【正文】 48GL3 Cisco 2950 Cisco 2950 Cisco 2950 VLAN1 VLAN2 VLAN2 VLAN4 VLAN1 VLAN2 網絡層互聯設備 57 防火墻 防火墻的基本特性 典型的防火墻具有以下三個方面的基本特性： ⑴內部網絡和外部網絡之間的所有網絡數據流都必須經過防火墻 ： 這是防火墻所處網絡位置特性，只有當防火墻是內、外部網絡之間通信的唯一通道，才可以全面、有效地保護企業(yè)內部網絡不受侵害。 ⑵只有符合安全策略的數據流才能通過防火墻： 防火墻將網絡上的流量通過相應的網絡接口接收上來，按照 OSI協議棧的七層結構順序上傳，在適當的協議層進行訪問規(guī)則和安全審查，然后將符合通過條件的報文從相應的網絡接口送出，而對于那些不符合通過條件的報文則予以阻斷。 ⑶防火墻自身應具有非常強的抗攻擊免疫力： 這是防火墻之所以能擔當企業(yè)內部網絡安全防護重任的先決條件。 應用層互聯設備 58 防火墻的功能 防火墻最基本的功能就是控制在計算機網絡中，不同信任程度區(qū)域間傳送的數據流。典型信任的區(qū)域包括互聯網（一個沒有信任的區(qū)域）和一個內部網絡（一個高信任的區(qū)域）。 ⑴防火墻是網絡安全的屏障 ⑵防火墻可以強化網絡安全策略 ⑶對網絡存取和訪問進行監(jiān)控審計 ⑷防止內部信息的外泄 應用層互聯設備 59 IDS 當越來越多的公司將其核心業(yè)務向互聯網轉移的時候，網絡安全作為一個無法回避的問題擺在人們面前。公司一般采用防火墻作為安全的第一道防線。而隨著攻擊者技能的日趨成熟，攻擊工具與手法的日趨復雜多樣，單純的防火墻策略已經無法滿足對安全高度敏感的部門的需要，網絡的防衛(wèi)必須采用一種縱深的、多樣的手段。與此同時，目前的網絡環(huán)境也變得越來越復雜，各式各樣的復雜的設備，需要不斷升級、補漏的系統(tǒng)使得網絡管理員的工作不斷加重，不經意的疏忽便有可能造成重大的安全隱患。在這種情況下，入侵檢測系統(tǒng) IDS（Intrusion Detection System）就成了構建網絡安全體系中不可或缺的組成部分。 IDS是 Intrusion Detection System的縮寫，即入侵檢測系統(tǒng)，主要用于檢測黑客（ Hacker或 Cracke）通過網絡進行的入侵行為。 應用層互聯設備 60 IDS的作用 IDS入侵檢測系統(tǒng)是一個監(jiān)聽設備。與防火墻聯動，更有效地阻斷所發(fā)生的攻擊事件，從而使網絡隱患降至較低限度。 IDS的實現方式 基于網絡的 IDS 基于主機的 IDS IDS的發(fā)展趨勢 在下一代的入侵檢測系統(tǒng)中，將把現在的基于網絡和基于主機這兩種檢測技術很好地集成起來，提供集成化的攻擊簽名、檢測、報告和事件關聯功能。 應用層互聯設備 61 網關 網關的主要功能 網關的主要作用是實現不同網絡傳輸協議的翻譯和轉換工作。網關的重要功能是完成網絡層上的某種協議之間的轉換。網關支持不同協議之間的通信的方式有 3種： ⑴ 遠端業(yè)務協議封裝： 外部業(yè)務數據采用本地網絡數據格式進行封裝，當數據到達接收端用戶后，去掉本地網絡的封裝格式，將原有的數據內容提交給應用系統(tǒng)。 ⑵ 本地業(yè)務協議封裝： 本地業(yè)務數據采用遠端網絡數據格式進行封裝，當數據傳送給接收端用戶后，去掉本地網絡的封裝格式，將原有的數據內容提交給應用系統(tǒng)。 ⑶ 協議轉換： 通過中間網絡設備改變數據的封裝格式，以保證不同協議格式的系統(tǒng)之間可以進行通信。 應用層互聯設備 62 網關的工作原理 網關工作在 OSI模型的高 3層，即會話層、表示層和應用層，它支持不同協議之間的轉換，實現使用不同協議網絡之間的互聯。實現網絡協議轉換的方法有以下兩種： ⑴ 直接轉換： 將進入網關的報文格式直接轉換成輸出網絡的報文格式，如下頁圖（ a）所示。 如果一個網關互聯 2個網絡，則要進行 2種網絡協議之間的轉換，即網絡 A到網絡 B的轉換和網絡 B到網絡 A的轉換； 如果一個網關互聯 3個網絡 ,則要進行 6種協議間的轉換 ； 如果互聯 n個網絡，則要進行 n（ n1）種轉換。顯然，網關互聯的網絡數越多，編寫協議轉換程序模塊的工作量越大 。 同時 ,系統(tǒng)對網關的存儲空間與處理能力的要求也越高。 應用層互聯設備 63 ⑵ 制定標準的網間報文格式： 將進入網關的報文格式轉換為標準的網間報文格式 ,在輸出端再由網間報文格式轉換為另一網絡的報文格式，如圖所示 。 網關 （ a） 直接轉換 （ b） 通過網間報文格式轉換 網關的兩種轉換方法 網絡 A→ 網絡 B 網絡 A← 網絡 B 網絡 A 網絡 B 網絡 A→ 網間 網間 → 網絡 B 網絡 A← 網間 網間 ← 網絡 B 網絡 A 網絡 B 應用層互聯設備 64 1 協議轉換網關： 可分為雙邊協議網關和多邊協議網關。雙邊網關進行兩種協議的轉換；多邊網關實現多種協議之間的轉換。 2 應用型網關： 針對一些專門應用而設置的網關，將一種數據格式轉化為該服務的另外一種數據格式，從而實現數據交流。 3 安全型網關： 對數據包的原地址、目的地址、端口號、網絡協議進行過濾， 對那些沒有許可權的數據包進行攔截或丟棄。 4 半網關： 把一個網關分成兩個部分，選擇兩種不同的半網關組合，可以靈活地互聯兩種不同的網絡。 網關的基本類型 網關可用于不同體系結構的局域網與主機系統(tǒng)的連接，在互聯設備中，它是最復雜的。常用應用網關如下幾種： 應用層互聯設備 65 4種互聯設備的連接層次和各具有的性能特點比較 互聯 設備 互聯 層次 應 用 場 合 功 能 優(yōu) 點 缺 點 中 繼 器 物 理 層 互聯相同 LAN的 多個網段 信號放大； 延長信號傳送距離 互聯容易； 價格低； 基本無延遲 互聯規(guī)模有限； 不能隔離不需要的 流量； 無法控制信息傳輸 網 橋 數 據 鏈 路 層 各種局域網的互 聯 連接局域網； 改善局域網性能 互聯容易； 協議透明； 隔離不必要的流量； 交換效率高 會產生廣播風暴； 不能完全隔離不必 要的流量； 管理控制能力有限 有延遲 路 由 器 網 絡 層 LAN與 LAN互聯 LAN與 WAN互聯 WAN與 WAN互聯 路由選擇； 過濾信息； 網絡管理； 適合于大規(guī)模復雜網 絡互聯； 管理控制能力強； 充分隔離不必要的流 量； 安全性好 網絡設置復雜； 價格高； 延遲大； 網 關 傳應 輸用 層層 互聯高層協議不 同的網絡； 連接網絡與大型 主機 在高層轉換協議 可以互聯差異很大的 網絡； 安全性好 通用性差； 不易實現 應用層互聯設備 66 本章小結 網絡互聯是指把分布在不同地理位置上的計算機網絡用網絡互聯設備連接起來，形成一個范圍更廣、規(guī)模更大的網絡系統(tǒng)，實現更大范圍內的資源共享和數據通信。 網絡互聯的基本設備有網橋、路由器和網關。網橋用于互聯兩個采用不同數據鏈路層協議、不同傳輸介質與不同傳輸速率的網絡；路由器在網絡層上實現局域網與局域網、局域網與廣域網互聯；網關是在傳輸層及其以上高層實現不同網絡協議之間的轉換功能。 2 1 67 演講完畢，謝謝觀看！