《6.网络安全系统设计》.pdf

网络安全系统设计 中科院计算所教育中心 1 内容 • 1. Friewall • 2. SSL/TLS • 3. IPSec • 4. IDS 2 防火墙(Firewall) • 防火墙的基本设计目标 – 对于一个网络来说，所有通过“ 内部”和“外部” 的网 络流量都要经过防火墙 – 通过一些安全策略，来保证只有经过授权的流量才 可以通过防火墙 – 防火墙本身必须建立在安全操作系统上 • 防火墙的控制能力 – 服务控制，确定哪些服务可以被访问 – 方向控制，对于特定的服务，可以确定允许哪个方 向能够通过防火墙 – 用户控制，根据用户来控制对服务的访问 – 行为控制，控制一个特定的服务的行为 3 防火墙能为我们做什么 • 定义一个必经之点 – 挡住未经授权的访问流量 – 禁止具有脆弱性的服务带来危害 – 实施保护，以避免各种IP欺骗和路由攻击 • 防火墙提供了一个监视各种安全事件的位置， 所以，可以在防火墙上实现审计和报警 • 对于有些Internet功能来说，防火墙可以是一个 理想的平台，比如地址转换，IPSec/VPN, Internet 日志、审计，甚至计费功能 4 防火墙本身的一些局限性 • 对于绕过防火墙的攻击，它无能为力。如内部 网用户通过SLIP或PPP直接进入Internet 。 • 防火墙不能防止内部的攻击，以及内部人员与 外部人员的联合攻击( 比如，通过tunnel进入) • 防火墙对用户不完全透明，可能带来传输延 迟、瓶颈及单点失效。 • 防火墙不能防止被病毒感染的程序或者文件、 邮件等 5 防火墙的类型 • 包过滤路由器 • 应用层网关 • 电路层网关 6 静态包过滤路由器 • 基本的思想很简单 – 对于每个进来的包，适用一组规则，然后决定转发 或者丢弃该包 – 往往配置成双向的 • 如何过滤 – 过滤的规则以IP和传输层的头中的域(字段)为基础， 包括源和目标IP地址、IP协议域、源和目标端口号 – 过滤器往往建立一组规则，根据IP包是否匹配规则 中指定的条件来作出决定。 • 如果匹配到一条规则，则根据此规则决定转发或 者丢弃 • 如果所有规则都不匹配，则根据缺省策略 7 安全缺省策略 • 两种基本策略，或缺省策略 – 没有被拒绝的流量都可以通过 • 管理员必须针对每一种新出现 的攻击，制定新的规则 – 没有被允许的流量都要拒绝 • 比较保守 • 根据需要，逐渐开放