网络安全技术概述-韩山师范学院网络教学平台.PPTVIP

内容提要 网络安全事件的报导 网络中存在的安全威胁 网络存在的安全漏洞的原因 网络设备种类繁多——当前使用的有各种各样的网络设备，从Windows NT和UNIX 服务器到防火墙、路由器和Web服务器,每种设备均有其独特的安全状况和保密功能； 访问方式的多样化——一般来说,网络环境存在多种进出方式,许多拔号登录点以及新的Internet访问方式可能会使安全策略的设立复杂化； 网络的不断变化——网络不是静态的,一直都处于发展变化中。启用新的硬件设备和操作系统,实施新的应用程序和Web服务器时,安全配置也有不同； 用户安全专业知识的缺乏——许多组织所拥有的对网络进行有效保护的保安专业知识十分有限,这实际上是造成安全漏洞最为主要的一点。 网络安全的特征 相对性 只有相对的安全，没有绝对的安全系统 安全性在系统的不同部件间可以转移 网络安全的特征(续) 攻击的不确定性 攻击发起的时间、攻击者、攻击目标和攻击发起的地点都具有不确定性 复杂性 网络安全是一项系统工程，需要技术的和非技术的手段，涉及到安全管理、教育、培训、立法、国际合作与互不侵犯协定、应急反应等 网络安全的层次架构 层次一：物理环境的安全性（物理层安全） 层次二：操作系统的安全性（系统层安全） 层次三：网络的安全性（网络层安全） 层次四：应用的安全性（应用层安全） 层次五：管理的安全性（管理层安全） 防火墙技术 最初含义：当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙。 防火墙是指设置在不同网络或网络安全域（公共网和企业内部网）之间的软件或硬件设备的组合，它是不同网络间的唯一出入口，能根据预先制定的安全策略（允许、拒绝、监测）来控制出入网络的信息流，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的，是实现网络和信息安全的基础设施。 防火墙示意图 防火墙的功能 防火墙的用途 防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户，如黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。防火墙能够简化安全管理，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。 在防火墙上可以很方便的监视网络的安全性，并产生报警。网络管理员可以记录、审计所有通过防火墙的重要信息，并及时响应报警。 防火墙可以作为部署NAT(Network Address Translator网络地址转换）的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题，并消除机构在变换ISP时带来的重新编址的麻烦。 防火墙是审计和记录Internet使用量的一个最佳地方。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈的位置，并能够根据机构的核算模式提供部门级的记费。 防火墙也可以成为向客户发布信息的地点。防火墙作为部署WWW服务器和FTP服务器的地点非常理想。还可以对防火墙进行配置，允许Internet访问上述服务，而禁止外部对受保护的内部网络上其它系统的访问。 防火墙的局限性 防火墙不是解决所有网络安全问题的万能药方，只是网络安全策略中的一个组成部分。 防火墙不能防范绕过防火墙的攻击，例:内部提供拨号服务 防火墙不能防范来自内部人员恶意的攻击 防火墙不能阻止病毒、木马的攻击 防火墙造成单点故障 防火墙技术与产品的发展 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入Internet网络为最甚。 Internet的迅猛发展，使得防火墙产品在短短的几年内异军突起，很快形成了一个产业：据不完全统计，在国际上防火墙产品销售从1995年的不到1万套， 猛增到1997年底的10万套。 据国际权威商业调查机构的预测,防火墙市场将以173％的复合增长率增长，到2000年将达150万套，市场营业额将从1995年的1.6亿美元上升到2000年的9.8亿美元。 防火墙技术的发展趋势 如何选择防火墙产品 选择防火墙的标准有很多，但最重要的是以下几条： 易于管理性 数据包处理速度 带宽控制 操作环境和硬件要求 VPN功能与IDS功能 接口的数量 可扩充性 升级能力 成本 防火墙配置案例一 防火墙配置案例二 防火墙配置案例三 入侵检测系统 入侵（intrusion），是指任何企图危及信息和资源的机密性、完整性和可用性的活动。 入侵检测（Intrusion Detection），是指对入侵行为的发现，它通过在计算机网络或计算机系统中的若干关键点收集信息并对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。 入侵检测系统（Intrusion Detect