2016络安全基础教程.pptVIP

交 流 综 述 交 流 内 容 交 流 综 述 交流目标 交 流 对 象 交流对象 网 络 安 全 概 述 本 章 概 要 网络安全的背景 网络安全的背景 网络安全的背景 调查显示：网络攻击数量与日俱增 网络安全的背景 网络病毒在全球范围内高速扩散 网络安全的背景 黑客攻击技术与网络病毒日趋融合 网络安全的背景 攻击者需要的技能日趋下降 网络安全面临的威胁 网络安全面临的威胁 网络面临多种风险 各种网络攻击 企业外部的网络攻击 各种网络攻击 企业内部的网络破坏 计算机病毒的破坏 网络安全问题的严重性 网络安全隐患到处存在 网络安全问题的严重性 网络安全问题造成的巨大损失 网络安全的定义 安全网络的特征 安全的网络具有下列五个特征： 如何构建一个安全的网络？ 构建计划周密、安全可行的安防体系 网络安全技术基础 本 章 概 要 网络安全技术基础 目 标 主要网络安全产品 本 章 概 要 防火墙的主要技术 应用层代理技术 (Application Proxy) 包过滤技术 (Packet Filtering) 状态检测技术 (Stateful Packet Filtering) 防火墙的用途 防火墙的用途 防火墙的产品(国内) 漏洞评估产品 网络安全防护策略 本 章 概 要 安全方案设计 安全方案设计 安全体系的建立 网络防火墙产品 这部分主要介绍下列内容： 防火墙的基本概念 防火墙的主要技术 防火墙的用途 防火墙的体系结构 防火墙的构筑原则 防火墙产品 网络防火墙的基本概念 是在被保护网和外保护网之间执行访问控制策略的一种或一系列部件。 安装在计算机网络上，防止内部的网络系统被人恶意破坏的一个网络安全产品 是网络的第一道防线。 目前主要的网络安全设备 是在被保护网和外保护网之间执行访问控制策略的一种或一系列部件。本质上是一种保护装置，在两个网之间构筑了一个保护层。所有出入此被保护网的传播信息都必须经过此保护层，并在次接受检查和连接，只有授权的通信才允许通过，从而使被保护网和外部网在一定意义下隔离，防止非法入侵和破坏行为。 概括的讲：防火墙是一种高级访问控制设备，是置于不同网络安全域之间的一系列部件的组合，是不同网络安全域间通信流的唯一通道，能根据企业有关安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。 防火墙的主要技术 有三种： 包过滤技术 状态检测技术 代理服务技术 防火墙的主要技术 包过滤技术指在网络中适当的位置对数据包有选择的通过，选择的依据是系统内设置的过滤规则，只有满足过滤规则的数据包才被转发到相应的网络接口，其余数据包则被从数据流中删除。 包过滤一般由屏蔽路由器来完成。屏蔽路由器也叫过滤路由器，是一种可以根据过滤规则对数据包进行阻塞和转发的路由器。 包过滤技术是防火墙最常用的技术。对一个充满危险的网络，这种方法可以阻塞某些主机或网络连入内部网络，也可以限制内部人员对一些 危险和色情站点的访问。 包过滤技术的优点： 较高的网络性能 成本较低 包过滤技术的不足： 包过滤技术是安防强度最弱的防火墙技术。 虽然有一些维护工具，但维护起来十分困难。 Ip包的源地址、目的地址、TCP端口号是唯一可以用于判断是否包允许通过的信息。 只能阻止一种类型的地址欺骗，即外部主机伪装内部主机的IP，而对外部主机伪装其它 外部主机的IP却不可能阻止，另外不能防止DNS欺骗。 如果外部用户被允许访问内部主机，则他就可以直接望问内部网络上的任何主机 常用有三种连接方式： 屏蔽路由器被用作唯一设备 屏蔽路由器和防火墙一起使用 屏蔽路由器——防火墙——屏蔽路由器 防火墙的主要技术 状态检测技术的基本概念 状态检测技术是包过滤技术的延伸，常被称为“动态包过滤”。是与包过滤相类似但是更为有效的安全控制方法。对新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。适合网络流量大的环境。 主要特点 高安全性：工作在数据链路层和网络层之间，确保截取和检测所有通过网络的原始数据包。虽然工作在协议栈的较低层，但可以监视所有应用层的数据包，从中提取有用信息，安全性得到很大提高。 高效性：一方面，通过防火墙的数据包都在协议栈的较低层处理，减少了高层协议栈的开销；另一方面，由于不需要对每个数据包进行规则检查，从而使得性能得到了较大提高。 可伸缩和易扩展：由于状态表是动态的，当有一个新的应用时，它能动态的产生新的应用的新的规则，无须另外写代码，因而具有很好的可伸缩和易扩展