第07节网络安全结构设计.pptVIP

第七章 网络安全结构设计 第七章 网络安全结构设计 本章重点 7.1.1网络窃听 7.1.2 完整性破坏 7.1.3 地址欺骗 7.1.4拒绝服务攻击 7.1.4拒绝服务攻击 7.1.5 计算机病毒 7.1.5.2病毒的危害 7.1.5.3病毒的分类 7.1.6系统漏洞 7.2网络安全技术概述 7.3.1 网络结构划分 公共子网 7.3.2双宿主机结构 7.3.2双宿主机结构 7.3.3主机屏蔽结构 7.3.3主机屏蔽结构 7.3.3主机屏蔽结构 7.3.4子网屏蔽结构 7.3.4子网屏蔽结构 7.3.5防火墙体系结构 7.3.5防火墙体系结构 7.3.5防火墙体系结构 7.3.5防火墙体系结构 7.3.5防火墙体系结构 7.4.1防火墙概述 7.4.1防火墙概述 7.4.2防火墙技术 7.4.2.1包过滤防火墙 7.4.2.2应用级网关 7.4.2.3电路级网关 7.4.2.3电路级网关 7.4.2.4新型防火墙技术 7.4.3 防火墙性能指标 7.4.3 防火墙性能指标 7.4.3 防火墙性能指标 7.4.3 防火墙性能指标 7.4.3.1 防火墙产品介绍 7.4.4架设防火墙的步骤 7.5 网络操作系统安全性概述 7.5.1 Windows2000安全性 7.5.1.2 Win2000的用户账号 7.5.1.3 Win2000的本地安全策略 7.5.1.4提高Win2000安全性的措施 包过滤器的工作是检查每个包的头部中的有关字段。网络管理员可以配置包过滤器，指定要检测哪些字段以及如何处理等等。 H H …… H H …… 包过滤器 128.10.0.0 192.5.48.0 应用级网关防火墙安装在网络应用层上，它是一种比包过滤防火墙更加安全的防火墙技术。 它的主要技术特点是不允许直接建立端对端的连接，而是将跨越防火墙的网络通信链路分为两段，通过代理服务器建立两个TCP连接。 代理服务是运行在网络主机上的一个软件应用程序，它就像外部网和内部网之间的中间媒介，筛选进出的数据。 运行代理服务的网络主机称为代理服务器或网关。 对于外部网络，代理服务器相当于内部网络的一台服务器，实际上，它只是内部网络的一台过滤设备。 代理服务器的安全性除了表现在它可以隔断内部和外部网络的直接连接，还可以防止外部网络发现内部网络的地址。 新型防火墙，既有包过滤的功能，又能在应用层进行代理。它具有以下特点： （1）综合包过滤和代理技术，克服二者在安全方面的缺陷。 （2）能从数据链路层一直到应用层施加全方位的控制。 （3）实现TCP/IP协议的微内核，从而在TCP/IP协议层进行各项安全控制。 （4）基于上述微内核，使速度超过传统的包过滤防火墙。 （5）提供透明代理模式，减轻客户端的配置工作。 （6）支持数据加密、解密（DES和RSA），提供对虚拟网VPN的强大支持。 （7）内部信息完全隐藏。 衡量防火墙的性能指标主要包括吞吐量、报文转发率、最大并发连接数、每秒新建连接数等。 吞吐量和报文转发率是关系防火墙应用的主要指标，一般采用FDT（Full Duplex Throughput）来衡量，指64字节数据包的全双工吞吐量，该指标既包括吞吐量指标也涵盖了报文转发率指标。 FDT与端口容量的区别：端口容量指物理端口的容量总和。如果防火墙接了2个千兆端口，端口容量为2GB，但FDT可能只是200MB。 FDT与HDT的区别：HDT指半双工吞吐量（Half Duplex Throughput）。一个千兆口可以同时以1GB的速度收和发。按FDT来说，就是1GB；按HDT来说，就是2GB。有些防火墙的厂商所说的吞吐量，往往是HDT。 一般来说，即使有多个网络接口，防火墙的核心处理往往也只有一个处理器完成，要么是CPU，要么是安全处理芯片或NP、ASIC等。 对于防火墙应用，应该充分强调64字节数据的整机全双工吞吐量，该指标主要由CPU或安全处理芯片、NP、ASIC等核心处理单元的处理能力和防火墙体系架构来决定。 对于不同的体系架构，其FDT适应的范围是不一样的，如对于第一代单CPU体系架构其理论FDT为百兆级别，对于中高端的防火墙应用，必须采用第二代或第三代ISS集成安全体系架构。 1．Cisco PIX 515E防火墙 2．3COM的SuperStack防火墙 3．天融信网络卫士NGFW4000 4．东软的Neteye 3.2 图7-11 Cisco PIX 515E防火墙外观图 1．制定安全策略 2．搭建安全体系结构 3．制定规则次序 4．落实规则集 5．注意更换控制 6．做好审计工作 现代的网络操作系统一般具有下列特点： （1）多用户支持 （2）访问控制 （3）安全性管理 （4）网络管理