当前课程知识点:网络空间安全技术 > 第5章 网络空间安全防御系统与网络安全技术 > 5.4 典型的网络安全技术 > 5.4.1 典型的网络安全技术(上)
同学们,大家好
这一讲我们来一起学习
《网络空间安全技术》这门课程第三篇
网络空间安全防御技术体系
第5章网络空间安全防御系统与网络安全技术
第4节的内容
典型的网络安全技术
这一节因为内容比较长
我们准备分两段来讲解
这次我们来讲第一段
在典型的网络安全技术里边
我们准备讲五点内容
第一是现代防火墙技术
第二是入侵检测和防御技术
第三是恶意软件检测与防范技术
第四是蜜网技术与沙箱技术
第五是网络协议安全与VPN技术
最后我们要提出思考与拓展的相关问题
那么首先我们来看
第一点
现代防火墙技术
在这一点里面
我们分三个知识小点来讨论
第一是防火墙的概念、作用及分类
第二是防火墙的安全技术要求
第三是专用防火墙技术
我们首先来看
防火墙的概念、作用和分类
所谓防火墙
它是指作用于不同的安全域之间
对经过的网络数据流来解析
并实现
访问控制及安全防护功能的这么一种
网络安全技术
或者是一种产品
这里我需要给同学们解释一下防火墙
它既可以是一种技术
比如我们常说的防火墙技术
当然它也可以是一种产品
比如说我们要购买防火墙产品
部署防火墙产品
接下来我们来看一下防火墙的作用
防火墙在纵深防御体系当中
纵深防御体系
我们有些时候也称之为深度防御体系
防火墙在纵深防御体系中
部署于不同的位置
并保护着不同的对象
和相应的网络资产
接下来我们来看一下
现代防火墙的分类
总共可以分为四大类
第一类是网络层防火墙
网络层防火墙
它部署于不同的安全域之间
解析和过滤经过防火墙的数据流
具备网络层访问控制
及相应的过滤功能
第二是Web应用防火墙
顾名思义
Web应用防火墙
主要是针对Web应用来进行访问控制
它根据预先定义的过滤规则
和安全防护规则
对所有访问Web服务器的HTTP请求
和服务器响应
进行HTTP协议和相关的内容过滤
并对Web服务器和Web应用
提供相应的安全防护
第三类是数据库防火墙
它主要是基于数据库协议分析
与控制技术的
这么一种网络安全产品
可以实现对数据库的访问行为的控制
以及危险操作的阻断
第四类是主机型防火墙
主机型防火墙部署在终端计算机之上
监测和控制
网络级数据流和相应的应用程序访问
接下来我们来看一下
防火墙安全技术要求
分安全功能要求
自身安全功能要求
性能要求
以及安全保障要求
四个部分
我们来看第一部分
安全功能要求
安全功能要求
第一个内容是组网与部署
它的部署模式分为三种
第一是透明传输模式
第二是路由转发模式
第三是反向代理模式
从路由的角度来看又分为静态路由
动态路由
以及策略路由三种
它支持冗余的部署
比如说“主-备”或者是
“集群”模式的部署
同时还可以进行设备的虚拟化
防火墙可以在逻辑上
划分为多个虚拟子系统
防火墙可为虚拟化形态
支持部署于虚拟化平台
同时我们还要求
现代防火墙
支持IPv6功能
支持纯IPv6网络环境
协议一致性
协议健壮性
要得到保障
同时支持IPv6过渡网络环境
防火墙安全功能的
第二点是网络层控制
它首先要采用
访问控制的机理
包括包过滤
网络地址转换
状态检测
动态开放端口
IP/MAC地址绑定等
在流量管理方面
包括带宽的管理
连接数的控制
以及会话管理等相关功能
安全功能要求的第三部分
是应用层的控制
应用层要实现用户的管控
具备基于用户和用户组的
网络访问控制功能
支持本地用户认证
以及结合第三方认证系统
等各种认证方式
那么第三方认证系统
比如说基于Radius
LDAP服务器等各种方式
应用类型控制
根据应用特征识别
并控制各种应用类型
包括HTTP协议
数据库协议
FTP等常见的协议
以及即时聊天类等相关的应用
那么从应用内容控制的角度来看
它又包括Web应用
数据库运用
FTP
TELNET
SMTP
POP3
和IMAP等相关的应用
从负载均衡的角度来看
要根据安全策略
将网络流量均衡到多台服务器之上
含Web负载均衡
数据库负载均衡等等
接下来我们来看一下
安全功能要求的第四点
攻击的防护
需要提供拒绝服务攻击的防护
那么它要具有特征库
能够识别并防御拒绝服务攻击
第二是Web攻击防护
包括SQL注入
XSS攻击
CSRF攻击等相关的防护
数据库攻击防护方面
要识别并防御数据库攻击
包括拖库攻击和撞库攻击
在恶意软件防护方面
需要识别并防御相关的恶意软件
或者叫恶意代码
其他应用工具防护方面
包括操作系统类
中间件类
控件类等漏洞的攻击防护
此外还应该
具有自动化工具威胁防护的功能
包括网络扫描行为
应用扫描行为
漏洞利用工具等防护
在攻击逃逸防护方面
需要检测并阻断使用混淆
编码转换等逃逸手段的相关攻击行为
最后在外部系统协同防护方面
需要与其他网络安全产品能够进行
相应的智能联动
接下来我们来看
安全功能要求的第五点
安全审计与分析
安全审计主要是用来记录事件类型
日志内容
以及实现日志管理
在安全告警方面
需要对攻击行为产生告警
并且对相同的告警事件合并告警
防止报警风暴的出现
第三是要进行统计分析
包括网络流量的统计
应用流量的统计
以及攻击事件统计等类型
刚才讲的是安全功能要求方面
接下来我们来看一下
防火墙安全技术要求
自身安全功能要求方面
在自身安全功能要求方面
包括身份标识和鉴别
首先要进行用户身份的标识
和相应的鉴别
同时还需要进行登录失败
和登录超时的正确处理
在管理能力方面
要求管理员授权
包括配置管理员和审计管理员两类
同时要实现集中的管理
在管理审计方面
要对用户账户的登录和注销
系统的启动
重要配置的变更
增加、删除、修改管理员
保存、删除审计日志等相关的操作行为
进行对应的日志记录
从管理方式上来看
要求从Console端口实现本地管理
还可以通过网络接口实现远程管理
那么通信数据
应以非明文的方式来进行传输
同时它还应该支持
管理接口与业务接口的分离
在异常处理机制方面
非正常条件关机再重新启动后
在异常处理机制方面
要求在非正常关机
比如说掉电
强行关机等情景下
再重新启动后
安全策略恢复到关机前的状态
日志信息不丢失
管理员需要重新鉴别
这就是防火墙
在自身安全方面的功能要求
接下来我们来看一下
防火墙安全
有关的性能要求
性能要求分若干个指标
我们来看第一个指标吞吐量
在网络层吞吐量方面
会因不同的速率而不同
混合应用层吞吐量
应用层吞吐量视不同速率的防火墙有所不同
在开启应用攻击防护功能情况下
来考察这个指标
HTTP吞吐量
也视因不同的速率而会有所不同
它需要在开启
Web攻击防护功能的情况下
来考察这个指标
SQL吞吐量
也是视不同的速率而有所不同
它要求在开启数据库攻击防护功能情况下
来进行考察这个指标
接下来我们来看
防火墙安全技术要求
性能要求的第二个指标
延迟
硬件防火墙的延迟
视不同速率的防火墙
会有所不同
一对相应速率的端口延迟指标
应分别考虑
各种长短不同的数据包的情况
比如说64字节短包
512字节中长包
1518字节长包的不同情况
接下来我们来看
防火墙安全技术要求
性能要求的第三个
连接速率
分TCP新建连接速率
HTTP连接速率
和SQL请求速率
TCP新建连接速率是指
每秒能够新建的TCP连接数
HTTP请求速率
是指每秒能够处理的HTTP请求数
而SQL请求速率
则是指每秒能够处理的SQL请求数
性能要求的第四点是
最大并发连接数
以TCP并发连接数
HTTP并发连接数
和SQL并发连接数
来进行表征
接下来我们来看防火墙安全技术要求的
安全保障要求
在安全保障要求方面
我们首先来看开发的要求
开发要求提供安全架构
功能规范
产品设计和实现的表示
在指导性文档方面
需要提供操作系统指南
准备程序
在生命周期支持方面
需要提供配置管理能力
配置管理范围
交付程序
开发安全
生命周期定义
以及开发工具和技术
在测试方面
需要考虑测试覆盖
测试深度
功能测试
独立测试
以及相关的脆弱性评定的内容
接下来我们来看专用防火墙技术
在不同的特殊应用场景之下
我们可以采用专用的防火墙技术
比如说在虚拟的环境底下
我们可以采用虚拟防火墙
所谓虚拟防火墙
是将一台防火墙逻辑划分为多台
逻辑防火墙
每台均可视为一个独立的防火墙
它具有独立的一整套系统资源
管理员
安全策略
用户认证数据库等
在工业控制应用场景下
我们可以选用工业控制防火墙
它主要是应用于工控领域
针对工控协议
和工控可用性要求高等特点
而专门开发的这么一种防火墙
适用于工作环境严苛的工业控制系统
第三是云防火墙
它主要是在云计算的环境底下
提供基于SaaS的防火墙的功能
接下来我们来看
入侵检测和防御技术
首先我们来看
入侵检测和防御技术的概念
作用及分类
在入侵检测和防御的概念里面
我们需要大家明确
所谓入侵检测和防御
是指通过对计算机网络
或计算机系统中的若干关键点
收集信息
并对其进行分析
从中发现网络或系统中
是否有违反安全策略的行为
和被攻击的迹象
并进行相应的防御
入侵检测和防御的作用是
识别和判断针对网络
系统或者是应用的入侵事件是否发生
什么时候发生
以及是怎么样发生的
它利用了何种脆弱性
并采取或
提醒采取入侵风险管理的相应措施
接下来我们来看一下
入侵检测和入侵防御的融合
从技术发展的历史上来看
传统的入侵检测系统
和入侵防御系统
都分别作为独立的技术或产品形态
而独立存在过
那么当前二者的融合趋势是愈加明显
已形成了入侵检测和防御系统
也就是IDPS
这么一种新的技术形态和产品
接下来我们来看一下
入侵检测和防御系统
IDPS它的分类
根据分类标准的不同
它可以分为若干种不同的具体类型
比如说根据安全数据来源的不同
我们可以分为主机基IDPS
和网络基IDPS
根据检测原理的不同
我们可以分为异常检测型IDPS
和误用检测型IDPS
从系统管理架构的不同来看
我们可以分为集中式IDPS
和分布式IDPS
从网络协议的支持情况来看
IDPS可以分为基于IPv6的
基于IPv4的
以及基于工业协议的各种不同的IDPS
从应用领域来看
包括云计算IDPS
物联网IDPS
工业网络IDPS等等
接下来我们来分析一下
入侵检测和防御系统
所涉及的核心关键技术
从核心技术来看
它分为三种
一个是安全数据的采集
第二是入侵检测与分析
第三是入侵防护
从安全数据采集的角度来看
它的采集对象包括主机数据
网络数据以及其他数据
主机数据又含系统日志
状态
资源
应用
服务
事件等相关的状态信息
而网络数据
是指受保护网段之内的
相关的流量数据
其他数据则包括
其他网络安全设备
比如说防火墙
比如说恶意代码防护装置所提供的数据
或相关的情报数据
从入侵检测和分析这个关键技术来看
它又分为两类子技术
第一是异常检测
第二是误用检测
异常检测它假设入侵行为
与网络正常行为之间存在较大差异
需要进行统计分析
一旦某一次操作的行为值
超过了事先给定的阈值就判其为异常
误用检测我们又称为滥用检测
它是假设已知攻击行为
可采用特定的模型或规则来进行表示
由此我们可以采用协议分析
模式匹配
关联分析等相关的方法
来进行误用或者称为滥用的这种检测
从入侵防护的角度来看
它有几种主要的实现技术
分别是隔离技术
断开连接
禁用资源
安全加固以及智能联动
所谓隔离技术是指
将被入侵对象隔离
或者将入侵者隔离
这是从两个方面来考虑
隔离的对象问题
在断开连接方面
主要是指主动中断攻击路径
及相应的行为
禁用资源
主要是指禁用重要的端口和服务
主动保护可被利用的资源
在安全加固方面主要是采取打补丁
漏洞修复
自身升级等相关的操作
在智能联动方面主要是讲
它与防火墙
防病毒等安全设备
以及安全管理中心
来进行动态的智能联动
同学们
这一讲我们就讲到这里
感谢观看
谢谢
下次再见
-课程总览
-1.1 网络与网络空间
-1.2 网络安全与网络空间安全
-1.3 网络空间安全与国家安全
-1.4 网络空间安全威胁 风险与攻防
-第1章 习题
--第1章 习题
-2.1 安全理论 技术 与工程的关系
-2.2 网络空间信息系统安全工程
-2.3 网络空间安全技术体系
-2.4 网络安全与攻防对抗模型
-第2章 习题
--第2章 习题
-3.1 攻击模型与攻击链
-3.2 攻击向量与攻击面
-3.3 攻击图
--3.3 攻击图
-3.4 网络安全攻击技术分类
-3.5 典型的安全攻击方法
-第3章 习题
--第3章 习题
-4.1 密码与加密概述
-4.2 对称加密技术
-4.3 非对称加密技术
-4.4 哈希技术
--4.4 哈希技术
-4.5 认证技术与PKI体系
-第4章 习题
--第4章 习题
-5.1 信任体系与零信任安全
-5.2 操作系统与终端安全
-5.3 网络安全防护架构
-5.4 典型的网络安全技术
-第5章 习题
--第5章 习题
-6.1 漏洞扫描与漏洞挖掘技术
-6.2 Web安全技术
-6.3 软件安全技术
-6.4 数据安全技术体系
-6.5 信息隐藏技术
-第6章 习题
--第6章 习题
-7.1 网络安全风险评估技术
-7.2 网络安全测评技术
-7.3 网络安全等级保护
-7.4 网络安全情报分析与态势感知技术
-7.5 内容安全技术
-第7章 习题
--第7章 习题
-8.1 工业控制系统安全保障
-8.2 物联网安全保障
-8.3 信息物理系统安全保障
-8.4 云计算安全保障
-8.5 区块链安全保障
-第8章 习题
--第8章 习题