第二章_网络安全技术.ppt

第二章 网络安全技术 网络安全实际上包括两部分：网络的安全和主机系统的安全。网络安全主要通过设置防火墙来实现，也可以考虑在路由器上设置一些数据包过滤的方法防止来自Internet上的黑客的攻击。至于系统的安全则需根据不同的操作系统来修改相关的系统文件，合理设置用户权限和文件属性。 2.1.2网络安全防范的内容 网络安全防范的重点主要有两个方面：一是计算机病毒，二是黑客犯罪。 2.1.3网络安全防范技术 1．防火墙技术 2．VPN技术 3．网络入侵检测技术 4．计算机病毒及其防治技术 2.2 防火墙技术 防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。 在计算机网络中指隔离在本地网络与外界网络之间的一道防御系统。在互联网上，防火墙是一种非常有效的网络安全系统，通过它可以隔离风险区域（Internet或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问。 防火墙具有以下几种功能： 1．允许网络管理员定义一个中心点来防止非法用户进入内部网络。 2．可以很方便地监视网络的安全性，并报警。 3．可以作为部署NAT（Network Address Translation，网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。 4．是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。 2.2.2 防火墙的分类 1. 从防火墙的软、硬件形式分,防火墙可以分为软件防火墙和硬件防火墙。 2. 从防火墙技术来分总体来讲可分为“包过滤型”和“应用代理型”两大类。 (1) 包过滤(Packet filtering)型 包过滤型防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。 　(2) 应用代理(Application Proxy)型 应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全阻隔了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。在代理型防火墙技术的发展过程中，它也经历了两个不同的版本，即：第一代应用网关型代理防火和第二代自适应代理防火墙。 3. 从防火墙结构分, 防火墙主要有：单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。 4. 从防火墙的应用部署位置分，可以分为边界防火墙、个人防火墙和混合防火墙三大类。 边界防火墙是最传统的那种，它们于内、外部网络的边界，所起的作用的对内、外部网络实施隔离，保护边界内部网络。这类防火墙一般都是硬件类型的，价格较贵，性能较好。 个人防火墙安装于单台主机中，防护的也只是单台主机。这类防火墙应用于广大的个人用户，通常为软件防火墙，价格最便宜，性能也最差。 混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”，它是一整套防火墙系统，由若干个软、硬件组件组成，分布于内、外部网络边界和内部各主机之间，既对内、外部网络之间通信进行过滤，又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一，性能最好，价格也最贵。 5. 从防火墙性能分,可以分为百兆级防火墙和千兆级防火墙两类。 2.2.3 防火墙的体系结构 防火墙的经典体系结构主要有三种形式：双重宿主主机体系结构、被屏蔽主机体系结构和被屏蔽子网体系结构。 1．双重宿主主机体系结构 防火墙的双重宿主主机体系结构是指以一台双重宿主主机作为防火墙系统的主体，执行分离外部网络与内部网络的任务。一个典型的双重宿主主机体系结构如图2-2所示。 双重宿主主机体系结构防火墙的优点: 网络结构比较简单，由于内、外网络之间没有直接的数据交互而较为安全； 内部用户账号的存在可以保证对外部资源进行有效控制； 由于应用层代理机制的采用，可以方便地形成应用层的数据与信息过滤。 双重宿主主机体系结构防火墙的缺点: 用户访问外部资源较为复杂，如果用户需要登录到主机上才能访问外部资源，则主机的资源消耗较大； 用户机制存在着安全隐患，并且内部用户无法借助于该体系结构访问新的服务或者特殊服务； 一旦外部用户入侵了双重宿主主机，则导致内部网络处于不安全状态。 2．被屏蔽主机体系结构 被屏蔽主机体系结构是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙，主要通过数据包过滤实现内、外网络的隔离和对内网的保护。一个典型的被屏蔽主机体系结构如图2-3所示。 3．被屏蔽子网体系结构 被屏蔽子