第12章网络安全及防火墙技术概要.pptVIP

网络安全与防火墙技术 伴随网络的普及，安全日益成为影响网络效能的重要问题。而Internet所具有的开放性、国际性、自由性，在增加应用自由度的同时，对安全提出了更高的要求。如何保护企业的机密信息不受黑客和工业间谍的入侵，已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。 12.1　网络安全概述 12.1.1　网络安全的定义 12.1.2　网络安全的研究内容 12.1.3　Internet安全面临的威胁 12.1.4　个人上网用户面临的网络陷阱 12.1.5 安全策略 12.1.1　网络安全的定义 1）保密性 2）完整性 3）可用性 4）可审查性 5) 可控性 12.1.2　网络安全的研究内容 1．物理安全 2．逻辑安全 3．操作系统提供的安全 4．联网安全 5．其他形式的安全 6．虚假安全 12.1.3　网络安全面临的威胁 1．非授权访问、黑客 2．计算机病毒、网络病毒 3．信息泄漏或丢失 4．后门 5．窥探 6. 破坏数据完整性 7. 拒绝服务攻击 个人上网用户面临的网络陷阱 （1）账号密码被窃取 （2）“电子炸弹”和“垃圾邮件”骚扰 （3）网络病毒 （4）winnuke攻击 12.1.5 安全策略 威严的法律 先进的技术 严格的管理 12.2 网络安全的基本体系 12.2.1 物理安全环境安全、设备安全、媒体安全 12.2.2 网络安全 1、内外网隔离及访问控制系统、 2、内部网不同安全域的隔离及访问控制 3、网络安全检测 4、审计与控制 5、网络反病毒 6、网络备份系统 12.2.3 信息安全 合法用户的鉴别 数据传输安全系统 数据存储安全系统 12.2.4 安全管理的原则与实现 网络安全管理的隐患 （1）有权账号管理混乱 （2）系统缺乏分级管理 （3）FTP带来的隐患 （4）CGI接口程序弊病 网络安全管理的内容 （1）鉴别管理 （2）访问控制管理 （3）密钥管理 （4）信息网络的安全管理 1）在通信实体上实施强制安全策略。 2）允许实体确定与之通信一组实体的自主安全策略。 3）控制和分配信息到提供安全服务的各类开放系统中，报告所提供的安全服务，以及已发生与安全有关的事件。 4）在一个实际的开放系统中，可设想与安全有关的信息将存储在文件或表中。 网络安全的常规防护措施 1．采用备份来避免损失 2．帮助用户自助 3．预防引导病毒 4．预防文件病毒 5．将访问控制加到PC机 6．防止无意的信息披露 7．使用服务器安全 计算机网络的安全服务 1．对象认证安全服务 2．访问控制安全服务 3．数据保密性安全服务 4．数据完整性安全服务 5．防抵赖安全服务 计算机网络的安全机制 加密机制 数字签名机制 访问控制机制 数据完整性机制 鉴别交换机制 防业务流分析机制 路由控制机制 公证机制 安全审计跟踪 表1　安全机制与安全服务的关系对照表 安全服务机制的配置 1．物理层 2．数据链路层 3．网络层 4．传输层 5．会话层 6．表示层 7．应用层 表2　参考模型的各个层能提供的安全服务 网络安全控制措施 1．物理访问控制 2．逻辑访问控制 3．组织方面的控制 4．人事控制 5．操作控制 6．应用程序开发控制 7．工作站控制 8．服务器控制 9．数据传输保护 网络安全实施过程中要注意的问题 1．网络安全分级应以风险为依据 2．有效防止部件被毁坏或丢失可以得到最佳收益 3．安全概念确定在设计早期 4．完善规则 5．注重经济效益规则 6．对安全防护措施进行综合集成 7．尽量减少与外部的联系 8．一致性与平等原则 9．可以接受的基本原则 10．时刻关注技术进步 12.3 信息安全的评价标准 美国TCSEC（桔皮书） 欧洲ITSEC 美国联邦准则FC 联合公共准则CC 系统安全工程能力成熟模型SSE-CMM ISO安全体系结构标准 等同采用国际标准 12.4 防火墙技术概述 12.4.1　防火墙的定义 12.4.2　防火墙的架构 12.4.3　防火墙的体系结构 12.4.4 防火墙的基本类型 12.4.1　防火墙的定义 防火墙是设置在不同网络或网络安全域之间的一系列部件的组合。既可以使一台或多台主机；也可以使一台路由器或其他设备。 防火墙提供信息安全服务，所有的通信都必须经过防火墙。只允许经过授权的网络流量通性，它经得起对其本身的攻击。 图9.1为防火墙示意图。 防火墙的发展简史 第一代防火墙：采用了包过滤（Packet Filter）技术。 第二、三代防火墙：1989年，推出了电路层防火墙，和应用层防火墙的初步结构。 第四代防火墙：1992年，开发出了基于动态