第五章网络安全.ppt

5.6.6 UTM技术 统一威胁管理(Unified Threat Management,UTM)将防火墙、入侵检测和防病毒等功能结合于一体，提供集成的网络层和内容层的安全保护。UTM是由硬件、软件和网络技术组成的具有专门用途的设备，提供了多项安全功能(如IDS、VPN、防病毒和防垃圾邮件等)，并将多种安全特性集成在统一的硬件设备里，构成标准的统一管理平台。这和单纯地在防火墙中整合其它安全功能不同，因为UTM更注重的是“对设备和对威胁的管理”，它致力于将各种各样的网络安全威胁消弭于无形之中，以达到防患于未然的终极目标，且它对于终端普通消费者来说是透明的。 UTM设备的优势可以归纳为以下几点： (1)提供综合的功能和安全的性能，降低了复杂度，也降低了成本，适合企业、服务提供商和中小办公用户的网络环境。 (2)为用户定制安全策略，提供灵活性。用户既可以使用UTM的全部功能，也可以使用最需要的某一特定功能。 (3)提供全面的管理、报告和日志平台，用户可以统一地管理全部安全特性，包括特征库更新和日志报告等。 (4)实现功能的统一管理。由于UTM设备集多种功能于一身，因此，设备平台可以实现标准化并具有可扩展性，用户可在统一的平台上进行组件管理，同时，一体化管理也能消除信息产品之间由于无法沟通而带来的信息孤岛，从而在应对各种各样攻击威胁的时候，能够更好地保障用户的网络安全。 UTM并非完美无缺，也存在一些让人担忧的问题。例如UTM设备可能造成网络中的单故障点、性能瓶颈、灵活性不高等问题。 防火墙 的位置 5.4.2 防火墙的分类及原理 大体上可以划分为两类：一类基于包过滤(Packet Filter) 另一类基于代理服务(Proxy Service) 二者的区别 ： 基于包过滤的防火墙通常直接转发数据包，它对用户完全透明，速度较快。 基于代理服务的防火墙是通过代理服务器建立连接，它可以有更强的过滤和日志功能。 代理服务器又包含两大类：一类是电路级代理网关，另一类是应用级代理网关。 包过滤防火墙 过滤规则需按如下步骤去做 ： 1.建立安全策略——写出所允许的和禁止的任务； 2.将安全策略转化成若干条过滤规则； 3.将过滤规则根据其逻辑关系按照一定的顺序在防火墙上逐条进行设置。 缺点 ：没有用户的使用记录 不能识别相同IP地址的不同用户 不具备用户身份认证功能 不具备防范通过高层协议(如应用层)实现的安全攻击的能力 代理服务器 代理服务器接收外网主机请求后会检查验证其合法性，如合法，代理服务器就将请求转发给内网主机，然后再将内网主机的回应信息再转发给外网主机。它将内部系统与外界隔离开来，所有内网主机与外网主机的通信都是通过防火墙转发的，从外网只能看到代理服务器而看不到任何内部网络资源。 代理服务器包含两大类： 一类是电路级(会话层)代理网关 另一类是应用级(应用层)代理网关 5.4.3 桌面防火墙 对个人用户来说，PC机上可以安装纯软件的防火墙程序，称为桌面防火墙 打开“网络连接”，单击要保护的拨号、LAN或高速Internet连接，然后在“高级”→“Windows 连接防火墙”下进行选择： Windows防火墙：可以有效地拦截对Windows PC机非法入侵，防止非法远程主机对Windows PC机的扫描，从而提高安全性。同时，它也可以有效拦截利用操作系统漏洞进行端口攻击的病毒。 5.4.4 防火墙的局限性 1、防火墙不能防范不经过防火墙的攻击。 2、防火墙不能解决来自内部网络的攻击和安全问题。 3、防火墙不能防止最新的未设置策略或错误配置引起的安全威胁 。 4、防火墙不能防止可接触的人为或自然的破坏。 5、防火墙无法解决TCP/IP等协议的漏洞。 6、防火墙对服务器合法开放的端口的攻击大多无法阻止。 7、防火墙不能防止受病毒感染的文件的传输。 8、防火墙不能防止数据驱动式的攻击。 9、防火墙不能防止内部的泄密行为。 10、防火墙不能防止本身安全漏洞的威胁。 5.5 网络病毒及防治 5.5.1 网络病毒的特点 计算机病毒是一种为了达到破坏用户的计算机系统，窃取用户的信息等恶意目的而人为编制的程序 网络病毒的传播和表现主要体现在以下几点： 1．主动通过网络和邮件系统传播。 2．传播速度极快。 3．危害性极大。 4．变种多。 5．难于控制。 6．难于根治，容易引起多次疫情。 7．具有病毒、蠕虫和后门(黑客)程序的功能。 5.5.2 常见的网络病毒 网络病毒的种类非常多，常见的有： 1.引导区