企业网络的安全体系.ppt

* * 计算机信息安全技术 华中科技大学计算机学院 王 洪 2004年11月 防火墙 2000年至2003年，天融信公司连续四年市场份额均居国内安全厂商之首 IDC：天融信2003年下半年防火墙市场份额达到了17.28%，名列所有国内外安全厂商第一位，打破了国内安全厂商长期处于弱势地位的局面，为国内网络安全企业树立了新的里程碑。 中国防火墙厂商市场规模2003，US$M 2003 2003H2 2003年防火墙子市场上思科中国的市场份额为16.47%。 由于2003年下半年，天融信公司的防火墙产品市场销售增长较快，2003年天融信公司在防火墙市场的份额为15.17%。 Source: IDC, 2003 2003’s 防火墙厂商竞争分析 Source: IDC, 2003 天融信的发展 方案提供商 设备提供商 服务提供商 网络安全不仅仅是提供一套设备，而是 需要提供长期的网络安全方面的技术支持、 咨询和服务。 我的数据？！ 数据安全 Internet 企业网络的安全体系 为阻止外来的攻击，网络上增加了防火墙设备 不允许对内网进行任何操作/无限制地允许对外访问 有限制地允许对内或对外进行访问！ 会话检测技术 Client 69 70 010101001 010000111 110000010 010101001 010010010 110010010 协议还原模块协议还原模块 输入队列 输入队列 底层驱动 010101001 010000111 110000010 010101001 010010010 110010010 符合安全策略？ 符合安全策略？ 防火墙逻辑图 010100101001010010 010100101001010010 010100101001010010 010100101001010010 010100 010101 发起请求 响应请求 虚拟客户端 虚拟服务器端 在操作系统内核模拟出典型的应用层协议，在内核实现对应用层协议的过滤，从而得到极高的性能 企业网络的安全体系 Internet Internet 外网 内网 内网 安全区 企业网络的安全体系 Internet 内网 安全区 入侵检测 病毒检测 企业网络的安全体系 Internet 内网 安全区 入侵检测 病毒检测 数据传输过程中的数据安全 数据机密性保护 数据完整性保护 数据源身份认证 数据机密性保护 拨号服务器 PSTN Internet 区域 Internet 边界路由器 内部工作子网 管理子网 一般子网 内部WWW 重点子网 下属机构 DDN/FR X.25专线 SSN区域 WWW Mail DNS 密文传输 明文传输 明文传输 数据完整性保护 内部工作子网 管理子网 一般子网 内部WWW 重点子网 下属机构 DDN/FR X.25专线 原始数据包 对原始数据包进行Hash 加密后的数据包 摘要 Hash 摘要 对原始数据包进行加密 加密后的数据包 加密 加密后的数据包 摘要 加密后的数据包 摘要 摘要 解密 原始数据包 Hash 原始数据包 与原摘要进行比较，验证数据的完整性 数据源身份认证 内部工作子网 管理子网 一般子网 内部WWW 重点子网 下属机构 DDN/FR X.25专线 原始数据包 对原始数据包进行Hash Hash 摘要 加密 摘要 摘要 取出DSS 原始数据包 Hash 原始数据包 两摘要相比较 私钥 原始数据包 DSS DSS 将数字签名附在原始包后面供对方验证签名 得到数字签名 原始数据包 DSS 原始数据包 DSS DSS 解密 相等吗？ 验证通过 文件服务器 网络交换机 防火墙 路由器 系统管理工作站 应用服务器 应用服务器 网络交换机 用户组 用户组 文件服务器 用户组 防火墙 用户组 V P N 系统管理工作站 VPN VPN 企业网络的安全体系 通过信息加密设备就能在公共网络上构筑虚拟专用网(VPN) 对内部重要的部门也应通过 安全设备对其网络及数据进 行保护。 入侵检测 病毒检测 NGIDS产品结构组成： 检测引擎 控制台 监听数据流 数据 收集 报表输出 检测引擎 数据 处理 过滤 入侵分析检测 阻断响应 策略下传 日志接受 信息输出 报警输出 联动输出 阻断输出 控制台 SSL加密 基础知识 入侵检测的工作流程 监控室=控制中心 后门 保安=防火墙 摄像机=探测引擎 Card Key 基础知识 典型应用 历年病毒入侵途径变化图 病毒传播途径发生变化 边界防毒需求 Internet成为主要传播途径 据