培训课件网络安全防范.ppt

第十二讲 网络安全防范 第一讲 网络技术概要 《网络协议与网络安全》 复旦大学 凌力 网络协议 Network Protocols  与 Network Security 网络安全 网络安全防范 主要内容 网络安全认识 网络安全防范技术分类 网络安全防范技术 网络安全防范体系 俗语说…… 矛盾 亡羊补牢 树欲静风不止 明枪易躲暗箭难防 道高一尺魔高一丈 千里之堤毁于蚁穴 一朝被蛇咬十年怕井绳 网络安全认识 网络安全防范十分必要并相当迫切 不存在绝对安全的网络和信息系统 用发展的眼光看待网络安全 注重网络安全体系的全面性 从需求特点出发部署网络安全设施 把握网络安全与投入成本的平衡点 【网络安全命题一】 从来就没有安全的网络， 今后也不会有。 【网络安全命题二】 不存在为安全而构筑的网络。 【网络安全命题三】 网络安全无小事。 网络安全防范技术分类 嵌入式安全防范（Embedded Defence） 安全协议 安全设备 主动式安全防范（Active Defence） 安全措施 安全补丁 被动式安全防范（Passive Defence） 安全侦查 安全防御 Subnet 子网 Sub-network AutonomousDomain（自治域、自治网络） 构造具备特定应用目标的网络体系，自成相对独立体系、可自我管理 Intranet和Extranet 把内部网络与Internet隔离开，通常使用NAT、Firewall等设备来完成 DMZ 使用双防火墙机制，将内部网络分为内网和外网两个层次 VLAN 把局域网划分为不同的虚拟子网，使用二层或三层局域网交换机或路由器完成 VPN 使用安全协议和数据加密技术，构造安全的访问体系 Interconnection Host 采用特殊设计的业务互连主机，将业务网络与其它系统进行互连，只传输指定数据 Physical Isolation 物理隔离子网 VLAN概要 VLAN的划分 基于端口(Port) 基于MAC地址 基于IP地址 VLAN作用 把数据交换限制在各个虚拟网的范围内，提高了网络的传输效率； 减少整个网络范围内广播包的传输，防止广播风暴（Broadcast Storm）的产生； 各虚拟网之间不能直接进行通信，而必须通过路由器转发，起到了隔离端口的作用，为高级安全控制提供了可能，增强了网络的安全性。 VLAN的逻辑分组特性 基于端口的VLAN 根据以太网交换机的端口来划分VLAN，可以跨交换机进行。优点是定义VLAN成员时非常简单，只需将所有的端口都设定一遍；缺点是如果VLAN的某个用户离开了原来的端口，连接到了一个新的端口，那么就必须重新定义 基于MAC地址的VLAN 根据每个主机的MAC地址来划分VLAN，所以也可称为基于用户的VLAN。优点就是当用户物理位置移动时，即使移动到另一个交换机，VLAN也不用重新配置；缺点是初始化时，所有的用户都必须进行配置，如果用户很多，配置的工作量非常大。此外，这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法有效限制广播包。如果网卡可能经常更换，VLAN就必须不停地更新 基于协议的VLAN 通过第二层报文中的协议字段，判断出上层运行的网络层协议，如IP协议或者是IPX协议。当一个物理网络中存在多种第三层协议运行的时候，可采用这种VLAN的划分方法。但是现有的系统中一般仅有IP协议，所以基于协议的VLAN很少有机会使用 基于子网的VLAN 根据报文中的IP地址决定报文属于哪个VLAN，同一个IP子网的所有报文属于同一个VLAN。优点是可以针对具体应用的服务来组织用户，用户可以在网络内部自由移动而不用重新配置自己的设备；缺点是效率较低，因为检查每一个报文的IP地址很耗时。同时由于一个端口也可能存在多个VLAN的成员，对广播报文也无法有效抑制 VPN Virtual Private Network 虚拟专用网络 在“不安全”的网络上建立安全的互连关系 VPN主要应用目的 用户通过Internet安全接入Intranet Intranet之间通过Internet的安全互连 通过Internet构造安全的Extranet 通过Internet的对等设备安全互连 VPN安全隧道 安全隧道（Secure Tunnel） Intranet组网 Extranet组网 VPN安全隧道协议 点对点隧道协议（Point-to-Point Tunnel Protocol，PPTP） PPTP协议允许对IP、IPX或NetBEUI数据流进行加密，然后封装在IP包头中，通过Intranet或Internet相互通信 第2层隧道协议（Lay