网络和信息安全培训材料.pptVIP

（一）防火墙 最大限度地限制来自外界的非法访问，对用户内网进行安全保护是实现网络和网络之间既隔断又连通的网络安全设施 网络A 网络B 防 火 墙 防火墙的优越性 能控制不安全的服务，只有授权的协议和服务能通过 能对站点进行访问控制，防止非法访问 能对各种访问记录日志 还能对正常访问进行统计分析 防火墙的基本功能 过滤进出防火墙的数据 管理进出防火墙的访问行为 封堵某些被禁止的业务 记录通过防火墙的信息内容和活动 对网络攻击进行检测和告警 1、基于路由器的防火墙 特点： 利用路由器本身对分组的分析，以访问控制表方式，实现对分组的过滤 策略依据是：地址、端口、协议标志等网络特性 只有分组过滤功能，一般与路由器合二为一 缺点 路由协议灵活复杂，本身有安全隐患 过滤规则十分原始，所以，很复杂，存在安全隐患 一般，网络上路由器内的路由市动态的，而急于路由器的防火墙规则往往是静态的，不太容易处理 防火墙规则会降低路由器性能 2、用户化防火墙工具 特点 把过滤功能从路由器中独立出来形成专用的防火墙软件 可以增加审计和告警功能 缺点 软件复杂、使用和管理复杂 对用户技术要求高 由于是软件，安全性和处理速度有限 3、基于通用操作系统的防火墙 特点 是商用防火墙，专用的防火墙软硬件产品 使用通用操作系统：Linux、Windows等等 安全性和性能有提高 缺点 操作系统不为防火墙所管理，其安全性无法保证 4、基于安全操作系统的防火墙 特点 专用的软硬件产品 使用安全操作系统，安全性得到极大提高 往往具有加密和鉴别功能 线速防火墙（进出基本无延时） 100M/1000M 防火墙安全策略 网络服务访问权限策略 保护网络免受已知的风险攻击 提供用户对网络资源的合理使用 例： 不允许从Internet到内网（或站点）的访问，但允许内网（或站点）到Internet的访问 允许从Internet到内网的某些访问 两个基本策略 允许所有服务除非她被特别的拒绝 拒绝所有服务除非她被特别的允许 某些不安全的网络服务 不安全的服务 Tftp：端口69 X Windows/Open Windows，端口2000，6000 Rpc，端口111 Rlogin、rsh、rexec等，端口513、514、512 不太安全的服务 telnet:23 ftp:20/21 Smtp:25 Rip:520 Dns:53 防火墙安全策略(续) 防火墙设计策略 本机构将使用那些网络服务？ 在何处使用这些服务？ 是否有加密需求？ 是否有拨号接入需求？ 代价？ 防火墙的一般要求 支持“拒绝所有服务除非她别特别的允许”策略 支持自己定义安全策略 安全策略灵活，以适应新的服务和需求 提供或者挂接认证手段 安全策略能实现针对某个制定的站点（IP地址或域名） 安全策略的定义要直观 针对常用的服务（telnet、ftp等）提供代理手段和身份鉴别手段 对smtp能提供中心化访问的能力，提高email系统的安全性 日志功能 等防火墙 最大限度地限制来自外界的非法访问，对用户内网进行安全保护 基于链路级地址映射和有状态跟踪 具备反攻击和设置陷阱等主动防卫手段 采用基于主机的保护策略 基于模式匹配的智能的入侵检测 提供对内部泄密问题的解决方案 自行升级 根据安全策略自动生成配置文件 采用数据加密的方法主动防止对信息完整性的破坏 防火墙（1）黑洞式防御 授权用户 非授权用户 防火墙（2）安全保护与信息检查 Intranet 2 Host Web Server 54 73 Admin Host 21 Server Internet Host 12 Internet Server 0 包含非法信息 的服务器 不可信网络 的主机 （二）身份认证——鉴别、授权和管理(AAA) 系统80%的攻击发生在内部，而不是外部。 内部网的管理和访问控制，相对外部的隔离来讲要复杂得多。 外部网的隔离，基本上是禁止和放行，是一种粗颗粒的访问控制。 内部的网络管理，要针对用户来设置，你是谁？怎么确认你是谁？你属于什么组？该组的访问权限是什么？这是一种细颗粒的访问控制。 根据IDC的报告，单位内部的AAA系统是目前安全市场增长最快的部分。 （三）入侵监测及预警技术 入侵检测系统（IDS：Intrusion Detection System）从网络中若干个关键点收集有关信息，并且加以分析，检测网络中是否有违反安全策略的行为和遭到袭击的迹象 IDS分类 模式匹配入侵检测系统 通过比较已知的入侵行为模式，从而发现入侵事件 统计异常入侵检测系统 通过检查有关统计数据，从而发现异常情况，实现入侵检测目标 入侵检测系统基本模型 收集信息 探针 检测引擎 事件数据库 统计模型 入侵模型 告警和报告 分布式入侵检测系统 网络 IDS I