【文章內(nèi)容簡介】 主機的安全服務，不要求傳輸層和應用層做改動，也不必為每個應用設計自己的安全機制； ? 其次是網(wǎng)絡層支持以子網(wǎng)為基礎的安全，子網(wǎng)可采用物理分段或邏輯分段，因而可很容易實現(xiàn) VPN和內(nèi)聯(lián)網(wǎng)，防止對網(wǎng)絡資源的非法訪問； ? 第三個方面是由于多種傳送協(xié)議和應用程序可共享由網(wǎng)絡層提供的密鑰管理架構(gòu)，密鑰協(xié)商的開銷大大降低。 ? 缺點： ? 無法實現(xiàn)針對用戶和用戶數(shù)據(jù)語義上的安全控制。 2. 網(wǎng)絡安全性分析 網(wǎng)絡應用的威脅 ? 數(shù)據(jù)鏈路層提供安全服務的特點 ? 在鏈路的兩端實現(xiàn) ? 優(yōu)點： ? 整個分組（包括分組頭信息）都被加密 ，保密性強。 ? 缺點： ? 使用范圍有限。只有在專用鏈路上才能很好地工作 ，中間不能有轉(zhuǎn)接點。 2. 網(wǎng)絡安全性分析 網(wǎng)絡應用的威脅 網(wǎng)絡安全技術 ? 1. 網(wǎng)絡安全概述 ? 網(wǎng)絡安全標準 ? 基本表現(xiàn) ? 隱患根源 ? 2. 網(wǎng)絡安全性分析 ? 協(xié)議的安全性 ? 網(wǎng)絡應用的威脅 ? 3. 網(wǎng)絡技術安全性的措施 ? 防火墻 ? 入侵檢測 ? VPN 3. 網(wǎng)絡技術安全性的措施 防火墻 ? 防火墻的基本概念 ? 定義 ? 設計目標 ? 功能 ? 局限性 ? 防火墻的基本結(jié)構(gòu) ? 屏蔽路由器 ? 雙宿主 /多宿主主機體系結(jié)構(gòu) ? 屏蔽主機體系結(jié)構(gòu) ? 屏蔽子網(wǎng)體系結(jié)構(gòu) ? 防火墻的分類 ? 包過濾技術 ? 代理技術 3. 網(wǎng)絡技術安全性的措施 防火墻 ? 防火墻的定義 防火墻是指設置在被保護網(wǎng)絡 (內(nèi)連網(wǎng)絡和局 域網(wǎng) )與公共網(wǎng)絡 (如 Inter)或其他網(wǎng)絡之間， 并位于被保護網(wǎng)絡邊界的，對進出被保護網(wǎng)絡信 息實施 “ 通過 /阻斷 /丟棄 ” 控制的硬件、軟件部件 或系統(tǒng)。 3. 網(wǎng)絡技術安全性的措施 防火墻 ? 防火墻的基本設計目標 ? 內(nèi)外網(wǎng)之間的所有數(shù)據(jù)都必須經(jīng)過防火墻 ? 只有符合安全策略的數(shù)據(jù)流才能通過防火墻 ? 防火墻本身應有一定的抗攻擊能力 ? 防火墻的功能 ? 控制不安全的服務 ? 站點訪問控制 ? 集中安全保護 ? 強化私有權(quán) ? 網(wǎng)絡連接的日志記錄及使用統(tǒng)計 3. 網(wǎng)絡技術安全性的措施 防火墻 ? 防火墻的局限性 ? 不能抵御來自內(nèi)部的攻擊者 ? 不能抵御不經(jīng)過防火墻的攻擊 ? 不能抵御數(shù)據(jù)驅(qū)動的攻擊 ? 不能防范新的網(wǎng)絡安全問題 3. 網(wǎng)絡技術安全性的措施 防火墻 ? 防火墻發(fā)展的方向 ? 模式轉(zhuǎn)變 ? 分布式結(jié)構(gòu) ? 各種類型的綜合 ? 日志記錄功能趨于完善 ? 功能擴展：集成 VPN、 PKI、 IDS病毒防御等功能 ? 性能提高 3. 網(wǎng)絡技術安全性的措施 防火墻 ? 防火墻的基本結(jié)構(gòu) ? 屏蔽路由器 ? 雙宿主 /多宿主主機體系結(jié)構(gòu) ? 屏蔽主機體系結(jié)構(gòu) ? 屏蔽子網(wǎng)體系結(jié)構(gòu) 3. 網(wǎng)絡技術安全性的措施 防火墻 屏蔽路由器 3. 網(wǎng)絡技術安全性的措施 防火墻 雙宿主 /多宿主主機體系結(jié)構(gòu) 3. 網(wǎng)絡技術安全性的措施 防火墻 屏蔽主機體系結(jié)構(gòu) 3. 網(wǎng)絡技術安全性的措施 防火墻 屏蔽子網(wǎng)體系結(jié)構(gòu) 3. 網(wǎng)絡技術安全性的措施 防火墻 ? 防火墻的基本概念 ? 定義 ? 設計目標 ? 功能 ? 局限性 ? 防火墻的基本結(jié)構(gòu) ? 屏蔽路由器 ? 雙宿主 /多宿主主機體系結(jié)構(gòu) ? 屏蔽主機體系結(jié)構(gòu) ? 屏蔽子網(wǎng)體系結(jié)構(gòu) ? 防火墻的分類 ? 包過濾技術 ? 代理技術 2. 網(wǎng)絡安全性分析 網(wǎng)絡應用的威脅 各層對應的安全協(xié)議和安全技術 /產(chǎn)品 3. 網(wǎng)絡技術安全性的措施 防火墻 ? 防火墻的分類 ? 包過濾防火墻 ? 代理防火墻 3. 網(wǎng)絡技術安全性的措施 防火墻 ? （靜態(tài)）包過濾原理 ? 過濾的規(guī)則以 IP和 網(wǎng)絡 層的頭中的域 (字段 )為基礎，包括 源和目標 IP地址、 IP協(xié)議域、源和目標端口號 ? 通過對信息頭的檢測可以決定是否將數(shù)據(jù)包發(fā)往目的地址，從而對進入和流出網(wǎng)絡的數(shù)據(jù)進行 監(jiān)測和限制 3. 網(wǎng)絡技術安全性的措施 防火墻 包過濾路由器示意圖 網(wǎng)絡層 鏈路層 物理層 外部網(wǎng)絡 內(nèi)部網(wǎng)絡 3. 網(wǎng)絡技術安全性的措施 防火墻 ? 配置訪問控制列表 ? 訪問控制列表 (Access Control List)：包過濾規(guī)則構(gòu)成的規(guī)則庫 ? 規(guī)則庫一般包括以下各項：數(shù)據(jù)包源地址、數(shù)據(jù)包源端口、數(shù)據(jù)包目的地址、數(shù)據(jù)包目的端口、協(xié)議類型 (TCP、 UDP等 )、數(shù)據(jù)流向、動作。 3. 網(wǎng)絡技術安全性的措施 防火墻 ? 防火墻兩種包過濾的規(guī)則配置 ? 限制策略：一切未被允許的就是禁止 ? 管理員必須針對每一種新出現(xiàn)的攻擊，制定新的規(guī)則 ? 比較保守 ? 根據(jù)需要，逐漸開放 ? 寬松策略：一切未被禁止的就是允許的 3. 網(wǎng)絡技術安全性的措施 防火墻 ? 動態(tài)數(shù)據(jù)包過濾 ? 當配置了動態(tài)訪問控制列表，可以實現(xiàn)指定用戶的 IP數(shù)據(jù)流臨時通過防火墻時，進行會話連接。 ? 當動態(tài)訪問控制列表被觸發(fā)后，它 重新配置接口上的已有的訪問控制列表 ，允許指定的用戶訪問指定的 IP地址。 ? 在會話結(jié)束后，將 接口配置 恢復到原來的狀態(tài) ? 動態(tài)包過濾技術一般結(jié)合 身份認證 機制進行實現(xiàn) 3. 網(wǎng)絡技術安全性的措施 防火墻 ? 狀態(tài)包檢測技術 ? 又稱為反射訪問控制列表技術。反射訪問控制列表能夠動態(tài)建立訪問控制表條目，在這些臨時條目中不僅包含必要的包過濾信息，還包含了網(wǎng)絡會話的狀態(tài)信息 ? 狀態(tài)檢測表 是一個記錄當前連接的列表。 狀態(tài)檢測防火墻 把數(shù)據(jù)包與狀態(tài)檢測表及數(shù)據(jù)包過濾規(guī)則集對比，與兩者均匹配的項才能通過 ? 狀態(tài)檢測是通過 連接跟蹤技術 實現(xiàn)的 ? 這類防火墻減少了端口的開放時間，提供了對幾乎所有服務的支持。缺點是它也允許外部客戶和內(nèi)部主機的直接連接；不提供用戶的鑒別機制。 3. 網(wǎng)絡技術安全性的措施 防火墻 狀態(tài)包檢測的邏輯流程圖 3. 網(wǎng)絡技術安全性的措施 防火墻 ? 包過濾技術優(yōu)缺點 ? 優(yōu)點是邏輯簡單，成本低，對網(wǎng)絡性能的影響較小，有較強的透明性。并且它的工作與應用層無關，無須改動任何客戶機和主機上的應用程序，易于安裝和使用。 ? 缺點是訪問控制列表的配置和維護困難；難以詳細了解主機之間的會話關系；基于網(wǎng)絡層和傳輸層實現(xiàn)的包過濾防火墻難以實現(xiàn)對應用層服務的過濾 哪一層處理分組包？ ? 集線器：第一層，物理層 ? 僅僅進行物理互聯(lián)和包的轉(zhuǎn)發(fā) ? 廣播機制 ? 交換機：第二層，數(shù)據(jù)鏈路層 ? 通過 ARP協(xié)議轉(zhuǎn)發(fā)包 ? 路由器：第三層，網(wǎng)絡層 ? 對分組包的存儲、解析和轉(zhuǎn)發(fā) 交換機 ? 交換機被廣泛應用于二層網(wǎng)絡交換。 ? 中檔的網(wǎng)管型交換機還具有 VLAN劃分、端口自動協(xié)商、 MAC訪問控制列表等功能 ? 高檔的三層交換機則可以處理第三層網(wǎng)絡層協(xié)議，用于連接不同網(wǎng)段 ? 四層交換機可以處理第四層傳輸層協(xié)議，可以將會話與一個具體的 IP地址綁定，以實現(xiàn)虛擬IP ? 此外還有七層交換機。 3. 網(wǎng)絡技術安全性的措施 防火墻 ? 應用級代理 (Application Proxy) ? 應用級代理 (又稱應用層代理 )防火墻在網(wǎng)絡應用層提供授權(quán)檢查及代理服務。 ? 當 外部某臺主機 訪問受保護網(wǎng)絡時，必須先在防火墻上通過身份認證 。通過身份認證后，防火墻運行相應的應用代理程序，把外部主機與內(nèi)部主機連接，內(nèi)部網(wǎng)絡主機只接受應用層代