网络系统安全技术及方案设计教材.pptVIP

3．状态监视技术 这是第三代防火墙技术，集成了前两者的优点，能对网络通信的各层实行检测。同包过滤技术一样，它能够检测通过IP地址、端口号以及TCP标记，过滤进出的数据包。只是在分析应用层数据时，它与一个应用层网关不同的是，它并不打破客户机/服务机模式，允许受信任的客户机和不受信任的主机建立直接连接。 三、 防火墙系统的实现类型 1．包过滤防火墙 也称作包过滤路由器，它是最基本、最简单的一种防火墙，可以在一般的路由器上实现也可以在基于主机的路由器上实现。 包过滤防火墙 Internet 内部网络 Server PC PC 包过滤路由器 2．双穴网关防火墙 这种防火墙系统由一台特殊主机来实现。这台主机拥有两个不同的网络接口，一端接外部网络，一端接需要保护的内部网络，并运行代理服务器，故被称为双穴网关。双穴网关防火墙不使用包过滤规则，而是在外部网络和被保护的内部网络之间设置一个网关(双穴网关)，隔断IP层之间的直接传输。 网络 代理 网络 接口 服务器 接口 双穴网关防火墙 Internet 内部网络 Server PC PC 双穴主机 3．屏蔽主机网关防火墙 屏蔽主机网关防火墙由一台过滤路由器和一台堡垒主机组成。在这种配置中，堡垒主机配置在内部网络上，过滤路由器则放置在内部网络和外部网络之间。在路由器上进行配置，使得外部网络的主机只能访问该堡垒主机，而不能直接访问内部网络的其他主机。 屏蔽主机网关防火墙 Internet 内部网络 Server PC PC 包过滤路由器 堡垒主机 4．屏蔽子网防火墙 考虑到屏蔽主机网关防火墙方案中，堡垒主机存在被绕过的可能，有必要在被保护网络与外部网络之间设置一个孤立的子网，这就是“屏蔽子网”。屏蔽子网防火墙在屏蔽主机网关防火墙的配置上加上另一个包过滤路由器。 Internet 内部网络 Server PC PC 屏蔽子网防火墙 堡垒主机 过滤路由器 过滤路由器 信息服务器 屏蔽子网 11．3．2 主流防火墙产品介绍 11.4 网络防病毒技术 11．4．1 网络防病毒技术综述 1．数字免疫系统 数字免疫系统（Digital Immune System）是IBM公司和赛门铁克（Symantec）公司提出的新概念。数字免疫系统主要是为企业级的信息系统服务的，它所“预防治疗”的病症很广泛，既包括计算机病毒，也包括影响企业信息系统正常运行的诸多因素，如磁盘碎片引起的运行处理速度缓慢，经常性的系统死机多，并且提供修复更新系统的工具。数字免疫系统还特别包括了一系列用于远程控制的技术，以实现对整个企业信息系统的有效、全面的管理。 数字免疫系统主要包括封闭循环自动化网络防病毒技术和启发式侦测技术。前者是一个后端基础设施，可以为企业级用户提供高级别的病毒保护。在网络系统的管理中，不管系统管理员介入与否，数字免疫系统都能够根据系统管理员的要求，自动进行病毒侦测和分析。后者则可以自动监视可疑行为，为网络防病毒产品对付未知病毒提供依据。数字免疫系统还可以将病毒解决方案广泛发送到被感染的Pc机上，或者发送到整个企业网络系统中，从而提高了网络系统的运行效率。 2．病毒源技术 密切关注、侦测和监控网络系统外部病毒的动向，将所有病毒源堵截在网络入口处，是当前网络防病毒技术的一个重点。 3．主动内核技术 主动内核技术(Active K)是将已经开发的各种网络防病毒技术从调程序级嵌入到操作系统或网络系统的内核中，实现网络防病毒产品与操作系统的无缝连接。 4．“分布式处理”技术 “集中式管理、分布式杀毒”技术，使安装在网络系统中的每台计算机上的杀毒软件构筑成协调一致的立体防护体系，而网络管理员只需通过控制台，就可实时掌握全网各节点的病毒监测状况，也可远程指挥每台计算机杀毒软件的工作方式。 5．安全网管技术 许多网络防病毒产品还采用网管技术，允许网络管理员从一个单独的工作站上管理整个网络的所有病毒保护程序，井可对整个网络中工作站或服务器上的防毒软件进行集中安装、卸载、设置、扫描及更新。 11.4.2 主流网络防病毒产品简介 Norton Anti Virus企业版7．6 主要特点： .启发式侦测技术：即可杳杀已知病毒也叮以查杀未知 病毒、并保持全球的快速响应。 .自动化分析和回应：SYMANTEC SARA提供自动侦测、 分析和修复病毒所造成的破坏的功能。加快对快 速增长的病毒品种的回应时间。 .扫描与传送：透过Internet可以将染毒的文件提交给 SYMANTEC病毒研究中心进行分析并获得解决方案。