第 5 章网络安全设计

主讲：易建勋

第第 55 章网络安全设计章网络安全设计

主讲：主讲：易建勋易建勋

主讲：易建勋第5章网络安全设计第 2页共 95页

5.1 5.1 网络安全体系结构网络安全体系结构• 网络安全是一个系统的、全局性的问题。网络安全是一个系统的、全局性的问题。• 一个好的安全措施是多种方法综合的结果。一个好的安全措施是多种方法综合的结果。5.1.1 5.1.1 TCP/IPTCP/IP 协议的安全模型协议的安全模型（（ 11 ）网络安全定义）网络安全定义• 网络安全是指网络系统的网络安全是指网络系统的硬件、软件硬件、软件及其系统中的及其系统中的

数据受到保护数据受到保护，不受偶然的或者恶意的原因而遭到，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统能连续、破坏、更改、泄露，系统能连续、可靠的正常运行可靠的正常运行，，网络服务不中断。网络服务不中断。


5.1 5.1 网络安全体系结构网络安全体系结构• 在在 TCP/IPTCP/IP

体系结构中，体系结构中，各层都能提各层都能提供一定的安供一定的安全手段。如全手段。如图图 5-15-1 所示。所示。


5.1 5.1 网络安全体系结构网络安全体系结构（（ 22 ）接口层的安全）接口层的安全• 接口层安全技术：接口层安全技术：加密传输、防电磁波泄漏等。加密传输、防电磁波泄漏等。（（ 33 ）网络层的安全）网络层的安全• 网络层安全威胁：网络层安全威胁：报文窃听、口令失密、流量攻击、拒绝服务攻击等。报文窃听、口令失密、流量攻击、拒绝服务攻击等。• 网络层安全技术：网络层安全技术：路由安全机制、路由安全机制、 IPSecIPSec 、防火墙技术等。、防火墙技术等。


5.1 5.1 网络安全体系结构网络安全体系结构• IPSecIPSec 是加密服务的安全协议，对应用程序和终端用是加密服务的安全协议，对应用程序和终端用

户是透明的。户是透明的。


5.1 5.1 网络安全体系结构网络安全体系结构（（ 44 ）传输层的安全）传输层的安全• 传输层安全协议：传输层安全协议： SSLSSL （安全套接字协议）。（安全套接字协议）。• SSLSSL 提供三个方面的服务：提供三个方面的服务：用户和服务器认证用户和服务器认证数据加密服务数据加密服务维护数据的完整性。维护数据的完整性。


5.1 5.1 网络安全体系结构网络安全体系结构（（ 55 ）应用层的安全）应用层的安全• 应用层安全问题有：应用层安全问题有：操作系统漏洞、应用程序操作系统漏洞、应用程序 BUGBUG 、非法访问、病毒木、非法访问、病毒木

马程序等。马程序等。• 应用层安全技术：应用层安全技术：加密、用户级认证、数字签名等。加密、用户级认证、数字签名等。


5.1 5.1 网络安全体系结构网络安全体系结构

网络层面网络层面可靠性研究可靠性研究测度指标测度指标

网络拓扑层研究拓扑结构的可靠性及网络组织的要求和改进措施

抗毁性、生存性

网络设备层研究通信设备终端到终端的可靠性及整个网络系统设备的可靠性

设备可靠性

网络路由层分析网络路由算法的效率、流量控制、路由管理

网络运行层研究网络环境和网络异常故障的规律对网络可靠性的影响

可用性

网络业务层分析网络业务能力及服务质量，对网络的性能可靠性进行综合评价

完成性、有效性

网络管理层研究网络维护和管理体系及提高维护管理水平的措施

网络的可靠性研究网络的可靠性研究

补充补充：网络可靠性指标：网络可靠性指标


5.1 5.1 网络安全体系结构网络安全体系结构5.1.2 IATF5.1.2 IATF 网络安全体系结构网络安全体系结构（（ 11 ）） IATEIATE 安全技术标准安全技术标准• 美国国家安全局（美国国家安全局（ NSANSA ）组织世界安全专家制定了）组织世界安全专家制定了

IATFIATF （信息保障技术框架）标准（信息保障技术框架）标准。。• IATFIATF 代表理论是“代表理论是“深度保护战略深度保护战略”。”。• IATFIATF 标准标准强调人、技术、操作三个核心原则强调人、技术、操作三个核心原则• IATFIATF 关注的四个信息安全保障领域：关注的四个信息安全保障领域：保护网络和基础设施、保护边界、保护计算环境、保护网络和基础设施、保护边界、保护计算环境、

保护支撑基础设施。保护支撑基础设施。


5.1 5.1 网络安全体系结构网络安全体系结构（（ 22 ）边界）边界• 有时边界定义为物理实体，如：人、信息、和信息有时边界定义为物理实体，如：人、信息、和信息

系统，它们在一个物理区域中。系统，它们在一个物理区域中。• 边界还被定义为包围在一个网络区域中，实施共同边界还被定义为包围在一个网络区域中，实施共同

安全策略的信息系统。安全策略的信息系统。（（ 33 ）信息基础设施）信息基础设施• 在在 IATFIATF 标准中，标准中，飞地指位于非安全区中的一小块安飞地指位于非安全区中的一小块安

全区域全区域。。• IATFIATF 把网络和系统分成局域计算、飞地边界、网络把网络和系统分成局域计算、飞地边界、网络

基础设施、支持性基础设施等基础设施、支持性基础设施等 44 种类型（如图种类型（如图 5-25-2 ）。）。




5.1 5.1 网络安全体系结构网络安全体系结构（（ 44 ）对手、动机和攻击类型）对手、动机和攻击类型• 可能的对手（攻击者）：可能的对手（攻击者）：国家、恐怖分子、罪犯、黑客或企业竞争者。国家、恐怖分子、罪犯、黑客或企业竞争者。• 攻击动机：攻击动机：收集情报、窃取知识产权、引发尴尬不安，或仅仅收集情报、窃取知识产权、引发尴尬不安，或仅仅

是为了炫耀自己。是为了炫耀自己。• 五类攻击方法：五类攻击方法：被动攻击、主动攻击、物理临近攻击、内部人员攻被动攻击、主动攻击、物理临近攻击、内部人员攻

击、分发攻击。击、分发攻击。


5.1 5.1 网络安全体系结构网络安全体系结构• 非恶意事件引发的破坏性后果：非恶意事件引发的破坏性后果：火灾、洪水、电力中断以及用户失误。火灾、洪水、电力中断以及用户失误。




5.1 5.1 网络安全体系结构网络安全体系结构（（ 55 ）安全威胁的表现形式）安全威胁的表现形式• 安全威胁的表现形式：安全威胁的表现形式：信息泄露、媒体废弃、人员不慎、授权侵犯、非授信息泄露、媒体废弃、人员不慎、授权侵犯、非授权访问、旁路控制、假冒、窃听、电磁权访问、旁路控制、假冒、窃听、电磁 //射频截获、射频截获、完整性侵犯、截获完整性侵犯、截获 //修改、物理侵入、重放、业务否修改、物理侵入、重放、业务否认、业务拒绝、资源耗尽、业务欺骗、业务流分析、认、业务拒绝、资源耗尽、业务欺骗、业务流分析、特洛伊木马程序、后门等。特洛伊木马程序、后门等。


5.1 5.1 网络安全体系结构网络安全体系结构• 网络攻击包括被动攻击和主动攻击两大部分。网络攻击包括被动攻击和主动攻击两大部分。• 被动攻击指对信息的保密性进行攻击被动攻击指对信息的保密性进行攻击。特点是偷听。特点是偷听

或监视信息的传输。或监视信息的传输。• 主动攻击是篡改信息来源的真实性、信息传输的完主动攻击是篡改信息来源的真实性、信息传输的完

整性和系统服务的可用性整性和系统服务的可用性。包括中断、伪造、篡改。包括中断、伪造、篡改等。等。

• 网络信息系统受到安全威胁的网络信息系统受到安全威胁的 IATFIATF 模型如图模型如图 5-35-3 所所示。示。


案例案例：网络攻击：网络攻击


5.1 5.1 网络安全体系结构网络安全体系结构（（ 66 ）深度保护战略模型）深度保护战略模型• 深度保护战略的四个基本领域：深度保护战略的四个基本领域：保护局域网计算环境；保护局域网计算环境；保护区域边界；保护区域边界；保护网络和基础设施；保护网络和基础设施；保护支撑基础设施保护支撑基础设施。。• IATFIATF 标准认为，只有将技术、管理、策略、工程等标准认为，只有将技术、管理、策略、工程等

方面紧密结合，安全保障体系才能真正成为指导安方面紧密结合，安全保障体系才能真正成为指导安全方案设计和建设的依据。全方案设计和建设的依据。


5.1 5.1 网络安全体系结构网络安全体系结构• IATFIATF 提出：提出：深度保护战略体系包含人、技术和操作深度保护战略体系包含人、技术和操作

三个要素三个要素。。• 深度保护战略的模型如图深度保护战略的模型如图 5-45-4 所示。所示。


5.1 5.1 网络安全体系结构网络安全体系结构5.1.3 5.1.3 网络安全防护技术网络安全防护技术（（ 11 ）安全防护策略）安全防护策略• 在设计内部网络时应满足以下两条原则：在设计内部网络时应满足以下两条原则：• 内网应当根据部门需要划分子网，并实现子网之间内网应当根据部门需要划分子网，并实现子网之间

的隔离；的隔离；• 采取安全措施后，子网之间应当可以相互访问。采取安全措施后，子网之间应当可以相互访问。• 内网接口的安全防护内网接口的安全防护• 对外网接口的安全防护对外网接口的安全防护• 对数据库的安全保护对数据库的安全保护• 服务器主机的安全防护服务器主机的安全防护• 客户端的安全防护客户端的安全防护

物理环境

用户层应用层表示层会话层传输层网络层链路层物理层

可靠

性

可用

性

审计

管理

防止

否认

数据

完整

数据

保密

访问

控制

身份

鉴别

信息处理单元

通信网络

安全管理

安全特性

结构层次

系统单元

补充补充：： ISO 7498-2ISO 7498-2 安全模型安全模型

案例案例：网络安全技术：网络安全技术


5.1 5.1 网络安全体系结构网络安全体系结构（（ 22 ）传输过程中的安全防护技术）传输过程中的安全防护技术• 网络物理安全防护网络物理安全防护• 网络地址转换（网络地址转换（ NATNAT ））（（ 33 ）包过滤技术）包过滤技术• 包过滤是最常见的一种安全防护技术。包过滤是最常见的一种安全防护技术。• 包过滤技术的特点是利用包过滤技术的特点是利用 IPIP 数据包的特征进行访问数据包的特征进行访问控制；它不像控制；它不像 AAAAAA 技术那样是根据用户名和密码进技术那样是根据用户名和密码进行访问控制。行访问控制。




5.2 5.2 网络防火墙技术网络防火墙技术5.2.1 5.2.1 防火墙的功能防火墙的功能• 防火墙是由软件或硬件构成的网络安全系统，用来防火墙是由软件或硬件构成的网络安全系统，用来

在两个网络之间实施访问控制策略。在两个网络之间实施访问控制策略。（（ 11 ）防火墙在网络中的位置）防火墙在网络中的位置• 防火墙用来解决内网和外网之间的安全问题防火墙用来解决内网和外网之间的安全问题。。• 防火墙在网络中的位置如图防火墙在网络中的位置如图 5-65-6 所示。所示。


5.2 5.2 网络防火墙技术网络防火墙技术5.2.1 5.2.1 防火墙的功能防火墙的功能

LAN

防火墙

Internet


5.2 5.2 网络防火墙技术网络防火墙技术（（ 22 ）防火墙的功能）防火墙的功能• 所有内网和外网之间交换的数据都可以，而且必须所有内网和外网之间交换的数据都可以，而且必须经过防火墙。经过防火墙。

• 只有防火墙安全策略允许的数据，才可以自由出入只有防火墙安全策略允许的数据，才可以自由出入防火墙，其他数据禁止通过。防火墙，其他数据禁止通过。

• 防火墙受到攻击后，应能稳定有效的工作。防火墙受到攻击后，应能稳定有效的工作。• 防火墙可以记录和统计网络的使用情况。防火墙可以记录和统计网络的使用情况。• 防火墙应能过滤和屏蔽一切有害的服务和信息。防火墙应能过滤和屏蔽一切有害的服务和信息。• 防火墙应能隔离网络中的某些网段，防止一个网段防火墙应能隔离网络中的某些网段，防止一个网段

的故障传播到整个网络。的故障传播到整个网络。


5.2 5.2 网络防火墙技术网络防火墙技术（（ 33 ）防火墙设置的基本安全准则）防火墙设置的基本安全准则• 防火墙设置有“防火墙设置有“阻止阻止”和“”和“允许允许”两种设计原则。”两种设计原则。• 大部分厂商遵循：大部分厂商遵循：一切未被允许的访问就是禁止的一切未被允许的访问就是禁止的这一基本原则这一基本原则。。

• 部分厂商遵循：部分厂商遵循：一切未被禁止的访问就是允许的这一切未被禁止的访问就是允许的这一基本准则一基本准则。。


5.2 5.2 网络防火墙技术网络防火墙技术（（ 44 ）防火墙的不足）防火墙的不足• 不能防范不经过防火墙的攻击。不能防范不经过防火墙的攻击。• 不能防范恶意的知情者或内部用户误操作造成的威不能防范恶意的知情者或内部用户误操作造成的威

胁。胁。• 不能防止受病毒感染的软件或木马文件的传输。不能防止受病毒感染的软件或木马文件的传输。• 由于防火墙不检测数据的内容，因此防火墙不能防由于防火墙不检测数据的内容，因此防火墙不能防止数据驱动式的攻击。止数据驱动式的攻击。


5.2 5.2 网络防火墙技术网络防火墙技术5.2.2 5.2.2 防火墙的类型防火墙的类型• 软件防火墙功能强于硬件防火墙，硬件防火墙性能软件防火墙功能强于硬件防火墙，硬件防火墙性能高于软件防火墙。高于软件防火墙。

• 包过滤防火墙：包过滤防火墙：以以色列以以色列 CheckpointCheckpoint 防火墙、防火墙、美国美国 CiscoCisco公司公司 PIXPIX 防火墙。防火墙。• 代理型防火墙的典型产品：代理型防火墙的典型产品：美国美国 NAINAI公司公司 GauntletGauntlet 防火墙。防火墙。


5.2 5.2 网络防火墙技术网络防火墙技术（（ 11 ）软件防火墙）软件防火墙• 个人级软件防火墙：个人级软件防火墙：瑞星防火墙产品。瑞星防火墙产品。• 企业级软件防火墙：企业级软件防火墙：微软公司微软公司 ISA ServerISA Server

CheckPointCheckPoint 公司公司 FWFW 等。等。


5.2 5.2 网络防火墙技术网络防火墙技术（（ 11 ）软件防火墙）软件防火墙• 个人级软件防火墙：瑞星防火墙产品。个人级软件防火墙：瑞星防火墙产品。• 企业级软件防火墙：微软公司企业级软件防火墙：微软公司 ISA ServerISA Server 、、 CheckPCheckP

ointoint公司公司 FWFW 等。等。

案例案例：： ISA ServerISA Server 企业级软件防火墙企业级软件防火墙


5.2 5.2 网络防火墙技术网络防火墙技术（（ 22 ）硬件防火墙）硬件防火墙• 大多数企业级防火墙都是硬件产品，都基于大多数企业级防火墙都是硬件产品，都基于 PCPC 架构。架构。• 硬件防火墙主要产品：硬件防火墙主要产品： Cisco PIXCisco PIX 防火墙、防火墙、美国杰科公司美国杰科公司 NetScreenNetScreen 系列防火墙、系列防火墙、中国中国天融信天融信公司“网络卫士”防火墙等。公司“网络卫士”防火墙等。

案例案例：： Cisco PIXCisco PIX 防火墙产品防火墙产品

案例案例：华为：华为 1800F1800F 硬件防火墙硬件防火墙


5.2 5.2 网络防火墙技术网络防火墙技术（（ 44 ）包过滤防火墙）包过滤防火墙• 包过滤防火墙所以廉价，是因为大多数路由器都提包过滤防火墙所以廉价，是因为大多数路由器都提

供数据包过滤功能，所以这类防火墙多数由路由器供数据包过滤功能，所以这类防火墙多数由路由器集成。集成。

• 包过滤防火墙的弱点：包过滤防火墙的弱点： ☆☆过滤的依据只是网络层和传输层的有限信息，安过滤的依据只是网络层和传输层的有限信息，安

全要求不可能充分满足。全要求不可能充分满足。 ☆☆随着过滤规则数量的增加，防火墙性能会受到很随着过滤规则数量的增加，防火墙性能会受到很大地影响。大地影响。

☆☆缺少审计和报警机制，不能对用户身份进行验证，缺少审计和报警机制，不能对用户身份进行验证，很容易受到地址欺骗型攻击。很容易受到地址欺骗型攻击。

案例案例：防火墙包过滤策略：防火墙包过滤策略


5.2 5.2 网络防火墙技术网络防火墙技术（（ 55 ）代理型防火墙）代理型防火墙• 代理型防火墙是工作在应用层，实现监视和控制应代理型防火墙是工作在应用层，实现监视和控制应

用层通信流的作用。典型网络结构如图用层通信流的作用。典型网络结构如图 5-85-8 所示。所示。• 优点：优点：安全，它可以对网络中任何一层的数据通信进行筛安全，它可以对网络中任何一层的数据通信进行筛选和保护选和保护。。

• 缺点：缺点：速度相对比较慢，当网关吞吐量较高时，容易成为速度相对比较慢，当网关吞吐量较高时，容易成为内网与外网之间的瓶颈。内网与外网之间的瓶颈。


5.2 5.2 网络防火墙技术网络防火墙技术• 代理服务器侦听内部网络客户的服务请求，验证合法性。若合法，将向公共服务器发出请求，并取回所需信息，最后再转发给客户。

真实的客户端

真实服务器

转发请求

外部网络

代理客户机代理服务器应用协议分析

响应

内部网络

请求转发响应


5.2 5.2 网络防火墙技术网络防火墙技术（（ 66 ）分布式防火墙）分布式防火墙• 分布式防火墙不是只位于网络边界，而是渗透到网分布式防火墙不是只位于网络边界，而是渗透到网

络的每一台主机，对整个内网的主机实施保护。络的每一台主机，对整个内网的主机实施保护。


5.2 5.2 网络防火墙技术网络防火墙技术5.2.3 PIX5.2.3 PIX 防火墙配置案例防火墙配置案例（（ 11 ）防火墙的接口）防火墙的接口• 硬件防火墙的接口：硬件防火墙的接口： ☆☆内网接口内网接口下行连接内部网络设备；下行连接内部网络设备； ☆☆外网接口外网接口上行连接上公网的路由器等外部网关设上行连接上公网的路由器等外部网关设备；备；

☆☆DMZDMZ 接口接口接非军事区网络设备。接非军事区网络设备。• 硬件防火墙中的网卡一般都设置为硬件防火墙中的网卡一般都设置为混杂模式混杂模式，这样，这样就可以监测到流过防火墙的数据。就可以监测到流过防火墙的数据。

Internet

服务器可以使用私有地址隐藏内部网络的结构WWW

192.168.1.2

FTP

192.168.1.3MAIL

192.168.1.4DNS

192.168.1.5

192.168.1.6

202.103.96.3

192.168.1.2 ： 80——202.103.96.3 ： 80192.168.1.3 ： 21——202.103.96.3 ： 21

192.168.1.4 ： 25——202.103.96.3 ： 25192.168.1.5 ： 53——202.103.96.3 ： 53

http://202.103.96.3 ： 21

案例案例：网络端口映射：网络端口映射


5.3 DMZ5.3 DMZ 网络安全设计网络安全设计5.3.1 DMZ5.3.1 DMZ 的功能与安全策略的功能与安全策略（（ 11 ）） DMZDMZ 的基本慨念的基本慨念• DMZDMZ 把敏感的内部网络和提供外部访问服务的网络把敏感的内部网络和提供外部访问服务的网络

分离开。分离开。• DMZDMZ 区域内通常放置一些不含机密信息的公用服务区域内通常放置一些不含机密信息的公用服务

器，如器，如 WebWeb 、、 EmailEmail 、、 FTPFTP 等服务器。等服务器。• DMZDMZ并不是网络组成的必要部分并不是网络组成的必要部分。。


5.3 DMZ5.3 DMZ 网络安全设计网络安全设计


5.3 DMZ5.3 DMZ 网络安全设计网络安全设计（（ 33 ）） DMZDMZ 网络访问控制策略网络访问控制策略• 基本原则：基本原则： ☆☆ 设计设计最小权限最小权限，定义允许访问的网络资源和网络，定义允许访问的网络资源和网络

的安全级别。的安全级别。 ☆☆确定可信用户和可信任区域。确定可信用户和可信任区域。 ☆☆ 明确各个网络之间的访问关系，制定访问控制策明确各个网络之间的访问关系，制定访问控制策

略。略。

案例案例：： DMZDMZ 区域与外网的访问控制区域与外网的访问控制


5.3 DMZ5.3 DMZ 网络安全设计网络安全设计5.3.2 DMZ5.3.2 DMZ 网络拓扑结构网络拓扑结构（（ 11 ）堡垒主机防火墙结构）堡垒主机防火墙结构• 堡垒主机是一台具有多个网络接口的计算机，它可堡垒主机是一台具有多个网络接口的计算机，它可以进行内部网络与外部网络之间的路由，也可以充以进行内部网络与外部网络之间的路由，也可以充当与这台主机相连的若干网络之间的路由。当与这台主机相连的若干网络之间的路由。

• 攻击者如果掌握了登录到堡垒主机的权限，那么内攻击者如果掌握了登录到堡垒主机的权限，那么内部网络就非常容易遭到攻击。部网络就非常容易遭到攻击。


5.3 DMZ5.3 DMZ 网络安全设计网络安全设计


5.3 DMZ5.3 DMZ 网络安全设计网络安全设计（（ 22 ）单防火墙）单防火墙 DMZDMZ 网络结构网络结构• 单单 DMZDMZ 结构将网络划分为三个区域，结构将网络划分为三个区域，内网、外网和内网、外网和

DMZDMZ 区域区域（如图（如图 5-135-13 ）。）。（（ 33 ）双防火墙）双防火墙 DMZDMZ 网络结构网络结构• 如图如图 5-145-14 所示，有两台防火墙连接到所示，有两台防火墙连接到 DMZDMZ公共子公共子

网，一台位于网，一台位于 DMZDMZ 子网与内部网络之间，而另一台子网与内部网络之间，而另一台防火墙位于外部网络与防火墙位于外部网络与 DMZDMZ之间。之间。


5.3 DMZ5.3 DMZ 网络安全设计网络安全设计5.3.3 5.3.3 网络安全区域设计网络安全区域设计（（ 11 ）定义网络安全区域）定义网络安全区域（（ 22 ）安全区域中的服务）安全区域中的服务• 对于不同安全级别的信息，要采取不同级别的安全对于不同安全级别的信息，要采取不同级别的安全

保护措施。保护措施。（（ 33 ）网络服务区域的安全问题）网络服务区域的安全问题• 网络内部应用服务类型：网络内部应用服务类型： ☆☆ 数据库等服务器，它不允许内部用户直接访问数据库等服务器，它不允许内部用户直接访问；； ☆ ☆ 应用服务器，需要为内部用户提供服务，并且需应用服务器，需要为内部用户提供服务，并且需要访问数据库服务器要访问数据库服务器。。


5.3 DMZ5.3 DMZ 网络安全设计网络安全设计• 在安全策略设置中，不允许内部用户直接访问信任在安全策略设置中，不允许内部用户直接访问信任

域，允许内部用户通过域，允许内部用户通过 DMZDMZ 访问信任域，允许不信访问信任域，允许不信任域访问任域访问 DMZDMZ 区域。这样就可以实现三个层次的安区域。这样就可以实现三个层次的安全防护。全防护。

案例案例：网络安全设计：网络安全设计


5.4 IDS5.4 IDS 和和 IPSIPS 网络安全设计网络安全设计5.4.1 5.4.1 IDSIDS入侵检测技术入侵检测技术（（ 11 ）入侵检测系统）入侵检测系统• IDSIDS 是检测和识别系统中未授权的或异常的现象。是检测和识别系统中未授权的或异常的现象。• 入侵检测过程：入侵检测过程：信息收集、信息预处理、数据检测分析和响应等。信息收集、信息预处理、数据检测分析和响应等。• 入侵检测系统本质上是一种“嗅探设备”。入侵检测系统本质上是一种“嗅探设备”。

入侵检测分析引擎

历史行为

特定行为模式数据提取

?入侵否

记录证据

响应处理

是

安全策略

当前系统/用户行为

知识库

其它

补充补充：入侵检测原理：入侵检测原理


5.4 IDS5.4 IDS 和和 IPSIPS 网络安全设计网络安全设计• IDSIDS通常设计为两部分：通常设计为两部分：安全服务器安全服务器和和主机代理主机代理。。（（ 22 ）） IDSIDS 常用的入侵检测方法常用的入侵检测方法• 特征检测、统计检测与专家系统。特征检测、统计检测与专家系统。（（ 33 ）其他入侵防御技术）其他入侵防御技术• 防火墙防火墙• 口令验证系统口令验证系统• 虚拟专用网（虚拟专用网（ VPNVPN ））• 系统完整性检测（系统完整性检测（ SIVSIV ））• 蜜罐系统：它给黑客提供一个容易攻击的假目标。蜜罐系统：它给黑客提供一个容易攻击的假目标。


5.4 IDS5.4 IDS 和和 IPSIPS 网络安全设计网络安全设计5.4.2 5.4.2 IDSIDS 网络安全设计网络安全设计（（ 11 ）） IDSIDS 系统在网络中的布署系统在网络中的布署• IDSIDS 系统可以部署在网络中各个关键节点系统可以部署在网络中各个关键节点，它们的工，它们的工

作效果大不相同的。作效果大不相同的。

案例案例：： IDSIDS 在网络设计中的部署在网络设计中的部署


5.4 IDS5.4 IDS 和和 IPSIPS 网络安全设计网络安全设计（（ 22 ）） IDSIDS 系统产品选择系统产品选择• 系统的价格系统的价格• 最大处理流量（以最大处理流量（以 ppspps 为单位衡量）为单位衡量）• 产品的扩展性产品的扩展性• 是否通过了国家权威机构的评测是否通过了国家权威机构的评测• 系统的价格系统的价格• 最大处理流量（以最大处理流量（以 ppspps 为单位衡量）为单位衡量）• 产品的扩展性产品的扩展性• 是否通过了国家权威机构的评测是否通过了国家权威机构的评测


5.4 IDS5.4 IDS 和和 IPSIPS 网络安全设计网络安全设计5.4.3 IDS5.4.3 IDS存在的问题存在的问题• 误报误报 // 漏报率高漏报率高• 没有主动防御能力没有主动防御能力• 缺乏准确定位和处理机制缺乏准确定位和处理机制• 性能普遍不足性能普遍不足


5.4 IDS5.4 IDS 和和 IPSIPS 网络安全设计网络安全设计5.4.4 IPS5.4.4 IPS 入侵防御技术入侵防御技术（（ 11 ）） IPSIPS 的功能的功能• IPSIPS （入侵防御系统）是一种主动的、积极的入侵防（入侵防御系统）是一种主动的、积极的入侵防御系统，御系统， IPSIPS 不但能检测入侵的发生，并且能实时不但能检测入侵的发生，并且能实时终止入侵行为。终止入侵行为。

• IPSIPS 一般部署在网络的进出口处。一般部署在网络的进出口处。• IPSIPS 的功能比较单一，它只能的功能比较单一，它只能串联串联在网络上，对防火在网络上，对防火

墙不能过滤的攻击进行处理。墙不能过滤的攻击进行处理。


5.4 IDS5.4 IDS 和和 IPSIPS 网络安全设计网络安全设计（（ 22 ）） IPSIPS工作原理工作原理• IPSIPS 中流行的检测技术：中流行的检测技术： ☆☆并行处理检测并行处理检测 ☆☆ 协议重组分析协议重组分析• 并行处理检测是指所有流经并行处理检测是指所有流经 IPSIPS 的数据包，都要被的数据包，都要被送入处理单元中进行过滤器。送入处理单元中进行过滤器。

• 协议重组分析是指所有流经协议重组分析是指所有流经 IPSIPS 的数据包，首先经的数据包，首先经过硬件级别的预处理，这个预处理过程主要是对数过硬件级别的预处理，这个预处理过程主要是对数据包进行重组，以便据包进行重组，以便 IPSIPS 能够看清楚具体的应用协能够看清楚具体的应用协议。议。

补充补充：： IPSIPS工作原理工作原理


5.4 IDS5.4 IDS 和和 IPSIPS 网络安全设计网络安全设计5.4.5 IPS5.4.5 IPS 网络安全设计网络安全设计（（ 11 ）） IPSIPS 在网络中的位置在网络中的位置• IDSIDS产品在网络中采用旁路式连接。产品在网络中采用旁路式连接。


5.4 IDS5.4 IDS 和和 IPSIPS 网络安全设计网络安全设计5.4.6 IPS5.4.6 IPS 存在的问题存在的问题（（ 11 ）单点故障）单点故障• 如果如果 IPSIPS出现问题，则会严重影响网络的正常运转。出现问题，则会严重影响网络的正常运转。（（ 22 ）性能瓶颈）性能瓶颈• IPSIPS串接在网络上，要求必须像网络设备一样对数据串接在网络上，要求必须像网络设备一样对数据

包做快速转发。包做快速转发。• IPSIPS必须与数千兆或更大容量的网络流量保持同步，必须与数千兆或更大容量的网络流量保持同步，尤其是加载了数量庞大的检测特征库时，尤其是加载了数量庞大的检测特征库时， IPSIPS嵌入嵌入设备无法支持这种响应速度。设备无法支持这种响应速度。


5.4 IDS5.4 IDS 和和 IPSIPS 网络安全设计网络安全设计（（ 33 ）误报和漏报）误报和漏报• IPSIPS 是串接在网络中的主动防御，产生误报后将直接是串接在网络中的主动防御，产生误报后将直接影响网络的正常工作。影响网络的正常工作。

（（ 44 ）规则动态更新）规则动态更新• IPSIPS 设备由于集成了庞大的攻击特征库，因此更新支设备由于集成了庞大的攻击特征库，因此更新支

持势在必行。持势在必行。（（ 55 ）总体拥有成本）总体拥有成本• IPSIPS总体拥有成本高。总体拥有成本高。


5.5 5.5 网络隔离设计网络隔离设计• 我国我国 20002000年年 11月月 11日起实施的《计算机信息系统国日起实施的《计算机信息系统国际联网保密管理规定》第二章保密制度第六条的规际联网保密管理规定》第二章保密制度第六条的规定：“涉及国家秘密的计算机信息系统，不得直接定：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连接，或间接地与国际互联网或其他公共信息网络相连接，必须实行物理隔离必须实行物理隔离”。 ”。


5.5 5.5 网络隔离设计网络隔离设计5.5.1 5.5.1 网络隔离的技术特点网络隔离的技术特点（（ 22 ）网络物理隔离卡技术）网络物理隔离卡技术• 物理隔离的思路是首先物理隔离的思路是首先切断可能的攻击途径切断可能的攻击途径（如物（如物

理链路），然后再尽力满足用户的应用需求。理链路），然后再尽力满足用户的应用需求。（（ 33 ）协议隔离技术）协议隔离技术• 协议隔离指两个网络之间协议隔离指两个网络之间存在直接的物理连接，但存在直接的物理连接，但通过专用协议来连接两个网络。通过专用协议来连接两个网络。

• 协议隔离把两个或两个以上可路由的网络（如协议隔离把两个或两个以上可路由的网络（如 TCP/ITCP/IPP ）通过不可路由的协议（如）通过不可路由的协议（如 IPX/SPXIPX/SPX 、、 NetBEUINetBEUI等）进行数据交换而达到隔离目的。等）进行数据交换而达到隔离目的。


5.5 5.5 网络隔离设计网络隔离设计（（ 44 ）网络隔离的安全要求）网络隔离的安全要求• 在物理传输上使内网与外网络隔断。在物理传输上使内网与外网络隔断。• 在物理辐射上隔断内网与外网。在物理辐射上隔断内网与外网。• 在物理存储上隔断两个网络环境。在物理存储上隔断两个网络环境。• 网络隔离产品自身具有高度的安全性。网络隔离产品自身具有高度的安全性。• 要保证网络之间交换的只是应用数据。要保证网络之间交换的只是应用数据。• 在网络隔离的前提下，保证网络畅通和应用透明。在网络隔离的前提下，保证网络畅通和应用透明。


5.5 5.5 网络隔离设计网络隔离设计5.5.2 5.5.2 网络物理隔离卡工作原理网络物理隔离卡工作原理（（ 11 ）单主板安全隔离计算机）单主板安全隔离计算机• 采用双硬盘，将内网与外网的转换功能做入主板采用双硬盘，将内网与外网的转换功能做入主板 BIBI

OSOS 中，并将主板网卡插槽也分为内网和外网。中，并将主板网卡插槽也分为内网和外网。（（ 22 ）网络物理隔离卡技术）网络物理隔离卡技术• 网络物理隔离是一个基于网络物理隔离是一个基于 PCIPCI总线的硬件插卡。总线的硬件插卡。• 隔离卡采用双硬盘技术，启动外网时关闭内网硬盘，隔离卡采用双硬盘技术，启动外网时关闭内网硬盘，启动内网时关闭外网硬盘，使两个网络和硬盘进行启动内网时关闭外网硬盘，使两个网络和硬盘进行物理隔离物理隔离。。

• 网络物理隔离卡兼容所有操作系统。网络物理隔离卡兼容所有操作系统。


5.5 5.5 网络隔离设计网络隔离设计（（ 33 ）双网口网络物理隔离卡）双网口网络物理隔离卡• 隔离卡上有三个接口，一个总线接口连接主板，一隔离卡上有三个接口，一个总线接口连接主板，一

个个 IDEIDE 接口连接内网硬盘，另外一个接口连接内网硬盘，另外一个 IDEIDE 接口连接接口连接外网硬盘。在安全状态时，主机只能使用内网硬盘外网硬盘。在安全状态时，主机只能使用内网硬盘与内网连接，此时外部因特网连接是断开的，而且与内网连接，此时外部因特网连接是断开的，而且硬盘上的公共区通道是封闭的。当硬盘上的公共区通道是封闭的。当 PCPC 机处于公共状机处于公共状态时，主机只能使用外网硬盘，此时与内网是断开态时，主机只能使用外网硬盘，此时与内网是断开的，而且硬盘上的公共区也是被封闭的。的，而且硬盘上的公共区也是被封闭的。

（（ 55 ）网络物理隔离卡技术原理）网络物理隔离卡技术原理• 双硬盘型网络物理隔离卡工作原理如图双硬盘型网络物理隔离卡工作原理如图 5-205-20 。。


5.5 5.5 网络隔离设计网络隔离设计

案例案例：网络物理隔离解决方案：网络物理隔离解决方案

案例案例：网络安全隔离解决方案：网络安全隔离解决方案


5.5 5.5 网络隔离设计网络隔离设计5.5.3 5.5.3 安全隔离网闸工作原理安全隔离网闸工作原理• GAPGAP 是一种通过专用硬件和软件技术，使两个或者是一种通过专用硬件和软件技术，使两个或者两个以上的网络在不连通的情况下，实现数据安全两个以上的网络在不连通的情况下，实现数据安全传输和资源共享的技术。传输和资源共享的技术。

（（ 11 ）） GAPGAP 技术原理技术原理• GAPGAP 技术包含两个独立的主机系统和一套固态开关技术包含两个独立的主机系统和一套固态开关读写介质系统。读写介质系统。

• GAPGAP 所连接的两个独立主机系统之间，不存在通信所连接的两个独立主机系统之间，不存在通信连接，没有命令，没有协议，没有连接，没有命令，没有协议，没有 TCP/IPTCP/IP 连接，没连接，没有包转发等。只有数据文件的无协议“摆渡”，且有包转发等。只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。对固态存储介质只有“读”和“写”两个命令。


5.5 5.5 网络隔离设计网络隔离设计• 纯数据交换是纯数据交换是 GAPGAP 技术的特点。技术的特点。• GAPGAP 把通信协议全部剥离，以原始数据方式进行把通信协议全部剥离，以原始数据方式进行

“摆渡”“摆渡”。因此，它能够抵御互联网目前存在的几。因此，它能够抵御互联网目前存在的几乎所有攻击。乎所有攻击。

（（ 22 ）） GAPGAP 数据交换过程数据交换过程• 当内网与专网之间无信息交换时，安全隔离网闸与当内网与专网之间无信息交换时，安全隔离网闸与内网，安全隔离网闸与专网，内网与专网之间是完内网，安全隔离网闸与专网，内网与专网之间是完全断开的，即三者之间不存在物理连接和逻辑连接，全断开的，即三者之间不存在物理连接和逻辑连接，如图如图 5-215-21 所示。所示。


5.5 5.5 网络隔离设计网络隔离设计


5.5 5.5 网络隔离设计网络隔离设计• 当内网数据需要传输到专网时，安全隔离网闸主动当内网数据需要传输到专网时，安全隔离网闸主动向内网服务器数据交换代理发起非向内网服务器数据交换代理发起非 TCP/IPTCP/IP 协议的数协议的数据连接请求，并发出“写”命令，将写入开关合上，据连接请求，并发出“写”命令，将写入开关合上，并把所有的协议剥离，将原始数据写入存储介质。并把所有的协议剥离，将原始数据写入存储介质。如图如图 5-225-22 所示。所示。

• 一旦数据写入存储介质，开关立即打开，中断与内一旦数据写入存储介质，开关立即打开，中断与内网的连接。转而发起对专网的连接请求，当专网服网的连接。转而发起对专网的连接请求，当专网服务器收到请求后，发出“读”命令，将安全隔离网务器收到请求后，发出“读”命令，将安全隔离网闸存储介质内的数据导向专网服务器。服务器收到闸存储介质内的数据导向专网服务器。服务器收到数据后，按数据后，按 TCP/IPTCP/IP 协议重新封装接收到的数据，交协议重新封装接收到的数据，交给应用系统，完成内网到专网的信息交换。如图给应用系统，完成内网到专网的信息交换。如图 5-25-233 所示。所示。


5.5 5.5 网络隔离设计网络隔离设计（（ 33 ）） GAPGAP 系统的逻辑隔离属性系统的逻辑隔离属性• GAPGAP经有关部门鉴定，仍然属于逻辑隔离产品，不经有关部门鉴定，仍然属于逻辑隔离产品，不

能直接用于内部网与国际因特网之间进行隔离。能直接用于内部网与国际因特网之间进行隔离。（（ 44 ）） GAPGAP与其他技术的区别与其他技术的区别• 防火墙侧重于网络层至应用层的隔离；而防火墙侧重于网络层至应用层的隔离；而 GAPGAP属于属于从物理层到应用层数据级别的隔离。从物理层到应用层数据级别的隔离。

• 一个物理隔离卡只能管一台计算机；而一个物理隔离卡只能管一台计算机；而 GAPGAP 系统可系统可管理整个网络，管理整个网络， GAPGAP 不需要物理隔离卡。不需要物理隔离卡。

• 物理隔离卡每次切换网络都要重新启动；物理隔离卡每次切换网络都要重新启动； GAPGAP进行进行网络转换不需要开关机。网络转换不需要开关机。


5.5 5.5 网络隔离设计网络隔离设计5.5.4 5.5.4 安全隔离网络设计安全隔离网络设计（（ 11 ）利用）利用 GAPGAP 技术的组网设计技术的组网设计• 安全隔离网闸可以部署在涉密网与非涉密网之间，安全隔离网闸可以部署在涉密网与非涉密网之间，

如图如图 5-245-24 所示。所示。（（ 22 ）利用网络物理隔离卡组网设计）利用网络物理隔离卡组网设计• 使用网络物理隔离卡的安全主机，内网和外网最好使用网络物理隔离卡的安全主机，内网和外网最好

分别使用两个分别使用两个 IPIP 地址。地址。• 网络结构如图网络结构如图 5-265-26 所示。所示。


5.6 VPN5.6 VPN 网络安全设计网络安全设计5.6.1 VPN5.6.1 VPN 技术特点技术特点（（ 22 ）） VPNVPN 的定义的定义• VPNVPN使用使用 IPIP 机制仿真出一个私有的广域网。机制仿真出一个私有的广域网。（（ 33 ）） VPNVPN隧道技术工作原理隧道技术工作原理• VPNVPN 在公用网上建立一条数据通道（隧道），让数在公用网上建立一条数据通道（隧道），让数

据包通过这条隧道进行安全传输（如图据包通过这条隧道进行安全传输（如图 5-295-29 ）。被）。被封装的数据包在公共互联网络上传递时所经过的逻封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点，数据将被解辑路径称为隧道。一旦到达网络终点，数据将被解包并转发到最终目的地。包并转发到最终目的地。隧道技术是指包括数据封隧道技术是指包括数据封装，传输和解包在内的全过程。装，传输和解包在内的全过程。


5.6 VPN5.6 VPN 网络安全设计网络安全设计


5.6 VPN5.6 VPN 网络安全设计网络安全设计（（ 44 ）） VPNVPN 技术技术• VPNVPN采用的信息安全技术：隧道技术、加密和解密采用的信息安全技术：隧道技术、加密和解密

技术、密钥管理技术、用户与设备认证技术。技术、密钥管理技术、用户与设备认证技术。• VPNVPN 有两种隧道协议：有两种隧道协议： PPTPPPTP （点到点隧道协（点到点隧道协

议，）和议，）和 L2TPL2TP （第二层隧道协议）。（第二层隧道协议）。• PPTPPPTP 是是 PPPPPP 的扩展，它增加了一个新的安全等级。的扩展，它增加了一个新的安全等级。• L2TPL2TP使用使用 IPSecIPSec进行身份验证和数据加密。进行身份验证和数据加密。• IPSecIPSec 由一组由一组 RFCRFC 文档组成，定义了一个系统的安文档组成，定义了一个系统的安

全协议选择、安全算法，确定服务所使用密钥服务全协议选择、安全算法，确定服务所使用密钥服务等，从而在等，从而在 IPIP 层提供安全保障。层提供安全保障。


5.6 VPN5.6 VPN 网络安全设计网络安全设计5.6.2 VPN5.6.2 VPN 网络设计网络设计• 构建企业构建企业 VPNVPN 服务所需的设备很少，只需在资源共服务所需的设备很少，只需在资源共享处放置一台享处放置一台 VPNVPN 的服务器（如一台的服务器（如一台Windows ServWindows Serverer 主机或支持主机或支持 VPNVPN 的路由器）就可以了。的路由器）就可以了。

（（ 22 ）软件）软件 VPNVPN 技术技术（（ 33 ）企业内部虚拟网（）企业内部虚拟网（ Intranet VPNIntranet VPN ）结构）结构• 企业内部虚拟网的优点是能使用灵活的拓扑结构，企业内部虚拟网的优点是能使用灵活的拓扑结构，

企业拥有完全的控制权，缺点是投资成本较大。企业拥有完全的控制权，缺点是投资成本较大。


5.6 VPN5.6 VPN 网络安全设计网络安全设计


5.6 VPN5.6 VPN 网络安全设计网络安全设计（（ 44 ）远程访问虚拟网（）远程访问虚拟网（ Access VPNAccess VPN ）结构）结构（（ 55 ）企业扩展虚拟网（）企业扩展虚拟网（ Extranet VPNExtranet VPN ）结构）结构（（ 66 ）设备厂商）设备厂商 VPNVPN解决方案解决方案

补充补充：： VPNVPN 技术的发展技术的发展


5.6 VPN5.6 VPN 网络安全设计网络安全设计5.6.3 VPN5.6.3 VPN 网络设计案例网络设计案例（（ 22 ）在）在 CiscoCisco 路由器上配置路由器上配置 VPNVPN• VPNVPN配置过程非常复杂，主要步骤如下配置过程非常复杂，主要步骤如下 ::

IPsecIPsec参数确定参数确定配置配置 IKEIKE （密钥交换协议）（密钥交换协议）配置配置 IPSecIPSec

测试测试 VPNVPN 连通性连通性

案例案例：企业级：企业级 VPNVPN 系统解决方案系统解决方案

案例案例：： VPNVPN 系统解决方案系统解决方案

案例案例：： VPNVPN 认证系统解决方案认证系统解决方案

案例案例：网络防病毒系统解决方案：网络防病毒系统解决方案

补充补充：统一防御系统的结构：统一防御系统的结构


课程讨论课程讨论（（ 11 ）有人提出“网络安全永远没有止境”，你如何）有人提出“网络安全永远没有止境”，你如何看待这个问题。看待这个问题。

（（ 22 ）安全性与易用性往往是相互矛盾的，你有哪些）安全性与易用性往往是相互矛盾的，你有哪些折中的解决方案。折中的解决方案。

（（ 33 ）有人提出“防火墙能够不能防止计算机病毒”，）有人提出“防火墙能够不能防止计算机病毒”，你如何看待这个问题。你如何看待这个问题。

（（ 44 ）如果计算机网络没有防火墙和杀毒软件，如何）如果计算机网络没有防火墙和杀毒软件，如何保证网络的安全。保证网络的安全。

（（ 55 ）网络隔离与防火墙有哪些差别。）网络隔离与防火墙有哪些差别。


【本章结束】【本章结束】

Documents

第 5 章 网络安全设计

第 5 章网络安全设计