1、中國移動通信集團(tuán)廣西有限公司,網(wǎng)絡(luò)設(shè)備、防火墻設(shè)備、網(wǎng)絡(luò)互聯(lián)安全知識,網(wǎng)絡(luò)設(shè)備、防火墻設(shè)備、網(wǎng)絡(luò)互聯(lián)安全知識 版本信息： 版本號：2.0.0 更新時間：2010-7-11 編者信息： 譚彬 中國移動通信集團(tuán)廣西有限公司網(wǎng)運(yùn)中心 電話：郵箱： tanbin 溫愛群 中國移動通信集團(tuán)廣西有限公司網(wǎng)運(yùn)中心 電話：郵箱： wenaiqun,課程內(nèi)容,網(wǎng)絡(luò)設(shè)備安全培訓(xùn) 防火墻設(shè)備安全培訓(xùn) 網(wǎng)絡(luò)互聯(lián)安全知識培訓(xùn),教材主要閱讀對象,培訓(xùn)對象：具體從事一些系統(tǒng)以及網(wǎng)絡(luò)維護(hù)的系統(tǒng)管理員、網(wǎng)絡(luò)管理員。 培訓(xùn)重點(diǎn)：網(wǎng)絡(luò)設(shè)備與常用防火墻設(shè)備、網(wǎng)絡(luò)互聯(lián)安全知識。 建議

2、培訓(xùn)時間：約1小時25分鐘 課程基礎(chǔ)：無,目錄,網(wǎng)絡(luò)設(shè)備安全培訓(xùn) 防火墻設(shè)備安全培訓(xùn) 網(wǎng)絡(luò)互聯(lián)安全知識培訓(xùn),第一部分 網(wǎng)絡(luò)設(shè)備安全培訓(xùn),網(wǎng)絡(luò)設(shè)備安全培訓(xùn),網(wǎng)絡(luò)設(shè)備本身的安全配置 網(wǎng)絡(luò)設(shè)備保護(hù)業(yè)務(wù)承載的安全配置,網(wǎng)絡(luò)設(shè)備簡介 用戶賬號管理 登錄限制 SNMP 日志審計,網(wǎng)絡(luò)設(shè)備本身的安全培訓(xùn),網(wǎng)絡(luò)的定義很廣，包括了無線網(wǎng)、幀中繼、ATM等各種類型的網(wǎng)絡(luò)。本次安全培訓(xùn)的“網(wǎng)絡(luò)”定義，僅特指數(shù)據(jù)通信的IP網(wǎng)絡(luò)。 同樣的，本次安全培訓(xùn)的“網(wǎng)絡(luò)設(shè)備”也特指IP網(wǎng)絡(luò)設(shè)備。暨我們常說的IP網(wǎng)絡(luò)路由器和交換機(jī)。,網(wǎng)絡(luò)設(shè)備簡介,中國移動CMNET、IP承載網(wǎng)當(dāng)前采用的多個廠家的路由器,網(wǎng)絡(luò)設(shè)備簡介,主流廠家當(dāng)前

3、各類型交換機(jī),網(wǎng)絡(luò)設(shè)備簡介,網(wǎng)絡(luò)設(shè)備簡介 用戶賬號管理 登錄限制 SNMP 日志審計,網(wǎng)絡(luò)設(shè)備本身的安全配置,用戶賬號管理,用戶賬號管理重點(diǎn)： 是否存在過多擁有管理權(quán)限的帳號 是否存在多人共用賬號 是否有詳細(xì)的審核記錄 檢查是否滿足：帳號有對應(yīng)的人員，帳號有帳號申請表，申請表內(nèi)容至少包含申請人姓名、聯(lián)系方式、申請人職責(zé)描述、申請時間、申請目的、申請帳號所屬系統(tǒng)名稱、帳號類型、創(chuàng)建或者變更或者刪除操作類型、帳號權(quán)限描述、主管領(lǐng)導(dǎo)審批意見、系統(tǒng)管理員變更操作記錄及簽字確認(rèn)、權(quán)責(zé)描述備注欄目等。,用戶賬號管理,用戶賬號的口令（密碼）管理重點(diǎn)： 檢查其口令是否滿足：長度不小于6位，設(shè)置不能與帳號名相同

4、，由大小寫字母、數(shù)字及特殊符號等混合、隨機(jī)組成，不要以姓名、電話號碼以及出生日期等作為口令或者口令的組成部分。,用戶賬號管理,用戶賬號的口令（密碼）管理重點(diǎn)： 檢查口令是否以HASH或者加密技術(shù)保存，是否以明文方式保存或者傳輸。 口令至少每90天更換一次。,網(wǎng)絡(luò)設(shè)備簡介 用戶賬號管理 登錄限制 SNMP 日志審計,網(wǎng)絡(luò)設(shè)備本身的安全配置,登錄限制,本地登錄 檢查Console是否添加口令。 檢查是否設(shè)置最大登錄空閑時間。 當(dāng)無操作的時間達(dá)到設(shè)定后，網(wǎng)絡(luò)設(shè)備自動切斷連接。,登錄限制,本地登錄 （華為網(wǎng)絡(luò)設(shè)備舉例）,登錄限制,遠(yuǎn)程登錄 檢查VTY、AUX是否設(shè)置口令和其他登錄認(rèn)證。 盡量采用SSH

5、等安全程度比較高的遠(yuǎn)程登錄方式 檢查是否設(shè)置ACL等相關(guān)策略。 檢查是否設(shè)置最大登錄空閑時間。 當(dāng)無操作的時間達(dá)到設(shè)定后，網(wǎng)絡(luò)設(shè)備自動切斷遠(yuǎn)程連接。,登錄限制,遠(yuǎn)程登錄 （華為網(wǎng)絡(luò)設(shè)備舉例）,登錄限制,遠(yuǎn)程登錄 （華為網(wǎng)絡(luò)設(shè)備舉例，ACL設(shè)置）,登錄限制,遠(yuǎn)程登錄（以下截圖說明了“不限制登錄IP”的時候，有很多不明IP一直在嘗試登錄。進(jìn)行ACL限制IP地址后，可以防止黑客利用多個客戶端進(jìn)行窮舉破解）,網(wǎng)絡(luò)設(shè)備簡介 用戶賬號管理 登錄限制 SNMP 日志審計,網(wǎng)絡(luò)設(shè)備本身的安全配置,SNMP,SNMP基本原理 簡單網(wǎng)絡(luò)管理協(xié)議(Simple Network Management Protocol

6、)。 SNMP的開發(fā)目的是簡化大型網(wǎng)絡(luò)中設(shè)備的管理和數(shù)據(jù)的獲取。 SNMP采用了Client/Server模型的形式。對網(wǎng)絡(luò)的管理與維護(hù)是通過管理工作站（Server）與SNMP代理（Client）間的交互工作完成的。 SNMP的發(fā)明代表著網(wǎng)絡(luò)管理的一大進(jìn)步，現(xiàn)在它仍是高效管理大型網(wǎng)絡(luò)的有力工具。,SNMP,SNMP安全隱患 SNMP使用的通信字符串主要包含兩類命令：GET命令，SET命令。GET命令從設(shè)備讀取數(shù)據(jù)，這些數(shù)據(jù)通常是操作參數(shù)，例如連接狀態(tài)、接口名稱等。SET命令允許設(shè)置設(shè)備的某些參數(shù)，這類功能一般有限制，例如關(guān)閉某個網(wǎng)絡(luò)接口、修改路由器參數(shù)等功能。 但很顯然，GET、SET命令都

7、可能被用于拒絕服務(wù)攻擊（DoS）和惡意修改網(wǎng)絡(luò)參數(shù)。最常見的默認(rèn)通信字符串是public（只讀）和private（讀/寫）。幾乎所有運(yùn)行SNMP的網(wǎng)絡(luò)設(shè)備上，都可以找到某種形式的默認(rèn)通信字符串。,SNMP,SNMP安全隱患 SNMP 2.0和SNMP 1.0的安全機(jī)制比較脆弱，通信不加密，所有通信字符串和數(shù)據(jù)都以明文形式發(fā)送。攻擊者一旦捕獲了網(wǎng)絡(luò)通信，就可以利用各種嗅探工具直接獲取通信字符串。 這些字符串對黑客組織來說根本不是秘密，只要獲取了這些字符串，攻擊者就可以進(jìn)行冒充，以管理節(jié)點(diǎn)的身份操作網(wǎng)絡(luò)。,SNMP,SNMP安全設(shè)置要求 設(shè)備必須關(guān)閉未使用的SNMP協(xié)議和未使用的RW權(quán)限。 設(shè)備應(yīng)

8、支持修改SNMP協(xié)議RO和RW的Community通行字功能。 設(shè)備應(yīng)支持發(fā)起SNMP源IP地址限制和設(shè)備接收端口限制功能。 設(shè)備SNMP功能應(yīng)支持V2或V2以上版本。 設(shè)備應(yīng)支持SNMP TRAP協(xié)議端口修改。 設(shè)備應(yīng)支持SNMP協(xié)議RO和RW的Community通行字加密存放。,SNMP,SNMP安全配置實(shí)例 IP承載網(wǎng)南寧軟交換CE2的SNMP設(shè)置如下圖,網(wǎng)絡(luò)設(shè)備簡介 用戶賬號管理 登錄限制 SNMP 日志審計,網(wǎng)絡(luò)設(shè)備本身的安全配置,日志審計,日志審計目的 確保發(fā)生安全事件后，設(shè)備日志能提供充足的信息進(jìn)行安全事件定位。 設(shè)備日志支持記錄與設(shè)備相關(guān)的重要事件，包括違反安全策略的事件、設(shè)備

9、部件發(fā)生故障或其存在環(huán)境異常等，這樣通過審計分析工具，就可以發(fā)現(xiàn)安全隱患。 如出現(xiàn)大量違反ACL規(guī)則的事件時，通過對日志的審計分析，能發(fā)現(xiàn)隱患，提高設(shè)備維護(hù)人員的警惕性，防止惡化。,日志審計,日志審計要求 設(shè)備日志應(yīng)支持記錄用戶對設(shè)備的操作，如賬號創(chuàng)建、刪除和權(quán)限修改，口令修改，讀取和修改設(shè)備配置，設(shè)備軟硬件變更，讀取和修改業(yè)務(wù)的運(yùn)行數(shù)據(jù)、涉及通信隱私數(shù)據(jù)等。 記錄需要包含用戶賬號，操作時間，操作內(nèi)容以及操作結(jié)果。,網(wǎng)絡(luò)設(shè)備安全培訓(xùn),網(wǎng)絡(luò)設(shè)備本身的安全配置 網(wǎng)絡(luò)設(shè)備保護(hù)業(yè)務(wù)承載的安全配置,組網(wǎng)及拓?fù)浒踩?路由協(xié)議安全配置 業(yè)務(wù)接入安全,網(wǎng)絡(luò)設(shè)備保護(hù)業(yè)務(wù)承載的安全配置,組網(wǎng)及拓?fù)浒踩?網(wǎng)絡(luò)冗余

10、電源 同局點(diǎn)成對設(shè)置的網(wǎng)絡(luò)設(shè)備，應(yīng)分別從不同的電源系統(tǒng)取電。避免由于單一電源來源本身故障，而引發(fā)兩臺網(wǎng)絡(luò)設(shè)備同時無法工作的重大故障。 傳輸 網(wǎng)絡(luò)設(shè)備的雙歸屬的傳輸電路，有條件的，要盡量開在傳輸?shù)碾p路由雙平面上。 “傳輸雙路由雙平面”解釋：“雙路由”指的是出局電路走在不同的物理光纜上；“雙平面”指的是由不同的傳輸設(shè)備所組成的各自獨(dú)立的傳輸網(wǎng)絡(luò)。,組網(wǎng)及拓?fù)浒踩?網(wǎng)絡(luò)冗余 板卡 網(wǎng)絡(luò)設(shè)備的上聯(lián)與橫聯(lián)端口應(yīng)避免全部分布在同一塊板卡上，不然有可能出現(xiàn)由于一個板卡故障而導(dǎo)致上聯(lián)和橫聯(lián)同時中斷的故障。,組網(wǎng)及拓?fù)浒踩?IP承載網(wǎng)環(huán)狀組網(wǎng)拓?fù)鋱D IP承載網(wǎng)采用環(huán)狀組網(wǎng)這種最高安全程度的組網(wǎng)方式。 重要系統(tǒng)的

11、內(nèi)部IP網(wǎng)絡(luò)也可以參考本組網(wǎng)方式。,組網(wǎng)及拓?fù)浒踩?路由協(xié)議安全配置 業(yè)務(wù)接入安全,網(wǎng)絡(luò)設(shè)備保護(hù)業(yè)務(wù)承載的安全配置,路由協(xié)議安全配置,路由協(xié)議啟用安全認(rèn)證 為了提高OSPF、IS-IS、BGP、LDP、RSVP等協(xié)議安全，在需要運(yùn)行這些路由協(xié)議的接口上啟用Hello認(rèn)證機(jī)制，建議在OSPF Peer、ISIS peer、BGP Peer、LDP Peer、RSVP Peer間啟用認(rèn)證機(jī)制，并盡可能的采用MD5認(rèn)證以提高IS-IS、BGP、LDP、RSVP等協(xié)議安全性。,路由協(xié)議安全配置,路由過濾 網(wǎng)絡(luò)設(shè)備不應(yīng)該不加區(qū)分的盲目接受任何其他網(wǎng)絡(luò)設(shè)備發(fā)送過來的路由信息。 為防止有可能產(chǎn)生的路由環(huán)路，

12、以及影響全網(wǎng)所承載的業(yè)務(wù)穩(wěn)定運(yùn)行的其他的未知風(fēng)險，網(wǎng)絡(luò)設(shè)備應(yīng)該設(shè)置一個正確的過濾表，有選擇的對待其他網(wǎng)絡(luò)設(shè)備發(fā)送過來的路由信息，根據(jù)實(shí)際情況，進(jìn)行路由學(xué)習(xí)、路由丟棄等相關(guān)操作。,路由協(xié)議安全配置,舉BGP路由協(xié)議為例進(jìn)行說明 BGP路由協(xié)議作為全球通用的邊界網(wǎng)關(guān)協(xié)議（Border Gateway Protocol），目前在事實(shí)上已成為全球Ineternet互聯(lián)網(wǎng)路由協(xié)議的不二選擇。由于Ineternet網(wǎng)絡(luò)的公眾性，因此網(wǎng)絡(luò)設(shè)備運(yùn)行的BGP路由協(xié)議可被外界看到，這就給攻擊者提供了關(guān)于網(wǎng)絡(luò)設(shè)備的大量信息。 BGP使用TCP179端口進(jìn)行通信，因此攻擊者可以反復(fù)嘗試TCP參數(shù)的組合（源地址、源端口

13、、目的地址、目的端口、TCP序號），然后發(fā)送TCP復(fù)位數(shù)據(jù)包給BGP路由器。只要TCP的這5個參數(shù)是“偽裝”成有效的，BGP路由器就會認(rèn)為復(fù)位數(shù)據(jù)是正確的，接下來就是BGP會話被重置，這樣就造成了網(wǎng)絡(luò)的崩潰。,路由協(xié)議安全配置,TE FRR TE FRR（流量工程快速重路由），該技術(shù)可以將業(yè)務(wù)流量極快速地（毫秒級）切換到預(yù)先設(shè)置的保護(hù)路徑上，避免用戶感知度及其敏感的業(yè)務(wù)（比如語音業(yè)務(wù)、高清視頻業(yè)務(wù)等）由于主用鏈路中斷而導(dǎo)致的傳送質(zhì)量嚴(yán)重下降的后果。 中國移動IP專用承載網(wǎng)各類業(yè)務(wù)采用基于IGP驅(qū)動形成的MPLS VPN組實(shí)現(xiàn)承載，以保證其網(wǎng)絡(luò)業(yè)務(wù)承載的安全性。 在核心層網(wǎng)絡(luò)部署LDP Over

14、 RSVP及MPLS TE FRR鏈路保護(hù)功能，可以提供全網(wǎng)小于50ms的故障切換保護(hù)。在長途傳輸鏈路故障情況下，采用備份TE作為端到端IGP/LDP收斂過程中業(yè)務(wù)的臨時轉(zhuǎn)發(fā)路徑，主備TE實(shí)現(xiàn)50ms切換，然后通過端到端的IGP/LDP快速收斂將流量切換到次優(yōu)的備份路徑，從而保證在IGP/LDP收斂過程中業(yè)務(wù)轉(zhuǎn)發(fā)不中斷，實(shí)現(xiàn)了在故障情況下話音等實(shí)時業(yè)務(wù)的快速恢復(fù)。,路由協(xié)議安全配置,TE FRR 主備用的TE采用嚴(yán)格顯式的方式配置，在傳輸系統(tǒng)故障的情況下，主用TE中斷，路徑切換到備份的LSP上，直至傳輸鏈路恢復(fù)。,組網(wǎng)及拓?fù)浒踩?路由協(xié)議安全配置 業(yè)務(wù)接入安全,網(wǎng)絡(luò)設(shè)備保護(hù)業(yè)務(wù)承載的安全配置,

15、業(yè)務(wù)接入安全,雙冗余接入 在有條件的地方，以及有較高接入安全要求的業(yè)務(wù)，可以考慮雙上行接入。,業(yè)務(wù)接入安全,未使用物理端口關(guān)閉和MAC地址綁定 目的是防止未經(jīng)授權(quán)的非法終端接入網(wǎng)絡(luò)（以下為未使用物理端口關(guān)閉和MAC綁定的安全配置實(shí)例）。,業(yè)務(wù)接入安全,容量安全 要根據(jù)業(yè)務(wù)開展的實(shí)際情況，選用適當(dāng)?shù)脑O(shè)備和相關(guān)數(shù)據(jù)配置。 案例： 有個小區(qū)有很多用戶投訴上網(wǎng)速度很慢，在采用很多技術(shù)手段進(jìn)行故障分析和定位后，最后終于確定出問題是由小區(qū)的接入交換機(jī)S3526E引起的。 在S3526E上查看路由表信息，發(fā)現(xiàn)已有1000條左右的OSPF路由信息。由于S3526硬件轉(zhuǎn)發(fā)的路由表只能有16條，多余的路由會上送C

16、PU進(jìn)行軟件轉(zhuǎn)發(fā)，嚴(yán)重占用了系統(tǒng)資源，導(dǎo)致上網(wǎng)速度慢。 最后通過在OSPF協(xié)議中進(jìn)行路由條目過濾，才解決了本次故障。,業(yè)務(wù)接入安全,容量安全 QoS 1、擁塞管理 可采用技術(shù)有四種：FIFO、PQ、CQ、WFQ。 （1）FIFO是最簡單的一種，對數(shù)據(jù)包進(jìn)行緩存，實(shí)現(xiàn)簡單的先進(jìn)先出排隊(duì)。 （2）PQ（優(yōu)先權(quán)排隊(duì)）是一種搶占性的排隊(duì)機(jī)制，它對最重要的業(yè)務(wù)保證它的QoS；但是，它是以犧牲其它較低優(yōu)先級的業(yè)務(wù)的QoS為代價。 （3）CQ（比例排隊(duì)）是一種按照預(yù)定分配比例輪流服務(wù)的排隊(duì)方式，它解決了丟失和重要業(yè)務(wù)的QoS，同時保證較低重要性的業(yè)務(wù)不至于輪空，但要注意帶寬變化導(dǎo)致的部分業(yè)務(wù)的數(shù)據(jù)可能出現(xiàn)輪

17、空。 （4）WFQ是一種為不同流量或業(yè)務(wù)類別分配公平帶寬的自動調(diào)度方法，在擁塞時根據(jù)權(quán)值來分配流量，既防止個別流量不公平地占用帶寬，又能自動適應(yīng)于網(wǎng)絡(luò)的變化。,業(yè)務(wù)接入安全,容量安全 QoS 2、擁塞避免 現(xiàn)在應(yīng)用較多的主要擁塞避免技術(shù)是加權(quán)隨機(jī)早期檢測（WRED），它是一種為TCP/IP網(wǎng)設(shè)計的擁塞避免機(jī)制。WRED能夠在端口發(fā)生高度擁擠之前選擇丟棄低優(yōu)先級的報文，通知發(fā)送端降低發(fā)送速率，從而為高優(yōu)先權(quán)的報文提供優(yōu)先的流量處理，并為不同類型的服務(wù)提供不同的性能特征。,業(yè)務(wù)接入安全,容量安全 QoS 3、流量策略和整形 流量策略一般直接采用丟棄報文的方式，而流量整形一般采用排隊(duì)機(jī)制來延遲超載流

18、量。流量往往需要根據(jù)本地接口、策略和遠(yuǎn)程接口來修正。一般根據(jù)Token Bucket過濾器規(guī)定的保證速率和突發(fā)速率來進(jìn)行，這些參數(shù)可以通過策略配置和接口容量來推算。最簡單的形式是根據(jù)策略發(fā)現(xiàn)特定端口上的速率超過了指定的遵從速率，而更復(fù)雜的是鏈路層指示發(fā)生擁塞，因而在特定的時間，不同的DTE有不同的訪問速率。,目錄,網(wǎng)絡(luò)設(shè)備安全培訓(xùn) 防火墻設(shè)備安全培訓(xùn) 網(wǎng)絡(luò)互聯(lián)安全知識培訓(xùn),第二部分 防火墻設(shè)備安全培訓(xùn),防火墻設(shè)備安全培訓(xùn),防火墻技術(shù)歷史 防火墻基本功能 防火墻部署原則 防火墻安全管理,防火墻技術(shù)歷史,什么是防火墻 在建筑學(xué)的大廈構(gòu)造中，防火墻被設(shè)計用來防止火從大廈的一部分傳播到另一部分。 網(wǎng)絡(luò)

19、中的防火墻有類似的作用：防止因特網(wǎng)的危險傳播到私有網(wǎng)絡(luò)。,過濾！過濾！過濾！,防火墻技術(shù)歷史,什么是防火墻 在網(wǎng)絡(luò)邊界處，防火墻一方面阻止來自因特網(wǎng)對受保護(hù)網(wǎng)絡(luò)的未授權(quán)或未驗(yàn)證的訪問，另一方面允許內(nèi)部網(wǎng)絡(luò)的用戶對因特網(wǎng)進(jìn)行WEB 訪問或收發(fā)E-mail 等。當(dāng)外部網(wǎng)絡(luò)的用戶訪問內(nèi)部網(wǎng)絡(luò)資源時，要經(jīng)過防火墻；而內(nèi)部網(wǎng)絡(luò)的用戶訪問外部網(wǎng)絡(luò)資源時，也會經(jīng)過防火墻。這樣，防火墻就起到了一個“警衛(wèi)”的作用，可以將需要禁止的數(shù)據(jù)包在這里丟掉。 防火墻不單用于私有網(wǎng)絡(luò)對因特網(wǎng)的連接，也可以用來在組織網(wǎng)絡(luò)內(nèi)部保護(hù)大型機(jī)和重要的資源（如數(shù)據(jù)）。對受保護(hù)數(shù)據(jù)的訪問都必須經(jīng)過防火墻的過濾，即使網(wǎng)絡(luò)內(nèi)部用戶要訪問受保

20、護(hù)的資源，也要經(jīng)過防火墻。防火墻還可以作為一個訪問因特網(wǎng)的權(quán)限控制關(guān)口，如允許組織內(nèi)特定的人訪問因特網(wǎng)?，F(xiàn)在的許多防火墻同時還具有其他一些功能，如進(jìn)行身份認(rèn)證、對信息進(jìn)行安全（加密）處理等。,包過濾防火墻 代理型防火墻 狀態(tài)檢測防火墻,防火墻技術(shù)歷史,包過濾防火墻,包過濾防火墻的基本原理： 通過配置ACL實(shí)施數(shù)據(jù)包的過濾。 實(shí)施過濾主要是基于數(shù)據(jù)包中的IP 層所承載的上層協(xié)議的協(xié)議號、源/目的IP 地址、源/目的端口號和報文傳遞的方向等信息。ACL/包過濾應(yīng)用在路由器中，對路由器需要轉(zhuǎn)發(fā)的IP 數(shù)據(jù)包，先獲取數(shù)據(jù)包的包頭信息，然后和設(shè)定的ACL 規(guī)則進(jìn)行比較，根據(jù)比較的結(jié)果決定對數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)

21、或者丟棄。 包過濾防火墻的特點(diǎn)： 1、最大的特點(diǎn)是簡單，但是缺乏靈活性。 2、另外需要針對每個數(shù)據(jù)包都要進(jìn)行策略檢查，如果策略過多將導(dǎo)致性能急劇下降。,包過濾防火墻 代理型防火墻 狀態(tài)檢測防火墻,防火墻技術(shù)歷史,代理型防火墻,代理型防火墻的基本原理： 代理型防火墻作為一個業(yè)務(wù)訪問的中間節(jié)點(diǎn)，對Client來說，防火墻是一個Server；對Server來說，防火墻又變成了一個Client。 代理型防火墻的特點(diǎn)： 1、安全性很高。 2、但開發(fā)代價很高，對每一種業(yè)務(wù)應(yīng)用都要開發(fā)一套安全規(guī)則和算法，因此不能支持豐富的業(yè)務(wù)，只能針對某些應(yīng)用，比如我們常用的HTTP代理。,包過濾防火墻 代理型防火墻 狀態(tài)

22、檢測防火墻,防火墻技術(shù)歷史,狀態(tài)檢測防火墻,狀態(tài)檢測技術(shù)： 狀態(tài)檢測技術(shù)是一種高級通信技術(shù)。狀態(tài)檢測是檢查應(yīng)用層協(xié)議信息并且監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)。 狀態(tài)檢測防火墻： 對于所有連接，狀態(tài)防火墻通過檢測基于TCP/UDP連接的連接狀態(tài)，動態(tài)地決定報文是否可以通過防火墻。在狀態(tài)防火墻中，會維護(hù)著一個以五元組（源IP、源端口、目的IP、目的端口、協(xié)議號）為Key值的Session表，對于后續(xù)數(shù)據(jù)包通過匹配Session表項(xiàng)，防火墻就可以決定哪些是合法訪問，哪些是非法訪問。,狀態(tài)檢測防火墻,狀態(tài)檢測防火墻的數(shù)據(jù)報文檢測過程： 以一個Telnet訪問為例，當(dāng)TCP三次握手完成的時候，防火墻會創(chuàng)建一

23、個基于五元組的Session表項(xiàng)，當(dāng)前用戶的Telnet應(yīng)答報文通過防火墻的時候，能匹配上Session表項(xiàng)而被允許通過，而其他用戶的Telnet進(jìn)程的應(yīng)答報文都會被防火墻阻止。 Session表項(xiàng)會隨著TCP協(xié)議的變化而變化，在沒有完成三次握手之前，非法報文仍然無法通過防火墻。當(dāng)Telnet通話結(jié)束之后，Session表項(xiàng)立即被刪除，則這時再偽造Telnet的非法報文也無法通過了。,防火墻設(shè)備安全培訓(xùn),防火墻技術(shù)歷史 防火墻基本功能 防火墻部署原則 防火墻安全管理,防火墻基本功能,從總體上看，防火墻應(yīng)具有以下基本功能（一）： 過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)； 管理進(jìn)、出網(wǎng)絡(luò)的訪問行為； 封堵某些禁止的

24、業(yè)務(wù)； 記錄通過防火墻的信息內(nèi)容和活動； 對網(wǎng)絡(luò)攻擊的檢測和告警；,防火墻基本功能,從總體上看，防火墻應(yīng)具有以下基本功能（二）： 網(wǎng)絡(luò)地址轉(zhuǎn)換NAT； 防火墻雙機(jī)熱備； 負(fù)載均衡； 與IDS聯(lián)動/與病毒服務(wù)器的聯(lián)動； VPN功能；,防火墻基本功能,域間的數(shù)據(jù)流分兩個方向： 入方向（inbound）：數(shù)據(jù)由低級別的安全區(qū)域向高級別的安全區(qū)域傳輸?shù)姆较颍?出方向（outbound）：數(shù)據(jù)由高級別的安全區(qū)域向低級別的安全區(qū)域傳輸?shù)姆较颉?本域內(nèi)不同接口間不過濾直接轉(zhuǎn)發(fā) 進(jìn)、出接口相同的報文被丟棄 接口沒有加入域之前不能轉(zhuǎn)發(fā)包文,Local區(qū)域,Trust區(qū)域,DMZ區(qū)域,Untrust區(qū)域,接口1,

25、接口2,接口3,接口4,In,Out,In,Out,In,Out,In,Out,防火墻的安全區(qū)域,防火墻基本功能,防火墻的安全區(qū)域,防火墻基本功能,防火墻的安全區(qū)域配置舉例,Eudemon firewall zone trust Eudemon-zone-trust add interface ethernet 0/0/0 Eudemon-zone-trust quit Eudemon firewall zone dmz Eudemon-zone-dmz add interface ethernet 1/0/0 Eudemon-zone-dmz quit Eudemon firewall zo

26、ne untrust Eudemon-zone-untrust add interface ethernet 2/0/0 Eudemon-zone-untrust quit,防火墻設(shè)備安全培訓(xùn),防火墻技術(shù)歷史 防火墻基本功能 防火墻部署原則 防火墻安全管理,防火墻部署原則,防火墻作為實(shí)現(xiàn)網(wǎng)絡(luò)邊界隔離的設(shè)備，其部署應(yīng)以安全域劃分以及系統(tǒng)邊界整合為前提，綜合考慮邊界風(fēng)險的程度來設(shè)定。 中國移動集團(tuán)公司規(guī)定，每一個安全域總體上可以體現(xiàn)為接口層、核心層、系統(tǒng)層三個層面，并細(xì)分為互聯(lián)接口域、核心交換域、維護(hù)域、核心生產(chǎn)域等等。,防火墻部署原則,集中防護(hù)原則 等級保護(hù)原則 與業(yè)務(wù)特殊需求一致原則 與邊界威

27、脅一致原則 異構(gòu)原則 防火墻種類最小化原則,防火墻部署原則（網(wǎng)管網(wǎng)）,在對網(wǎng)管網(wǎng)整體實(shí)施安全域劃分的基礎(chǔ)上，集中部署防火墻防護(hù)各網(wǎng)管系統(tǒng)。采用雙重異構(gòu)的防火墻防護(hù)核心生產(chǎn)區(qū)與互聯(lián)網(wǎng)邊界，內(nèi)部互聯(lián)采用單層防火墻防護(hù)。,防火墻部署原則（核心網(wǎng)電路域）,核心網(wǎng)絡(luò)包括GSM核心網(wǎng)和3G核心網(wǎng) 兩個網(wǎng)絡(luò)相對封閉，主要面臨來自維護(hù)終端以及網(wǎng)管系統(tǒng)、計費(fèi)系統(tǒng)的威脅。 在整合與網(wǎng)管系統(tǒng)數(shù)據(jù)采集、計費(fèi)、OMC以及終端區(qū)域的邊界的基礎(chǔ)上，采用單層防火墻防護(hù)。 3G核心網(wǎng),防火墻部署同GSM核心網(wǎng)電路域部分。但3G網(wǎng)絡(luò)在電路域更加IP化，需要進(jìn)一步研究新安全風(fēng)險的防護(hù)方案。,防火墻部署原則（核心網(wǎng)分組域）,GPRS

28、防火墻部署 (1)GPRS核心網(wǎng)與CMNet的（Gi）接口部署單層防火墻； (2)Gn網(wǎng)段與其它運(yùn)營商的（BG）接口部署單層防火墻； (3)計費(fèi)安全域、網(wǎng)管安全域與GPRS核心網(wǎng)之間的接口部署單層防火墻； (4)GPRS核心網(wǎng)承載在CMNet上導(dǎo)致整體邊界模糊進(jìn)一步探討遷移到IP專網(wǎng)上的可能性。 3G分組域 基本與GPRS網(wǎng)絡(luò)的部署模式相同。,防火墻部署原則（業(yè)務(wù)網(wǎng)）,該類系統(tǒng)，如智能網(wǎng)，主要的安全風(fēng)險來自于支撐系統(tǒng)接入、內(nèi)部和第三方維護(hù)以及網(wǎng)絡(luò)可靠性。 防火墻部署 （1）通過Portal與CMNet間接連接雙層異構(gòu)防火墻； （2）與BOSS、網(wǎng)管、SMC等系統(tǒng)的互聯(lián)接口單層防火墻（注：與CM

29、Net接口內(nèi)層防火墻共用）,防火墻設(shè)備安全培訓(xùn),防火墻技術(shù)歷史 防火墻基本功能 防火墻部署原則 防火墻安全管理,防火墻安全管理,防火墻過濾規(guī)則設(shè)計原則,保持設(shè)計的簡單性 防火墻規(guī)則的最小允許原則 計劃好防火墻被攻破時的應(yīng)急響應(yīng) 考慮以下問題 認(rèn)證管理 授權(quán)管理 遠(yuǎn)程維護(hù)端口管理 日志管理 配置備份管理 軟件版本管理,防火墻安全管理（策略配置管理）,一切未被允許的就是禁止的。 防火墻缺省封鎖所有的信息流，然后對希望提供的服務(wù)逐項(xiàng)開放。 優(yōu)點(diǎn) : 實(shí)用,安全，可靠性高。 按規(guī)則鏈來進(jìn)行匹配 使用源地址、目的地址、源端口、目的端口、協(xié)議、時間段進(jìn)行匹配 從頭到尾的匹配方式 匹配成功馬上停止 立刻使用

30、該規(guī)則的”接受、禁止、拒絕”,防火墻安全管理（認(rèn)證管理）,Internet,管理員,黑客,如何實(shí)現(xiàn) 安全管理呢,采用一次性口令認(rèn)證來實(shí)現(xiàn)安全管理,用戶名，口令,用戶名，口令,防火墻安全管理（授權(quán)管理）,三權(quán)分立 結(jié)合使用場景，定義管理員、操作員、審計管理員三種角色,防火墻安全管理（遠(yuǎn)程維護(hù)端口管理）,禁止通過不安全的網(wǎng)絡(luò)訪問防火墻的管理端口登陸防火墻進(jìn)行配置. 更改默認(rèn)的遠(yuǎn)程配置端口.,防火墻安全管理（日志管理）,定期登陸防火墻查看日志信息,對帶有攻擊行為的源IP地址進(jìn)行封堵。 把防火墻的日志信息統(tǒng)一傳送到日志收集服務(wù)器上,以方便日志的查詢和審計工作。,防火墻安全管理（備份管理）,定期備份防火

31、墻的配置策略 定期備份防火墻的日志文件,防火墻安全管理（補(bǔ)丁管理）,硬件版防火墻： 實(shí)時跟蹤防火墻設(shè)備的廠家安全公告，根據(jù)廠家公告及時安裝補(bǔ)丁，或者更新防火墻的版本。 軟件版防火墻： 開啟自動更新功能，自動獲取廠家的補(bǔ)丁，并自動升級。,目錄,網(wǎng)絡(luò)設(shè)備安全培訓(xùn) 防火墻設(shè)備安全培訓(xùn) 網(wǎng)絡(luò)互聯(lián)安全知識培訓(xùn),第三部分 網(wǎng)絡(luò)互聯(lián)安全知識培訓(xùn),網(wǎng)絡(luò)互聯(lián)安全知識培訓(xùn),網(wǎng)絡(luò)互聯(lián)安全威脅 網(wǎng)絡(luò)互聯(lián)安全技術(shù),網(wǎng)絡(luò)互聯(lián)安全威脅,明確網(wǎng)絡(luò)的安全問題所在 從多角度看待網(wǎng)絡(luò)安全問題 網(wǎng)絡(luò)協(xié)議 組網(wǎng)模型（結(jié)合業(yè)務(wù)） 選擇安全技術(shù)，提出安全解決方案,網(wǎng)絡(luò)層次對應(yīng)的安全問題 組網(wǎng)分層對應(yīng)的安全問題,網(wǎng)絡(luò)互聯(lián)安全威脅,網(wǎng)絡(luò)層次對

32、應(yīng)的安全問題,應(yīng)用層安全,傳輸層安全,網(wǎng)絡(luò)層安全,鏈路層安全,操作系統(tǒng) 應(yīng)用程序 權(quán)限的設(shè)置 其他安全問題,報文竊聽 用戶名/口令失密 流量攻擊 拒絕服務(wù)攻擊 IP地址欺騙 網(wǎng)絡(luò)設(shè)備的后門 ,網(wǎng)絡(luò)層次對應(yīng)的安全問題,報文竊聽: 地理位置因素,竊聽不可避免 關(guān)注用戶網(wǎng)絡(luò)是否基于城域網(wǎng) 是否傳輸敏感數(shù)據(jù) 用戶名/口令失密: 冒充真正用戶,可能入侵內(nèi)部網(wǎng)絡(luò) 采用什么樣的驗(yàn)證措施,驗(yàn)證與授權(quán),加密技術(shù),網(wǎng)絡(luò)層次對應(yīng)的安全問題,了解網(wǎng)絡(luò)可靠性設(shè)計需求搜集要點(diǎn),流量攻擊 線路負(fù)載能力的不對稱 是否連接公共網(wǎng)絡(luò) 拒絕服務(wù)攻擊 合法用戶不能正常訪問資源 是否通過Internet對外提供業(yè)務(wù),訪問控制技術(shù),防DDoS,網(wǎng)絡(luò)層次對應(yīng)的安全問題,IP 地址欺騙 偽造報文,干擾正常運(yùn)行 竊取信息,VLAN 訪問控制 身份驗(yàn)證,網(wǎng)絡(luò)層次對應(yīng)的安全問題 組網(wǎng)分層對應(yīng)的安全問題,網(wǎng)絡(luò)互聯(lián)安全威