5.4.1 典型的网络安全技术（上）在线视频

同学们，大家好

这一讲我们来一起学习

《网络空间安全技术》这门课程第三篇

网络空间安全防御技术体系

第5章网络空间安全防御系统与网络安全技术

第4节的内容

典型的网络安全技术

这一节因为内容比较长

我们准备分两段来讲解

这次我们来讲第一段

在典型的网络安全技术里边

我们准备讲五点内容

第一是现代防火墙技术

第二是入侵检测和防御技术

第三是恶意软件检测与防范技术

第四是蜜网技术与沙箱技术

第五是网络协议安全与VPN技术

最后我们要提出思考与拓展的相关问题

那么首先我们来看

第一点

现代防火墙技术

在这一点里面

我们分三个知识小点来讨论

第一是防火墙的概念、作用及分类

第二是防火墙的安全技术要求

第三是专用防火墙技术

我们首先来看

防火墙的概念、作用和分类

所谓防火墙

它是指作用于不同的安全域之间

对经过的网络数据流来解析

并实现

访问控制及安全防护功能的这么一种

网络安全技术

或者是一种产品

这里我需要给同学们解释一下防火墙

它既可以是一种技术

比如我们常说的防火墙技术

当然它也可以是一种产品

比如说我们要购买防火墙产品

部署防火墙产品

接下来我们来看一下防火墙的作用

防火墙在纵深防御体系当中

纵深防御体系

我们有些时候也称之为深度防御体系

防火墙在纵深防御体系中

部署于不同的位置

并保护着不同的对象

和相应的网络资产

接下来我们来看一下

现代防火墙的分类

总共可以分为四大类

第一类是网络层防火墙

网络层防火墙

它部署于不同的安全域之间

解析和过滤经过防火墙的数据流

具备网络层访问控制

及相应的过滤功能

第二是Web应用防火墙

顾名思义

Web应用防火墙

主要是针对Web应用来进行访问控制

它根据预先定义的过滤规则

和安全防护规则

对所有访问Web服务器的HTTP请求

和服务器响应

进行HTTP协议和相关的内容过滤

并对Web服务器和Web应用

提供相应的安全防护

第三类是数据库防火墙

它主要是基于数据库协议分析

与控制技术的

这么一种网络安全产品

可以实现对数据库的访问行为的控制

以及危险操作的阻断

第四类是主机型防火墙

主机型防火墙部署在终端计算机之上

监测和控制

网络级数据流和相应的应用程序访问

接下来我们来看一下

防火墙安全技术要求

分安全功能要求

自身安全功能要求

性能要求

以及安全保障要求

四个部分

我们来看第一部分

安全功能要求

安全功能要求

第一个内容是组网与部署

它的部署模式分为三种

第一是透明传输模式

第二是路由转发模式

第三是反向代理模式

从路由的角度来看又分为静态路由

动态路由

以及策略路由三种

它支持冗余的部署

比如说“主-备”或者是

“集群”模式的部署

同时还可以进行设备的虚拟化

防火墙可以在逻辑上

划分为多个虚拟子系统

防火墙可为虚拟化形态

支持部署于虚拟化平台

同时我们还要求

现代防火墙

支持IPv6功能

支持纯IPv6网络环境

协议一致性

协议健壮性

要得到保障

同时支持IPv6过渡网络环境

防火墙安全功能的

第二点是网络层控制

它首先要采用

访问控制的机理

包括包过滤

网络地址转换

状态检测

动态开放端口

IP/MAC地址绑定等

在流量管理方面

包括带宽的管理

连接数的控制

以及会话管理等相关功能

安全功能要求的第三部分

是应用层的控制

应用层要实现用户的管控

具备基于用户和用户组的

网络访问控制功能

支持本地用户认证

以及结合第三方认证系统

等各种认证方式

那么第三方认证系统

比如说基于Radius

LDAP服务器等各种方式

应用类型控制

根据应用特征识别

并控制各种应用类型

包括HTTP协议

数据库协议

FTP等常见的协议

以及即时聊天类等相关的应用

那么从应用内容控制的角度来看

它又包括Web应用

数据库运用

FTP

TELNET

SMTP

POP3

和IMAP等相关的应用

从负载均衡的角度来看

要根据安全策略

将网络流量均衡到多台服务器之上

含Web负载均衡

数据库负载均衡等等

接下来我们来看一下

安全功能要求的第四点

攻击的防护

需要提供拒绝服务攻击的防护

那么它要具有特征库

能够识别并防御拒绝服务攻击

第二是Web攻击防护

包括SQL注入

XSS攻击

CSRF攻击等相关的防护

数据库攻击防护方面

要识别并防御数据库攻击

包括拖库攻击和撞库攻击

在恶意软件防护方面

需要识别并防御相关的恶意软件

或者叫恶意代码

其他应用工具防护方面

包括操作系统类

中间件类

控件类等漏洞的攻击防护

此外还应该

具有自动化工具威胁防护的功能

包括网络扫描行为

应用扫描行为

漏洞利用工具等防护

在攻击逃逸防护方面

需要检测并阻断使用混淆

编码转换等逃逸手段的相关攻击行为

最后在外部系统协同防护方面

需要与其他网络安全产品能够进行

相应的智能联动

接下来我们来看

安全功能要求的第五点

安全审计与分析

安全审计主要是用来记录事件类型

日志内容

以及实现日志管理

在安全告警方面

需要对攻击行为产生告警

并且对相同的告警事件合并告警

防止报警风暴的出现

第三是要进行统计分析

包括网络流量的统计

应用流量的统计

以及攻击事件统计等类型

刚才讲的是安全功能要求方面

接下来我们来看一下

防火墙安全技术要求

自身安全功能要求方面

在自身安全功能要求方面

包括身份标识和鉴别

首先要进行用户身份的标识

和相应的鉴别

同时还需要进行登录失败

和登录超时的正确处理

在管理能力方面

要求管理员授权

包括配置管理员和审计管理员两类

同时要实现集中的管理

在管理审计方面

要对用户账户的登录和注销

系统的启动

重要配置的变更

增加、删除、修改管理员

保存、删除审计日志等相关的操作行为

进行对应的日志记录

从管理方式上来看

要求从Console端口实现本地管理

还可以通过网络接口实现远程管理

那么通信数据

应以非明文的方式来进行传输

同时它还应该支持

管理接口与业务接口的分离

在异常处理机制方面

非正常条件关机再重新启动后

在异常处理机制方面

要求在非正常关机

比如说掉电

强行关机等情景下

再重新启动后

安全策略恢复到关机前的状态

日志信息不丢失

管理员需要重新鉴别

这就是防火墙

在自身安全方面的功能要求

接下来我们来看一下

防火墙安全

有关的性能要求

性能要求分若干个指标

我们来看第一个指标吞吐量

在网络层吞吐量方面

会因不同的速率而不同

混合应用层吞吐量

应用层吞吐量视不同速率的防火墙有所不同

在开启应用攻击防护功能情况下

来考察这个指标

HTTP吞吐量

也视因不同的速率而会有所不同

它需要在开启

Web攻击防护功能的情况下

来考察这个指标

SQL吞吐量

也是视不同的速率而有所不同

它要求在开启数据库攻击防护功能情况下

来进行考察这个指标

接下来我们来看

防火墙安全技术要求

性能要求的第二个指标

延迟

硬件防火墙的延迟

视不同速率的防火墙

会有所不同

一对相应速率的端口延迟指标

应分别考虑

各种长短不同的数据包的情况

比如说64字节短包

512字节中长包

1518字节长包的不同情况

接下来我们来看

防火墙安全技术要求

性能要求的第三个

连接速率

分TCP新建连接速率

HTTP连接速率

和SQL请求速率

TCP新建连接速率是指

每秒能够新建的TCP连接数

HTTP请求速率

是指每秒能够处理的HTTP请求数

而SQL请求速率

则是指每秒能够处理的SQL请求数

性能要求的第四点是

最大并发连接数

以TCP并发连接数

HTTP并发连接数

和SQL并发连接数

来进行表征

接下来我们来看防火墙安全技术要求的

安全保障要求

在安全保障要求方面

我们首先来看开发的要求

开发要求提供安全架构

功能规范

产品设计和实现的表示

在指导性文档方面

需要提供操作系统指南

准备程序

在生命周期支持方面

需要提供配置管理能力

配置管理范围

交付程序

开发安全

生命周期定义

以及开发工具和技术

在测试方面

需要考虑测试覆盖

测试深度

功能测试

独立测试

以及相关的脆弱性评定的内容

接下来我们来看专用防火墙技术

在不同的特殊应用场景之下

我们可以采用专用的防火墙技术

比如说在虚拟的环境底下

我们可以采用虚拟防火墙

所谓虚拟防火墙

是将一台防火墙逻辑划分为多台

逻辑防火墙

每台均可视为一个独立的防火墙

它具有独立的一整套系统资源

管理员

安全策略

用户认证数据库等

在工业控制应用场景下

我们可以选用工业控制防火墙

它主要是应用于工控领域

针对工控协议

和工控可用性要求高等特点

而专门开发的这么一种防火墙

适用于工作环境严苛的工业控制系统

第三是云防火墙

它主要是在云计算的环境底下

提供基于SaaS的防火墙的功能

接下来我们来看

入侵检测和防御技术

首先我们来看

入侵检测和防御技术的概念

作用及分类

在入侵检测和防御的概念里面

我们需要大家明确

所谓入侵检测和防御

是指通过对计算机网络

或计算机系统中的若干关键点

收集信息

并对其进行分析

从中发现网络或系统中

是否有违反安全策略的行为

和被攻击的迹象

并进行相应的防御

入侵检测和防御的作用是

识别和判断针对网络

系统或者是应用的入侵事件是否发生

什么时候发生

以及是怎么样发生的

它利用了何种脆弱性

并采取或

提醒采取入侵风险管理的相应措施

接下来我们来看一下

入侵检测和入侵防御的融合

从技术发展的历史上来看

传统的入侵检测系统

和入侵防御系统

都分别作为独立的技术或产品形态

而独立存在过

那么当前二者的融合趋势是愈加明显

已形成了入侵检测和防御系统

也就是IDPS

这么一种新的技术形态和产品

接下来我们来看一下

入侵检测和防御系统

IDPS它的分类

根据分类标准的不同

它可以分为若干种不同的具体类型

比如说根据安全数据来源的不同

我们可以分为主机基IDPS

和网络基IDPS

根据检测原理的不同

我们可以分为异常检测型IDPS

和误用检测型IDPS

从系统管理架构的不同来看

我们可以分为集中式IDPS

和分布式IDPS

从网络协议的支持情况来看

IDPS可以分为基于IPv6的

基于IPv4的

以及基于工业协议的各种不同的IDPS

从应用领域来看

包括云计算IDPS

物联网IDPS

工业网络IDPS等等

接下来我们来分析一下

入侵检测和防御系统

所涉及的核心关键技术

从核心技术来看

它分为三种

一个是安全数据的采集

第二是入侵检测与分析

第三是入侵防护

从安全数据采集的角度来看

它的采集对象包括主机数据

网络数据以及其他数据

主机数据又含系统日志

状态

资源

应用

服务

事件等相关的状态信息

而网络数据

是指受保护网段之内的

相关的流量数据

其他数据则包括

其他网络安全设备

比如说防火墙

比如说恶意代码防护装置所提供的数据

或相关的情报数据

从入侵检测和分析这个关键技术来看

它又分为两类子技术

第一是异常检测

第二是误用检测

异常检测它假设入侵行为

与网络正常行为之间存在较大差异

需要进行统计分析

一旦某一次操作的行为值

超过了事先给定的阈值就判其为异常

误用检测我们又称为滥用检测

它是假设已知攻击行为

可采用特定的模型或规则来进行表示

由此我们可以采用协议分析

模式匹配

关联分析等相关的方法

来进行误用或者称为滥用的这种检测

从入侵防护的角度来看

它有几种主要的实现技术

分别是隔离技术

断开连接

禁用资源

安全加固以及智能联动

所谓隔离技术是指

将被入侵对象隔离

或者将入侵者隔离

这是从两个方面来考虑

隔离的对象问题

在断开连接方面

主要是指主动中断攻击路径

及相应的行为

禁用资源

主要是指禁用重要的端口和服务

主动保护可被利用的资源

在安全加固方面主要是采取打补丁

漏洞修复

自身升级等相关的操作

在智能联动方面主要是讲

它与防火墙

防病毒等安全设备

以及安全管理中心

来进行动态的智能联动

同学们

这一讲我们就讲到这里

感谢观看

谢谢

下次再见