第6章 Intranet(new 网络互连与Internet技术课件最终版).ppt

第六章 Intranet Intranet的定义 安全措施 防火墙(firewall) 应用代理（proxy) 入侵检测系统(IDS) Intranet的定义 Intranet译为内部网或内联网。其定义为： 基于TCP/IP协议，使用WWW工具，采用防止外界入侵的安全措施，具有连接Internet功能的局域网。 Intranet是LAN，但是它使用的协议是TCP/IP。 可以与外界相连(有人称为Extranet)。 Intranet具有安全性。 Intranet使用WWW工具，可以使期用户方便地浏览内部信息资源，及Internet上的丰富信息资源。 安全措施 防止伪造(fabrication)，截获(interception)， 中断(interruption)，篡改(modification)。 “进不来，拿不走，看不懂” 防止非授权用户访问外部网。 防火墙(firewall) 定义：一种用来进行网络访问控制、防止外网用户以非法手段进入内网、访问内网资源，保护内网操作环境的特殊网络互联设备。 与防火墙有关的概念-中立区 中立区又称为非军事化区域（Demilitarized Zone: DMZ） 它是存在于内网和外网之间的一个小型网络。 它由筛选路由器建立或阻塞路由器建立。 DMZ用来作为外网和内网的缓冲区以进一步隔离外网和内部私有网络。 DMZ中可以放置一些必须公开的服务器。 防火墙模型-包过滤路由器模型 包过滤路由器是防火墙最基本的构件。它按照一定的安全策略，对进出内网的包进行分析和限制，实现包过滤功能 。 对进入的包进行过滤(基于源IP地址) 对出去的包进行过滤(基于源IP地址、基于源IP地址及MAC地址的捆绑、基于目的IP地址) 优点：速度快、实现方便。 缺点：不能够隐藏内网的信息、不具备监视和日志记录功能。 防火墙模型-双宿主堡垒主机模型 用一台装有两块网卡的堡垒机构成防火墙。堡垒机上运行着防火墙软件，可以转发应用程序，提供服务等。 双宿主堡垒主机两个网络接口之间直接转发信息的功能被关掉了。 用堡垒机取代路由器执行安全控制功能。在物理结构上强行将所有去往内网的信息经过堡垒主机。 堡垒主机可基于端口进行过滤，如危险应用finger(119), telnet(23)等 防火墙模型-屏蔽主机网关结构 该结构中堡垒主机与内网相连，包过滤路由器连接到外部网上。 包过滤路由器作为第一道防线，堡垒机作为第二道防线。这确保了内网络不受未被授权的外部用户的攻击。 该防火墙系统提供的安全等级比前面两种防火墙系统要高，主要用于企业小型或中型网络。 防火墙模型-屏蔽子网结构 由两个包过滤路由器和一个堡垒主机组成。 定义了中立DMZ(子网)，堡垒主机、Web服务器、以及其它公用服务器放在DMZ网络。 内网和外网均可访问屏蔽子网，但禁止它们穿过屏蔽子网进行通信，从而进一步实现屏蔽主机的安全性。 包过滤技术 包过滤技术是基于IP地址来监视并过滤网络上流入和流出的IP包，它只允许与指定的IP地址通信。它的作用是在可信任网络和不可信任网络之间有选择地安排数据包的去向。 包过滤规则是以其所收到的数据包头信息为基础，包头信息中包括IP源地址，IP目标端地址、封装协议类型等。当一个数据包满足过滤规则，则允许此数据包通过，否则拒绝此包通过，起到了保护内部网络的作用。 包过滤技术-过滤规则 过滤规则序号FRNO(Filter rule Number)，它决定过滤算法执行时过滤规则排列的顺序。 过滤方式(Action)包括允许( Allow)和阻止( Block)。 源IP地址SIP (Source IP address)。 源端口SP (Source Port)。 目的IP地址DIP (Destination IP address)。 目的端口DP (Destination Port)。 源IP地址及MAC地址的捆绑。 包过滤技术-包过滤操作过程 包过滤规则必须被存储作为包过滤设备的端口上。 当包在端口到达时，包头被提取。同时包过滤设备检查IP，TCP，UDP等头部中的域。 包过滤规则以特定的次序被存储，每一规则按照被存储的次序作用于包。 如果一条规则阻止传输，包就被弃掉。 如果一条规则允许传输，包就被通过。 如果一个包不满足任意规则，它就被弃掉。 代理服务器(Proxy) 所有的请求都通过Proxy。 可以客户端用户的身份进行验证。 可以在Proxy中开辟缓存。 可以在Proxy中记录访问目志。 应用代理(Proxy) 当内网的用户希望访问外网某个应用服务器时，实际上是向运行在防火墙上的代理服务软件提出请求，建立连接。 由代理服务器代表它向要访问的应用系统提出请求，建立连接。 应用系统给予代理服务器响应， 代