【文章內容簡介】 ? 效率太低； ? 對現有系統(tǒng)的兼容性太差； ? 改動的程序太多，出現錯誤的概率大增，為系統(tǒng)帶來更多的安全漏洞。 2. 網絡安全性分析 網絡應用的威脅 ? 傳輸層提供安全服務的特點 ? 只能在通信兩端的主機系統(tǒng)上實施。 ? 優(yōu)點：與應用層安全相比，在傳輸層提供安全服務的好處是能為其上的各種應用提供安全服務，提供了更加細化的基于進程對進程的安全服務，這樣現有的和未來的應用可以很方便地得到安全服務，而且在傳輸層的安全服務內容有變化時，只要接口不變，應用程序就不必改動。 ? 缺點：由于傳輸層很難獲取關于每個用戶的背景數據，實施時通常假定只有一個用戶使用系統(tǒng)，所以很難滿足針對每個用戶的安全需求。 2. 網絡安全性分析 網絡應用的威脅 ? 網絡層提供安全服務的特點 ? 在端系統(tǒng)和路由器上都可以實現。 ? 優(yōu)點： ? 主要優(yōu)點是透明性，能提供主機對主機的安全服務，不要求傳輸層和應用層做改動，也不必為每個應用設計自己的安全機制； ? 其次是網絡層支持以子網為基礎的安全，子網可采用物理分段或邏輯分段，因而可很容易實現 VPN和內聯網，防止對網絡資源的非法訪問； ? 第三個方面是由于多種傳送協(xié)議和應用程序可共享由網絡層提供的密鑰管理架構，密鑰協(xié)商的開銷大大降低。 ? 缺點： ? 無法實現針對用戶和用戶數據語義上的安全控制。 2. 網絡安全性分析 網絡應用的威脅 ? 數據鏈路層提供安全服務的特點 ? 在鏈路的兩端實現 ? 優(yōu)點： ? 整個分組（包括分組頭信息）都被加密 ，保密性強。 ? 缺點： ? 使用范圍有限。只有在專用鏈路上才能很好地工作 ，中間不能有轉接點。 2. 網絡安全性分析 網絡應用的威脅 網絡安全技術 ? 1. 網絡安全概述 ? 網絡安全標準 ? 基本表現 ? 隱患根源 ? 2. 網絡安全性分析 ? 協(xié)議的安全性 ? 網絡應用的威脅 ? 3. 網絡技術安全性的措施 ? 防火墻 ? 入侵檢測 ? VPN 3. 網絡技術安全性的措施 防火墻 ? 防火墻的基本概念 ? 定義 ? 設計目標 ? 功能 ? 局限性 ? 防火墻的基本結構 ? 屏蔽路由器 ? 雙宿主 /多宿主主機體系結構 ? 屏蔽主機體系結構 ? 屏蔽子網體系結構 ? 防火墻的分類 ? 包過濾技術 ? 代理技術 3. 網絡技術安全性的措施 防火墻 ? 防火墻的定義 防火墻是指設置在被保護網絡 (內連網絡和局 域網 )與公共網絡 (如 Inter)或其他網絡之間， 并位于被保護網絡邊界的，對進出被保護網絡信 息實施 “ 通過 /阻斷 /丟棄 ” 控制的硬件、軟件部件 或系統(tǒng)。 3. 網絡技術安全性的措施 防火墻 ? 防火墻的基本設計目標 ? 內外網之間的所有數據都必須經過防火墻 ? 只有符合安全策略的數據流才能通過防火墻 ? 防火墻本身應有一定的抗攻擊能力 ? 防火墻的功能 ? 控制不安全的服務 ? 站點訪問控制 ? 集中安全保護 ? 強化私有權 ? 網絡連接的日志記錄及使用統(tǒng)計 3. 網絡技術安全性的措施 防火墻 ? 防火墻的局限性 ? 不能抵御來自內部的攻擊者 ? 不能抵御不經過防火墻的攻擊 ? 不能抵御數據驅動的攻擊 ? 不能防范新的網絡安全問題 3. 網絡技術安全性的措施 防火墻 ? 防火墻發(fā)展的方向 ? 模式轉變 ? 分布式結構 ? 各種類型的綜合 ? 日志記錄功能趨于完善 ? 功能擴展：集成 VPN、 PKI、 IDS病毒防御等功能 ? 性能提高 3. 網絡技術安全性的措施 防火墻 ? 防火墻的基本結構 ? 屏蔽路由器 ? 雙宿主 /多宿主主機體系結構 ? 屏蔽主機體系結構 ? 屏蔽子網體系結構 3. 網絡技術安全性的措施 防火墻 屏蔽路由器 3. 網絡技術安全性的措施 防火墻 雙宿主 /多宿主主機體系結構 3. 網絡技術安全性的措施 防火墻 屏蔽主機體系結構 3. 網絡技術安全性的措施 防火墻 屏蔽子網體系結構 3. 網絡技術安全性的措施 防火墻 ? 防火墻的分類 ? 包過濾防火墻 ? 代理防火墻 3. 網絡技術安全性的措施 防火墻 ? （靜態(tài)）包過濾原理 ? 過濾的規(guī)則以 IP和傳輸層的頭中的域 (字段 )為基礎，包括源和目標 IP地址、 IP協(xié)議域、源和目標端口號 ? 通過對信息頭的檢測可以決定是否將數據包發(fā)往目的地址，從而對進入和流出網絡的數據進行監(jiān)測和限制 3. 網絡技術安全性的措施 防火墻 包過濾路由器示意圖 網絡層 鏈路層 物理層 外部網絡 內部網絡 3. 網絡技術安全性的措施 防火墻 ? 配置訪問控制列表 ? 訪問控制列表 (Access Control List)：包過濾規(guī)則構成的規(guī)則庫 ? 規(guī)則庫一般包括以下各項：數據包源地址、數據包源端口、數據包目的地址、數據包目的端口、協(xié)議類型 (TCP、 UDP等 )、數據流向、動作。 3. 網絡技術安全性的措施 防火墻 ? 防火墻兩種包過濾的規(guī)則配置 ? 限制策略：一切未被允許的就是禁止 ? 管理員必須針對每一種新出現的攻擊，制定新的規(guī)則 ? 比較保守 ? 根據需要，逐漸開放 ? 寬松策略：一切未被禁止的就是允許的 3. 網絡技術安全性的措施 防火墻 ? 動態(tài)數據包過濾 ? 當配置了動態(tài)訪問控制列表，可以實現指定用戶的 IP數據流臨時通過防火墻時，進行會話連接。 ? 當動態(tài)訪問控制列表被觸發(fā)后，它重新配置接口上的已有的訪問控制列表，允許指定的用戶訪問指定的 IP地址。 ? 在會話結束后，將接口配置恢復到原來的狀態(tài) ? 動態(tài)包過濾技術一般結合身份認證機制進行實現 3. 網絡技術安全性的措施 防火墻 ? 狀態(tài)包檢測技術 ? 又稱為反射訪問控制列表技術。反射訪問控制列表能夠動態(tài)建立訪問控制表條目，在這些臨時條目中不僅包含必要的包過濾信息，還包含了網絡會話的狀態(tài)信息 ? 狀態(tài)檢測表是一個記錄當前連接的列表。狀態(tài)檢測防火墻把數據包與狀態(tài)檢測表及數據包過濾規(guī)則集對比，與兩者均匹配的項才能通過 ? 狀態(tài)檢測是通過連接跟蹤技術實現的 ? 這類防火墻減少了端口的開放時間，提供了對幾乎所有服務的支持。缺點是它也允許外部客戶和內部主機的直接連接；不提供用戶的鑒別機制。 3. 網絡技術安全性的措施 防火墻 狀態(tài)包檢測的邏輯流程圖 3. 網絡技術安全性的措施 防火墻 ? 包過濾技術優(yōu)缺點 ? 優(yōu)點是邏輯簡單，成本低，對網絡性能的影響較小，有較強的透明性。并且它的工作與應用層無關，無須改動任何客戶機和主機上的應用程序，易于安裝和使用。 ? 缺點是訪問控制列表的配置和維護困難；難以詳細了解主機之間的會話關系；基于網絡層和傳輸層實現的包過濾防火墻難以實現對應用層服務的過濾 3. 網絡技術安全性的措施 防火墻 ? 應用級代理 (Application Proxy) ? 應用級代理 (又稱應用層代理 )防火墻在網絡應用層提供授權檢查及代理服務。 ? 當外部某