可信系统和堡垒主机 UMLComputerScience.ppt

《计算机网络安全的理论与实践（第2版）》. 【美】王杰, 高等教育出版社, 2011年. 网络安全技术 防火墙将网络分为三个区域: 非信任区域 半信任区域 可信区域 《计算机网络安全的理论与实践（第2版）》. 【美】王杰, 高等教育出版社, 2011年. 第7章 内容概要 7.1 一般框架 7.2 分组过滤 7.3 电路网关 7.4 应用网关 7.5可信系统和堡垒主机 7.6 防火墙配置 7.7网络地址转换 7.8 配置防火墙 《计算机网络安全的理论与实践（第2版）》. 【美】王杰, 高等教育出版社, 2011年. 网络地址转换(NAT) 将IP地址分为公有和私有（不可路由）两个组 互联网地址编码分配机构指定了三个IP块作为私有地址 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 许多私有地址可通过一个或几个公有IP地址接入Internet 在IPv4里，克服了地址匮乏问题（232） 《计算机网络安全的理论与实践（第2版）》. 【美】王杰, 高等教育出版社, 2011年. 动态NAT 动态地指定少数几个共有IP地址给私有地址 端口地址转换 (PAT), 是NAT的一个变种 允许一个或更多的私有网络共享一个单一的IP 通常由家庭或小企业网络使用 通过重新映射分组的源和目的地址和端口号来工作 《计算机网络安全的理论与实践（第2版）》. 【美】王杰, 高等教育出版社, 2011年. 虚拟局域网 (VLAN) 一种在同一个物理网络中构建多个独立的逻辑局域网的技术 VLANs 可由软件来创建 VLAN 交换机: 一个VLAN交换机可以配置成多个逻辑的交换端口组，从而实现独立的VLAN 《计算机网络安全的理论与实践（第2版）》. 【美】王杰, 高等教育出版社, 2011年. 小型办公和家庭网络防火墙(SOHO) 《计算机网络安全的理论与实践（第2版）》. 【美】王杰, 高等教育出版社, 2011年. 第7章 内容概要 7.1 一般框架 7.2 分组过滤 7.3 电路网关 7.4 应用网关 7.5可信系统和堡垒主机 7.6 防火墙配置 7.7网络地址转换 7.8 配置防火墙 《计算机网络安全的理论与实践（第2版）》. 【美】王杰, 高等教育出版社, 2011年. 配置防火墙 Windows 系统: 控制面板中内置防火墙 Linux 使用iptables: iptables option chain matching criteria target 实例: iptables –A INPUT –p TCP –s 129.63.8.109 –j ACCEPT iptables –A INPUT –p TCP ! –syn –d 129.63.8.109 –j ACCEPT iptables –A INPUT –p TCP –d 129.63.8.109 telnet –j DROP FreeBSD UNIX 使用 ipf * * * * * 《计算机网络安全的理论与实践（第2版）》. 【美】王杰, 高等教育出版社, 2011年. 《计算机网络安全的理论与实践（第2版）》. 【美】王杰, 高等教育出版社, 2011年. 第7章 网络边防 《计算机网络安全的理论与实践（第2版）》. 【美】王杰, 高等教育出版社, 2011年. 第7章 内容概要 7.1 一般框架 7.2 分组过滤 7.3 电路网关 7.4 应用网关 7.5可信系统和堡垒主机 7.6 防火墙配置 7.7网络地址转换 7.8 配置防火墙 《计算机网络安全的理论与实践（第2版）》. 【美】王杰, 高等教育出版社, 2011年. LANs, WANs, WLANs 都属于网络边界 可能属于企业或家庭网络 需要收到保护，以免被入侵 为什么要用防火墙? 加密不行吗? 不能组织恶意分组进入网络边界 验证呢? 可以确定收到的一个分组是否来自于可信的用户 然而，不是所有主机都有资源运行验证算法 管理主机的不同用户技术水平参差不齐 概述 《计算机网络安全的理论与实践（第2版）》. 【美】王杰, 高等教育出版社, 2011年. 一般框架 《计算机网络安全的理论与实践（第2版）》. 【美】王杰, 高等教育出版社, 2011年. 防火墙是什么? 一个硬件设备, 一种软件,或者两者结合 是Internet和网络边缘的一个界线(内部网络) 一种过滤流入和外发分组的机制. 可能是硬件和(或)软件 硬件快但是升级不方便 软件慢但便于升级 一般框架 防火墙安置 《计算机网络安全的理论与实践（第2版）》. 【美】王杰, 高等教育出版社, 2011年. 第7章 内容概要 7.1