【文章內(nèi)容簡介】 ? 效率太低； ? 對現(xiàn)有系統(tǒng)的兼容性太差； ? 改動(dòng)的程序太多，出現(xiàn)錯(cuò)誤的概率大增，為系統(tǒng)帶來更多的安全漏洞。 2. 網(wǎng)絡(luò)安全性分析 網(wǎng)絡(luò)應(yīng)用的威脅 ? 傳輸層提供安全服務(wù)的特點(diǎn) ? 只能在通信兩端的主機(jī)系統(tǒng)上實(shí)施。 ? 優(yōu)點(diǎn)：與應(yīng)用層安全相比，在傳輸層提供安全服務(wù)的好處是能為其上的各種應(yīng)用提供安全服務(wù)，提供了更加細(xì)化的基于進(jìn)程對進(jìn)程的安全服務(wù)，這樣現(xiàn)有的和未來的應(yīng)用可以很方便地得到安全服務(wù)，而且在傳輸層的安全服務(wù)內(nèi)容有變化時(shí)，只要接口不變，應(yīng)用程序就不必改動(dòng)。 ? 缺點(diǎn)：由于傳輸層很難獲取關(guān)于每個(gè)用戶的背景數(shù)據(jù)，實(shí)施時(shí)通常假定只有一個(gè)用戶使用系統(tǒng)，所以很難滿足針對每個(gè)用戶的安全需求。 2. 網(wǎng)絡(luò)安全性分析 網(wǎng)絡(luò)應(yīng)用的威脅 ? 網(wǎng)絡(luò)層提供安全服務(wù)的特點(diǎn) ? 在端系統(tǒng)和路由器上都可以實(shí)現(xiàn)。 ? 優(yōu)點(diǎn)： ? 主要優(yōu)點(diǎn)是透明性，能提供主機(jī)對主機(jī)的安全服務(wù)，不要求傳輸層和應(yīng)用層做改動(dòng)，也不必為每個(gè)應(yīng)用設(shè)計(jì)自己的安全機(jī)制； ? 其次是網(wǎng)絡(luò)層支持以子網(wǎng)為基礎(chǔ)的安全，子網(wǎng)可采用物理分段或邏輯分段，因而可很容易實(shí)現(xiàn) VPN和內(nèi)聯(lián)網(wǎng)，防止對網(wǎng)絡(luò)資源的非法訪問； ? 第三個(gè)方面是由于多種傳送協(xié)議和應(yīng)用程序可共享由網(wǎng)絡(luò)層提供的密鑰管理架構(gòu)，密鑰協(xié)商的開銷大大降低。 ? 缺點(diǎn)： ? 無法實(shí)現(xiàn)針對用戶和用戶數(shù)據(jù)語義上的安全控制。 2. 網(wǎng)絡(luò)安全性分析 網(wǎng)絡(luò)應(yīng)用的威脅 ? 數(shù)據(jù)鏈路層提供安全服務(wù)的特點(diǎn) ? 在鏈路的兩端實(shí)現(xiàn) ? 優(yōu)點(diǎn)： ? 整個(gè)分組（包括分組頭信息）都被加密 ，保密性強(qiáng)。 ? 缺點(diǎn)： ? 使用范圍有限。只有在專用鏈路上才能很好地工作 ，中間不能有轉(zhuǎn)接點(diǎn)。 2. 網(wǎng)絡(luò)安全性分析 網(wǎng)絡(luò)應(yīng)用的威脅 網(wǎng)絡(luò)安全技術(shù) ? 1. 網(wǎng)絡(luò)安全概述 ? 網(wǎng)絡(luò)安全標(biāo)準(zhǔn) ? 基本表現(xiàn) ? 隱患根源 ? 2. 網(wǎng)絡(luò)安全性分析 ? 協(xié)議的安全性 ? 網(wǎng)絡(luò)應(yīng)用的威脅 ? 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 ? 防火墻 ? 入侵檢測 ? VPN 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 防火墻 ? 防火墻的基本概念 ? 定義 ? 設(shè)計(jì)目標(biāo) ? 功能 ? 局限性 ? 防火墻的基本結(jié)構(gòu) ? 屏蔽路由器 ? 雙宿主 /多宿主主機(jī)體系結(jié)構(gòu) ? 屏蔽主機(jī)體系結(jié)構(gòu) ? 屏蔽子網(wǎng)體系結(jié)構(gòu) ? 防火墻的分類 ? 包過濾技術(shù) ? 代理技術(shù) 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 防火墻 ? 防火墻的定義 防火墻是指設(shè)置在被保護(hù)網(wǎng)絡(luò) (內(nèi)連網(wǎng)絡(luò)和局 域網(wǎng) )與公共網(wǎng)絡(luò) (如 Inter)或其他網(wǎng)絡(luò)之間， 并位于被保護(hù)網(wǎng)絡(luò)邊界的，對進(jìn)出被保護(hù)網(wǎng)絡(luò)信 息實(shí)施 “ 通過 /阻斷 /丟棄 ” 控制的硬件、軟件部件 或系統(tǒng)。 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 防火墻 ? 防火墻的基本設(shè)計(jì)目標(biāo) ? 內(nèi)外網(wǎng)之間的所有數(shù)據(jù)都必須經(jīng)過防火墻 ? 只有符合安全策略的數(shù)據(jù)流才能通過防火墻 ? 防火墻本身應(yīng)有一定的抗攻擊能力 ? 防火墻的功能 ? 控制不安全的服務(wù) ? 站點(diǎn)訪問控制 ? 集中安全保護(hù) ? 強(qiáng)化私有權(quán) ? 網(wǎng)絡(luò)連接的日志記錄及使用統(tǒng)計(jì) 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 防火墻 ? 防火墻的局限性 ? 不能抵御來自內(nèi)部的攻擊者 ? 不能抵御不經(jīng)過防火墻的攻擊 ? 不能抵御數(shù)據(jù)驅(qū)動(dòng)的攻擊 ? 不能防范新的網(wǎng)絡(luò)安全問題 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 防火墻 ? 防火墻發(fā)展的方向 ? 模式轉(zhuǎn)變 ? 分布式結(jié)構(gòu) ? 各種類型的綜合 ? 日志記錄功能趨于完善 ? 功能擴(kuò)展：集成 VPN、 PKI、 IDS病毒防御等功能 ? 性能提高 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 防火墻 ? 防火墻的基本結(jié)構(gòu) ? 屏蔽路由器 ? 雙宿主 /多宿主主機(jī)體系結(jié)構(gòu) ? 屏蔽主機(jī)體系結(jié)構(gòu) ? 屏蔽子網(wǎng)體系結(jié)構(gòu) 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 防火墻 屏蔽路由器 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 防火墻 雙宿主 /多宿主主機(jī)體系結(jié)構(gòu) 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 防火墻 屏蔽主機(jī)體系結(jié)構(gòu) 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 防火墻 屏蔽子網(wǎng)體系結(jié)構(gòu) 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 防火墻 ? 防火墻的分類 ? 包過濾防火墻 ? 代理防火墻 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 防火墻 ? （靜態(tài)）包過濾原理 ? 過濾的規(guī)則以 IP和傳輸層的頭中的域 (字段 )為基礎(chǔ)，包括源和目標(biāo) IP地址、 IP協(xié)議域、源和目標(biāo)端口號(hào) ? 通過對信息頭的檢測可以決定是否將數(shù)據(jù)包發(fā)往目的地址，從而對進(jìn)入和流出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行監(jiān)測和限制 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 防火墻 包過濾路由器示意圖 網(wǎng)絡(luò)層 鏈路層 物理層 外部網(wǎng)絡(luò) 內(nèi)部網(wǎng)絡(luò) 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 防火墻 ? 配置訪問控制列表 ? 訪問控制列表 (Access Control List)：包過濾規(guī)則構(gòu)成的規(guī)則庫 ? 規(guī)則庫一般包括以下各項(xiàng)：數(shù)據(jù)包源地址、數(shù)據(jù)包源端口、數(shù)據(jù)包目的地址、數(shù)據(jù)包目的端口、協(xié)議類型 (TCP、 UDP等 )、數(shù)據(jù)流向、動(dòng)作。 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 防火墻 ? 防火墻兩種包過濾的規(guī)則配置 ? 限制策略：一切未被允許的就是禁止 ? 管理員必須針對每一種新出現(xiàn)的攻擊，制定新的規(guī)則 ? 比較保守 ? 根據(jù)需要，逐漸開放 ? 寬松策略：一切未被禁止的就是允許的 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 防火墻 ? 動(dòng)態(tài)數(shù)據(jù)包過濾 ? 當(dāng)配置了動(dòng)態(tài)訪問控制列表，可以實(shí)現(xiàn)指定用戶的 IP數(shù)據(jù)流臨時(shí)通過防火墻時(shí)，進(jìn)行會(huì)話連接。 ? 當(dāng)動(dòng)態(tài)訪問控制列表被觸發(fā)后，它重新配置接口上的已有的訪問控制列表，允許指定的用戶訪問指定的 IP地址。 ? 在會(huì)話結(jié)束后，將接口配置恢復(fù)到原來的狀態(tài) ? 動(dòng)態(tài)包過濾技術(shù)一般結(jié)合身份認(rèn)證機(jī)制進(jìn)行實(shí)現(xiàn) 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 防火墻 ? 狀態(tài)包檢測技術(shù) ? 又稱為反射訪問控制列表技術(shù)。反射訪問控制列表能夠動(dòng)態(tài)建立訪問控制表?xiàng)l目，在這些臨時(shí)條目中不僅包含必要的包過濾信息，還包含了網(wǎng)絡(luò)會(huì)話的狀態(tài)信息 ? 狀態(tài)檢測表是一個(gè)記錄當(dāng)前連接的列表。狀態(tài)檢測防火墻把數(shù)據(jù)包與狀態(tài)檢測表及數(shù)據(jù)包過濾規(guī)則集對比，與兩者均匹配的項(xiàng)才能通過 ? 狀態(tài)檢測是通過連接跟蹤技術(shù)實(shí)現(xiàn)的 ? 這類防火墻減少了端口的開放時(shí)間，提供了對幾乎所有服務(wù)的支持。缺點(diǎn)是它也允許外部客戶和內(nèi)部主機(jī)的直接連接；不提供用戶的鑒別機(jī)制。 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 防火墻 狀態(tài)包檢測的邏輯流程圖 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 防火墻 ? 包過濾技術(shù)優(yōu)缺點(diǎn) ? 優(yōu)點(diǎn)是邏輯簡單，成本低，對網(wǎng)絡(luò)性能的影響較小，有較強(qiáng)的透明性。并且它的工作與應(yīng)用層無關(guān)，無須改動(dòng)任何客戶機(jī)和主機(jī)上的應(yīng)用程序，易于安裝和使用。 ? 缺點(diǎn)是訪問控制列表的配置和維護(hù)困難；難以詳細(xì)了解主機(jī)之間的會(huì)話關(guān)系；基于網(wǎng)絡(luò)層和傳輸層實(shí)現(xiàn)的包過濾防火墻難以實(shí)現(xiàn)對應(yīng)用層服務(wù)的過濾 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 防火墻 ? 應(yīng)用級(jí)代理 (Application Proxy) ? 應(yīng)用級(jí)代理 (又稱應(yīng)用層代理 )防火墻在網(wǎng)絡(luò)應(yīng)用層提供授權(quán)檢查及代理服務(wù)。 ? 當(dāng)外部某