信息安全与技术08(清华大学)教案.ppt

（4）VPN技术是在公共网络上建立专用网的技术。VPN具有“专用网的性能，公共网络的价格和便利”，具有极佳的性价比。以其应用方式和范围有接入型、内联网、外联网VPN。VPN的关键技术有隧道技术、加密技术、密钥管理技术、身份认证技术、管理技术。VPN最基本的技术是隧道技术，可以通过专线协议或隧道协议来达成。各种网络安全协议能为VPN的建设提供支持。 （5）蜜罐主机是网络安全设置的可选项。其主要目的是为了吸引攻击，可以分散攻击行为，并可以记录攻击操作为如何加强防御提供信息。蜜罐主机可以按不同的连累等级来分类，不同连累等级的蜜罐主机有不同的性能和特点。欺骗网络是多种设备协同工作而形成比蜜罐主机更有效的网络欺骗环境。 二、防火墙的分类 依据不同的保护机制和工作原理，人们一般将防火墙分为三类：包过滤防火墙，状态检测包过滤防火墙，应用服务代理防火墙。这些防火墙的功能不同，常见的实现方式，以及它们的性能、安全性都有不同。 包过滤防火墙 状态检测包过滤防火墙 应用服务代理防火墙 三、防火墙的不同形态 无论是包过滤防火墙还是状态检测包过滤防火墙以及应用代理服务防火墙，本身都会以一定的设备的形态出现。这里我们简单看一看不同的防火墙形态。 1. 专用硬件设备 专门的硬件防火墙设备，将防火墙程序作到芯片中，防火墙还拥有专门的寄存器以存放用户规则、连接状态之类的信息。无论是防火墙程序还是运行所需的信息都很难被攻击和篡改，在网络攻击面前防火墙很坚固，有很大的安全性。这是包过滤防火墙和状态检测包过滤防火墙常见的形式。 2. 安排在特定功能的硬件设备（如路由器）上 路由器一般都可以设置包过滤功能，起到一定的防火墙效果。由于不是专门的设备，实现防火墙功能的程序和需要的一些信息存放于路由器内存中，程序和运行所需信息容易被攻击和篡改，此种防火墙自身的安全性比较差，一般只是权宜之计。 3. 加固主机 使用特定硬件、软件（例如安全操作系统）加固的主机负担防火墙工作。防火墙程序和需要的规则等信息都存放于机器内存中，由于主机经过加固，它们也不那么容易受到攻击和篡改，安全性也比较好。虽然，由于主机有很好的通用性，此类设备可以负担各种防火墙，但一般还是用于程序较为复杂，需要运算力较高的应用代理服务防火墙上。 4. 运行于普通通用计算机之上的软件 由于不采用任何的专门设备，虽然软件自身一般都会采取一些安全措施，但总的来说，操作系统和防火墙软件还是容易被攻击和篡改，导致其失效。这样形式的防火墙一般只用于单个主机、小规模网络的较低安全要求应用。Windows等操作系统自身就带有此类防火墙功能，一些从事网络安全的软件公司也提供这类工具，比如天网个人防火墙、瑞星个人防火墙、金山网镖等。 四、防火墙设备的性能指标 吞吐量 时延 丢包率 背靠背 并发连接数 HTTP传输速率和HTTP事务处理速率 五、防火墙系统的结构 屏蔽路由器 双宿主机网关 屏蔽单宿堡垒主机 屏蔽双宿堡垒主机 屏蔽子网 第3节 VPN技术 一、VPN含义 网络技术的发展为人们的生产生活带来了极大的便利，人类生活的很多方面越来越多的与网络应用、网络通讯相联系。但是，公共网络由于其开放性和低安全性并不适用于一些网络应用的需要。类似电子商务、网络银行、具有多家分支结构公司的内部通讯这样对于安全有更高要求的业务不适合通过公共网络进行通讯。而为每家公司、每种应用布设专门的网络也会因为代价高昂而不切实际。为了解决这个矛盾，人们发展了VPN技术。 虚拟专用网（Virtual Private Network，VPN）指的是在公用网络上建立的专用网络。其具有稍微高于公共网络的使用价格，基本接近于专用网络的应用性能，具有极佳的性价比。 二、VPN的分类 在这一部分，我们会从不同视角介绍不同的VPN看待方法。其实这并不完全是VPN的分类，也是要帮助大家对VPN性能的取舍做一些思辨。 首先的一个视角，我们可以把VPN简单的分为两个大类，“专线”类和“协议”类。实际上“专线”都是需要网络层以下的协议来实现的，而“协议”类大部分都是需要网络层以上协议来实现的。这个视角其实是依据虚拟专用网采用怎样的方式在公共网络上传输自己的数据包来分类：是按照固定的、有一定通讯品质保障的路线来传输；还是用普通公共网络数据包的形式传输。 专线类的网络主要有物理专线专用网、虚电路虚拟专用网、MPLS虚拟专用网。 1. 物理专线专用网 我们熟悉的局域网就是采用物理上的专门线路。采用物理专线的网络，是真正的专用网，并非虚拟。 对于小范围的网络，物理上的专线造就的专用网是可行的。但是更大范围的专线，比如说跨国公司建立一个跨洲越洋的专线网络——这种网络的成本必然由公司自己承担——是不现实的。当然，如果是类似大国军队这样的机构是可能建立起稍微小型些的物理专线专用网络的。