培训课件网络工程师—第10章网络安全技术.pptVIP

10.4.1 防火墙的基本概念 （1）所有的从外部到内部的通信都必须经过它。 （2）只有有内部访问策略授权的通信才能被允许通过。 （3）系统本身具有很强的高可靠性。 图10-7 防火墙的安装位置 第三十页，共五十六页。 10.4.2 防火墙的基本类型 1．包过滤路由器 图10-8 包过滤路由器的工作原理 第三十一页，共五十六页。 2．应用网关 图10-9 应用网关的工作原理 第三十二页，共五十六页。 3．应用代理 图10-10 应用代理的工作原理 第三十三页，共五十六页。 4．状态检测 状态检测能通过状态检测技术，动态地维护各个连接的协议状态。 第三十四页，共五十六页。 10.4.3 防火墙的结构 1．包过滤型结构 包过滤型结构是通过专用的包过滤路由器或是安装了包过滤功能的普通路器来实现的。包过滤型结构对进出内部网络的所有信息进行分析，按照一定的安全策略对这些信息进行分析与限制。 2．双宿网关结构 连接了两个网络的多宿主机称为双宿主机。多宿主机是具有多个网络接口卡的主机，每个接口都可以和一个网络连接，因为它能在不同的网络之间进行数据交换换，因此也称为网关。双宿网关结构即是一台装有两块网卡的主机作为防火墙，将外部网络与同部网络实现物理上的隔开。 第三十五页，共五十六页。 图10-11 双宿网关结构 第三十六页，共五十六页。 3．屏蔽主机结构 屏蔽主机结构将所有的外部主机强制与一个堡垒主机相连，从而不允许它们直接与内部网络的主机相连，因此屏撇主机结构是由包过滤路由器和堡垒主机组成的。 4．屏蔽子网结构 屏蔽子网结构使用了两个屏蔽路由器和两个堡垒主机。在该系统中，从外部包过滤由器开始的部分是由网络系统所属的单位组建的，属于内部网络，也称为“DMZ网络”。外部包过滤路由器与外部堡垒主机构成了防火墙的过滤子网；内部包过滤路由器和内部堡垒主机则用于对内部网络进行进一步的保护。 第三十七页，共五十六页。 图10-12 包过滤路由器的数据包转发过程 第三十八页，共五十六页。 图10-13 屏蔽子网结构示意图 第三十九页，共五十六页。 10.4.4 防火墙的安装与配置 1．防火墙的网络接口 （1）内网 内网一般包括企业的内部网络或是内部网络的一部分。 （2）外网 外网指的是非企业内部的网络或是Internet，内网与外网之间进行通信，要通过防火墙来实现访问限制。 （3）DMZ （非军事化区） DMZ是一个隔离的网络，可以在这个网络中放置Web服务器或是E-mail服务器等，外网的用户可以访问DMZ。 第四十页，共五十六页。 第10章 网络安全技术 本章要点： 10.1 基本概念 10.2 数据备份 10.3 加密技术 10.4 防火墙 10.5 防病毒 10.6 入侵检测 第一页，共五十六页。 10.1.1 信息安全威胁303 10.1.2 网络攻击304 10.1.3 网络安全的基本要素304 10.1.4 计算机系统安全等级305 10.1.5 安全模型305 10.1 基本概念 第二页，共五十六页。 1．窃听 信息在传输过程中被直接或是间接地窃听网络上的特定数据包，通过对其的分析得到所需的重要信息。数据包仍然能够到到目的结点，其数据并没有丢失。 2．截获 信息在传输过程中被非法截获，并且目的结点并没有收到该信息，即信息在中途丢失了。 10.1.1 信息安全威胁 第三页，共五十六页。 3．伪造 没有任何信息从源信息结点发出，但攻击者伪造出信息并冒充源信息结点发出信息，目的结点将收到这个伪造信息。 4．篡改 信息在传输过程中被截获，攻击者修改其截获的特定数据包，从而破坏了数据的数据的完整性，然后再将篡改后的数据包发送到目的结点。在目的结点的接收者看来，数据似乎是完整没有丢失的，但其实已经被恶意篡改过。 第四页，共五十六页。 图10-1 信息安全威胁 第五页，共五十六页。 10.1.2 网络攻击 1．服务攻击 服务攻击即指对网络中的某些服务器进行攻击，使其“拒绝服务”而造成网络无法正常工作。 2．非服务攻击 利用协议或操作系统实现协议时的漏洞来达到攻击的目的，它不针对于某具体的应用服务，因此非服务攻击是一种更有效的攻击手段。 第六页，共五十六页。 10.1.3 网络安全的基本要素 （1）机密性