第八章 防火墙技术及入侵检测－1-高显嵩.pptVIP

在Internal 端网络定义远程地址池 每个客户端动态地在地址池中为VPN会话获取地址 客户端先得拨号（163/169）得到一个公网地址 ， 然后和公司的防火墙设备利用PPTP/L2TP协议进行VPN的建立 建立VPN 的用户可以访问公司内部网络的所有资源， 就象在内部网中一样 客户端不需要附加软件的安装，简单方便 Dial-Up NAT Pool /24 --- 0 利用IPSEC协议的通道模式进行VPN的建立 无需为客户分配IP Pool 用户端要安装IPSEC Client软件 建立VPN 的用户可以访问公司内部网络的所有资源，就象在内部网中一样 防火墙的部署必须遵循以下原则： 最小授权：只有必要的流量，才能被授权通过防火墙。 高度容错：即使防火墙出现问题，也不能降低内部系统的安全程度。 深度防御：即使已经配置了防火墙，内部网络仍要采取独立于防火墙的安全措施。 受保护网络 如果防火墙支持透明模式则内部网络主机的配置不用调整 Host A Host C Host D Host B 同一网段 透明模式下，这里不用配置IP地址 透明模式下，这里不用配置IP地址 Default Gateway= 防火墙相当于网桥，原网络结构没有改变 防火墙的接入方式 防火墙不足之处 无法防护内部用户之间的攻击 无法防护基于操作系统漏洞的攻击 无法防护内部用户的其他行为 无法防护端口反弹木马的攻击 无法防护病毒的侵袭 无法防护非法通道出现 软件防火墙 专用硬件防火墙 软件 VPN 专用 VPN 网关 加密处理芯片 软件内容扫描 安全内容处理网关 内容处理芯片 状态检测处理芯片 基于状态检测的硬件防火墙 采用ASIC芯片硬件设计体系 具有内容处理芯片和内容处理加速单元 可以实现实时分析和数据包协调处理 具有优化内容搜索、模式识别和数据分析功能 同时具有病毒扫描、VPN、内容过滤和基于网络的入侵检测功能。 业界标准：符合工业标准的防火墙 工作模式：网络地址转换，透明模式，路由模式。 用户认证：内建用户认证数据库，支持RADIUS认证数据库。 服 务：支持标准服务（例如：FTP、HTTP），用户自定义服务， 还支持用户定义服务组。 时 间 表：根据小时、日、周和月建立一次性或循环时间表，防火墙 根据不同的时间表定义安全策略。 虚拟映射：外部地址映射到内部或DMZ网络上的地址 IP/MAC绑定：阻止来自IP地址欺骗的攻击 选择防火墙的标准有很多，但最重要的是以下几条： 　 1、总拥有成本 2、防火墙本身是安全的 3、是硬件还是软件 4、可扩充性 5、升级能力 企业部署防火墙的误区 最全的就是最好的，最贵的就是最好的 软件防火墙部署后不对操作系统加固 一次配置，永远运行 测试不够完全 审计是可有可无的 防火墙拦截画面 * 网络安全产品的集成 如果将计算机网络比做城堡： 防火墙就是城堡的护城桥（河）——只允许己方的队伍通过。 入侵监测系统就是城堡中的了望哨——监视有无敌方或其他误入城堡的人出现。 VPN就是城褒外到城堡内的一个安全地道——有时城堡周围遍布敌军。 漏洞评估就是巡堡员——检测城堡是否坚固以及是否存在潜在隐患。 防病毒产品就是城堡中的将士——想方设法把发现的敌人消灭。 So what can a customer do to protect the private network? First, we need to think about general categories of risk. Then, we can address each category. Internet security risks fall into three domains: Intra-company, inter-company and Internet communication Inter-company (Corporate Network) risks are those that we usually think of first: risks from outside the company - from the Internet. Intra-company(Private Subnets) risks are those that occur within the confines of the organization. This could be between departments or personnel.