讲：易建勋

外网接口，相当于主机接口，用于连接边界路由器等外部网关设备； DMZ接口，用于连接DMZ区网络设备。 2．防火墙的接口 硬件防火墙最少有三个接口： 内网接口，用于连接内部网络设备； 外网接口，相当于主机接口，用于连接边界路由器等外部网关设备； DMZ接口，用于连接DMZ区网络设备。 硬件防火墙中的网卡一般设置为混杂模式，这样可以监测到通过防火墙的数据包。 主讲：易建勋

设计最小权限，例如定义允许访问的网络资源和网络的安全级别； 确定可信用户和可信任区域； 明确各个网络之间的访问关系。 7.2 防火墙与DMZ设计 3．DMZ访问安全策略 DMZ的设计基本原则： 设计最小权限，例如定义允许访问的网络资源和网络的安全级别； 确定可信用户和可信任区域； 明确各个网络之间的访问关系。 主讲：易建勋

7.2 防火墙与DMZ设计 访问安全策略 （1）内网可以访问外网。 （2）内网可以访问DMZ。 （3）外网不能访问内网。 主讲：易建勋

7.2.3 DMZ的网络结构设计 7.2 防火墙与DMZ设计 1．单防火墙DMZ网络结构 单防火墙DMZ结构将网络划分为三个区域，内网（LAN）、外网（Internet）和DMZ。 DMZ是外网与内网之间附加的一个安全层，这个安全区域也称为屏蔽子网、过滤子网等。这种网络结构构建成本低，多用于小型企业网络设计。 主讲：易建勋

7.2 防火墙与DMZ设计 [案例] 单防火墙DMZ网络结构 主讲：易建勋

防火墙通常与边界路由器协同工作，边界路由器是网络安全的第一道屏障。 7.2 防火墙与DMZ设计 2．双防火墙DMZ网络结构 防火墙通常与边界路由器协同工作，边界路由器是网络安全的第一道屏障。 通常的方法是在路由器中设置数据包过滤和NAT功能，让防火墙完成特定的端口阻塞和数据包检查，这样在整体上提高了网络性能。 主讲：易建勋

7.2 防火墙与DMZ设计 [案例] 双防火墙DMZ网络结构 主讲：易建勋

7.2.4 PIX防火墙配置命令 7.2 防火墙与DMZ设计 1. 接口配置命令interface 新防火墙的各个端口都是关闭的，如果不进行任何配置，则防火墙无法工作。 防火墙接口速度可以手工配置和自动配置。 主讲：易建勋

interface ethernet0 auto //对e0接口设置为自动设置连接速度// 7.2 防火墙与DMZ设计 （1）配置接口速度 命令格式： interface ethernet0 auto //对e0接口设置为自动设置连接速度// interface ethernet2 100 ful //为接口2手工指定连接速度为100M // 主讲：易建勋

打开的接口越多，会影响防火墙的运行效率。 可用不带参数的shutdown命令关闭防火墙接口。 7.2 防火墙与DMZ设计 （2）关闭与开启接口 防火墙打开的接口不用时要及时关闭。 打开的接口越多，会影响防火墙的运行效率。 可用不带参数的shutdown命令关闭防火墙接口。 注意：打开接口不采用no shutdown命令。 主讲：易建勋

厂商会为防火墙接口配置默认名，如ethernet0等。 7.2 防火墙与DMZ设计 2. 别名配置命令nameif 厂商会为防火墙接口配置默认名，如ethernet0等。 网络工程师可以用更加直观的名字来描述接口的用途。如用outside命令说明这个接口用来连接外部网络；用inside命令说明这个接口用来连接内部网络。 命令格式： nameif <接口名> <接口别名> <安全级别> 主讲：易建勋

防火墙的IP地址可以通过DHCP自动获得；也可以通过手工设置IP地址。 命令格式： 7.2 防火墙与DMZ设计 3. 地址配置命令IP address 防火墙的IP地址可以通过DHCP自动获得；也可以通过手工设置IP地址。 命令格式： ip adress <接口别名> <IP地址> [<网络掩码>] 防火墙的接口IP地址，在整个内部网络中必须保持唯一，否则会造成IP地址冲突。 没有配置网络掩码时，防火墙会根据内部网络的结构，自动设置一个网络掩码。 主讲：易建勋

4. 地址转换配置命令NAT、Global、Static NAT命令可以将内部的一组IP地址转换成为外部的公网地址； 7.2 防火墙与DMZ设计 4. 地址转换配置命令NAT、Global、Static NAT命令可以将内部的一组IP地址转换成为外部的公网地址； global命令用于定义用网络地址转换命令NAT转换成的地址或者地址的范围。 企业只有一个公有IP地址时，可以利用static命令实现端口的重定向配置。 主讲：易建勋

防火墙在默认情况下，会拒绝所有来自外部接口的ICMP数据包流量，这主要是出于安全方面的考虑。 7.2 防火墙与DMZ设计 5. 测试命令ICMP Ping与Debug是常用的测试命令。 防火墙在默认情况下，会拒绝所有来自外部接口的ICMP数据包流量，这主要是出于安全方面的考虑。 如果需要防火墙接收来自外部的ICMP流量，就需要利用permit命令来允许防火墙通过ICMP流量。 命令格式： icmp permit any any outside 测试完后，最好让防火墙拒绝接收外部接口的ICMP流量，这可以防止DOS等攻击。 主讲：易建勋

对防火墙所做的更改，不会直接写入防火墙闪存中。防火墙先把它存放在RAM 中，防火墙重启后，更改的配置就会丢失。 7.2 防火墙与DMZ设计 6. 配置保存命令write memory 对防火墙所做的更改，不会直接写入防火墙闪存中。防火墙先把它存放在RAM 中，防火墙重启后，更改的配置就会丢失。 当配置测试无误后可以用write memory命令将更改的配置写入到闪存中。 主讲：易建勋

7.3 网络安全设计技术 教学讨论： （1） （2） （3） 主讲：易建勋

7.3.1 IDS网络安全设计 7.3 网络安全设计技术 1． IDS（入侵检测系统） IDS分为实时入侵检测和事后入侵检测。 7.3 网络安全设计技术 7.3.1 IDS网络安全设计 1． IDS（入侵检测系统） IDS分为实时入侵检测和事后入侵检测。 实时入侵检测在网络连接过程中进行，IDS发现入侵迹象立即断开入侵者与主机的连接，实施数据恢复。 事后入侵检测由网络管理人员定期或不定期进行。 入侵检测系统本质上是一种“嗅探设备” 。 主讲：易建勋

特征检测与计算机病毒检测方式类似，主要是对数据包进行特征模式匹配，但对于采用新技术和新方法的入侵与攻击行为则无能为力。 7.3 网络安全设计技术 2．IDS常用入侵检测方法 IDS常用检测方法有： 特征检测、统计检测与专家系统。 国内90%的IDS使用特征检测方法。 特征检测与计算机病毒检测方式类似，主要是对数据包进行特征模式匹配，但对于采用新技术和新方法的入侵与攻击行为则无能为力。 统计检测常用异常检测。 测量参数包括：事件的数量、间隔时间、资源消耗情况等。 主讲：易建勋

IDS可以串联或并联的部署在网络中各个关键位置。 [P178图7-7] IDS在网络中的位置 7.3 网络安全设计技术 3. IDS网络安全设计 IDS可以串联或并联的部署在网络中各个关键位置。 [P178图7-7] IDS在网络中的位置 主讲：易建勋

7.3 网络安全设计技术 [案例] IDS产品外观 主讲：易建勋

IDS非常适合于安装在网络边界处，如防火墙的两端以及到其他网络连接处。 7.3 网络安全设计技术 （1）IDS安装在网络边界区域。 IDS非常适合于安装在网络边界处，如防火墙的两端以及到其他网络连接处。 如果IDS2与路由器并联安装，可以实时监测进入到内部网络的数据包，但是这个位置的带宽很高，IDS性能必须跟上通信流的速度。 主讲：易建勋

对于流量速度不是很高的应用服务器，安装IDS是非常好的选择； 对于流量速度高，而且特别重要的服务器，可以考虑安装专用IDS进行监测。 7.3 网络安全设计技术 （2）IDS系统安装在服务器群区域。 对于流量速度不是很高的应用服务器，安装IDS是非常好的选择； 对于流量速度高，而且特别重要的服务器，可以考虑安装专用IDS进行监测。 DMZ往往是遭受攻击最多的区域，在此部署一台IDS非常必要。 主讲：易建勋

可以将IDS安装在主机区域，从而监测位于同一交换机上的其他主机是否存在攻击现象。 7.3 网络安全设计技术 （3）IDS系统安装在网络主机区域。 可以将IDS安装在主机区域，从而监测位于同一交换机上的其他主机是否存在攻击现象。 如IDS部署在内部各个网段，可以监测来自内部的网络攻击行为。 （4）网络核心层。 网络核心层带宽非常高，不适宜布置IDS。 主讲：易建勋

7.3 网络安全设计技术 4. IDS存在的问题 （1）误报/漏报率高。 （2）没有主动防御能力。 （3）缺乏准确定位和处理机制。 7.3 网络安全设计技术 4. IDS存在的问题 （1）误报/漏报率高。 （2）没有主动防御能力。 （3）缺乏准确定位和处理机制。 主讲：易建勋

7.3 网络安全设计技术 [案例] IDS在网络中的应用 主讲：易建勋

7.3 网络安全设计技术 [案例] IDS在网络中的应用 主讲：易建勋

7.3.2 IPS网络安全设计 7.3 网络安全设计技术 1．IPS （入侵防御系统）的功能 7.3 网络安全设计技术 7.3.2 IPS网络安全设计 1．IPS （入侵防御系统）的功能 IPS不但能检测入侵的发生，而且能实时终止入侵行为。 IPS一般部署在网络的进出口处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断。 主讲：易建勋

7.3 网络安全设计技术 [案例] IPS产品外观 主讲：易建勋

7.3 网络安全设计技术 [案例] IPS工作原理 主讲：易建勋

不同厂家IPS支持的协议数量、默认功能开启程度、检测精细度、承受攻击的时间等指标差异极大，获取性能指标的前提条件有很大不同。 7.3 网络安全设计技术 2．IPS的性能参数 IPS的吞吐率与延时重要的性能参数。 不同厂家IPS支持的协议数量、默认功能开启程度、检测精细度、承受攻击的时间等指标差异极大，获取性能指标的前提条件有很大不同。 高性能的IPS往往伴随着高成本。 主讲：易建勋

串接工作模式保证所有网络数据都必须经过IPS设备，IPS检测数据流中的恶意代码，核对策略，在未转发到服务器之前，将信息包或数据流阻截。 7.3 网络安全设计技术 3．IPS在网络中的部署 IDS设备在网络中采用旁路式连接； IPS在网络中采用串接式连接。 串接工作模式保证所有网络数据都必须经过IPS设备，IPS检测数据流中的恶意代码，核对策略，在未转发到服务器之前，将信息包或数据流阻截。 IPS是网关型设备，最好串接在网络出口处，IPS经常部署在网关出口的防火墙和路由器之间，监控和保护内部网络。 主讲：易建勋

7.3 网络安全设计技术 [P179图7-8] IPS在网络中的位置 主讲：易建勋

7.3 网络安全设计技术 [案例] IPS在网络中的应用 主讲：易建勋

7.3 网络安全设计技术 4. IPS存在的问题 （1）单点故障。 （2）性能瓶颈。 （3）误报和漏报。 （4）规则动态更新。 7.3 网络安全设计技术 4. IPS存在的问题 （1）单点故障。 （2）性能瓶颈。 （3）误报和漏报。 （4）规则动态更新。 （5）总体拥有成本（TOC）较高。 主讲：易建勋

7.3 网络安全设计技术 [案例] 统一威胁隔离系统（UTM） 主讲：易建勋

7.3.3 ACL网络安全技术 7.3 网络安全设计技术 1. ACL（访问控制列表）工作原理 ACL是网络设备处理数据包转发的一组规则。 7.3 网络安全设计技术 7.3.3 ACL网络安全技术 1. ACL（访问控制列表）工作原理 ACL是网络设备处理数据包转发的一组规则。 ACL采用包过滤技术，在路由器中读取第三层和第四层数据包包头中的信息，如源地址、目的地址、源端口、目的端口等，然后根据网络工程师预先定义好的ACL规则，对数据包进行过滤，从而达到访问控制的目的。 主讲：易建勋

7.3 网络安全设计技术 [案例] ACL处理流程 主讲：易建勋

只满足ACL部分条件的数据包不允许通过。 （2）最靠近受控对象原则。 标准ACL尽可能放置在靠近目的地址的地方； 7.3 网络安全设计技术 2. ACL配置的基本原则 （1）最小权限原则。 只满足ACL部分条件的数据包不允许通过。 （2）最靠近受控对象原则。 标准ACL尽可能放置在靠近目的地址的地方； 扩展ACL尽量放置在靠近源地址的地方。 （3）立即终止原则。 （4）默认丢弃原则。 如果数据包与所有ACL行都不匹配，将被丢弃。 主讲：易建勋

路由器或三层交换机在没有配置ACL的情况下，默认允许所有数据包通过。 防火墙在在没有配置ACL的情况下，默认不允许所有数据包通过。 7.3 网络安全设计技术 （5）单一性原则。 一个接口在一个方向上只能有一个ACL。 （6）默认设置原则。 路由器或三层交换机在没有配置ACL的情况下，默认允许所有数据包通过。 防火墙在在没有配置ACL的情况下，默认不允许所有数据包通过。 主讲：易建勋

Router (config-if)# {protocol} access-group <ACL表号> {in| out } 7.3 网络安全设计技术 3. 标准ACL配置 （1）创建ACL 命令格式： Router (config)# access-list <ACL表号> {permit | deny } {<源IP地址| host > <通配符掩码>| any } （2）将ACL应用到某一接口 Router (config-if)# {protocol} access-group <ACL表号> {in| out } 主讲：易建勋

标准ACL只能控制源IP地址，不能控制到端口。 要控制第四层的端口，需要使用扩展ACL配置。 7.3 网络安全设计技术 4. 扩展ACL配置 标准ACL只能控制源IP地址，不能控制到端口。 要控制第四层的端口，需要使用扩展ACL配置。 如果路由器没有硬件ACL加速功能，它会消耗路由器大量的CPU资源，因此扩展ACL要尽量放置在靠近源地址的地方。 命令格式： Router(config)# access-list <ACL表号> {permit | deny} {<协议名称> | <端口号> }{<源IP地址> <通配符掩码>} {<目的IP地址> <通配符掩码>} [<关系> <协议名称>] [log] 主讲：易建勋

问题：重要部门（如财务部）的主机不允许其他部门访问，而这个部门却可以访问其他的部门（如市场部）的主机。 7.3 网络安全设计技术 5. ACL单向访问控制 问题：重要部门（如财务部）的主机不允许其他部门访问，而这个部门却可以访问其他的部门（如市场部）的主机。 ACL可以实现单向访问功能。 命令格式： Router(config)# access-list <ACL表号> {permit | deny} <协议名称> <源IP地址> <源通配符掩码> [operator port] <目标IP地址> <目标通配符掩码> [operator port] [established] [log] 主讲：易建勋

7.3.4 VPN网络安全设计 7.3 网络安全设计技术 2．VPN的概念 定义：使用IP机制仿真出一个私有的广域网。 7.3 网络安全设计技术 7.3.4 VPN网络安全设计 2．VPN的概念 定义：使用IP机制仿真出一个私有的广域网。 VPN通过私有隧道技术，在公共数据网络上仿真一条点到点的专线。 虚拟是指用户不需要拥有实际的长途数据线路，而是利用Internet的数据传输线路； 专用网络是指用户可以制定一个最符合自己需求的网络。 VPN是在Internet上临时建立的安全专用虚拟网络。 主讲：易建勋

被封装的数据包在隧道的两个端点之间通过Internet进行路由。 被封装的数据包在公共互联网上传递时所经过的逻辑路径称为隧道。 7.3 网络安全设计技术 3．VPN隧道技术工作原理 隧道是一种数据加密传输技术。 数据包通过隧道进行安全传输。 被封装的数据包在隧道的两个端点之间通过Internet进行路由。 被封装的数据包在公共互联网上传递时所经过的逻辑路径称为隧道。 数据包一旦到达隧道终点，将被解包并转发到最终目的主机。 主讲：易建勋

7.3 网络安全设计技术 [案例] VPN隧道 主讲：易建勋

7.3 网络安全设计技术 [P183图7-10] 隧道技术工作原理 主讲：易建勋

在数据传输过程中，用户和VPN服务器之间可以协商数据加密传输。加密之后，即使是ISP也无法了解数据包的内容。 7.3 网络安全设计技术 在数据传输过程中，用户和VPN服务器之间可以协商数据加密传输。加密之后，即使是ISP也无法了解数据包的内容。 即使用户不对数据加密，NAS和VPN服务器建立的隧道两侧也可以协商加密传输，这使得Internet上的其他用户无法识别隧道中传输的数据信息。因此VPN服务的安全性是有保证的。 主讲：易建勋

PPTP是PPP的扩展，它增加了安全等级，并且可以通过Internet进行多协议通信。 L2TP（第二层隧道协议） 7.3 网络安全设计技术 4．VPN工作协议 VPN有两种隧道协议： PPTP（点到点隧道协议） PPTP是PPP的扩展，它增加了安全等级，并且可以通过Internet进行多协议通信。 L2TP（第二层隧道协议） L2TP与PPTP功能大致相同。不同的是L2TP使用IPSec机制进行身份验证和数据加密。 L2TP只支持IP网络建立的隧道，不支持X.25、FR或ATM网络的本地隧道。 主讲：易建勋

7.3 网络安全设计技术 [案例] IPv6中IPSec协议的实现 主讲：易建勋

构建VPN只需在资源共享处放置一台VPN服务器即可。 （1）自建VPN网络 7.3 网络安全设计技术 5. VPN网络设计 构建VPN只需在资源共享处放置一台VPN服务器即可。 （1）自建VPN网络 企业可以自建VPN网络，在企业总部和分支机构中安装专用VPN设备，或在路由器、防火墙等设备中配置VPN协议，就可以将各个外地机构与企业总部安全地连接在一起了。 自建VPN的优势在于可控制性强，可以满足企业的某些特殊业务要求。 主讲：易建勋

7.3 网络安全设计技术 [P185图7-11] 企业自建VPN结构 主讲：易建勋

7.3 网络安全设计技术 [案例] VPN端到端安全保证 主讲：易建勋

电信企业、ISP目前都提供VPN外包服务。 VPN外包可以简化企业网络部署，但降低了企业对网络的控制权。 7.3 网络安全设计技术 （2）外包VPN网络 电信企业、ISP目前都提供VPN外包服务。 VPN外包可以简化企业网络部署，但降低了企业对网络的控制权。 [P185图7-12] 企业扩展虚拟网结构 主讲：易建勋

7.3 网络安全设计技术 [案例] ISP的VPN网络 主讲：易建勋

7.3 网络安全设计技术 [案例] VPN在企业网络中的应用 主讲：易建勋

7.3 网络安全设计技术 [案例] VPN在企业网络中的应用 主讲：易建勋

7.4 网络物理隔离设计 教学讨论： （1） （2） （3） 主讲：易建勋

7.4 网络物理隔离设计 7.4.1 网络隔离的技术特点 我国《计算机信息系统国际联网保密管理规定》规定：涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连接，必须实行物理隔离。 主讲：易建勋

网络物理隔离卡确保了计算机在同一时间只能访问一个网络，两个网络在同一时间内不会有任何连接。 7.4 网络物理隔离设计 1．网络隔离技术的发展 隔离技术 物理隔离（物理隔离卡或物理隔离交换机） 协议隔离（安全网闸） 网络物理隔离卡确保了计算机在同一时间只能访问一个网络，两个网络在同一时间内不会有任何连接。 网络物理隔离卡解决了网络的攻击问题，缺点是信息交流仍然不便。 主讲：易建勋

7.4 网络物理隔离设计 [案例] 网络安全技术的发展 主讲：易建勋

7.4 网络物理隔离设计 2．网络隔离的安全要求 网络隔离必须达到以下要求： 在物理传输上使内网与外网彻底隔断。 7.4 网络物理隔离设计 2．网络隔离的安全要求 网络隔离必须达到以下要求： 在物理传输上使内网与外网彻底隔断。 在物理辐射上隔断内网与外网。 在物理存储上隔断两个网络环境。 对于断电后会清除信息的部件，如内存、CPU寄存器等，要在内外网络转换时做清除处理，防止残留信息流出网络。 对于断电后数据非遗失性设备，如硬盘等，内网与外网的信息要分开存储（不能使用同一个硬盘）。 主讲：易建勋

对网间访问进行严格控制和检查，确保每次数据交换都是可信和可控制的。 产品要求很高的处理性能，不能成为网络的瓶颈。 7.4 网络物理隔离设计 网络隔离产品比防火墙高一个安全级别。 网络隔离产品的安全措施： 对操作系统进行加固优化； 由两套操作系统(OS)组成; 一套OS控制外网接口，另一套OS控制内网接口，在两套操作系统之间通过不可路由的协议进行数据交换。 即使黑客进入了内网系统，仍然无法控制内网系统。 数据包不能路由到对方网络。 对网间访问进行严格控制和检查，确保每次数据交换都是可信和可控制的。 产品要求很高的处理性能，不能成为网络的瓶颈。 主讲：易建勋

7.4.2 网络物理隔离工作原理 7.4 网络物理隔离设计 1．单主板安全隔离计算机 工作原理： 7.4 网络物理隔离设计 7.4.2 网络物理隔离工作原理 1．单主板安全隔离计算机 工作原理： 采用双硬盘，将内网与外网的转换功能嵌入在主板BIOS中。 主板网卡也分为内网和外网。 价格介于双主机和网络物理隔离卡之间。 这种安全技术在低层的BIOS上开发，因此CPU、内存、显卡等设备的升级，不会给计算机带来不兼容的影响。 主讲：易建勋

计算机形成了两个网络物理隔离环境，它们分别对应于Internet和内部局域网，构成了网络接入和信息存储环境的各自独立。 7.4 网络物理隔离设计 计算机形成了两个网络物理隔离环境，它们分别对应于Internet和内部局域网，构成了网络接入和信息存储环境的各自独立。 计算机每次启动后，只能工作在一种网络环境下。 BIOS还可以对所有输入/输出设备进行控制。 例如，对U盘、光驱提供限制功能，在系统引导时不允许驱动器中有移动存储介质。 BIOS自身的安全采用硬件防写入跳线，防止病毒破坏、非法刷新或破坏BIOS的攻击行为。 主讲：易建勋

每台计算机有两块主板，每块主板一个网卡，分别连接内网和外网。每块主板有一个串行口，双端口RAM是连接两块主板的唯一通道。 7.4 网络物理隔离设计 2．双主板安全隔离计算机 每台计算机有两块主板，每块主板一个网卡，分别连接内网和外网。每块主板有一个串行口，双端口RAM是连接两块主板的唯一通道。 [P187图7-14] 双主板安全隔离计算机结构 主讲：易建勋

两块主板之间通过双端口RAM进行数据传输。 7.4 网络物理隔离设计 两块主板之间通过双端口RAM进行数据传输。 双端口RAM分为两个区，第一区是内网客户端向外网服务器单向传输数据的通道；第二区是外网客户端向内网服务器单向传输数据时的通道。 平时内网与外网之间是断开的，双端口RAM处于断开状态。 当有数据传输时，内网与外网才通过双端口RAM进行数据传输。 主讲：易建勋

7.4 网络物理隔离设计 3．物理隔离卡技术 物理隔离卡分为单网口卡和双网口卡。 [P187图7-15] 物理隔离卡结构 主讲：易建勋

7.4 网络物理隔离设计 [案例] 物理隔离卡 主讲：易建勋

采用物理隔离卡时，需要在主板BIOS中做一些定制和修改，将内网与外网的转换功能嵌入BIOS中。 工作原理： 7.4 网络物理隔离设计 采用物理隔离卡时，需要在主板BIOS中做一些定制和修改，将内网与外网的转换功能嵌入BIOS中。 工作原理： 物理隔离卡采用双硬盘，启动外网时关闭内网硬盘，启动内网时关闭外网硬盘，使两个网络和硬盘进行物理隔离。 这种技术的优点是价格低。 进行内网与外网转换时，需要重新启动计算机。 主讲：易建勋

7.4 网络物理隔离设计 物理隔离卡的功能是以物理方式将一台计算机机虚拟为两台计算机，实现计算机的双重状态，既可在内部安全状态，又可在公共外部状态，两种状态是完全隔离的。 物理隔离卡与操作系统无关，兼容所有操作系统，可以应用于所有SATA或IDE接口硬盘。物理隔离卡对网络技术和协议完全透明，支持单或双布线的隔离网络。 主讲：易建勋

7.4 网络物理隔离设计 [案例] 物理隔离卡在网络中的应用 主讲：易建勋

隔离交换机简化了用户PC到隔离交换机之间的布线，使用户端不需要布放双网线。 7.4 网络物理隔离设计 6．隔离交换机 隔离交换机简化了用户PC到隔离交换机之间的布线，使用户端不需要布放双网线。 隔离交换机根据数据包包头的标记信息来决定数据包是通过内网还是通过外网。 利用物理隔离卡、计算机和隔离交换机组成的网络，是彻底的物理隔离网络，两个网络之间没有信息交流，因此可以抵御所有的网络攻击。 主讲：易建勋

7.4 网络物理隔离设计 [P188图7-17] 隔离交换机 主讲：易建勋

7.4 网络物理隔离设计 [P188图7-17] 隔离交换机应用 主讲：易建勋

7.4 网络物理隔离设计 [P188图7-17] 隔离交换机应用 主讲：易建勋

7.4 网络物理隔离设计 7．物理隔离卡产品的技术性能 （1）兼容性 （2）网络环境 （3）操作系统 （4）硬盘规格 （5）安装简单 7.4 网络物理隔离设计 7．物理隔离卡产品的技术性能 （1）兼容性 （2）网络环境 （3）操作系统 （4）硬盘规格 （5）安装简单 （6）维护简单 主讲：易建勋

7.4 网络物理隔离设计 7.4.3 安全隔离网闸工作原理 GAP（安全隔离网闸）通过专用硬件和软件技术，使两个或者两个以上的网络在不连通的情况下，实现数据安全传输和资源共享。 主讲：易建勋

GAP由固态读写开关和存储介质系统组成，存储介质通常采用SCSI硬盘。 GAP在同一时刻只有一个网络与安全隔离网闸建立无协议的数据连接。 7.4 网络物理隔离设计 1．GAP技术的特点 GAP由固态读写开关和存储介质系统组成，存储介质通常采用SCSI硬盘。 GAP在同一时刻只有一个网络与安全隔离网闸建立无协议的数据连接。 GAP没有网络连接，并将通信协议全部剥离。数据文件以原始数据方式进行“摆渡”，因此，它能够抵御互联网绝大部分攻击。 主讲：易建勋

当内网与外网之间无数据交换时，GAP与内网和外网之间是完全断开的。 [P189图7-18] GAP无数据交换时的状态 7.4 网络物理隔离设计 2．GAP数据交换过程 当内网与外网之间无数据交换时，GAP与内网和外网之间是完全断开的。 [P189图7-18] GAP无数据交换时的状态 主讲：易建勋

7.4 网络物理隔离设计 [案例] 安全隔离网闸工作原理 主讲：易建勋

7.4 网络物理隔离设计 [案例] 安全隔离网闸工作原理 主讲：易建勋

一旦数据完全写入GAP存储介质中，GAP与内网服务器之间的控制开关立即断开。 7.4 网络物理隔离设计 当内网数据传输到外网时，GAP向内网服务器发起非TCP/IP的数据连接请求，并发出“写”命令，将GAP写入控制开关合上，并把所有协议剥离，将原始数据写入存储介质。 一旦数据完全写入GAP存储介质中，GAP与内网服务器之间的控制开关立即断开。 接下来GAP与外网服务器之间的控制开关接通，GAP发起对外网非TCP/IP的数据连接请求。 外网服务器收到请求后，发出“读”命令，将GAP存储介质内的数据传输到外网服务器。 主讲：易建勋

外网服务器收到数据后，按TCP/IP协议要求重新封装接收到的数据，交给应用系统。 7.4 网络物理隔离设计 外网服务器收到数据后，按TCP/IP协议要求重新封装接收到的数据，交给应用系统。 主讲：易建勋

GAP提取数据的整个过程由软件自动完成。 有关部门鉴定，GAP仍然属于逻辑隔离产品，不能直接用于内部网络与Internet之间的隔离。 7.4 网络物理隔离设计 3．GAP系统的逻辑隔离属性 GAP提取数据的整个过程由软件自动完成。 有关部门鉴定，GAP仍然属于逻辑隔离产品，不能直接用于内部网络与Internet之间的隔离。 GAP技术的安全性高于防火墙，数据交换性能远优于网络物理隔离卡，但是隔离效果低于网络物理隔离卡。 主讲：易建勋

美国Whalecommunications公司e-GAP系统 美国Spearhead公司的NetGAP等 国内GAP产品 7.4 网络物理隔离设计 4．GAP主要产品 国外GAP产品 美国Whalecommunications公司e-GAP系统 美国Spearhead公司的NetGAP等 国内GAP产品 天行网安公司的“安全隔离网闸” 联想公司的“联想网御安全隔离网闸” 中网公司的“中网隔离网闸” 伟思公司的“伟思网络安全隔离网闸”等。 主讲：易建勋

7.4.4 物理隔离网络设计案例 7.4 网络物理隔离设计 1．GAP安全隔离网络结构设计 [P190图7-19] 利用GAP构建网络 7.4 网络物理隔离设计 7.4.4 物理隔离网络设计案例 1．GAP安全隔离网络结构设计 [P190图7-19] 利用GAP构建网络 主讲：易建勋

7.4 网络物理隔离设计 [案例] GAP在电子政务网络中的应用 主讲：易建勋

7.4 网络物理隔离设计 [案例] GAP在电子政务网络中的应用 主讲：易建勋

[案例] 安全隔离网闸在大型政务网络中的应用 7.4 网络物理隔离设计 [案例] 安全隔离网闸在大型政务网络中的应用 主讲：易建勋

7.4 网络物理隔离设计 [案例] 安全隔离网闸在金融系统的应用 主讲：易建勋

7.4 网络物理隔离设计 [案例] 安全隔离网闸在金融系统的应用 主讲：易建勋

7.4 网络物理隔离设计 [案例] 安全隔离网闸在网络中的应用 主讲：易建勋

7.4 网络物理隔离设计 2．物理隔离网络结构设计 （1）双网线物理隔离网络结构 [P191图7-20] 双网线物理隔离网络结构 7.4 网络物理隔离设计 2．物理隔离网络结构设计 （1）双网线物理隔离网络结构 [P191图7-20] 双网线物理隔离网络结构 主讲：易建勋

7.4 网络物理隔离设计 [案例] 物理隔离网络结构 主讲：易建勋

7.4 网络物理隔离设计 [案例] 物理隔离网络结构 主讲：易建勋

7.4 网络物理隔离设计 [案例] 物理隔离网络结构 主讲：易建勋

7.4 网络物理隔离设计 [案例] 物理隔离网络结构 主讲：易建勋

7.4 网络物理隔离设计 [案例] 物理隔离网络结构 主讲：易建勋

7.4 网络物理隔离设计 [案例] 物理隔离网络结构 主讲：易建勋

【本章结束】 课程作业与讨论 讨论： 有人提出“网络安全永远没有止境”，你如何看待这个问题。 安全性与易用性往往是相互矛盾的，你有哪些折中的解决方案。 有人提出“计算机病毒不能破坏计算机硬件设备”，你如何看待这个问题。 【本章结束】 主讲：易建勋