信息安全技术教-第6章.ppt

第六章 网络安全 本章学习目的 掌握防火墙主要功能、安全策略和部署 掌握入侵检测和入侵防御系统基本知识 了解网络扫描器、网络隔离技术基本知识 了解拒绝服务攻击的检测与防护基本知识 了解VPN的基本原理与应用 本章概览 网络安全技术是一类包含内容非常广泛的技术。广义上，任何检测、防御和抵制网络攻击的技术都属于网络安全技术，而且很多网络安全技术都是攻击驱动的。 本章重点阐述了防火墙、入侵检测、漏洞扫描与网络隔离、拒绝服务攻击检测与防御、计算机病毒防治以及VPN技术的概念、原理、应用部署等方面。 第一节 防火墙技术 一、防火墙的概念 防火墙是设置在内部网络与外部网络（如互联网）之间，实施访问控制策略的一个或一组系统，是访问控制机制在网络安全环境中的应用。防火墙使得内部网络和外部网络互相隔离，通过限制网络互访来保护内部网络。防火墙在网络中所处的位置如下图所示： 防火墙是设置在内部网络与外部网络（如互联网）之间，实施访问控制策略的一个或一组系统，是访问控制机制在网络安全环境中的应用。防火墙使得内部网络和外部网络互相隔离，通过限制网络互访来保护内部网络。防火墙在网络中所处的位置如下图所示： 防火墙是不同网络或网络安全域之间信息的唯一出入口，能根据制定的安全策略（允许、拒绝及监视等）控制出入网络的数据流，且本身具有较强的抗攻击能力。简单的防火墙功能可以在路由器上实现，复杂的功能可以由主机甚至一个子网来实现。防火墙的目的就是在内部网络和外部网络连接之间建立一个安全控制点，允许、拒绝或重新定向经过防火墙的数据流，实现对进出内部网络的网络通信的审计和控制。 二、防火墙的分类 （一）按防火墙技术划分 防火墙发展至今，按照防火墙对数据包的处理方法，可分为包过滤防火墙、应用代理网关防火墙、状态检测防火墙和自适应代理网关防火墙。 1.包过滤（PacketFilter）防火墙 2.应用代理网关（Application-ProxyGateway）防火墙 3.状态检测（StatefulInspection）防火墙 4.自适应代理网关（AdaptiveProxyGateway）防火墙 （二）按防火墙应用部署位置划分 如果按防火墙的应用部署位置划分，可以分为边界防火墙、个人防火墙和分布式防火墙三大类。 1.边界防火墙 2.个人防火墙 3.分布式防火墙 （三）按防火墙软、硬件结构划分 1.软件防火墙 2.硬件防火墙 3.芯片级防火墙 （四）按防火墙性能划分 如果按防火墙的性能划分，可以分为十兆级防火墙、百兆级防火墙和千兆级防火墙三类。 三、防火墙的主要功能 （一）主流防火墙功能介绍 目前，防火墙除了提供传统的包过滤、应用代理等访问控制功能外，或多或少地实现了一些增值功能，在防火墙上常见的一些增值功能包括： 网络地址转换（NAT）、虚拟专用网（VPN）、虚拟局域网（VLAN）、动态主机配置协议（DHCP）、入侵检测、病毒检测和内容过滤等。而其中有些增值功能也已经成为了防火墙事实上必备的功能，如NAT等。 目前，市场上的主流防火墙一般提供以下功能： 1.数据包状态检测过滤；2.应用代理；3.数据包内容过滤；4.强身份认证；5.日志分析和流量统计分析；6.VPN；7.NAT；8.VLAN；9.多种接入模式；10.双机热备和接口冗余；11.支持核心网络中生成树（STP）的计算；12.广泛的协议支持 （二）防火墙的局限性 1.防火墙不能防御绕过了它的攻击 2.防火墙不能消除来自内部的威胁 3.防火墙不能阻止病毒感染过的程序和文件进出网络 4.防火墙的管理及配置相当复杂 5.防火墙只是整体安全防范策略的一部分 （三）防火墙的发展趋势 总的来说，传统的防火墙已经无法满足人们日益增长的安全需求，其功能不足以应付众多不断出现的新的安全威胁。防火墙的发展趋势体现在以下几个方面： 第一，在功能方面，防火墙的发展趋势是融合越来越多的安全技术。 第二，防火墙的另一个发展趋势是与多个安全产品实现集成化管理和联动。 第三，在防火墙体系结构方面，对分布式防火墙将会有一定的需求。 第四，在防火墙的硬件化方面，防火墙逐步由通用x86平台防火墙向基于网络处理器的防火墙和ASIC芯片防火墙方向发展。 第五，在其他功能方面，防火墙在模块化、智能化、高性能、多端口等方面的趋势也十分明显。 四、防火墙安全策略 （一）防火墙策略　 防火墙策略不但指出防火墙处理诸如Web、Email或Telnet等应用程序通讯的方式，还描述了防火墙的管理和更新方式。 在创建防火墙策略以前，必须对那些必不可少的应用软件执行风险分析。风险分析的结果包含一个应用程序列表和这些应用程序的安全保护方式。 企业的信息技术基础设施的风险分析