第8章网络安全设计.pptVIP

解放军理工大学计算机系 陈鸣：网络工程设计 * 防火墙的定义 防火墙(firewall)是把一个组织的内部网络与整个Internet隔离开的软件和硬件的组合，它允许一些数据分组通过，禁止另一些数据分组通过 防火墙允许网络管理员控制对外部网络和被管理网络内部资源之间的访问，这种控制是通过管理流入和流出这些资源的流量实现的 两种类型 分组过滤防火墙 应用程序级网关 电路级网关 Internet 分组过滤 路由器 (a)屏蔽的主机防火墙(单地址堡垒主机) 堡垒主机 信息服务器 内部网主机 Internet 分组过滤 路由器 (b)屏蔽的主机防火墙(双地址堡垒主机) 堡垒主机 信息服务器 内部网主机 Internet 分组过滤 路由器 (c)屏蔽的子网防火墙系统 堡垒主机 信息服务器 内部网 内部 路由器 解放军理工大学计算机系 * 陈鸣：网络工程设计 解放军理工大学计算机系 陈鸣：网络工程设计 * 入侵检测 网络内部人员滥用职权往往对网络安全危害性很大 入侵检测用于识别未经授权使用计算机系统资源的行为；识别有权使用计算机系统资源但滥用特权的行为(如内部威胁)；识别未成功的入侵尝试行为 即使一个系统中不存在某个特定的漏洞，入侵检测系统仍然可以检测到特定的攻击事件，并自动调整系统状态对未来可能发生的侵入做出警告预报 它是一种利用入侵留下的痕迹，如试图登录的失败记录等信息来有效地发现来自外部或