计算机网络技术与应用 9.pdfVIP

第4章 网络安全与管理 （二） 网络边界安全 • 防火墙技术 • 入侵检测技术 • VPN技术 防火墙 • 防火墙是一类构建安全网络技术的总称 – 由一系列软硬件设备构成，放置于两个信任级别不同 的网络之间， – 两个网络之间信息的唯一交换出口，控制两个网络之 间的通信 安全级别低的网络 安全级别高的LAN 核心交换机 Internet 路由器 核心交换机 防火墙 核心交换机 防火墙分类（1） • 包过滤防火墙 – 工作在网络体系结构中的网络层和传输层 – 设置一系列包过滤规则 – 主要用来防止外来攻击 – 限制内部用户访问某些外部资源 规则定义 源IP地址= /24 .and. 目的IP = /32 .and. 目的端口号= 23，匹配数据包采取的 动作是：拒绝传输 作用：禁止网段中的终端用Telnet方式访问 网段中IP地址为的服务器 防火墙分类（2 ） • 应用代理防火墙 – 完全“隔断”内部网络和外部网络的直接通信 – 通过为每种应用服务编制专门的代理程序 代理防火墙 请求转发 应答 HTTP客户代理 HTTP服务器代理 访 请求 问 请求转发 转发应答 Email客户代理 Email服务器代理 控 应答 制 客户 ……客户代理 ……服务器代理 请求转发 应答 防火墙分类（3 ） • 个人防火墙 – 安装在主机上 – 提高主机系统、终端设备的安全性 • Windows 、Linux以及Android操作系统中 都自带了一个具有基本功能的防火墙 入侵检测技术 • Intrusion Detection System，IDS – 对计算机和网络资源的恶意使用行为进行识别 和相应处理的系统 – 对网络进行监听，对内部攻击、外部攻击和误 操作提供实时防护