S08网络安全防范.pptVIP

VLAN类型 （1）基于端口的VLAN 根据以太网交换机的物理端口来划分VLAN，可以跨交换机进行 优点是定义VLAN成员时非常简单，只需将所有的端口都设定一遍 缺点是如果VLAN的某个用户离开原来端口，连接到新的端口，就必须重新定义 当采用按不同地理位置（如不同楼层、不同大楼）的不同部门划分VLAN时，这种方式特别简单，因为往往各部门采用单独的交换机 （2）基于MAC地址的VLAN 根据每个主机的MAC地址来划分VLAN，也称为基于用户的VLAN 优点就是当用户物理位置移动时，即使移动到另一个交换机，VLAN也不用重新配置 缺点是初始化时，所有的用户都必须进行配置，如果用户很多，配置的工作量非常大，也会导致交换机执行效率降低，在每一个交换机的端口都可能存在很多个VLAN组的成员，无法有效限制广播包，而且如果网卡可能经常更换，VLAN就必须不停地更新 （3）基于协议的VLAN 通过第二层报文的协议字段，识别上层运行的网络层协议，如IP或IPX 现有的系统中一般仅有IP，所以基于协议的VLAN很少有机会使用 （4）基于子网的VLAN 根据报文中的IP地址决定报文属于哪个VLAN，同一个IP子网的所有报文属于同一个VLAN 优点是可针对具体应用服务来组织用户，用户可在网络内部自由移动而不用重新配置 缺点是效率较低，检查每一个报文的IP地址很耗时，同时一个端口可能存在多个VLAN的成员，对广播报文无法有效抑制 网络安全防范 * 41 第二十九页，共四十二页。 VLAN Virtual Private Network 虚拟专用网 用于在不安全的网络环境上构建安全的互连关系 VPN技术原理： VPN采用安全隧道（secure tunnel）跨越Internet，采用安全协议来实现安全认证和数据加密，构造安全的数据传输通道，进而实现计算机设备或子网间的安全互连 网络安全防范 * 41 第三十页，共四十二页。 网络安全防范 凌力 lingli 网络安全防范 网络协议网络安全 S08 网络安全防范 第一页，共四十二页。 主要知识点 网络安全防范技术要点 嵌入式安全防范技术 防火墙 代理 主动式安全防范技术 安全口令 VLAN VPN 被动式安全防范技术 网页防篡改 入侵检测 安全审计 网络安全防范 41 * 第二页，共四十二页。 网络安全防范 Network Security Defence 针对网络安全威胁，使用各种技术和管理手段，达到防止、发现、遏制、消除网络攻击的目的，保障网络与信息系统安全 网络安全防范技术要点： （1）有的放矢地选择技术，在深入需求分析的基础上有所取舍。不做简单堆砌的泥水匠，要成为用心设计的建筑师 （2）一项技术解决一类问题，相互结合、相互补充才能形成完善的防范体系，不能有失偏颇，应该以全局的观点，注重全面防范效果提升 （3）讲究策略，讲究平衡，以最小的代价获得最佳防范效果 （4）不断跟踪网络安全威胁与防范的最新技术动态，不断调整和更新技术，才能保持长效的安全防范能力 （5）关注防范技术可能造成的负面影响，因为坚固的城堡可以更好地抵挡入侵，但同时也会在一定程度上禁锢自身 网络安全防范 * 41 第三页，共四十二页。 网络安全防范的认识 水桶法则（短板效应） 技术措施应与非技术措施（包括物理安全、人员安全、安全管理等）紧密配合，不可或缺，不可厚此薄彼 因噎废食不可取 为了所谓的安全，不用网络或采用完全物理隔离的办法，变成一个个信息孤岛，将使网络的优势丧失殆尽 树欲静而风不止 安全防范技术再出色，也不是万无一失的，技术能力具有相对性，应当在战略上藐视网络黑暗势力，在战术上足够重视，未雨绸缪，让安全防范系统时刻处于活跃的、临战的、健康的、最佳的状态 网络安全防范 * 41 第四页，共四十二页。 网络安全防范技术分类 （1）嵌入式安全防范（embedded defence） 在信息交换路径上部署相应的安全防范技术 可以是具有特定功能的设备（硬件），也可以是专门设计的协议、软件 嵌入式安全防范技术包括：安全协议（或协议补丁）、虚拟专用网（VPN）、地址翻译（NAT）、访问代理（proxy）、网络防火墙（firewall）、病毒和木马查杀网关、垃圾邮件过滤等 （2）主动式安全防范（active defence） 对网络信息系统的操作层面（用户）、信息层面（内容）、通信层面（组网）等关键环节加强网络安全防范措施，主动发现安全隐患、及时进行改进调整，防患于未然 主动式安全防范技术包括：网络管理与系统管理、信息加密、数字证书、安全访问认证、虚拟子网（VLAN）、网络安全扫描与评估、软件安全修补等 （3）被动式安全防范（passive defence） 指两类安全防范措施： 通过部署的系统在网络安全威胁发生时能够及时发现、及时预警、及时