第02章网络设备(免费阅读).ppt

2、防火墙的基本功能 （2）防火墙可以强化网络安全策略 通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，操作系统和其他身份认证系统完全可以不必分散在各个主机上，而集中在防火墙身上。 2、防火墙的基本功能 （3）网络存取和访问监控审计 防火墙能记录下访问并作出日志记录，为管理人员提供一系列访问信息，例如：谁在使用网络，他们在网上做什么，他们上网时去了何处，上网有没有成功等。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。 2、防火墙的基本功能 （4）防止内部信息的外泄 通过利用防火墙对内部网络的划分，可实现对内部网络重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。使用防火墙就可以隐蔽那些透露内部细节如Finger、DNS等服务。 3、防火墙的分类 （1）按照防火墙的实现技术分： 包过滤型防火墙 应用代理型防火墙 基于状态检测的包过滤防火墙。 （2）按照防火墙的组成结构分： 软件防火墙 硬件防火墙 芯片级防火墙。 二、入侵检测系统 入侵检测(Intrusion Detection，ID)是在不影响网络性能的情况下能对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护，大大提高了网络的安全性。 入侵检测是通过收集和分析计算机网络或计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。 入侵检测系统(Intrusion Detection System，IDS)——进行入侵检测的软件与硬件的组合。 RJ-45接口 Console端口 光纤接口 1、入侵检测系统的结构 2、入侵检测系统的功能 监测并分析用户和系统的活动； 核查系统配置和漏洞； 评估系统关键资源和数据文件的完整性； 识别已知的攻击行为； 统计分析异常行为； 操作系统日志管理，并识别违反安全策略的用户活动。 三、上网行为管理 严格来讲，上网行为管理还不是一种专业的网络安全技术，而是一种行政管理的电子化辅助手段。是一种约束和规范企业员工遵守工作纪律、提高工作效率、保护公司隐私的工具。 上网行为管理技术实现方式普遍存在两种： 通过封锁特定应用的网络服务器IP，达到应用无法连接到服务器的目的，实现行为封锁。 通过协议分析识别上网行为身份，进行特定协议的拦截，实现行为封锁。 上网行为管理的结构 四、物理隔离卡 1、网络安全隔离卡 网络安全隔离卡又称网络物理隔离卡，它的作用是使内网和外网之间实现物理隔离，即内网与外网之间没有物理连接途径，使内网的信息不会外泄；亦可防止网络病毒和网络黑客通过外网对内网进行攻击，确保内网数据的安全。 双硬盘物理隔离卡结构 双硬盘物理隔离卡工作原理 在连接内部网络的同时，启动内网硬盘及其操作系统，同时关闭外网硬盘；在连接外部网络的同时，启动外网硬盘及其操作系统，同时关闭内网硬盘。 双硬盘物理隔离卡功能特性 （1）在同一台PC机上实现内网和外网两个网络的连接，通过硬件彻底实现内网和外网的物理隔离，且内、外两种不同网络之间可以自由切换。 （2）内、外网的切换只需点击屏幕上的图标或按专用的按钮即可实现。 （3）不占用计算机内部资源，对PC的性能和网络都不会造成任何影响。 （4）支持DOS、WINDOWS2000/XP、LINUX等操作系统。 单硬盘物理隔离卡 单硬盘物理隔离卡 单硬盘物理隔离卡工作原理 2、物理隔离网闸 物理隔离网闸由物理隔离网络电脑和物理隔离系统交换机组成。其中，物理隔离网络电脑负责与物理隔离交换机通信，并承担选择内网服务器和外网服务器的功能。物理隔离交换机实际上就是一个加载了智能功能的电子选择开关。物理隔离交换机不但具有传统交换机的功能，而且增加了选择网络的能力 物理隔离网闸结构 2.5 无线局域网络设备 无线局域网（Wireless LAN，简称WLAN）是指以无线信道作为传输媒介的计算机局域网，它的互连设备主要有： 无线网卡 无线接入点（AP） 无线路由器 天线等。 无线网卡 网桥 2、网桥的基本功能 D E F A B C 网桥 LAN2 LAN1 发送到 C 发送到 F 2、网桥的基本功能 中继功能。延长网络长度，一般传统以太网网桥可达数公里，而无线网桥在配合使用高增益定向天线可以提供数十公里的传输距离。 地址过滤与“自学习”。当网桥接收到帧时，它读取源MAC地址，然后在MAC地址表中登记MAC地址与端口的关联，同时为该关联计时，在计时时间段内，该关联有效，计时时间到期后，需要重新学习。 数据接收、存储与转发。