网络安全技术培训教程.pptVIP

3．应用代理 图10-10 应用代理的工作原理 4．状态检测 状态检测能通过状态检测技术，动态地维护各个连接的协议状态。 ※重点提示：防火墙在网络之间通过执行控制策略来保护网络系统，防火墙包括硬件和软件两部分。防火墙根据其实现技术可以分为：包过滤路由器、应用网关、应用代理和状态检测4类。 10.4.3 防火墙的结构 1．包过滤型结构 包过滤型结构是通过专用的包过滤路由器或是安装了包过滤功能的普通路器来实现的。包过滤型结构对进出内部网络的所有信息进行分析，按照一定的安全策略对这些信息进行分析与限制。 2．双宿网关结构 连接了两个网络的多宿主机称为双宿主机。多宿主机是具有多个网络接口卡的主机，每个接口都可以和一个网络连接，因为它能在不同的网络之间进行数据交换换，因此也称为网关。双宿网关结构即是一台装有两块网卡的主机作为防火墙，将外部网络与同部网络实现物理上的隔开。 图10-11 双宿网关结构 3．屏蔽主机结构 屏蔽主机结构将所有的外部主机强制与一个堡垒主机相连，从而不允许它们直接与内部网络的主机相连，因此屏撇主机结构是由包过滤路由器和堡垒主机组成的。 4．屏蔽子网结构 屏蔽子网结构使用了两个屏蔽路由器和两个堡垒主机。在该系统中，从外部包过滤由器开始的部分是由网络系统所属的单位组建的，属于内部网络，也称为“DMZ网络”。外部包过滤路由器与外部堡垒主机构成了防火墙的过滤子网；内部包过滤路由器和内部堡垒主机则用于对内部网络进行进一步的保护。 图10-12 包过滤路由器的数据包转发过程 图10-13 屏蔽子网结构示意图 10.4.4 防火墙的安装与配置 1．防火墙的网络接口 （1）内网 内网一般包括企业的内部网络或是内部网络的一部分。 （2）外网 外网指的是非企业内部的网络或是Internet，内网与外网之间进行通信，要通过防火墙来实现访问限制。 （3）DMZ （非军事化区） DMZ是一个隔离的网络，可以在这个网络中放置Web服务器或是E-mail服务器等，外网的用户可以访问DMZ。 2．防火墙的安装与初始配置 给防火墙加电令它启动。 将防火墙的Console口连接到计算机的串口上，并通过Windows操作系统的超级终端，进入防火墙的特权模式。 配置Ethernet的参数。 配置内外网卡的IP地址、指定外部地址范围和要进行转换的内部地址。 设置指向内网与外肉的缺省路由。 配置静态IP地址映射。 设置需要控制的地址、所作用的端口和连接协议等控制选项并设置允许telnet远程登录防火墙的IP地址。 保存配置。 3．防火墙的访问模式 （1）非特权模式 （2）特权模式 （3）配置模式 （4）监视模式 第10章 网络安全技术 本章要点： 10.1 基本概念 10.2 数据备份 10.3 加密技术 10.4 防火墙 10.5 防病毒 10.6 入侵检测 10.1.1 信息安全威胁 1．窃听 信息在传输过程中被直接或是间接地窃听网络上的特定数据包，通过对其的分析得到所需的重要信息。数据包仍然能够到到目的结点，其数据并没有丢失。 2．截获 信息在传输过程中被非法截获，并且目的结点并没有收到该信息，即信息在中途丢失了。 10.1 基本概念 3．伪造 没有任何信息从源信息结点发出，但攻击者伪造出信息并冒充源信息结点发出信息，目的结点将收到这个伪造信息。 4．篡改 信息在传输过程中被截获，攻击者修改其截获的特定数据包，从而破坏了数据的数据的完整性，然后再将篡改后的数据包发送到目的结点。在目的结点的接收者看来，数据似乎是完整没有丢失的，但其实已经被恶意篡改过。 ※重点提示：网络安全是指利用各种网络监控和管理技术，对网络系统的硬、软件和系统中的数据资源进行保护，从而保证网络系统连续、安全且可靠的运行。网络中存在的信息安全威胁有窃听、截获、伪造和篡改。 图10-1 信息安全威胁 10.1.2 网络攻击 1．服务攻击 服务攻击即指对网络中的某些服务器进行攻击，使其“拒绝服务”而造成网络无法正常工作。 2．非服务攻击 利用协议或操作系统实现协议时的漏洞来达到攻击的目的，它不针对于某具体的应用服务，因此非服务攻击是一种更有效的攻击手段。 10.1.3 网络安全的基本要素 （1）机密性 （2）完整性 （3）可用性 （4）可鉴别性 （5）不可抵赖性 10.1.4 计算机系统安全等级 1．D类 D类的安全级别最低，保护措施最少且