网络安全概述_07IPSec及FW精要.ppt

第7讲 保密通信（一） IPSec FW 1 防火墙概述 基本概念 关键技术 体系结构 网络隔离 基本概念 防火墙概念 William Cheswick和Steve Beilovin（1994）：防火墙是放置在两个网络之间的一组组件，这组组件共同具有下列性质： 只允许本地安全策略授权的通信信息通过 双向通信信息必须通过防火墙 防火墙本身不会影响信息的流通 防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。 传统防火墙概念特指网络层实现 防火墙缺陷 使用不便，认为防火墙给人虚假的安全感 对用户不完全透明，可能带来传输延迟、瓶颈及单点失效 不能替代墙内的安全措施 不能防范恶意的知情者 不能防范不通过它的连接 不能防范全新的威胁 不能有效地防范数据驱动式的攻击 当使用端-端加密时，其作用会受到很大的限制 关键技术 数据包过滤 依据事先设定的过滤规则，对所接收的每个数据包做允许拒绝的决定。 数据包过滤优点： 速度快，性能高 对用户透明 数据包过滤缺点： 维护比较困难(需要对TCP/IP了解） 安全性低（IP欺骗等） 不提供有用的日志，或根本就不提供 不防范数据驱动型攻击 不能根据状态信息进行控制 不能处理网络层以上