組网技术与配置（第2版）（第10章）.pptVIP

组网技术与配置（第2版）（第10章） 高等院校计算机教育系列教材 第10章 Intranet安全与管理 汪本标 第10章 提要 对防火墙技术进行分析和讨论，企业网主要是采用防火墙技术进行安全防护，防火墙的结构有哪些，各有什么特点，一般采用什么结构? 讨论了基于密码理论的加密技术，涉及到加密方法、数字签名、身份认证。进一步给出网络地址转换NAT在网络安全的应用。 介绍企业网中的网络管理技术、网络管理模型和网络管理协议，讨论网管代理、网管工具、网管软件的的作用和特点。 第10章 目录 10.1 Intranet安全 10.2 网络地址转换NAT用于Intranet安全 10.3 IIS为Intranet提供的安全性 10.4 Intranet管理 10.5 小 结 10.1 Intranet安全 10.1.1 Intranet的安全策略 10.1.2网络安全的层次划分 10.1.3 Internet的网络安全层次 10.1.4 网络防火墙技术 10.1.5 防火墙的结构 10.1.6 企业网防火墙的方案 10.1.7 基于密码理论的技术 10.1.1 Intranet的安全策略 ⑴用户身份认证，系统根据用户的私有信息确定用户身份的真实性，判断用户是否可以访问网络资源。 ⑵访问控制，是对不同的用户赋予不同的对网络的访问权限，控制用户对资源的访问。 ⑶数据加密，是一种主动的防御策略，是保证网络资源安全的技术基础。 ⑷审计，能够记录用户对系统或网络资源的访问活动，记录内容保存在日志文件中，网络管理员查找问题时使用。 10.1.2 网络安全的层次划分 国际标准ISO 7498-2定义了OSI安全体系结构的网络安全层次 10.1.3 Internet的网络安全层次 网络安全的6个层次 10.1.4 网络防火墙技术 ⑴防火墙所起的作用 ①限制访问者进入一个被严格控制的点 ②防止进攻者接近受到保护的设备 ③限制人们离开一个严格控制的点。从逻辑上说，防火墙是一个分离器，是一个限制器，是一个分析器。 防火墙通常由一套硬件设备（一个路由器，或路由器的组合，一台主机）和相应的软件模块组成。构成防火墙的主要部分有：①路由器；②插有两块以上网卡的主机，具有两个以上的网络接口，一个和内部网络连接，另一个和外部网络连接；③各种代理服务器主机。 ⑵防火墙一般分为两种基本类型 ①包过滤型（packet filter），包过滤规则以IP包信息为基础，对IP源地址、IP目的地址、封装协议（TCP/UDP/ICMP/IP TUNNEL）、端口号等进行筛选，包过滤在OSI协议的网络层进行。 ②代理服务型（proxy service），代理服务通常由两部分组成：代理服务器端程序和客户端程序。客户端程序与中间节点（Proxy Server）连接，中间节点再与要访问的外部服务器实际连接。与包过滤不同的是，它使内部网与外部网之间不存在直接的连接，同时还提供日志（Log）和审计服务。 ⑶ 代理服务器参数的设置方法 要想访问代理服务器，要在浏览器的选项配置中设置代理服务器的参数，例如IP地址等内容。 ①右击桌面上IE图标，在弹出的菜单中选择【属性】，出现【Internet属性】对话框，选择【连接】选项卡。 ②单击【局域网设置】按钮，出现如图7.5所示对话框。 ③输入代理服务器的IP地址和端口数据，单击【高级】按钮，出现如图7.6所示对话框。 ④对各种代理服务输入代理服务器的IP地址，并对不使用代理服务器的连接输入域名地址或IP地址，可以使用统配符“*”。依次单击【确定】按钮，完成代理服务设置。 ⑷防火墙技术需要解决的问题 ①控制冗余信息造成网络传输效率下降，实时性降低 ②防火墙对数据的内容缺少检测，从而对计算机病毒在内的数据驱动的攻击缺少有效的防范措施 ③仅仅解决了内部网络的安全访问控制问题，没有从根本上解决整个Internet网络上的传输信息安全问题，而这些只能依靠密码技术解决 ④无法防火墙以外的其它途径的攻击，例如，内网有一个没有限制的拨号连接存在，内网上的用户就可以直接通过PPP接入Internet ⑤不能防止来自内网用户带来的威胁 10.1.5 防火墙的结构 1. 双宿主主机结构 2. 屏蔽主机结构 3. 屏蔽子网结构 4.壁垒主机/代理服务器构成的防火墙 10.1.6 企业网防火墙的方案 企业网防火墙有二个部分： 屏蔽路由器Cisco 3600 代理服务器-堡垒主机 屏蔽路由器提供的安全特性有：基于接口的设置；与服务无关的过滤；与服务有关的过滤。 堡垒主机上安装防火墙软件，提供信息过滤、地址转换等功能，只允许特定的信息进入内部网络，提供协议过滤，可以实现数据加密和用户认