网络系统安全技术及方案设计教材.pptVIP

3．状态监视技术 这是第三代防火墙技术，集成了前两者的优点，能对网络通信的各层实行检测。同包过滤技术一样，它能够检测通过IP地址、端口号以及TCP标记，过滤进出的数据包。只是在分析应用层数据时，它与一个应用层网关不同的是，它并不打破客户机/服务机模式，允许受信任的客户机和不受信任的主机建立直接连接。 第六十二页，共七十九页。 三、 防火墙系统的实现类型 1．包过滤防火墙 也称作包过滤路由器，它是最基本、最简单的一种防火墙，可以在一般的路由器上实现也可以在基于主机的路由器上实现。 第六十三页，共七十九页。 包过滤防火墙 Internet 内部网络 Server PC PC 包过滤路由器 第六十四页，共七十九页。 2．双穴网关防火墙 这种防火墙系统由一台特殊主机来实现。这台主机拥有两个不同的网络接口，一端接外部网络，一端接需要保护的内部网络，并运行代理服务器，故被称为双穴网关。双穴网关防火墙不使用包过滤规则，而是在外部网络和被保护的内部网络之间设置一个网关(双穴网关)，隔断IP层之间的直接传输。 第六十五页，共七十九页。 看不懂 进不来 拿不走 改不了 跑不了 可审查 信息安全的目的 打不垮 第三十页，共七十九页。 采取的解决办法一 对于非法访问及攻击类 -----在非可信网络接口处安装 访问控制防火墙、蠕虫墙、Dos/DDos墙、IPsec VPN、SSL VPN、内容过滤系统 第三十一页，共七十九页。 领导网段 Internet 防火墙、IPSEC VPN、SSL VPN、内容过滤等 防DOS/DDOS设备 个人安全套件 语音教室网段 财务网段 多媒体教室网段 内部办公 网段1 数字图书馆网段 内部办公N OA网段 教学网段3 教学网段2 教学网段4 网管网段 校园网服务器群 教学网段5 第三十二页，共七十九页。 采取的解决办法二 对于病毒、蠕虫、木马类 -----实施全网络防病毒系统 对于垃圾邮件类 -----在网关处实施防垃圾邮件系统 第三十三页，共七十九页。 Internet 邮件过滤网关、反垃圾邮件系统 在MAIL系统中邮件病毒过滤系统、反垃圾邮件系统 领导网段 语音教室网段 财务网段 多媒体教室网段 内部办公 网段1 数字图书馆网段 内部办公N OA网段 教学网段3 教学网段2 教学网段4 网管网段 校园网服务器群 教学网段5 第三十四页，共七十九页。 采取的解决办法三 对于内部信息泄露、非法外联、内部攻击类 -----在各网络中安装IDS系统 -----在系统中安装安全隐患扫描系统 -----在系统中安装事件分析响应系统 -----在主机中安装资源管理系统 -----在主机中安装防火墙系统 -----在重要主机中安装内容过滤系统 -----在重要主机中安装VPN系统 第三十五页，共七十九页。 人事商务网段 Internet 领导网段 语音教室网段 财务网段 多媒体教室网段 内部办公 网段1 数字图书馆网段 内部办公N OA网段 教学网段3 教学网段2 教学网段4 网管网段 校园网服务器群 教学网段5 第三十六页，共七十九页。 采取的解决办法四 对于系统统一管理、信息分析、事件分析响应 -----在网络中配置管理系统 -----在网络中配置信息审计系统 -----在网络中配置日志审计系统 -----在网络中补丁分发系统 -----在网络中配置安全管理中心 第三十七页，共七十九页。 销售体系 网段N Internet 安全审计中心 领导网段 语音教室网段 财务网段 多媒体教室网段 内部办公 网段1 数字图书馆网段 内部办公N OA网段 教学网段3 教学网段2 教学网段4 网管网段 校园网服务器群 教学网段5 第三十八页，共七十九页。 安全管理中心 专家库 Internet 领导网段 语音教室网段 财务网段 多媒体教室网段 内部办公 网段1 数字图书馆网段 内部办公N OA网段 教学网段3 安服网段 教学网段4 网管网段 校园网服务器群 教学网段5 第三十九页，共七十九页。 11．1．2 网络系统安全的主要技术 .物理隔离技术 物理隔离的指导思想是：要绝对保证安全，不安全就不连网；而逻辑隔离的思路是：在保证网络正常使用的情况F，尽可能安全。 .防火墙技术 防火墙技术，即在Intemet和内部网络之间设一个 防火墙。 防火墙又分为软件防火墙和硬件防火墙两种 .网络防病毒技术