s08教材资料-网络安全防范.pptVIP

网络协议网络安全 S08 网络安全防范 主要知识点 网络安全防范技术要点 嵌入式安全防范技术 防火墙 代理 主动式安全防范技术 安全口令 VLAN VPN 被动式安全防范技术 网页防篡改 入侵检测 安全审计 网络安全防范 41 2 网络安全防范 Network Security Defence 针对网络安全威胁，使用各种技术和管理手段，达到防止、发现、遏制、消除网络攻击的目的，保障网络与信息系统安全 网络安全防范技术要点： （1）有的放矢地选择技术，在深入需求分析的基础上有所取舍。不做简单堆砌的泥水匠，要成为用心设计的建筑师 （2）一项技术解决一类问题，相互结合、相互补充才能形成完善的防范体系，不能有失偏颇，应该以全局的观点，注重全面防范效果提升 （3）讲究策略，讲究平衡，以最小的代价获得最佳防范效果 （4）不断跟踪网络安全威胁与防范的最新技术动态，不断调整和更新技术，才能保持长效的安全防范能力 （5）关注防范技术可能造成的负面影响，因为坚固的城堡可以更好地抵挡入侵，但同时也会在一定程度上禁锢自身 网络安全防范 3 41 网络安全防范的认识 水桶法则（短板效应） 技术措施应与非技术措施（包括物理安全、人员安全、安全管理等）紧密配合，不可或缺，不可厚此薄彼 因噎废食不可取 为了所谓的安全，不用网络或采用完全物理隔离的办法，变成一个个信息孤岛，将使网络的优势丧失殆尽 树欲静而风不止 安全防范技术再出色，也不是万无一失的，技术能力具有相对性，应当在战略上藐视网络黑暗势力，在战术上足够重视，未雨绸缪，让安全防范系统时刻处于活跃的、临战的、健康的、最佳的状态 网络安全防范 4 41 网络安全防范技术分类 （1）嵌入式安全防范（embedded defence） 在信息交换路径上部署相应的安全防范技术 可以是具有特定功能的设备（硬件），也可以是专门设计的协议、软件 嵌入式安全防范技术包括：安全协议（或协议补丁）、虚拟专用网（VPN）、地址翻译（NAT）、访问代理（proxy）、网络防火墙（firewall）、病毒和木马查杀网关、垃圾邮件过滤等 （2）主动式安全防范（active defence） 对网络信息系统的操作层面（用户）、信息层面（内容）、通信层面（组网）等关键环节加强网络安全防范措施，主动发现安全隐患、及时进行改进调整，防患于未然 主动式安全防范技术包括：网络管理与系统管理、信息加密、数字证书、安全访问认证、虚拟子网（VLAN）、网络安全扫描与评估、软件安全修补等 （3）被动式安全防范（passive defence） 指两类安全防范措施： 通过部署的系统在网络安全威胁发生时能够及时发现、及时预警、及时采取措施，尽可能减少损失、防止灾难蔓延 通过对历史数据的分析，找出已经发生的攻击行为和事件、发现潜在的缺陷，以便采取针对性措施亡羊补牢 被动式安全防范不仅能够弥补嵌入式安全防范和主动式安全防范的不足和遗漏之处，而且具有动态检测的能力，是网络安全防范体系的重要组成部分 被动式安全防范技术包括入侵检测系统（IDS）、安全审计系统（SAS）、网页防篡改、实时监控系统、运行日志（system log）等 网络安全防范 5 41 防火墙 FireWall，FW 防火墙作为一种网关（gateway），起到隔离内部网络和外部网络的作用，阻断来自外部网络的安全攻击 防火墙的技术优势在于其透明性，即对内部网络的组网结构、计算机设备数量和分布、网络应用类型等均不敏感，有利于安装和使用 网络安全防范 6 41 防火墙类型 从安全防范方法上 过滤（filtering）、代理（agent/proxy） 从层次结构上 三层（IP）、四层（TCP/UDP）、七层（应用层协议） 从防范对象上 内网防火墙、病毒/木马防火墙、垃圾邮件防火墙 从技术实现上 硬件防火墙、软件防火墙 网络安全防范 7 41 防火墙的过滤和代理功能 过滤和代理的共同点： 对协议报文、信息内容进行筛选，剔除不安全元素、放行安全的访问 具有不对称性，主要对来自外部网络（如Internet）的信息流进行严格检查，而对内部网络发起的会话，检查力度相对较弱 过滤和代理的不同点： 过滤（filter） 对每个通过的报文进行依次处理 是无状态的 报文间相互独立、互不影响，可以达到很高的处理速度 代理（proxy） 参与协议会话过程（中介） 有状态的 同一个会话（或同一个流）的报文间相互有关联性 网络安全防范 8 41 防火墙功能 网络安全防范 9 41 防火墙IP报文过滤操作流程 网络安全防范 10 41 防火墙抵御TCP同步洪水攻击示例 （1）外网攻击者发送SYN，请求会话连接 （2）防火墙接收到SYN，检查IP地址的有效性、源地址是否内网地址等，若判断为可疑的连接请求，丢弃报文（可不予以响应，以对抗