网络设备、防火墙设备、网络互联安全知识.ppt

防火墙基本功能 域间的数据流分两个方向： 入方向（inbound）：数据由低级别的安全区域向高级别的安全区域传输的方向； 出方向（outbound）：数据由高级别的安全区域向低级别的安全区域传输的方向。 本域内不同接口间不过滤直接转发 进、出接口相同的报文被丢弃 接口没有加入域之前不能转发包文 防火墙基本功能 防火墙基本功能 [Eudemon] firewall zone trust [Eudemon-zone-trust] add interface ethernet 0/0/0 [Eudemon-zone-trust] quit [Eudemon] firewall zone dmz [Eudemon-zone-dmz] add interface ethernet 1/0/0 [Eudemon-zone-dmz] quit [Eudemon] firewall zone untrust [Eudemon-zone-untrust] add interface ethernet 2/0/0 [Eudemon-zone-untrust] quit 组网分层对应的安全问题 边缘网络的安全 地址位置分散 对本地设备、主机的管理：访问控制，确保不成为网络攻击的跳板 存在多种到汇聚层的网络连接方式 VPN技术接入： 采用加密防止信息泄密 组网分层对应的安全问题 汇聚网络的安全 边缘设备与中心设备相连的汇接点 节点数目多而且接入方式复杂 汇聚层与边缘节点之间：配合边缘节点的安全策略，提供相应的安全机制 汇聚层到核心层的连接方式 VPN技术接入： 采用高强度的加密技术防止信息泄密 组网分层对应的安全问题 核心网络的安全 核心层与汇聚层之间：配合汇聚层的安全策略，提供相应的安全机制。 不对外提供服务时，核心层的安全威胁主要来自内部： 内部主动访问外部网络： 访问Internet就会存在被攻击及泄密的可能，采用加密防止线路被窃听 不同业务部门之间的访问控制 采用VLAN或ACL、应用程序的访问控制功能 对外提供业务的情况下 必须通过DMZ防止提供业务 严格控制访问权限 网络互联安全知识培训 网络互联安全威胁 网络互联安全技术 I I 防火墙 访问控制 防病毒 入侵检测 虚拟专用网 网络互联安全技术 漏洞评估 病毒邮件的大量涌进,传递病毒与阻绝邮件服务 策略-可远程执行的病毒清除系统 利用IE的漏洞自动从internet下载病毒程序 利用网络共享,散播病毒文件 利用系统或应用程序的安全性漏洞,直接从远程进行攻击 修改系统ini文件或建立开机服务项目,使病毒程序会在每次开机时自动执行 策略-建立smtp防毒墙,过滤病毒邮件 策略-建立http防毒墙,过滤下载的文件 策略-针对指定档案禁止拷贝,紧急关闭共享活页夹 策略-端口的紧急关闭与安装对应补丁 利用病毒扩散防护策略来对付网络病毒 网络互联安全技术（网络病毒防护策略） Internet Scanner 从外扫描 默认帐户 Mis-use Send-mail web, mail, ftp ... DMZ 从内扫描 winnuke Ping of death 网络互联安全技术（网络漏洞扫描） 安装防火墙，禁止访问不该访问的服务端口，使用NAT隐藏内部网络结构 安装入侵检测系统，检测漏洞扫描行为 安装安全评估系统，先于入侵者进行漏洞扫描，以便及早发现问题并解决 提高安全意识，及时给操作系统和应用软件打补丁 网络互联安全技术（针对漏洞扫描的防范） 探测引擎 管理控制台 Internet 外网接入的端口镜像到IDS的接入端口，对其进行实时的入侵检测 探测引擎 对内网的服 务器或主机 进行入侵检测 网络互联安全技术（入侵检测系统部署） 中国移动通信集团广西有限公司 课程完毕，谢谢！ * * 网络安全产品的集成 上图主要给出一个形象的例子。 * * 防火墙基本功能 从总体上看，防火墙应具有以下基本功能（一）： 过滤进、出网络的数据； 管理进、出网络的访问行为； 封堵某些禁止的业务； 记录通过防火墙的信息内容和活动； 对网络攻击的检测和告警； 防火墙基本功能 从总体上看，防火墙应具有以下基本功能（二）： 网络地址转换NAT； 防火墙双机热备； 负载均衡； 与IDS联动/与病毒服务器的联动； VPN功能； Local区域 Trust区域 DMZ区域 Untrust区域 接口1 接口2 接口3 接口4 In Out In Out In Out In Out 防火墙的安全区域 防火墙的安全区域 防火墙的安全区域配置举例 防火墙设备安全培训 防火墙技术历史 防火墙基本功能 防火墙部署原则 防火墙安全管理 防火墙部署原则 防火墙作为实现网络边界隔离的设备，其部