网络安全——网络安全设备.pptxVIP

网络平安——网络平安设备陈 波南京师范大学计算机科学与技术学院$dollars$dollars$dollars回忆整体性原那么：PDRR平安防护模型Management 平安管理统一管理、协调PDRR之间的行动Recovery 平安备份Protect 平安保护Detection 入侵检测Reaction 平安响应本讲要点：1. 网络平安设备：防火墙2. 网络平安设备：入侵检测3. 网络平安新设备： 入侵防御、下一代防火墙、统一威胁管理1. 网络平安设备：防火墙〔1〕防火墙的概念国家标准GB/T 20281-20** ?信息平安技术 防火墙技术要求和测试评价方法?给出的防火墙定义是：设置在不同网络〔如可信任的企业内部网络和不可信的公共网络〕或网络平安域之间的一系列部件的组合。在逻辑上，防火墙是一个别离器，一个限制器，也是一个分析器，能有效地监控流经防火墙的数据，保证内部网络和隔离区〔Demilitarized Zone，DMZ，或译作非军事区〕的平安。1. 网络平安设备：防火墙〔1〕防火墙的概念防火墙具有以下3种根本性质：是不同网络或网络平安域之间信息的唯一出入口；能根据网络平安策略控制(允许、拒绝、监测)出入网络的信息流，且自身具有较强的抗攻击能力；本身不能影响网络信息的流通。1. 网络平安设备：防火墙〔1〕防火墙的概念防火墙可以是软件、硬件或软硬件的组合。软件防火墙就像其它的软件产品一样需要在计算机上安装并做好配置才可以发挥作用，例如Windows系统自带的软件防火墙和著名平安公司Check Point推出的ZoneAlarm Pro 软件防火墙。1. 网络平安设备：防火墙〔1〕防火墙的概念防火墙可以是软件、硬件或软硬件的组合。目前市场上大多数防火墙是硬件防火墙。这类防火墙一般基于PC架构，也就是说这类防火墙和普通PC类似。还有基于特定用途集成电路〔Application Specific Integrated Circuit，ASIC〕、基于网络处理器〔Network Processor，NP〕以及基于现场可编程门阵列〔Field-Programmable Gate Array，FPGA〕的防火墙。这类防火墙采用专用操作系统，因此防火墙本身的漏洞比较少，而且由于基于专门的硬件平台，因而处理能力强、性能高。1. 网络平安设备：防火墙〔2〕防火墙的工作原理包过滤防火墙工作在网络层和传输层，它根据通过防火墙的每个数据包的源IP地址、目标IP地址、端口号、协议类型等信息来决定是将让该数据包通过还是丢弃，从而到达对进出防火墙的数据进行检测和限制的目的。包过滤方式是一种通用、廉价和有效的平安手段。之所以通用，是因为它不是针对各个具体的网络效劳采取特殊的处理方式，而是适用于所有网络效劳；之所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的；之所以有效，是因为它能很大程度上满足了绝大多数企业平安要求。1. 网络平安设备：防火墙〔2〕防火墙的工作原理包过滤技术在开展中出现了两种不同版本，第一代称为静态包过滤，第二代称为动态包过滤。1〕静态包过滤技术。这类防火墙几乎是与路由器同时产生的，它根据定义好的过滤规那么审查每个数据包，以便确定其是否与某一条包过滤规那么匹配。过滤规那么基于数据包的包头信息进行制订。这些规那么常称为数据包过滤访问控制列表〔ACL〕。各个厂商的防火墙产品都有自己的语法用于创立规那么。1. 网络平安设备：防火墙〔2〕防火墙的工作原理1〕静态包过滤技术。序号源IP目标IP协议源端口目的端口标志位操作1内部网络地址外部网络地址TCP任意80任意允许2外部网络地址内部网络地址TCP801023ACK允许3所有所有所有所有所有所有拒绝1. 网络平安设备：防火墙〔2〕防火墙的工作原理1〕静态包过滤技术的缺陷。序号源IP目标IP协议源端口目的端口标志位操作1内部网络地址外部网络地址TCP任意80任意允许2外部网络地址内部网络地址TCP801023ACK允许3所有所有所有所有所有所有拒绝1. 网络平安设备：防火墙〔2〕防火墙的工作原理2〕状态包过滤技术。状态包过滤〔Stateful Packet Filter〕是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，对接收到的数据包进行分析，判断其是否属于当前合法连接，从而进行动态的过滤。跟传统包过滤只有一张过滤规那么表不同，状态包过滤同时维护过滤规那么表和状态表。过滤规那么表是静态的，而状态表中保存着当前活动的合法连接，它的内容是动态变化的，随着数据包来回经过设备而实时更新。当新的连接通过验证，在状态表中那么添加该连接条目，而当一条连接完成它的通信任务后，状态表中的该条目将自动删除。1. 网络平安设备：防火墙〔2〕防火墙的工作原