网络技术教程-防火墙.pptVIP

我们今天所处的环境 一个网络系统中的安全最弱点往往确定了整个系统中的安全水平 我们希望达到的目标 防火墙的类型 应用层代理 会话层 包过滤 状态包过滤 防火墙类型 方法 内容过滤 防火墙设计准则之一 防火墙设计准则之三 Internet访问防火墙的拓扑结构 * * * * 从网络的发展看安全风险 Anti- detection password guessing self-replicating code password cracking exploiting known vulnerabilities disabling audits back doors hijacking sessions stealth diagnostics packet forging, spoofing 攻击 工具 攻击者需要 的技能 1980 1985 1990 1995 2000 攻击需要的技能 Web-crawlerattacks 从网络攻击的来源看安全风险 从网络自身的特点看安全风险 网络级 应用级 系统级 数据级 用户级 安全层次结构* 单机登录 用户/组 管理 身份认证 入侵检测 风险评估 反病毒 审计 分析 授权 访问控制 防火墙 通信安全 网络群体 系统群体 用户群体 应用群体 加密 * Source: Steven Foote, Hurwitz Group, 1997. 数据保密性和完整性 从安全管理的现状看安全风险 安全风险30%在于技术，70%在于管理 普遍缺乏明确的安全政策与安全管理制度 有效的落实安全管理制度是实现安全的关键 网络安全体系的建立 最受欢迎的十种安全产品 虚拟专用网 防火墙 访问控制 防病毒 入侵检测 网络安全系统的构筑理念 跨 平 台 的 系 统 安 全 策 略 使用eTrust Access Control 增强系统的安全性 显著增强系统安全性的同时,eTrust Access Control 还允许跨平台实现统一的安全策略 Application Layer Presentation Layer Session Layer Transport Layer Network Layer Datalink Layer Physical Layer 输出 输入 网络级 根据IP数据包中的源地址和目的地址作出决定。现代的网络级防火墙也许保留有关状况的内部的信息 应用/代理级 一般指的是一些不允许网络间直接通信而运行代理服务器程序的主机。它也许会影响性能，也许令防火墙不透明，但是，现代的防火墙常常是透明的。应用级防火墙趋向于提供较为详细的审核报告，并强调实施较网络级防火墙更为保守的安全模型。 防火墙使用两种基本的方法审查较高层的通信: 理解各协议并解析所有命令;这种方法具有很高的安全性,但它降低了性能,增加了复杂性 了解一些绝对必要的协议;但这种方法快速,灵活和简单,但它具有允许不为防火墙所知的非法操作行为; 上述两种方法在纯粹的形式下不可为,所有防火墙代表这两种方法的结合. 阻止JAVA, ActiveX, JavaScript和Vbscript URL登记和拦截 SMTP命令过滤 阻止SMTP命令 阻止过剩的路由字符 病毒? 你的策略针对何处? 提供公共服务/访问的主机不安全 内部网络主机不应该提供公共网络服务 专用网络和主机应该不可见 防火墙设计准则之二 了解你的网络 安全措施针对多个INTERNET访问点 便于管理和操作 网络安全性不能代替数据安全性 详细的安全性和使用记帐 完善的防火墙一般不只是一台设备 分层的拓扑结构;深层的防御 冗余和故障恢复 相应计划