建立以防火墙为核心的网络安全体系.ppt

北大青鸟将在信息安全领域作出自己的贡献！Thank you！ 1、给合低层访问控制与高层功能。 2、内网与外网之间没有直接的数据通道，应用代理网关防火墙检查进出的数据包，通过自身（网关）复制传递数据，防止在受信主机与非受信主机之间直接建立联系。 1、应用代理网关防火墙能够理解应用层上的协议，做复杂一些的访问控制及精细的注册和审核。 2、是目前最安全的防火墙技术。 1、当两台或多台防火墙存在于一个环境中，连接这些防火墙的网络就是DMZ网。 2、DMZ网用作外部或内部可访问但又需要置于保护网络中的计算机系统和资源的悬挂点。 3、将这些计算机系统和资源置于DMZ中可为其提供保护与访问控制，防止外部与内部攻击。 1、在服务支路配置中，防火墙一般有三块网卡。 2、这种配置在遭到针对DMZ中服务器的DOS攻击时，会影响通信。在标准的DMZ网络配置中，针对DMZ区资源如Web服务器的DOS 攻击仅影响目标资源，而在服务支路DMZ配置中，防火墙将承受DOS攻击的猛攻。 1、构建于现有的网络介质和协议之上，跨非信任网提供安全的网络连接，扩展内部网。 2、常用协议：IPSec、PPTP和L2TP。 1、Intranet利用同样类型的服务、应用和协议，不涉及外部互联性。 2、Extranet通常是一个business-to-business Intranet，通过某种形式的鉴别、审计和加密如VPN，为远程用户提供有限的受控访问。 1、是智能协议分析器，监视网络通信，寻找攻击特征。 2、大多数基于网络的IDS不能组装分段（fragment)的网络通信，因而会漏掉分散在多个包中的攻击特征。黑客可使用这种方式绕过基于网络的IDS。 3、如果不对Switch进行特殊配置（端口镜象），基于网络的IDS将不能发挥作用。 4、大多数基于网络的IDS能被定位/识别混杂模式接口的工具探测到。一旦侦测到基于混杂模式的接口，不难使其崩溃或用无用的网络通信淹没之。 1、IDS易产生大量的日志，应不断进行调整。 2、在外部实体的网络通信进入受控网的位置应放置IDS。 1、外部可访问的DNS不应含有内部系统项，确保内部系统不被外部人员识别。 2、DNS应用可使用两种不同的IP传输进行操作：用户查询使用UDP，域名服务器之间通信使用TCP。使用TCP进行DNS连接称为区域转移（zone transfer)，使用TCP对域名服务器的访问必须限制在那些处于直接控制下的域名服务器，允许盲区域转移有被修改DNS信息的风险。 1、内部DNS服务器解析内部系统的名字，以便内部系统能连到其它的内部系统及内部DMZ中的系统。 2、外部DNS服务器解析主防火墙、自身及外部DMZ中系统的名字。 1、外部访问的Web服务器、目录服务器或DNS服务器置于外部DMZ中，边界路由器为这些服务器提供访问控制与过滤，主防火墙限制这些服务器到内部系统的连接，防止黑客利用被攻破的服务器作为跳板攻击内部系统。在用户访问量大时，需使用带有几个DMZ悬挂点的高速边界路由器，以隔离各个DMZ网络。这样，如果一个服务器遭受DDOS攻击，网络中的其它部分不会受到影响。 2、拨号服务器应置于外部DMZ中。VPN服务器置于放火墙上，以便外出的通信在过滤后（如通过HTTP代理）被加密，进入的通信先被解密，再被防火墙过滤。 3、内部访问的Web服务器、Email服务器和目录服务器置于内部DMZ中，既可以对外部威胁提供纵深防护，又可以防止内部威胁。 4、如果用户需要从外部网络访问内部DMZ中的服务器（如旅行或外出开会的内部员工），可以在主防火墙上运行SSL代理，外部用户连到主防火墙，主防火墙转发（forward)SSL连接到内部服务器，为外部用户提供相应的服务。 1、描述信息安全策略怎样由防火墙及相关的安全机制实现。 IDS 用于通报及在某些情况下阻止对网络系统或资源的未授权访问。 许多IDS可与防火墙交互，实现联动。 与IDS交互的防火墙能自动对察觉到的远程威胁作出反应，没有人工反应中的延迟。 基于主机的IDS 集成于操作系统中。 能在高粒度层探测威胁。 问题： 影响系统性能及稳定性； 不能注意到基于网络的攻击， 如DOS。 基于网络的IDS 可以监视多个系统和资源。 问题： 会漏掉分散在多个包中的攻击特征。 依赖于混杂模式网络接口。 易被攻击。 在遭到DOS攻击时，许多IDS失效。 IDS布署图 DNS 内部域名服务器应与外部域名服务器分开（Split DNS技术）。 必须控制DNS允许的访问类型。 DNS布署图 防火墙环境中服务器的放置 应考虑的因素： DMZ的个数、外部和内部对DMZ中服务器的访问要求、通信量及数据敏感程度。 放置指南： 用边界路由器/包过滤保护外部服务