Day2 of 6

企业网络安全管理与实践

衔接第一天第二节课
如何保障安全

什么是企业网络安全

C : 未授权的访问
I : 未授权的操作和更改
A : 拒绝服务

网络安全策略要素

一个新的网络，从哪里入手
- 保密策略 ：审计外发和接收的全部信息，邮件，访问的网址，搜索记录
- 访问策略 ：不透露本地信息
安全信息提示 （图为ftp）: 不要透露服务器版本类型
- 维护策略 ：内外部人员访问控制
- 职责策略 ：
- 认证策略 ：
- 可用性声明 ：故障处理

构建网络安全

网络安全区域

分为不同功能、安全级别

安全区域
常见的防火墙区域：
trust（内部）级别最高 ->
DMZ（企业邮箱官网，常用为外部提供服务） ->
untrust（外部最低）
企业网常见格局
“三角形式”：常见，一个防火墙连接+网关
“DMZ在防火墙之外”：DMZ失去安全保障
“背靠背设计”：层叠防火墙，把DMZ放在中间，两台防火墙用异构方式处理，一个是网关，一个是连接（内网与外网？）。多用于金融等安全性要求很高的

设备安全

物理安全：
拓扑重复冗余（多好几条线等），在三层结构中间
设备冗余：
图为telnet连接过程，全明文
交换机、路由器、其他设备安全：
访问控制（只希望管理员登录（只允许某IP登陆），在路由器上配置 ACL）

安全路由

安全交换

略

防火墙和入侵检测

过滤流量。白名单机制，默认阻塞所有，只允许好的过。

包过滤防火墙（无状态）
基于原目的IP端口
解决策略，放行一本机IP端口对应一服务器IP端口，外端口放行，内端口放行

状态检测防火墙（有状态）
维护一个表，返回数据包时查表判断是否属于回复的数据包，如果是就在内端口自动放行。

演示：（包过滤）
- 内外端口全关
- 开启内端口放行（根据IP 端口），发出请求
request 请求，从PC到服务器
response 应答，说明服务器收到并正确回复
从目的网络不可达到请求超时
- 再开启外端口放行（根据IP端口）
ping通了

应用层网关
防火墙代理用户访问

下一代防火墙

防火墙在网络中的位置

• 对于企业边界，防火墙还是路由器更靠近边界？

思科官方推荐为路由器
如果对外是大量信息交换推荐路由器，否则防火墙处理不过来，影响效率
可使用带有防火墙功能的路由器
小型网络：使用带有路由功能的防火墙

在业务边界和远程访问边界会有防火墙，安全隔离

运营商不管安全，只保证转发能力

入侵检测/防御系统
从关键点拦截数据进行分析发现时是否有攻击

可能是单独硬件，可能是防火墙的模块
IDS：入侵检测系统，防火墙的补充。第二道安全。

位于sensor，作为旁路：
- IDS获得镜像的流量
- 与签名进行对比
- 向控制台发送信息，告诉交换机阻止

IPS：检测+防护，串行在网络

对比：
都使用探针/传感器
（有个表）

签名：不同厂家的竞争是在竞争签名库的完善 MD5

在企业网中部署在DMZ口、用户边界

VPN基本概念

虚拟专用网：部署在共享的基础设施上（运营商的机房等）的多个站点之间的客户联通性。如同专用网络，其他人不能用。

企业总部与分支机构的专线是VPN么：专线属于VPN一种
专线：物理一根线，每公里5-6万
狭义VPN：通过Internet构建一条隧道

翻墙的几种：**

VPN：gre（第三层）
代理服务器：先连接到国外的服务器，再访问外网。–>浏览器选项设置代理
host：本地DNS缓存修改，本地DNS解析。
- 防火墙原理之一
DNS污染：服务器解析到错误的IP。
IP更新时可以通 —> 修改host
lantern(没讲)：https://bitinn.net/10629/

分类

加密VPN
采用加密算法保证传输信息安全
非加密VPN
仅作为隧道

基于OSI模型的分层类型
Overlay VPN 二层、三层（GRE,IPsec）
p2p

基于拓扑

VPN核心：加解密（基础）

IPsecVPN

一种加密VPN，OSI第三层
保证私密性、完整性

三种协议构建安全框架
- IKE internet key exchange
- ESP encapsulating security payload
- AH authentication header

IKE

–>使用UDP 500
第一阶段：
认证对端：希望建立连接的对端
第二阶段：
协商哪些加密哪些不加密…等参数

IPsec头
透明模式：3,4之间加入一段ESP AH标记 , IP不变
隧道模式：2，3之间加入标记和新的IP（VPN网关IP），原始IP（本机IP）不能用了–>怎么知道到达网关之后传给谁？

ESP

对原始数据包加密认证

AH

对整个数据包认证。不加密

IPsecVPN建立步骤：

1. 找到相同的策略集（加密策略等）。交换密钥。建立
2. 协商转换集

真实企业环境VPN部署（图）

GRE over IPsec
保护子网：VPN允许通过的子网，对子网专用
IPSec 使两IP通
利用现在的源地址目标地址
GRE利用这两个地址打通GRE隧道，相当于拉一条专线

只用GRE：没法加密

网络访问控制

在流量巨大，网络规模庞大，很多设备的情况下如何控制

AAA模型
认证：身份
授权：level
记账：日志

---

安全设备日志分析

安全设备分类、介绍

NGFW: 用户应用、内容。老的防火墙达不到应用层的要求
IDS: 监控
IPS: 阻断
AV: 防病毒，与IDS,IPS差不多，必须要提前知道病毒方式
WAF: 保护服务器，对web应用提供保护
SCAN: 及时知道有什么漏洞，风险评估，反馈处理
VPN: 虚拟专用网
ICG: 上网行为管理

安全设备日志分类

• 身份认证和授权：登录访问之类
• 数据和系统访问：url
• 威胁管理： ids ips 防火墙
• 变更管理：安全策略改变（例如允许谁登录）
• 业务持续性可用性管理：开关机是否能使用
• 性能容量管理：CPU硬盘资源

安全设备日志构成——日志分析套用

• what 发生了什么
• when 起止时间
• where 发生在系统的哪里
• who 发起者是谁
• where 行为发起者来自
• how 采用什么方式

日志通俗定义

黑白灰流量
黑：确定非法
白：确认安全
灰：不确定

常见日志分析分析方法

1. 基线对比
   从不同协议流对比看不出，比对时间轴上的吞吐量、连接数变化
2. 关联分析
   
   • 统计信息关联
   • 统计与告警关联
   • 告警信息关联

通过工具日志检查威胁行为

下一代防火墙 NGFW

• 身份认证和授权：记录登录日志，密码是否正确
• 数据和系统访问：qq登录
• 威胁管理： 软件漏洞、病毒蠕虫
• 变更管理：安全策略增删调整优先级（例如允许谁登录）
• 业务持续性可用性管理：协议协商、热备设备启用情况
• 性能容量管理：CPU硬盘资源

上网行为管理 ICG

对内容的关注，到数据包内部的东西。单纯的url不够分析，看应用内部跑了什么东西（例如qq聊天记录、网页过滤）。属于泛安全。
- 身份认证和授权：管理员登录设备、通过设备的用户的登录情况
- 数据和系统访问：核心在应用和内容，访问信息
- 威胁管理： 记录违反安全策略的活动
- 变更管理：安全策略增删调整优先级（例如允许谁登录）
- 业务持续性可用性管理：协议协商、热备设备启用情况
- 性能容量管理：只在设备被攻击时关注。是否资源不够

IP和时间绑定之后才有效

web应用防火墙 WAF

web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为web应用提供保护
一般部署在网站前端
WAF
http://secsky.sinaapp.com/216.html

记录注入等攻击
- 访问：对所保护的网站的正常访问记录
- 审计：对设备的记录，登录信息等
- 抗DDOS
- 防篡改：对页面保护信息尝试篡改
- 备份：设备自身配置备份
- 攻击：尝试攻击的记录

管理权分散，防止万一被攻破后删除记录。