10计算机网络基础_网络安全的管理.ppt

10.3.3 防火墙技术 4．防火墙的缺陷 防火墙内部网络可以在很大程度上免受攻击。但是，所有的网络安全问题不是都可以通过简单地配置防火墙来达到的。虽然当单位将其网络互联时，防火墙是网络安全重要的一环，但并非安装防火墙的网络就没有任何危险，也有许多危险是在防火墙能力范围之外的。 10.3.3 防火墙技术 5．防火墙的体系结构 （1）包过滤防火墙，包过滤或分组过滤，是一种通用、廉价、有效的安全手段，如图10-9所示。 图10-9 包过滤防火墙的工作原理 10.3.3 防火墙技术 5．防火墙的体系结构 （2）双宿网关防火墙，双宿网关由两块网卡的主机构成。两块网卡分别与受保护网和外部网相连，如图10-10所示。 图10-10 双宿主机网关 10.3.3 防火墙技术 5．防火墙的体系结构 （3）屏蔽主机防火墙 屏蔽主机防火墙体系结构中，分组过滤路由器或防火墙与Internet相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒机成为Internet上其他节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。 10.3.3 防火墙技术 5．防火墙的体系结构 （4）屏蔽子网防火墙 屏蔽子网防火墙体系结构为堡垒机放在一个子网内，两个分组过滤路由器放在这一子网的两端，使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。大型企业防火墙建议采用屏蔽子网防火墙，以得到更安全的保障。 10.3.3 防火墙技术 6．防火墙技术 （1）数据包过滤 包过滤（Packet Filter）技术是最早出现的防火墙技术，虽然防火墙技术发展到现在提出了很多新的理念，但是包过滤仍然是防火墙为系统提供安全保障的主要技术，它可以阻挡攻击，禁止外部/内部访问某些站点以及限制单个IP地址的流量和连接数。 10.3.3 防火墙技术 包过滤技术发展到现在，已经从早期的静态包过滤技术演变到了现在的动态包过滤技术：① 静态包过滤、② 动态包过滤，如图10-14所示。 图10-14 包过滤路由的物理位置 10.3.3 防火墙技术 6．防火墙技术 （2）应用层代理 应用层代理（Proxy）技术针对每一个特定应用，在应用层实现网络数据流保护功能，应用层代理使得网络管理员能够实现比包过滤更严格的安全策略。应用层代理不用依靠包过滤工具来管理Internet服务在防火墙系统中的进出，而是采用为每种服务定制特殊代码（代理服务）的方式来管理Internet服务。 10.3.3 防火墙技术 6．防火墙技术 （3）电路级网关 另一种类型的代理技术称为电路级网关（Circuit Gateway），也叫电路层网关，它工作在OSI参考模型的会话层，在内、外网络主机之间建立一个虚拟电路进行通信，相当于在防火墙上打开一个通道进行传输。 10.3.3 防火墙技术 6．防火墙技术 （4）地址翻译技术 NAT（Net Address Translation，网络地址翻译）的最初设计目的是用来增加私有组织的可用地址空间和解决将现有的私有TCP/IP网络连接到互联网上的口地址编号问题，内部主机地址隐匿在TCP/IP开始开发的时候，没有人会想象到它发展得如此之快。 10.3.3 防火墙技术 6．防火墙技术 （5）状态监测技术。 无论是包过滤，还是代理服务，都是根据管理员预定义好的规则提供服务或者限制某些访问。然而在提供网络访问能力和保证网络安全方面，显然存在矛盾，只要允许访问某些网络服务，就有可能造成某种系统漏洞；然而如果限制太严厉，合法的网络访问就受到不必要的限制。 * 计算机网络基础 计算机网络基础 计算机网络基础 电子工业出版社 计算机网络基础 第十章 网络安全的管理 10.1 任务描述 小王有一台笔记本电脑，平时在家里通过路由器接入互联网，上学时在学校通过校园网接入互联网，其接入网络的方式如图10-1所示。由于小王平时需要用计算机完成网上聊天、网络购物、文件传输等功能，涉及用户账号、网上银行等关键信息，如果计算机感染了病毒或木马，将会带来不必要的损失。因此，通过适当的措施保障网络安全就显得尤为重要。 10.2 设计与实施 10.2.1 设计 依据网络安全的理论模型进行分析，有物理安全风险、链路安全风险、网络互联安全风险、系统安全风险、应用安全风险以及管理安全风险。 针对不同的安全风险种类，相应的技术措施如表10-1所示。 10.2 设计与实施 10.2.1 设计 安全威胁种类 采取措施 物理安全：自然灾害、硬件损伤、电源故障、被偷盗 设备冗余、线路冗余、数据备份、异地服务器双备份 链路安全：传输线路上被窃取数据，尤其是无线网络 加密技术 网络互联安全：来自