[第七章网络安全技术.pptVIP

第七章 网络安全技术 网络安全：网络系统的硬件，软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统能连续可靠地运行，网络服务不中断。 网络安全是信息安全领域的一个十分重要的方面，它涉及到系统的安全管理、数据库加密、身份认证、信息认证、数字签名和网络协议安全等各个方面。 本章主要以专题的形式介绍网络安全中的常用技术手段。 防火墙技术 防火墙基础 定义：设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。 它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况， 以此来实现网络的安全保护。 作用：监视和控制可信任网络和不可信任网络之间的访问通道。 设计应满足的目标： 内部和外部之间所有网络数据流必须经过防火墙； 只有符合安全策略的数据流才能通过防火墙； 防火墙自身应能防御渗透。 防火墙是一组系统，在实现上是一个独立的进程或一组紧密联系的进程。作为内外网之间的访问控制设备，通常位于等级较高的网关或网点与Internet连接处。 防火墙带来的好处： 防止易受攻击的服务； 控制访问网点系统； 集中安全性； 增强保密，强化私有权； 有利于对网络使用、滥用的记录和统计 有利于政策执行。 局限性： 为了提高安全性，限制和关闭了一些有用但存在完全缺陷的网络服务，给用户带来不便； 对来自网络内部的攻击防御能力较弱； 不能防范不经过防火墙的攻击，如内部用户通过SLIP或PPP 直接进入Internet； 对用户不完全透明，可能带来传输延迟、瓶颈及单点失效； 不能完全防止受病毒感染的文件或软件的传输。 SLIP（Serial Line IP）和PPP（Point to Point Protocol）协议 一般，各物理网络可以使用自己的数据链路层协议和物理层协议，不需在数据链路层设置专门的TCP/IP 协议。但当使用串行线路互连时（如用户使用电话线和MODEM互连或两个相距较远网络通过数据专线互连），需要在数据链路层运行专门的协议SLIP和PPP。 SLIP：提供在串行通信线路上封装IP分组的简单方法，使远程用户通过电话线和MODEM就能方便接入TCP/IP网络。 PPP：一种有效的点对点通信协议，由LCP（用于建立、测试和拆除数据链路的链路控制协议）和NCP（用于支持不同网络层协议的网络控制协议）组成。是目前惟一一个能提供身份人证、加密、压缩等安全服务的链路层协议。 防火墙的安全策略 网络服务访问策略 用于定义在网络中允许或禁止的服务。 防火墙设计策略 只允许访问特定的服务：一切未被允许的就是禁止的。 只拒绝访问特定的服务：一切未被禁止的就是允许的。 防火墙的主要组成部分： 网络政策； 先进的验证工具； 包过滤； 应用网关。 防火墙的体系结构 双宿主主机防火墙 双宿主主机结构：内外网络均与双宿主主机通信，但内外网络之间不可直接通信，它们间的IP 数据流被双宿主主机切断。 此体系结构采用主机替代路由器执行安全控制功能。 双宿主机：配有多个网络接口的主机，通过寻径功能连接内外网络之间的通信。 缺陷： 用户通过帐号登录到双宿主机提供服务，帐号的存在给入侵者提供入侵通道； 管理员维护帐号问题； 支持用户帐号降低了机器本身稳定性和可靠性； 入侵检测问题。 双宿网关防火墙 结构：具有两个网络适配器的主机系统，禁止主机系统中的寻径功能，对外部网络的服务和访问则由网关上的代理服务器提供。 特点：拒绝所有的网络服务，因此灵活性不好。另外，网关主机系统的安全成为关键。 安全问题 双宿主主机应具有强大的身份认证系统； 系统中尽量减少用户帐户数目； 禁止IP数据包转发功能； 性能问题，须支持多用户访问。 被屏蔽主机防火墙 结构：使用单独的路由器来为与内部网络相连的主机提供服务，由单独的过滤路由器，强迫所有到达路由器的数据包发送到被屏蔽主机（堡垒主机）。 被屏蔽子网防火墙 结构：在被屏蔽主机结构中增加一台路由器，在内外网络之间构筑一个安全子网。 系统由两个路由器和一个堡垒主机构成，另外在内外网之间建立分层系列的周边网，将堡垒主机、信息服务器、Modem及其他公用服务器放在周边网中。 堡垒主机 定义：一种被强化的、可以防御的、可进攻的服务器，被暴露在因特网上作为进入内部网络的一个检查点，把整个网络的安全问题集中在该主机上解决。 设计堡垒主机原则 最简化原则：设置服务尽可能少；服务给予尽量低权限； 随时作好堡垒主机被损害的准备：从内网整体角度考虑安全问题；对堡垒主机安全情况监测； 结构： 无路由双宿主主机：多个网络接口；配置时须关闭主机路由转发功能； 牺牲主机：其上没有任何需保护信息；不与内部网络相连； 内部堡垒主机：专门向内部网主机提供服务； 堡垒主机的