《通信网络安全与防护》_5.1.pptxVIP

欺骗型攻击

利用型攻击

DoS与DDoS

APT;第五章网络防护技术;;安全的威胁;一、防火墙概述;防火墙的概念：

在信任网络与非信任网络之间，通过预定义的安全策略，对内外网通信强制实施访问控制的安全应用设备。;防火墙能做什么?;防火墙不能做什么?;防火墙软件的发展;基本的概念;;网络基础知识;网络基础知识;网络基础知识;检

查

项;防火墙规则制订实例

访问需求：

1）网络/16不愿其他Internet主机访问其站点；

2）但它的一个子网/24和某大学

/16有合作项目，因此允许该大学访问该子网；

3）然而/24是黑客天堂，需要禁止。;

;基于协议、端口的规则制定

HTTP是一个基于TCP的服务，一般使用端口80，也可使用其他非标准端口，客户机使用任何大于1023的端口。如果防火墙允许WWW穿越网络边界，则可定义如下规则。;1.包过滤技术;;某学校内网;步骤（3）;步骤（3）;步骤（3）;步骤（3）;缺点:

必须对每个应用程序创建过滤规则

客户端配置

新的应用和病毒

速度慢

;;检

查

项;状态检测包过滤防火墙特点;;5.1.3防火墙功能与性能分析;;隐藏内部网络的IP地址及内部网络结构;混合接入;基本的访问控制;定义：穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数;定义：在不丢包的情况下能够达到的最大速率;;Smart测试仪;如何在不同安全等级的网络间进行信息交换?

;5.3.1安全隔离概念;;;5.3.2网闸的工作原理;结构设计

“2+1”模块;;安全隔离网闸最初只支持文件交换功能（工作原理是模拟人工拷盘），目前已经发展到具有数据库同步、数据库访问、邮件访问、安全Web访问、FTP访问等多种功能，能对HTTP、FTP、SMTP、POP3等通用协议进行内容检查。

安全隔离网闸存在无法对私有协议进行数据内容检查的问题，这是由于不少用户应用系统采用的都是自定义格式的私有协议，其数据格式、数据内容等都没有公开，导致安全隔离网闸厂商无法定义出相应的数据内容检查规则，也就无法实现高安全的隔离交换控制。;文件同步;;数据库同步;;;本讲小结;