《网络工程与系统集成》课程电子教案（讲义）第5章 网络安全技术与应用

教案（第11、12次课4学时）一、授课题目第5章网络安全技术与应用二、教学目的和要求1．了解网络安全体系结构2．掌握网络安全中的防火墙、虚拟专用网、入侵检测技术的应用三、教学重点1.防火墙技术、虚拟专用网技术具体应用2.入侵检测技术、上网行为管理技术四、教学难点1.虚拟专用网技术的隧道技术2.入侵检测技术IDS的应用部署五、教学方法及形式课堂讲授多媒体教学+板书六、专用网术语应用代理网关（ApplicationGateway）DMZ（DemilitarizedZone）称为“非军事区”VRRP（VirtualRouterRedundancyProtocol）虚拟路由穴余协议七、主要参考资料《计算机网络工程实用教程》第3版主编：石炎生电子工业出版社《网络工程设计与系统集成》第2版主编：杨威人民邮电出版社《计算机网络教程》第2版主编：谢希仁人民邮电出版社八、作业九、课后记1

1 教 案 （第 11、12 次课 4 学时） 一、授课题目 第 5 章 网络安全技术与应用 二、教学目的和要求 1．了解网络安全体系结构 2．掌握网络安全中的防火墙、虚拟专用网、入侵检测技术的应用 三、教学重点 1．防火墙技术、虚拟专用网技术具体应用 2．入侵检测技术、上网行为管理技术 四、教学难点 1．虚拟专用网技术的隧道技术 2．入侵检测技术 IDS 的应用部署 五、教学方法及形式 课堂讲授 多媒体教学 + 板书 六、专用网术语 应用代理网关（Application Gateway） DMZ（Demilitarized Zone）称为“非军事区” VRRP (Virtual Router Redundancy Protocol)虚拟路由冗余协议 七、主要参考资料 《计算机网络工程实用教程》第 3 版 主编：石炎生 电子工业出版社 《网络工程设计与系统集成》第 2 版 主编：杨威 人民邮电出版社 《计算机网络教程》第 2 版 主编：谢希仁 人民邮电出版社 八、作 业 九、课后记

教学过程第5章网络安全技术与应用一、网络安全体系与技术1、网络安全体系网络安全体系是采用系统工程过程的结果，包括网络安全基础理论、网络安全应用技术、网络安全平台部署、网络安全管理和网络安全目标等五个方面。安全平台：安全目标安全管网络基础建设安全、网络传输建设安全、网络应用建设安全、网络安全设备部署。理：运营安全涉密安全战略安全：安全标准安全策略安全测安全技术：防火墙、入侵检测、入侵防御、虚拟专用网、上网行为管理、病毒清除、漏洞扫描、安全审计、身份认证、访问控制。安全理论：数据加密、数字签名、数字证书、信息摘要、密钥评管理、病毒原理、安全协议、访问控制模型。2、网络面临的安全威肋计算机网络所面临的威胁有三种：硬件安全、软件安全和数据安全。硬件：包括网络中的各种设备及线缆等：软件：包括网络操作系统、通信软件及应用软件：数据：包括系统的配置文件、日志文件、用户资料与数据、各种重要的数据库、以及其机密的通信内容等信息。3、网络安全技术（1）防火墙与防水墙技术（2）入侵检测与入侵防御技术2

2 教学过程 第 5 章 网络安全技术与应用 一、网络安全体系与技术 1、网络安全体系 网络安全体系是采用系统工程过程的结果，包括网络安全基础理论、网络安全应用 技术、网络安全平台部署、网络安全管理和网络安全目标等五个方面。 2、网络面临的安全威胁 计算机网络所面临的威胁有三种：硬件安全、软件安全和数据安全。 硬件：包括网络中的各种设备及线缆等； 软件：包括网络操作系统、通信软件及应用软件； 数据：包括系统的配置文件、日志文件、用户资料与数据、各种重要的数据库、 以及其机密的通信内容等信息。 3、网络安全技术 （1）防火墙与防水墙技术 （2）入侵检测与入侵防御技术

（3）虚拟专网技术（4）漏洞扫描技术（5）防病毒技术（6）上网行为管理技术（7）负载均衡技术（8）安全审计技术（9）流量监控技术二、防火墙技术1、防火墙及其功能（1）防火墙（Firewall）实际上是一种隔离技术，它将内部网和公众访问网（Internet）分开，在两者之间设置一道屏障，防止来自不明入侵者的所有通信。目前，应用于网络系统的防火墙是一台集成了防火墙功能、路由器功能、VPN功能、入侵检测功能等多功能的专用网络安全设备，它自身具有较强的抗攻击能力。（2）防火墙的功能过滤进出网络的数据包；管理进出网络的访问行为；封堵某些禁止的访问行为；记录通过防火墙的信息内容和活动对网络攻击进行检测和告警。2、防火墙的技术（1）包过滤技术包过滤（PacketFilter）技术是在网络层中对数据包实施有选择的通过。（2）代理服务器技术代理服务技术实际上是通过代理服务器（ProxyServer）来完成的，所以也称为代理服务器技术。（3）应用代理网关技术应用代理网关（ApplicationGateway）技术也称应用代理技术，是建立在网3

3 （3）虚拟专网技术 （4）漏洞扫描技术 （5）防病毒技术 （6）上网行为管理技术 （7）负载均衡技术 （8）安全审计技术 （9）流量监控技术 二、防火墙技术 1、防火墙及其功能 （1）防火墙（Firewall）实际上是一种隔离技术，它将内部网和公众访问网（Internet） 分开，在两者之间设置一道屏障，防止来自不明入侵者的所有通信。 目前，应用于网络系统的防火墙是一台集成了防火墙功能、路由器功能、VPN 功 能、入侵检测功能等多功能的专用网络安全设备，它自身具有较强的抗攻击能力。 （2）防火墙的功能 过滤进出网络的数据包； 管理进出网络的访问行为； 封堵某些禁止的访问行为； 记录通过防火墙的信息内容和活动； 对网络攻击进行检测和告警。 2、防火墙的技术 （1）包过滤技术 包过滤（Packet Filter）技术是在网络层中对数据包实施有选择的通过。 （2）代理服务器技术 代理服务技术实际上是通过代理服务器（Proxy Server）来完成的，所以也称 为代理服务器技术。 （3）应用代理网关技术 应用代理网关（Application Gateway）技术也称应用代理技术，是建立在网

络应用层上的协议过滤，它针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包分析并形成相关的报告。（4）状态检测技术状态检测技术在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。3、防火墙的分类（1）按照防火墙的实现技术分：包过滤型防火墙、应用代理型防火墙、基于状态检测的包过滤防火墙。（2）按照防火墙的组成结构分：软件级、硬件级和芯片级。（3）按照防火墙所处位置分：单一主机式、路由器集成式和分布式。（4）按防火墙的应用部署位置分：边界防火墙、个人防火墙和混合防火墙。（5）按照防火墙的带宽为：百兆级防火墙、千兆级防火墙以及万兆级防火墙。4、防火墙的部署方式（1）路由模式如果防火墙以第三层对外连接，则认为防火墙工作在路由（Route）模式下，此时所有接口都要配置IP地址。（2）透明模式若防火墙通过第二层（数据链路层）对外连接，则防火墙工作在透明模式（也可以称为桥模式）下，此时不需要对其接口配置IP地址。用户也不知道防火墙的IP地址，意识不到防火墙的存在，即对用户是完全透明的（Transparent）。（3）混合模式若防火墙同时具有工作在路由模式和透明模式的接口，即某些接口具有IP地址，某些接口无IP地址，则防火墙工作在混合模式下。4

4 络应用层上的协议过滤，它针对特别的网络应用服务协议即数据过滤协议，并且能 够对数据包分析并形成相关的报告。 （4）状态检测技术 状态检测技术在防火墙的核心部分建立状态连接表，并将进出网络的数据当成 一个个的会话，利用状态表跟踪每一个会话状态。 3、防火墙的分类 （1）按照防火墙的实现技术分： 包过滤型防火墙、应用代理型防火墙、基于状态检测的包过滤防火墙。 （2）按照防火墙的组成结构分： 软件级、硬件级和芯片级。 （3）按照防火墙所处位置分： 单一主机式、路由器集成式和分布式。 （4）按防火墙的应用部署位置分： 边界防火墙、个人防火墙和混合防火墙。 （5）按照防火墙的带宽为： 百兆级防火墙、千兆级防火墙以及万兆级防火墙。 4、防火墙的部署方式 （1）路由模式 如果防火墙以第三层对外连接，则认为防火墙工作在路由（Route）模式下， 此时所有接口都要配置 IP 地址。 （2）透明模式 若防火墙通过第二层（数据链路层）对外连接，则防火墙工作在透明模式（也 可以称为桥模式）下，此时不需要对其接口配置 IP 地址。用户也不知道防火墙 的 IP 地址，意识不到防火墙的存在，即对用户是完全透明的（Transparent）。 （3）混合模式 若防火墙同时具有工作在路由模式和透明模式的接口，即某些接口具有 IP 地址，某些接口无 IP 地址，则防火墙工作在混合模式下

配置IP地址的接口所在的安全区域是三层区域，接口上启动VRRP（VirtualRouterRedundancyProtocol，虚拟路由余协议）功能，用于双机热备份：而未配置IP地址的接口所在的安全区域是二层区域，和二层区域相关接口连接的外部用户同属一个子网。三、虚拟专用网技术1、VPN的作用原理虚拟专用网络（VirtualPrivateNetwork，VPN）是指将物理上分布在不同地点的局域网，通过公共网络（Internet）构建成一个逻辑上的专用网络，实现安全可靠、方便快捷的通信。局域网局域网Internet隧道健VPN服务器VPN服务器2、VPN安全技术（1）隧道技术。即在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。隧道是由隧道协议形成的，主要有：点到点隧道协议PPTP第二层转发协议L2F第二层隧道协议L2TP网络层隧道协议IPSecGRE会话层隧道协议SOCKSv5和SSL。（2）加密技术。包括加密、解密和密钥管理技术（3）认证技术。最常用的是使用者名称与密码或卡片式认证方式。（4）QoS技术。QoS表示数据流通过网络时的性能，它的目的在于向用户提供端到端的服务质量保证。3、VPN技术的应用5

5 配置 IP 地址的接口所在的安全区域是三层区域，接口上启动 VRRP（Virtual Router Redundancy Protocol，虚拟路由冗余协议）功能，用于双机热备份；而未 配置 IP 地址的接口所在的安全区域是二层区域，和二层区域相关接口连接的外部 用户同属一个子网。 三、虚拟专用网技术 1、VPN 的作用原理 虚拟专用网络(Virtual Private Network，VPN)是指将物理上分布在不同地点的 局域网，通过公共网络（Internet）构建成一个逻辑上的专用网络，实现安全可靠、 方便快捷的通信。 2、VPN 安全技术 （1）隧道技术。即在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。 隧道是由隧道协议形成的，主要有： 点到点隧道协议 PPTP 第二层转发协议 L2F 第二层隧道协议 L2TP 网络层隧道协议 IPSec GRE 会话层隧道协议 SOCKS v5 和 SSL。 （2）加密技术。包括加密、解密和密钥管理技术 （3）认证技术。最常用的是使用者名称与密码或卡片式认证方式。 （4）QoS 技术。QoS 表示数据流通过网络时的性能，它的目的在于向用户提供端到端 的服务质量保证。 3、VPN 技术的应用

（1）远程访问VPNAccessVPN（简称远程访问VPN）又称为拨号VPN（即VPDN），是企业员工或企业的小分支机构通过公网远程访问企业内部网络而构筑的虚拟网。因远程用户一般是一台计算机，而不是网络，因此该类型的VPN是一种主机到网络的拓扑结构。AccessVPN通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网的远程访问(2)IntranetVPNIntranetVPN（简称内部VPN）是企业的总部与分支机构之间通过公网构筑的虚拟网。IntranetVPN是一种网络到网络以对等方式连接的拓扑结构。IntranetVPN通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。(3)ExtranetVPNExtranetVPN（简称外联网VPN）是企业间发生收购、兼并或企业间建立战略联盟后，使不同企业网通过公网来构筑的虚拟网。ExtranetVPN是一种网络到网络以对等方式连接的拓扑结构。ExtranetVPN通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。四、入侵检测技术1、入侵检测技术概述入侵检测（IntrusionDetection，ID)，是指对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测是检测和响应计算机误用的学科，其作用包括威摄、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测系统（IntrusionDetectionSystem，IDS）是指进行入侵检测的软件与硬件的组合6

6 （1）远程访问 VPN Access VPN（简称远程访问 VPN）又称为拨号 VPN（即 VPDN），是企业员工或企 业的小分支机构通过公网远程访问企业内部网络而构筑的虚拟网。 因远程用户一般是一台计算机，而不是网络，因此该类型的 VPN 是一种主机到 网络的拓扑结构。 Access VPN 通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内 部网的远程访问 （2）Intranet VPN Intranet VPN（简称内部 VPN）是企业的总部与分支机构之间通过公网构筑的虚 拟网。 Intranet VPN 是一种网络到网络以对等方式连接的拓扑结构。Intranet VPN 通 过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。 （3）Extranet VPN Extranet VPN（简称外联网 VPN）是企业间发生收购、兼并或企业间建立战略 联盟后，使不同企业网通过公网来构筑的虚拟网。 Extranet VPN 是一种网络到网络以对等方式连接的拓扑结构。 Extranet VPN 通过一个使用专用连接的共享基础设施，将客户、供应商、合 作伙伴或兴趣群体连接到企业内部网。 四、入侵检测技术 1、入侵检测技术概述 入侵检测（Intrusion Detection，ID），是指对入侵行为的检测。它通过收集和 分析计算机网络或计算机系统中若干关键点的信息，检查网络或系统中是否存在违反 安全策略的行为和被攻击的迹象。 入侵检测是检测和响应计算机误用的学科，其作用包括威摄、检测、响应、损失 情况评估、攻击预测和起诉支持。 入侵检测系统（Intrusion Detection System，IDS）是指进行入侵检测的软件与 硬件的组合

2、入侵检测系统功能入侵检测系统本质上是一种“嗅探设备”，其功能主要如下：监测并分析用户和系统的活动；核查系统配置和漏洞：评估系统关键资源和数据文件的完整性：识别已知的攻击行为；统计分析异常行为；操作系统日志管理，并识别违反安全策略的用户活动。3、IDS的分类（1）主机型入侵检测系统主机型入侵检测系统（Host-basedIntrusionDetectionSystem，HIDS）是早期的入侵检测系统结构，其检测的目标主要是主机系统和系统本地用户，检测原理是根据主机的审计数据和系统日志发现可疑事件。HIDS可以运行在被检测的主机或单独的主机上。HIDS对分析“可能的攻击行为”非常有用，误报率较低，不需要另外添加设备。（2）网络型入侵检测系统网络型入侵检测系统（Network-basedIntrusionDetectionSystem，NIDS）是通过分析主机之间网线上传输的信息来工作的。它通常利用一个工作在“混杂模式”（PromiscuousMode）下的网卡来实时监视并分析通过网络的数据流。NIDS的优点是：成本低；可以检测到主机型检测系统检测不到的攻击行为；入侵者消除入侵证据困难：不影响操作系统的性能：架构网络型入侵检测系统简单。（3）混合入侵检测系统混合入侵检测系统是基于主机和基于网络的入侵检测系统的结合，许多机构的网络安全解决方案都同时采用了HIDS和NIDS，因为这两种系统在很大程度上互补，两种技术结合能大幅度提升网络和系统面对攻击和错误使用时的抵抗力，使安全实施更加有效。4、IDS应用部署7

7 2、入侵检测系统功能 入侵检测系统本质上是一种“嗅探设备”，其功能主要如下： 监测并分析用户和系统的活动； 核查系统配置和漏洞； 评估系统关键资源和数据文件的完整性； 识别已知的攻击行为； 统计分析异常行为； 操作系统日志管理，并识别违反安全策略的用户活动。 3、IDS 的分类 （1）主机型入侵检测系统 主机型入侵检测系统（Host-based Intrusion Detection System，HIDS） 是 早期的入侵检测系统结构，其检测的目标主要是主机系统和系统本地用户，检测原 理是根据主机的审计数据和系统日志发现可疑事件。 HIDS 可以运行在被检测的主机或单独的主机上。 HIDS 对分析“可能的攻击行为”非常有用，误报率较低，不需要另外添加设备。 （2）网络型入侵检测系统 网络型入侵检测系统（Network-based Intrusion Detection System，NIDS） 是通过分析主机之间网线上传输的信息来工作的。它通常利用一个工作在“混杂模 式”（Promiscuous Mode）下的网卡来实时监视并分析通过网络的数据流。 NIDS 的优点是：成本低；可以检测到主机型检测系统检测不到的攻击行为；入 侵者消除入侵证据困难；不影响操作系统的性能；架构网络型入侵检测系统简单。 （3）混合入侵检测系统 混合入侵检测系统是基于主机和基于网络的入侵检测系统的结合，许多机构的 网络安全解决方案都同时采用了 HIDS 和 NIDS，因为这两种系统在很大程度上互补， 两种技术结合能大幅度提升网络和系统面对攻击和错误使用时的抵抗力，使安全实 施更加有效。 4、IDS 应用部署

（1）单核心部署一台IDS连接核心交换机，时时获得网络流量，时时监控外网与内网的所有通信流量。IDS检测核心交换机流量：·检测外网针对内网攻击·检测带宽溢用公共信息服务器IDS内部LANInternetT核心交换机路由器防火墙（2）双核心部署IDS部署在核心交换机上：双线路元余备份检测外网针对内网攻击.检测带宽溢用检测DoS攻击IDS检测内网螺虫病毒传播公共信息服务器内部LANInternet双核心交换机路由器防火墙IDS部署在核心交换机上：双线路元余备份IDS检测外网针对内网攻击检测带宽溢用.检测DoS政击检测内网蝎虫病毒传播（3）双网口检测部署IDS部署在核心交换机上.检测外网针对内网攻击·检测带宽溢用·检测内网螺虫病毒传播IDSInternet内部LAN路由器防火墙双核心交换机8

8 （1）单核心部署 一台 IDS 连接核心交换机，时时获得网络流量 ，时时监控外网与内网的所有 通信流量。 （2）双核心部署 （3）双网口检测部署

（4）汇聚层检测部署IDS部署在汇聚交换机上：·检测内网的攻击IDS·检测内网的DoS攻击接入交换机·检测内网病毒传播1双#Internet汇聚交换机路由器核心交换机防火墙###IDS部署在汇聚交换机上：接入交换机，检测内网的攻击·检测内网的DoS攻击IDS·检测内网病毒传播五、上网行为管理1、概述上网行为管理系统是针对单位与企业员工在工作时间从事非工作上网行为，进行管理的软件系统或硬件产品。上网行为管理系统拥有上网行为审计与网络安全防护的双重应用功能。借助共享公共框架的系统平台，可以完成行为审计、内容审计、流量统计、内容监控、记录状态、系统安全管理、网页内容管理、邮件内容管理、IM&P2P、审计管理等具体应用。2、上网行为管理部署（1）网关模式部署公共信息服务器（2）网桥模式部署（3）旁路模式部署9

9 （4）汇聚层检测部署 五、上网行为管理 1、概述 上网行为管理系统是针对单位与企业员工在工作时间从事非工作上网行为，进行 管理的软件系统或硬件产品。 上网行为管理系统拥有上网行为审计与网络安全防护的双重应用功能。借助共享 公共框架的系统平台，可以完成行为审计、内容审计、流量统计、内容监控、记录状 态、系统安全管理、网页内容管理、邮件内容管理、IM&P2P、审计管理等具体应用。 2、上网行为管理部署 （1）网关模式部署 （2）网桥模式部署 （3）旁路模式部署