网络安全培课程【图文】.ppt

数据包 数据包 查找对应的控制策略 拆开数据包 根据策略决定如何处理该数据包 企业内部网 屏蔽路由器 数据包 防火墙的主要技术 状态检测包过滤技术的基本原理 数据包 数据3 TCP报头 IP报头 分组过滤判断信息 数据2 TCP报头 IP报头 数据1 TCP报头 IP报头 数据1 TCP报头 IP报头 数据 状态检测 控制策略 数据包 数据包 查找对应的控制策略 拆开数据包 根据策略决定如何处理该数据包 企业内部网 屏蔽路由器 数据包 防火墙的主要技术 应用层代理技术的基本原理 数据包 数据 TCP报头 IP报头 分组过滤判断信息 应用代理判断信息 控制策略 防火墙的用途 防火墙的用途 控制对网点的访问和封锁网点信息的泄露 能限制被保护子网的泄露 具有审计作用 能强制安全策略 防火墙不能防备病毒 防火墙对不通过它的连接无能为力 防火墙不能防备内部人员的攻击 限制有用的网络服务 防火墙不能防备新的网络安全问题 防火墙的弱点 防火墙的弱点 防火墙的构筑原则 构筑防火墙要从以下几方面考虑： 体系结构的设计 安全策略的制定 安全策略的实施 防火墙的产品(国外) 防火墙的产品(国内) 入侵监测系统 入侵监测系统的概念 入侵监测的主要技术 入侵监测系统的主要类型 入侵监测系统的优点和不足 含入侵监测系统的网络体系结构 入侵监测系统的发展 本节将分以下几部分介绍入侵监测系统： 入侵监测系统的概念 防火墙不能彻底消除网络入侵的威胁； 入侵监测系统(IDS：Intrusion detection system)用于监控网络和计算机系统被入侵或滥用的征兆； IDS系统以后台进程的形式运行，发现可疑情况，立即通知有关人员； IDS是监控和识别攻击的标准解决方案，是安防体系的重要组成部分； 假如说防火墙是一幢大楼的门锁，那入侵监测系统就是这幢大楼里的监视系统。 基本概念 入侵监测系统的概念 能够发现异于正常行为的操作 不需要人工干预即可不间断运行 对网络入侵行为进行实时报警和主动响应 不需要占用大量的系统资源 能方便地进行升级 入侵监测系统应有的功能 常用加密协议 TLS协议: 传输层安全协议（Transport Layer Security）。 TLS协议由IETF（Internet Engineering Task Force）组织开发。 TLS协议是对SSL 3.0 协议的进一步发展。 同SSL协议相比，TLS协议是一个开放的、以有关标准为基础的解决方案，使用了非专利的加密算法。 常用加密协议 IP-Sec协议(VPN 加密标准): Internet InternalNetwork Encrypted IP 与SSL协议不同，IP-Sec协议试图通过对IP数据包进行加密，从根本上解决因特网的安全问题。 IP-Sec是目前远程访问VPN网的基础，可以在Internet上创建出安全通道来。 常用加密协议 IP-Sec协议: IP HDR May Be Encrypted IP HDR Data IPsec HDR Data IP HDR Data IPsec HDR IP HDR New IP HDR May Be Encrypted Data 信道模式 透明模式 IP-Sec协议有两种模式： 透明模式：把IP-Sec协议施加到IP数据包上，但保留数据包原来的数据头； 信道模式：把数据包的一切内容都加密（包括数据头），然后再加上一个新的数据头。 常用加密协议 其它加密协议与标准: SSH：Secure Shell，在UNIX操作系统中用于远程控制Web服务器和其他服务器。 DNSSEC：Domain Name Server Security，主要用于分布式域名服务。 GSSAPI： Generic Security Services API，为各种密码学提供身份鉴别、密钥交换、数据加密的平台。 PGP协议：Pretty Good Protocol，适合于加密文件和加密电子邮件。 身份鉴别技术 Is that Alice? Hi, this is Alice. Please send me data. Internet 身份鉴别技术的提出 在开放的网络环境中，服务提供者需要通过身份鉴别技术判断提出服务申请的网络实体是否拥有其所声称的身份。 身份鉴别技术 常用的身份鉴别技术 基于用户名和密码的身份鉴别 基于对称密钥密码体制的身份鉴别技术 基于KDC（密钥分配中心）的身份鉴别技术 基于非对称密钥密码体制的身份鉴别技术 基于证书的身份鉴别技术 身份鉴别技术 Yes. I have a user named “Alice” whose password is “byebye”. I can