网络信息安全基础的知识.pptVIP

防火墙的基本原理 防 火 墙 内部网络 因特网 防火墙是在本地网与外部网之间的界面上构筑的保护层，保护内部网不受外部非法用户的攻击，是一个或一组网络设备。 防火墙配置示例 拒绝：202.114.*.* ? : Telnet 允许：202.114.*.* ? 202.120.*.*:FTP 允许：* ? 202.120.*.* : WWW(80服务) 缺省：全部拒绝 某大学西校区 202.120.*.* 防 火 墙 某大学东校区 202.114.*.* 因特网 防火墙主要技术--包过滤 建立在网络层及传输层上，按源IP、目的IP、协议类型、端口号进行过滤。 允许符合安全规则的数据包通过，阻止非法数据包。 外部合法数据与内部网络近似直接通信， 　速度快、费用小、对应用层数据安全防范能力低。 防火墙的缺点 不检测应用层数据内容 无法防止对应用层协议的攻击 无法防止对特定应用程序的攻击 无法防止来自网络内部的攻击 统计表明，大多数攻击来自网络内部 入侵检测基本原理 入侵检测系统（Intrusion Detection System）就是对网络或操作系统上的可疑行为做出策略反应，及时切断资料入侵源、记录、并通过各种途径通知网络管理员，最大幅度地保障系统安全，是防火墙的合理补充，帮助系统对付网络攻击，扩展系统管理员的