第九讲网络安全.pptVIP

公司 徽标 第九讲 网络安全 主讲:张修军 Email:woodszhang@ 电话网络安全 教学目的 通过本讲的学习，应能掌握防火墙、IPsec，VPN，VLAN 教学重点 1、防火墙 2、IPsec，VPN和VLAN 教学难点 1、防火墙 2、IPsec，VPN和VLAN 网络安全 防火墙 IP安全IPsec VPN VLAN 防火墙 DMZ：停火区（Demilitarized Zone非军事区），公用局域网。内部的主机为堡垒主机。 实际上外界可以有限访问（只开有限端口） 好的防火墙特性 从内到外/从外到内 只允许本地安全策略授权的通信流经过 防火墙本身要足够强大，不会被破解（Netscreen) 防火墙的分类 防火墙 硬件（Netscreen, Juniper、CHECKPOINT、 CISCO等等/files/0418search.shtml 软件 Internet Security and Acceleration (ISA) Server 2006 诺顿网络安全特警 F-Secure McAfee?Desktop?Firewall 天网防火墙 瑞星防火墙 防火墙类型 两大类 分组过滤 应用网关 分组过滤防火墙 Packet filter对分组采用一组规则，来确定是转发还是丢弃。 又称为扫描路由器或扫描过滤 过滤规则基于IP与TCP/UDP头中的几个字段 源地址/目的地址 源端口/目的端口 要保护某一台电脑，采用IP地址规则。 要保护某台电脑上的程序（服务），则采用 IP地址：端口规则 应用网关 也称为代理服务器 七层设备，可以过滤应用层病毒。比如邮件病毒过滤防火墙。 速度比分组过滤防火墙慢，但针对应用。 防火墙的局限 无法防止内部攻击 必须是企业或园区网络的唯一出口，否则会被绕过 无法防止病毒对内部网络的攻击 有些防火墙厂商将防火墙和病毒软件捆绑 IP安全性 IPSec 数据链路层 5 应用层SHTTP 4 运输层 3 网络层 2 数据链路层 1 物理层 4.5 SSL层 数据链路层 5 应用层SHTTP 4 运输层 3 网络层 2 数据链路层 1 物理层 4.5 SSL层 3.5 IPSec IPSec IPSec协议是一个应用广泛，开放的VPN安全协议，目前已经成为最流行的VPN解决方案。 具备完整性、重放攻击保护功能 虚拟专用网VPN IPSec VPN / SSL VPN 现在实现VPN联网方案的主要技术是IPSEC?VPN与SSL?VPN IPSEC?VPN出现得较早，商用化程度较高，技术较成熟，安全性较优越。但缺憾是设备成本支出较多，分部和移动人员需要硬件IPSec?VPN客户端设备和软件IPSec?VPN客户端，设置工作较复杂，维护工作较多，需要专业网管支持。 SSL?VPN是一项近两年才发展起来新的虚拟专网技术，由于无须安装VPN客户端（不管是硬件客户端还是软件客户端）的便捷性和因此大幅降低的实施管理成本，在国内外得到了迅速的应用和发展。 VPN 具备加密、鉴别和完整性保护 使得我们可以在Internet网上建立可信任的专用网（如同一个内部局域网一样） VLAN 虚拟局域网 Virtual Local Area Network VLAN的划分有三种方式：基于端口（Port）、基于MAC地址和基于IP地址 VLAN的好处 通过划分虚拟网，可以把广播限制在各个虚拟网的范围内，从而减少整个网络范围内广播包的传输，提高了网络的传输效率 同时各虚拟网之间不能直接进行通讯，而必须通过路由器转发，为高级的安全控制提供了可能，增强了网络的安全性 使网络结构变得灵活、方便 以太网 交换机 A4 B1 以太网 交换机 VLAN3 C3 B3 VLAN1 VLAN2 C1 A2 A1 A3 C2 B2 以太网 交换机 以太网 交换机 三个虚拟局域网 VLAN1, VLAN2 和 VLAN3 的构成 以太网 交换机 A4 B1 以太网 交换机 VLAN3 C3 B3 VLAN1 VLAN2 C1 A2 A1 A3 C2 B2 以太网 交换机 以太网 交换机 三个虚拟局域网 VLAN1, VLAN2 和 VLAN3 的构成 当 B1 向 VLAN2 工作组内成员发送数据时， 工作站 B2 和 B3 将会收到广播的信息。 以太网 交换机 A4 B1 以太网 交换机 VLAN3 C3 B3 VLAN1 VLAN2 C1 A2 A1 A3 C2 B2 以太