计算机网络安全概述(PPT 1).ppt

* 7.8.1 防火墙技术 防火墙是指隔离在本地网络与外界网络之间的一道防御系统，是这一类防范措施的总称。在互联网上防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区域与安全区域（局域网）的连接，同时不会妨碍人们对风险区域的访问。 防火墙实质上是一种隔离控制技术，其核心思想是在不安全的网络环境下构造一种相对安全的内部网络环境。从逻辑上讲它既是分析器又是限制器，它要求所有进出网络的数据流都必须遵循安全策略，同时将内外网络在逻辑上分离。 防火墙的概念 * 包过滤型防火墙会检查所有通过的信息包中的IP地址，并按照系统管理员所给定的过滤规则进行过滤，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。 防火墙的种类 （1）包过滤防火墙 优点：对用户来说是透明的，处理速度快而且易于维护，实现 成本较低，能够以较小的代价在一定程度上保证系统的安全。 缺点：完全基于网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意入侵，如恶意的Java小程序以及电子邮件中附带的病毒等。有经验的黑客也很容易伪造IP地址，骗过包过滤型防火墙。 * 应用级网关是通常我们提到的代理服务器。代理服务器像一堵墙一样挡在内部用户和外界之间，从外部只能看到该代理服务器而无法获知任何的内部资源，外部的恶意侵害也就很难伤害到企业内部网络系统。 （2）应用网关防火墙 优点：应用级网关比单包过滤更为可靠，而且会详细地记录所有的访问状态信息。 缺点：对系统的整体性能有较大的影响，使访问速度变慢，因为它不允许用户直接访问网络，而且应用级网关需要对客户机可能产生的每一个特定的互联网服务安装相应的代理服务软件，从而大大增加了系统的复杂度。用户不能使用未被服务器支持的服务。 * 监测型防火墙能够对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上有效地判断出各层中的非法侵人。 （3）状态监测防火墙 优点：当用户访问请求到达网关的操作系统前，状态监视器会抽取有关数据进行分析，结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。一旦某个访问违反安全规定，就会拒绝该访问，并报告有关状态作日志记录。另一个优点是它会检测无连接状态的远程过程调用（RPC）和用户数据报（UDP）之类的端口信息。 缺点：它会降低网络的速度，而且配置也比较复杂。 * 屏蔽路由器是一个具有数据包过滤功能的路由器，既可以是一个硬件设备，也可以是一台主机。路由器上安装有IP层的包过滤软件，可以进行简单的数据包过滤，其使用范围很广。 防火墙的体系结构 （1）屏蔽路由器 缺点：一旦屏蔽路由器的包过滤功能失效，则受保护网络和外部网络就可以进行任何数据通信。 * 如果一台主机装有两块网卡，一块连接受保护网络，一块连接外部网络，那么这台堡垒主机就是双宿主机网关。双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器；它能够从一个网络到另外一个网络发送IP数据包，然而双重宿主主机的防火墙体系结构禁止这种发送。 双宿主机网关优于屏蔽路由器的地方是：堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。 致命弱点是：一旦入侵者侵入堡垒主机并使其只具有路由功能，则任何网上用户均可以随便访问内网。 （2）双宿主机网关 * 堡垒主机在受保护网络中，可以与受保护网络的主 机进行通信，也可以和外部网的主机建立连接。屏蔽路 由器的作用是允许堡垒主机和外部网络之间的通信，同 时所有受保护网络的其它主机和外部网络直接通信。垒 主机成为从外部网络唯一可到达的主机，此时它就起到 了网关的作用。 （3）被屏蔽主机网关 * 由两台屏蔽路由器将受保护网络和外部网络隔离 开，中间形成一个隔离带（DMZ），就构成了被屏蔽子 网结构 。 （4）被屏蔽子网 * （1）包过滤 （2）审计和报警 （3）代理 : 分为透明代理和传统代理 （4）NAT：分为源地址转换和目的地址转换 （5）VPN：虚拟专用网 （6）流量统计和控制 防火墙的功能 * 7.7.2 入侵检测 所谓入侵检测就通过专用的软件工具检查网络系统中存在的会威胁系统安全的脆弱性的过程。它不跨接多个物理网段 （通常只有一个监听端口） （1）