第6讲第三章系统与网络安全.pptVIP

03十二月2025第6讲第三章系统与网络安全

本讲提纲网络防护技术防火墙VPN入侵检测/入侵防御安全网关终端防护技术云安全技术桌面安全管理技术

一、网络防护技术防火墙VPN入侵检测/入侵防御安全网关

1防火墙技术1.1防火墙概述1.2防火墙的分类1.3防火墙的体系结构1.4防火墙的局限性

1.1防火墙概述防火墙概念WilliamCheswick和SteveBeilovin（1994）：防火墙是放置在两个网络之间的一组组件，这组组件共同具有下列性质：只允许本地安全策略授权的通信信息通过双向通信信息必须通过防火墙防火墙本身不会影响信息的流通防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。

1.1防火墙概述——防火墙的功能集中管理内容控制访问控制日志流量控制

1.2防火墙的分类包过滤防火墙应用网关状态检测防火墙电路级网关

1.2.1包过滤防火墙包过滤防火墙是在网络层中根据数据包中包头信息有选择地实施允许通过或阻断即基于防火墙内事先设定的过滤规则，检查数据包的头部，根据以下因素确定是否允许数据包通过：源IP地址目的IP地址源端口目的端口协议类型ACK字段在IP/TCP层实现

关键技术数据包过滤依据事先设定的过滤规则，对所接收的每个数据包做允许拒绝的决定。数据包过滤优点：速度快，性能高对用户透明数据包过滤缺点：维护比较困难(需要对TCP/IP了解）安全性低（IP欺骗等）不提供有用的日志，或根本就不提供不防范数据驱动型攻击不能根据状态信息进行控制不能处理网络层以上的信息无法对网络上流动的信息提供全面的控制互连的物理介质应用层表示层会话层传输层应用层表示层会话层传输层网络层数据链路层物理层网络层数据链路层物理层网络层数据链路层物理层

1.2.2应用级网关建立在网络应用层，针对特别的应用协议进行数据过滤，并且能够对数据包进行分析。

关键技术应用层代理网关理解应用协议，可以实施更细粒度的访问控制对每一类应用，都需要一个专门的代理灵活性不够客户网关服务器发送请求转发请求请求响应转发响应

1.2.3状态检测防火墙状态检测防火墙工作在4、5层之上。状态检测防火墙能够实现连接的跟踪功能，比如对于一些复杂协议，除了使用一个公开的端口进性通信外，在通信过程中还会动态建立自连接进行数据传输。状态检测防火墙能够分析主动连接中的内容信息，识别出缩写上的自连接的端口而在防火墙上将其动态打开

1.2.4电路级网关电路级网关工作在会话层，在两个主机首次建立TCP连接时建立电子屏障。监视两主机建立连接时的握手信息是否合乎逻辑，以后就是透明传输。

1.3防火墙的体系结构双重宿主主机体系结构被屏蔽主机体系结构被屏蔽子网体系结构

1.3.1双重宿主主机体系结构双重宿主主机至少有两个网络接口，外部网络能够与双重宿主主机通信，内部网络也能够与双重宿主主机通信，但是内部网络和外部网络之间的通信必须经过双重宿主主机的过滤和控制。

关键技术NAT（NetworkAddressTranslation）网络地址转就是在防火墙上装一个合法IP地址集，然后当内部某一用户要访问Internet时，防火墙动态地从地址集中选一个未分配的地址分配给该用户；同时，对于内部的某些服务器如Web服务器，网络地址转换器允许为其分配一个固定的合法地址。地址翻译主要用在两个方面：网络管理员希望隐藏内部网络的IP地址。这样互联网上的主机无法判断内部网络的情况。内部网络的IP地址是无效的IP地址。这种情况主要是因为现在的IP地址不够用，要申请到足够多的合法IP地址很难办到，因此需要翻译IP地址。

源IP目的IP080源IP目的IP0源IP目的IP0源IP目的IP008防火墙网关

1.3.2被屏蔽主机体系结构被屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务。堡垒主机是因特网上的主机能连接到内部网络上的系统的桥梁。任何外部的系统试图访问内部的系统或服务将必须连接到这台堡垒主机上。

1.3.3被屏蔽子网体系结构被屏蔽子网体系结构的最简单的形式为：两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与内部网络之间，另一个位于周边网与外部网络（通常为Internet）之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。

1.4防火墙的局限性防火墙不能防范不经防火墙的攻击防火墙不能防止感染了病毒的软件传播防火墙不能防范内部攻击端到端加密可以绕开防火墙防火墙不能提供细粒度的访问控制防火墙的局限性

2VPN概述2.1VPN的分类2.2IPSec协议2.3SSL协议