《9网络安全理论与技术（第九讲）》.pdf

网络安全理论与技术网络安全理论与技术 张卫东 西安电子科技大学通信工程学院信息工程系 E-mail: xd_zwd@ 1 第七章 Internet安全体系结构 77.11 InternetInternet安全结构布局安全结构布局 7.2 网络安全层次模型 7.3 OSI安全体系到TCP/IP安全体系 的映射 7.1 Internet安全结构布局 Internet的广泛应用对组织的系统 和信息增加了潜在的不安全风险和信息增加了潜在的不安全风险，，采采 用合适的安全结构，可降低风险。 7.1.1 Internet提供的服务 Internet提供何种服务，选择哪些主机 提供服务提供服务，，以及哪些用户可访问这些服务以及哪些用户可访问这些服务，， 都会影响整个网络结构。 Internet提供的服务通常有邮件服务、 Web服务、内部访问Internet、外部访问内部 系统。还有一类属于控制的服务，包括域名 服务DNS、Internet控制报文协议ICMP、网络 时间协议NTP。 1.邮件服务 一个组织可选择建立一个组织可选择建立公共邮件网关公共邮件网关，，用作电子邮件讨论组用作电子邮件讨论组。。 它允许外部人员将邮件首先发到该系统，系统按照预先确定的用 户列表转送邮件。邮件网关也可使用相同的邮件服务器，但要考 虑这种应用往往需要大的通信量虑这种应用往往需要大的通信量，，而且会影响而且会影响InternetInternet连接的整连接的整 个网络结构。 2.Web服务 Web服务器可设置在内部，也可设置在其他地方。Web服务器 能提供简单的、静态内容，也可连到诸如电子商务系统以提供动 态信息态信息。。对对WebWeb站点的访问站点的访问，，一部分可以是完全公开的一部分可以是完全公开的，，而另一部而另一部 分需要某些身份鉴别机制。一个组织也可选择提供文件传输协议 FTP服务器作为Web服务器的一部分。 Web服务器端口设置举例: 假如Web站点的某些内容是限制的或敏感的， 就应使用就应使用SS--HTTPHTTP，，SS--HTTPHTTP工作在工作在443443端口端口，，而不而不 是通常的80端口，后者用于普通的Web通信。 S-HTTP是HTTP的加密版，HTTP用于标准的 Web通信，而HTTPS用于含有敏感信息或需要身 份鉴别的Web页面。 3.内部访问Internet 内部员工如何访问Internet是由该组织制定的 InternetInternet使用策略确定的使用策略确定的。。 服 务 说 明 HTTPHTTP （（端口端口8080 ））和和HTTPSHTTPS （（端口端口443443 ）） 允许员工访问允许员工访问WebWeb FTP(端口21和22) 允许员工传送文件 Telnet(Telnet(端口端口23)23)和和SSHSSH （（端口端口2222）） 允许员允许员工在远程系统在远程系统上生成交成交互式会话式会话 POP-3 （端口110）和IMAP （端口143） 允许员工访问远程邮件账户 NNTP （端端口119） 允许员工访问远程网络新闻服务器 允许员工获得的允许员工获得的InternetInternet服务服务 4.外部访问内部系统 从外部访问敏感的内部系统从外部访问敏感的内部系统，，对安全和网对安全和网 络管理人员来说是经常要触及的问题。这种情 况是指主要用于内部处理的那些内部系统况是指主要用于内部处理的那些内部系统，，而而 不是为外部访问而设置的Web和邮件服务器。 来自外部的访问主要有两类来自外部的访问主要有两类，，