防火墙 ppt3第三章.pptVIP

第3章 网络设计 3.1 网络安全 3.2 网络的防火墙设计 3.3 安全策略 3.1 网络安全 3.1.1 网络安全的定义 从狭义的保护角度来讲，网络安全是指计算机及其网络系统资源和信息资源不被未授权的用户访问，即计算机、网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭破坏、更改或泄露，系统能连续、可靠、正常地运行，使网络服务不中断。 从广义来说，凡是涉及计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。 3.1 网络安全 3.1.2 网络安全标准 1. OSI安全体系结构的安全技术标准 国际标准化组织（ISO）在它所指定的国际标准ISO7498-2中描述了OSI（开放系统互联基本参考模型）安全体系结构的5种安全服务，各服务的名称以及用途如表3? 1所示。 3.1 网络安全 2. 可信计算机评估标准（Trusted Computer System Evaluation Criteria，TCSEC） 在美国，国家计算机安全中心（NCSC）负责建立可信计算机产品的准则。NCSC建立了可信计算机评估标准，TCSEC指出了一些安全等级，被称为安全级别，它的范围从级别A到级别D，其中A是最高级别。高级别在低级别的基础上提供进一步的安全保护。级别A、B和C还分数字标明的子级别，各级别的名称以及描述如表3 ?2所示。 3.1 网络安全 3. 我国计算机安全登记划分与相关标准 对信息系统和安全产品的安全性评估事关国家安全和社会安全，任何国家不会轻易相信和接受别的国家所作的评估结果。没有一个国家会把事关本国安全利益的信息安全产品和系统的安全可信建立在别人的评估标准、评估体系和评估结果上。为保险起见，通常要通过本国标准的测试才被认为可靠。1989年公安部在充分借鉴国际标准的前提下，开始设计和起草法律和标准，并于1999年9月13日由国家质量技术监督局审查通过并正式批准发布，已于2001年1月1日执行。 3.1 网络安全 3.1.3 网络传输过程中的3种安全机制 随着TCP/IP协议群在互联网上的广泛采用，信息技术与网络技术得到了飞速发展。随之而来的是安全风险问题的急剧增加。为了保护国家公众信息网以及企业内联网和外联网的信息和数据的安全，要大力发展基于信息网络的安全技术。 1. 信息与网络安全技术的目标 由于互联网的开放性、连通性和自由性，用户在享受各类共有信息资源的同时，也存在着自己的秘密信息可能被侵犯或被恶意破坏的危险。信息安全的目标就是保护有可能被侵犯或破坏的机密信息不受外界非法操作者的控制。 3.1 网络安全 2. 网络安全体系结构 国际标准化组织（ISO）在开放系统互联参考模型（OSI/RM）的基础上，于1989年制定了在OSI环境下解决网络安全的规则：安全体系结构。它扩充了基本参考模型，加入了安全问题的各个方面，为开放系统的安全通信提供了一种概念性、功能性以及一致性的途径。OSI安全体系包含7个层次：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。在各层次间进行的安全机制有以下几种。 （1）加密机制、（2）安全认证机制 、（3）访问控制策略 3.1 网络安全 3.1.4 网络安全重要性 网络安全是信息安全领域一个非常重要的方面，随着计算机网络的广泛应用，网络安全的重要性也日渐突出，网络安全已经成为国家、国防以及国民经济的重要组成部分。随着计算机技术和通信技术的发展，计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段，渗透到社会生活的各个领域。因此，认清网络的脆弱性和潜在威胁，采取强有力的安全策略，对于保障网络信息传输的安全性将变得十分重要。 3.1 网络安全 目前网络上已经存在着无数的安全威胁与攻击，对于它们，也存在着不同的分类方法。这里将网络安全威胁分为两大类：意外威胁和故意威胁。 总的来说，网络安全面临着多种攻击和威胁，网络安全问题必将愈来愈引起人们的重视，保障网络安全显得特别重要。防火墙技术作为目前用来实现网络安全措施的一种主要手段，它主要是用来拒绝未经授权用户的访问，阻止未经授权用户存取敏感数据，同时允许合法用户不受妨碍地访问网络资源。如果使用得当，可以在很大程度上提高网络安全。 3.1 网络安全 3.1.5 网络安全问题分类 网络存在的问题主要有3类。 一是机房安全。机房是网络设备运行的关键地方，如果发生安全问题，如物理安全（火灾、雷击、盗贼等）、电气安全（停电、负载不均等）等情况。 二是病毒的侵入和黑客的攻击。Internet开拓性的发展使病毒可能成为灾难。据美国国家计算机安全协会（NCSA）最近一项调查发现，几乎100%的美国大公司都曾在他们的网络或计算机上经历过计算机病毒的危害。