第12章 网络安全技术-精品·公开课件.ppt

第12章网络安全技术 主要内容 防火墙技术 漏洞扫描技术 入侵检测技术 虚拟专用网VPN技术 防火墙技术 定义为：“设置在两个或多个网络之间的安全阻隔，用于保证本地网络资源的安全，通常是包含软件部分和硬件部分的一个系统或多个系统的组合”。 基本工作原理是在可信任网络的边界（即常说的在内部网络和外部网络之间，我们认为内部网络是可信任的，而外部网络是不可信的）建立起网络控制系统，隔离内部和外部网络，执行访问控制策略，防止外部的未授权节点访问内部网络和非法向外传递内部信息，同时也防止非法和恶意的网络行为导致内部网络的运行被破坏。 基本思想不是对每台主机系统进行保护，而是让所有对系统的访问通过某一点，并且保护这一点，并尽可能地对外界屏蔽被保护网络的信息和结构。 防火墙在网络中的位置 防火墙的基本需求 保证内部网的安全性。 保证内部网同外部网间的连通性。 设计实现的重点为： 安全性能； 处理速度。 防火墙的功能 实施网间访问控制，强化安全策略。 有效地纪录因特网上的活动。 隔离网段，限制安全问题扩散。 防火墙自身有一定的抗攻击能力。 综合运用各种安全措施，使用先进健壮的信息安全技术。 人机界面良好，用户配置方便，易管理。 防火墙的不足 它能保护网络系统的可用性和系统安全，但由于无法理解数据内容，不能提供数据安全。 对用户不透明，可能带来传输延迟、瓶颈和单点失效等问题。 不能防范不经过它的连接。 当使用端到端加密时，其作用会受到很大限制。 过于依赖于拓扑结构。 防火墙不能防范病毒。 是一种静态防御技术。 防火墙的分类 按网络体系结构分类 工作在OSI参考模型中的不同位置。 按应用技术分类 包过滤防火墙； 代理服务器； 电路级网关。。 按拓扑结构分类 双宿主主机防火墙； 屏蔽主机防火墙； 屏蔽子网防火墙。 网络防火墙位置模型 包过滤防火墙 工作在网络层（IP 层） 根据过滤规则，逐个检查 IP 包，确定是否允许通过。 对应用透明，合法建立的连接不被中断。 速度快、效率高。 安全性级别低：不能识别高层信息、容易受到欺骗。 包过滤防火墙的工作原理 代理服务器型防火墙 工作在应用层，将客户与服务的连接隔离成两段。 根据规则为客户请求建立新的服务连接。 从网络层切断了内外网络之间的连通性，安全性大大提高。 能够识别高层协议信息，进行高层协议过滤。 对应用不透明，客户端需要重新配置。 速度较慢、效率低。 代理服务器防火墙的工作原理 电路级网关 工作在传输层。 它在两个主机首次建立TCP连接时创立一个电子屏障，建立两个TCP连接。 一旦两个连接建立起来，网关从一个连接向另一个连接转发数据包，而不检查内容。 也称为通用代理，统一的代理应用程序，各协议可透明地通过通用代理防火墙。 电路级网关实现的典型例子是SOCKS软件包，是David Koblas在1990年开发的。 SOCKS系统 三种防火墙技术安全功能比较 规则 一般包含以下各项： 源地址、源端口 、目的地址、目的端口、协议类型、协议标志、服务类型、动作。 规则原则 按地址过滤； 按服务过滤。 防火墙的规则动作 有以下几种类型： 通过（accept） 允许IP包通过防火墙传输。 放弃（deny） 不允许IP包通过防火墙传输，但仅仅丢弃，不做任何响应。 拒绝（reject） 不允许IP包通过防火墙传输，并向源端发送目的主机不可达的ICMP报文。 返回（return） 没有发现匹配的规则，省缺动作。 规则举例（包过滤） 只允许Telet出站的服务 双宿主主机结构防火墙 核心是具有双宿主功能的主机。 至少有两个网络接口，充当路由器。 不允许两网之间的直接发送功能。 仅仅能通过代理，或让用户直接登陆到双宿主主机来提供服务。 提供高级别的安全控制。 问题： 用户账号本身会带来明显的安全问题，会允许某种不安全的服务；通过登陆来使用因特网太麻烦。 双宿主主机结构防火墙 屏蔽主机防火墙 主要的安全机制由屏蔽路由器来提供。 堡垒主机位于内部网络上，是外部能访问的惟一的内部网络主机。 堡垒主机需要保持更高的安全等级。 问题： 如果路由器被破坏，整个网络对侵袭者是开放的。如堡垒主机被侵，内部网络的主机失去任何的安全保护。 屏蔽主机防火墙 堡垒主机 设计与构筑堡垒主机的原则： 使堡垒主机尽量简单； 随时做好堡垒主机可能被损害的准备。 堡垒主机提供的服务： 同因特网相关的一些服务； 删除所有不需要的服务； 不要在堡垒主机上保留用户账号。 屏蔽子网防火墙 添加额外的安全层：周边网，将内部网与因特网进一 步隔开。 周边网即：非军事化区，提供附加的保护层，入侵者如侵入周边网，可防止监听（sniffer）内