第7章网络安全与网络管理.pptVIP

7. 防火墙操作系统 取消危险的系统调用 限制命令的执行权限； 取消 IP 的转发功能； 检查每个分组的接口； 对安全操作系统内核的固化与改造主要从以下几方面进行： 采用随机连接序号； 驻留分组过滤模块； 取消动态路由功能； 采用多个安全内核等。 计算机网络 第六十一页，共一百一十五页。 8. NAT 技术 NAT 技术能透明地对所有内部地址作转换，使外部网络无法了解内部网络的内部结构，同时使用 NAT 的网络，与外部网络的连接只能由内部网络发起，极大地提高了内部网络的安全性。NAT 的另一个显而易见的用途是解决 IP 地址匮乏问题。 计算机网络 第六十二页，共一百一十五页。 9. 防火墙的抗攻击能力 作为一种安全防护设备，防火墙在网络中自然是众多攻击者的目标，故抗攻击能力也是防火墙的必备功能。 计算机网络 第六十三页，共一百一十五页。 10. 防火墙的局限性 存在着一些防火墙不能防范的安全威胁，如防火墙不能防范不经过防火墙的攻击。例如，如果允许从受保护的网络内部向外拨号，一些用户就可能形成与 Internet 的直接连接。另外，防火墙很难防范来自于网络内部的攻击以及病毒的威胁。 计算机网络 第六十四页，共一百一十五页。 7.4.2 防火墙功能基本指标 产品类型 2. LAN接口 3. 协议支持 4. 加密支持 5. 认证支持 6. 访问控制 7. 防御功能 8. 安全特性 9. 管理功能 10. 记录和报表功能 计算机网络 第六十五页，共一百一十五页。 1. 产品类型 基于路由器的包过滤防火墙、 基于通用操作系统的防火墙、 基于专用安全操作系统的防火墙。 计算机网络 第六十六页，共一百一十五页。 2. LAN接口 支持的 LAN接口类型：如以太网、快速以太网、千兆以太网、ATM、令牌环及FDDI等。 支持的最大 LAN接口数：指防火墙所支持的局域网络接口数目，也是其能够保护的不同内网数目。 服务器平台：防火墙所运行的操作系统平台(如 Linux、UNIX、Win NT、专用安全操作系统等)。 计算机网络 第六十七页，共一百一十五页。 3. 协议支持 支持的非 IP协议：除支持IP协议之外，还支持AppleTalk、DECnet、IPX及NETBEUI等协议。 建立 VPN通道的协议： 构建VPN通道所使用的协议，如密钥分配等，主要分为IPSec，PPTP、专用协议等。 可以在 VPN中使用的协议：在VPN中使用的协议，一般是指TCP/IP协议。 计算机网络 第六十八页，共一百一十五页。 4. 加密支持 支持的 VPN加密标准：VPN中支持的加密算法， 例如数据加密标准DES、3DES、RC4以及国内专用的加密算法。 除了 VPN之外，加密的其他用途： 加密除用于保护传输数据以外，还应用于其他领域，如身份认证、报文完整性认证，密钥分配等。 提供基于硬件的加密： 是否提供硬件加密方法，硬件加密可以提供更快的加密速度和更高的加密强度。 计算机网络 第六十九页，共一百一十五页。 5. 认证支持 支持的认证类型： 是指防火墙支持的身份认证协议，一般情况下具有一个或多个认证方案，如 RADIUS、Kerberos、TACACS/TACACS＋、 口令方式、数字证书等。防火墙能够为本地或远程用户提供经过认证与授权的对网络资源的访问，防火墙管理员必须决定客户以何种方式通过认证。 计算机网络 第七十页，共一百一十五页。 6. 访问控制 通过防火墙的包内容设置： 在应用层提供代理支持： 在传输层提供代理支持： 允许 FTP命令防止某些类型文件通过防火墙： 用户操作的代理类型： 支持硬件口令、智能卡： 计算机网络 第七十一页，共一百一十五页。 7. 防御功能 支持病毒扫描： 提供内容过滤： 能防御的 DoS攻击类型： 阻止 ActiveX、Java、Cookies、Javascript侵入： 计算机网络 第七十二页，共一百一十五页。 8. 安全特性 支持转发和跟踪 ICMP协议(ICMP 代理)： 提供入侵实时警告： 提供实时入侵防范： 识别 /记录/防止企图进行IP地址欺骗： 计算机网络 第七十三页，共一百一十五页。 9. 管理功能 通过集成策略集中管理多个防火墙： 提供基于时间的访问控制： 支持 SNMP监视和配置： 本地管理： 远程管理： 支持带宽管理： 负载均衡特性： 失败恢复特性( failover)： 计算机网络 第七十四页，共一