网络安全的常用技术概论.pptVIP

第7章 网络安全的常用技术 在了解网络面临来自哪些方面的威胁后，更应该了解针对不同网络威胁的一些应对技术和措施，掌握它们的工作原理以及对应的安全产品的使用方法，并能结合不同的网络环境和网络安全需求，制定一套科学合理的网络系统安全解决方案。 本章将结合目前常见的网络安全技术，较为详细地分别介绍这些安全技术的工作原理，并结合一些实际网络安全产品的配置过程实例，更为直观地介绍安全产品的使用方法。 ;7.1防火墙 7.1.1防火墙的概念 7.1.2防火墙的主要功能 7.1.3 防火墙技术 7.1.4 防火墙的选购;7.1.1防火墙的概念 现在通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义，它是指隔离在内部（本地）网络与外界网络之间的一道防御系统，是这一类防范措施的总称。 通过它可以隔离风险区域（如Internet或有一定风险的网络）与安全区域（如局域网，也就是内部网络）的连接，同时不会妨碍人们对风险区域的访问。 它是一种设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。一般由计算机硬件和软件组成的一个或一组系统，用于增强内部网络和外部网之间的访问控制。;路由器;7.1.3 防火墙的主要功能 1．防火墙是网络安全的屏障 2．防火墙能控制对特殊站点的访问 3．对网络存取访问进行记录和统计 4．防止内部网络信息的外泄 5．地址转换(NAT);7.1.4 防火墙技术 目前在实际应用中所使用的防火墙产品有很多,但从其采用的技术来看主要包括两类:包过滤技术和应用代理技术,实际的防火墙产品往往由这两种技术的演变扩充或复合而形成的。 具体来说主要包括：简单包过滤防火墙、状态检测包过滤防火墙、应用代理防火墙和复合型防火墙。;1．简单包过滤防火墙 包过滤防火墙工作在网络层，对数据包的源及目的 IP 具有识别和控制作用，对于传输层，只能识别数据包是 TCP 还是 UDP 及所用的端口信息。它对所收到的IP数据包的源地址、目的地址、TCP数据分组或UDP报文的源端口号、包出入接口、协议类型和???据包中的各种标志位等参数，与网络管理员预先设置的访问控制表进行比较，确定是否符合预定义的安全策略，并决定数据包的通过或丢弃。 比如：如果防火墙已设置拒绝telnet连接，这时当数据包的目的端口是23时，则该数据包就会被丢弃；如果允许进行Web访问，这时目的端口为80时则数据包就会被放行。由于这类防火墙只对数据包的 IP 地址、 TCP/UDP 协议和端口进行分析，因此它的处理速度较快，并且易于配置。; 简单包过滤是对单个包的检查，目前绝大多数路由器产品都提供这样的功能，所以如果内部网络已经配有边界路由器，那么完全没有必要购买一个简单包过滤的防火墙产品。 由于这类技术不能跟踪TCP的状态，所以对TCP层的控制是有漏洞的。 单纯简单包过滤的产品由于其保护的不完善，在1999年以前国外的网络防火墙市场上就已经不存在了。;2．应用代理防火墙 应用代理防火墙，也叫应用代理网关防火墙。 所谓网关是指在两个设备之间提供转发服务的系统。 这种防火墙能彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，外网的访问应答先由防火墙处理，然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的 TCP 连接，应用层的协议会话过程必须符合代理的安全策略要求。; 由于针对各种应用协议的代理防火墙提供了丰富的应用层的控制能力，使应用代理型防火墙具有了极高的安全性。但是代理型防火墙是利用操作系统本身的socket接口传递数据，从而导致性能比较差，不能支持大规模的并发连接； 另外对于代理型防火墙要求防火墙核心预先内置一些已知应用程序的代理后防火墙才能正常工作，这样的后果是一些新出现的应用在代理型防火墙上往往不能使用，出现了防火墙不支持很多新型应用的局面。在IT领域中，新的应用和新的技术不断出现，甚至每一天都有新的应用方式和新的协议出现，代理型防火墙很难适应这种局面，使得在一些重要的领域和行业的核心业务应用中，代理型防火墙被渐渐地被抛弃。;3．状态检测包过滤防火墙 状态检测包过滤防火墙是在简单包过滤上的功能扩展，最早是Check Point公司提出的，现在已经成为防火墙的主流技术。 状态检测的包过滤利用状态表跟踪每一个网络会话