【正文】 roxy) ? 應(yīng)用級(jí)代理 (又稱(chēng)應(yīng)用層代理 )防火墻在網(wǎng)絡(luò)應(yīng)用層提供授權(quán)檢查及代理服務(wù)。 ? 缺點(diǎn)是訪(fǎng)問(wèn)控制列表的配置和維護(hù)困難；難以詳細(xì)了解主機(jī)之間的會(huì)話(huà)關(guān)系；基于網(wǎng)絡(luò)層和傳輸層實(shí)現(xiàn)的包過(guò)濾防火墻難以實(shí)現(xiàn)對(duì)應(yīng)用層服務(wù)的過(guò)濾 哪一層處理分組包？ ? 集線(xiàn)器：第一層，物理層 ? 僅僅進(jìn)行物理互聯(lián)和包的轉(zhuǎn)發(fā) ? 廣播機(jī)制 ? 交換機(jī)：第二層，數(shù)據(jù)鏈路層 ? 通過(guò) ARP協(xié)議轉(zhuǎn)發(fā)包 ? 路由器：第三層，網(wǎng)絡(luò)層 ? 對(duì)分組包的存儲(chǔ)、解析和轉(zhuǎn)發(fā) 交換機(jī) ? 交換機(jī)被廣泛應(yīng)用于二層網(wǎng)絡(luò)交換。 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 防火墻 狀態(tài)包檢測(cè)的邏輯流程圖 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 防火墻 ? 包過(guò)濾技術(shù)優(yōu)缺點(diǎn) ? 優(yōu)點(diǎn)是邏輯簡(jiǎn)單，成本低，對(duì)網(wǎng)絡(luò)性能的影響較小，有較強(qiáng)的透明性。 狀態(tài)檢測(cè)防火墻 把數(shù)據(jù)包與狀態(tài)檢測(cè)表及數(shù)據(jù)包過(guò)濾規(guī)則集對(duì)比，與兩者均匹配的項(xiàng)才能通過(guò) ? 狀態(tài)檢測(cè)是通過(guò) 連接跟蹤技術(shù) 實(shí)現(xiàn)的 ? 這類(lèi)防火墻減少了端口的開(kāi)放時(shí)間，提供了對(duì)幾乎所有服務(wù)的支持。 ? 在會(huì)話(huà)結(jié)束后，將 接口配置 恢復(fù)到原來(lái)的狀態(tài) ? 動(dòng)態(tài)包過(guò)濾技術(shù)一般結(jié)合 身份認(rèn)證 機(jī)制進(jìn)行實(shí)現(xiàn) 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 防火墻 ? 狀態(tài)包檢測(cè)技術(shù) ? 又稱(chēng)為反射訪(fǎng)問(wèn)控制列表技術(shù)。 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 防火墻 ? 防火墻兩種包過(guò)濾的規(guī)則配置 ? 限制策略：一切未被允許的就是禁止 ? 管理員必須針對(duì)每一種新出現(xiàn)的攻擊，制定新的規(guī)則 ? 比較保守 ? 根據(jù)需要，逐漸開(kāi)放 ? 寬松策略：一切未被禁止的就是允許的 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 防火墻 ? 動(dòng)態(tài)數(shù)據(jù)包過(guò)濾 ? 當(dāng)配置了動(dòng)態(tài)訪(fǎng)問(wèn)控制列表，可以實(shí)現(xiàn)指定用戶(hù)的 IP數(shù)據(jù)流臨時(shí)通過(guò)防火墻時(shí)，進(jìn)行會(huì)話(huà)連接。 2. 網(wǎng)絡(luò)安全性分析 網(wǎng)絡(luò)應(yīng)用的威脅 網(wǎng)絡(luò)安全技術(shù) ? 1. 網(wǎng)絡(luò)安全概述 ? 網(wǎng)絡(luò)安全標(biāo)準(zhǔn) ? 基本表現(xiàn) ? 隱患根源 ? 2. 網(wǎng)絡(luò)安全性分析 ? 協(xié)議的安全性 ? 網(wǎng)絡(luò)應(yīng)用的威脅 ? 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 ? 防火墻 ? 入侵檢測(cè) ? VPN 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 防火墻 ? 防火墻的基本概念 ? 定義 ? 設(shè)計(jì)目標(biāo) ? 功能 ? 局限性 ? 防火墻的基本結(jié)構(gòu) ? 屏蔽路由器 ? 雙宿主 /多宿主主機(jī)體系結(jié)構(gòu) ? 屏蔽主機(jī)體系結(jié)構(gòu) ? 屏蔽子網(wǎng)體系結(jié)構(gòu) ? 防火墻的分類(lèi) ? 包過(guò)濾技術(shù) ? 代理技術(shù) 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 防火墻 ? 防火墻的定義 防火墻是指設(shè)置在被保護(hù)網(wǎng)絡(luò) (內(nèi)連網(wǎng)絡(luò)和局 域網(wǎng) )與公共網(wǎng)絡(luò) (如 Inter)或其他網(wǎng)絡(luò)之間， 并位于被保護(hù)網(wǎng)絡(luò)邊界的，對(duì)進(jìn)出被保護(hù)網(wǎng)絡(luò)信 息實(shí)施 “ 通過(guò) /阻斷 /丟棄 ” 控制的硬件、軟件部件 或系統(tǒng)。 ? 缺點(diǎn)： ? 使用范圍有限。 ? 缺點(diǎn)： ? 無(wú)法實(shí)現(xiàn)針對(duì)用戶(hù)和用戶(hù)數(shù)據(jù)語(yǔ)義上的安全控制。 2. 網(wǎng)絡(luò)安全性分析 網(wǎng)絡(luò)應(yīng)用的威脅 ? 網(wǎng)絡(luò)層提供安全服務(wù)的特點(diǎn) ? 在端系統(tǒng)和路由器上都可以實(shí)現(xiàn)。 ? 優(yōu)點(diǎn)：與應(yīng)用層安全相比，在傳輸層提供安全服務(wù)的好處是能為其上的各種應(yīng)用提供安全服務(wù)，提供了更加細(xì)化的基于進(jìn)程對(duì)進(jìn)程的安全服務(wù)，這樣現(xiàn)有的和未來(lái)的應(yīng)用可以很方便地得到安全服務(wù)，而且在傳輸層的安全服務(wù)內(nèi)容有變化時(shí)，只要接口不變，應(yīng)用程序就不必改動(dòng)。 ? 缺點(diǎn)： ? 效率太低； ? 對(duì)現(xiàn)有系統(tǒng)的兼容性太差； ? 改動(dòng)的程序太多，出現(xiàn)錯(cuò)誤的概率大增，為系統(tǒng)帶來(lái)更多的安全漏洞。 2. 網(wǎng)絡(luò)安全性分析 網(wǎng)絡(luò)應(yīng)用的威脅 各層對(duì)應(yīng)的安全協(xié)議和安全技術(shù) /產(chǎn)品 ? 應(yīng)用層提供安全服務(wù)的特點(diǎn) ? 只能在通信兩端的主機(jī)系統(tǒng)上實(shí)施。 ? 傳輸層： TCP連接欺騙等針對(duì)傳輸層協(xié)議的漏洞的攻擊。 ? 數(shù)據(jù)鏈路層 ： 很容易實(shí)現(xiàn)數(shù)據(jù)監(jiān)聽(tīng)。 ? 增強(qiáng)了攻擊的破壞力。 2. 網(wǎng)絡(luò)安全性分析 網(wǎng)絡(luò)應(yīng)用的威脅 ? 網(wǎng)絡(luò)的出現(xiàn)改變了病毒的傳播方式 ? 幾何級(jí)數(shù)式的傳播。 ? 程序炸彈 ? 是由程序員采用編程觸發(fā)的方式觸發(fā)，造成破壞。 ? 程序后門(mén) ? 繞開(kāi)系統(tǒng)的安全檢查，直接的程序入口，通常是由程序設(shè)計(jì)人員為各種目的預(yù)留的。因此可以增強(qiáng)所有分布式應(yīng)用的安全性。 ? 增強(qiáng)電子商務(wù)安全性。 (Secure VPN) ? 通過(guò) Inter的遠(yuǎn)程訪(fǎng)問(wèn)。 ? IAB決定把認(rèn)證和加密作為下一代 IP的必備安全特性（ IPv6） ? 幸運(yùn)的是， IPv4也可以實(shí)現(xiàn)這些安全特性。 網(wǎng)絡(luò)安全技術(shù) ? 1. 網(wǎng)絡(luò)安全概述 ? 網(wǎng)絡(luò)安全標(biāo)準(zhǔn) ? 基本表現(xiàn) ? 隱患根源 ? 2. 網(wǎng)絡(luò)安全性分析 ? 協(xié)議的安全性 ? 網(wǎng)絡(luò)應(yīng)用的威脅 ? 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 ? 入侵檢測(cè) ? 防火墻 ? VPN 2. 網(wǎng)絡(luò)安全性分析 協(xié)議的安全性 ? TCP/IP協(xié)議棧及其安全性 ? IPv4 vs IPv6 ? IPSEC 2. 網(wǎng)絡(luò)安全性分析 協(xié)議的安全性 TCP/IP協(xié)議棧 2. 網(wǎng)絡(luò)安全性分析 協(xié)議的安全性 網(wǎng)絡(luò)層安全 2. 網(wǎng)絡(luò)安全性分析 協(xié)議的安全性 傳輸層安全 2. 網(wǎng)絡(luò)安全性分析 協(xié)議的安全性 應(yīng)用層安全 2. 網(wǎng)絡(luò)安全性分析 協(xié)議的安全性 IPv4報(bào)頭結(jié)構(gòu) 2. 網(wǎng)絡(luò)安全性分析 協(xié)議的安全性 ?缺乏對(duì)通信雙方身份真實(shí)性的鑒別能力 ?缺乏對(duì)傳輸數(shù)據(jù)的完整性和機(jī)密性保護(hù)的機(jī)制 ?由于 IP地址可軟件配置以及基于源 IP地址的鑒別機(jī)制， IP層存在業(yè)務(wù)流被監(jiān)聽(tīng)和捕獲、 IP地址欺騙、信息泄露和數(shù)據(jù)項(xiàng)篡改等攻擊 IPv4缺陷 2. 網(wǎng)絡(luò)安全性分析 協(xié)議的安全性 IPv6報(bào)頭結(jié)構(gòu) 2. 網(wǎng)絡(luò)安全性分析 協(xié)議的安全性 IPv4 PDU minimum 20 BYTES maximum 65535 octets IPv4 Header Data Field Fixed 40 BYTES maximum 65535 octets IPv6 PDU 0 or more Transportlevel PDU IPv6 Header Extension Header Extension Header 2. 網(wǎng)絡(luò)安全性分析 協(xié)議的安全性 2. 網(wǎng)絡(luò)安全性分析 協(xié)議的安全性 ? 1994年 IAB(Inter Architecture Board)發(fā)表一份報(bào)告 “ Inter體系結(jié)構(gòu)中的安全性 ” (RFC1636) ? 保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施，防止非授權(quán)用戶(hù)監(jiān)控網(wǎng)絡(luò)流量 ? 需要認(rèn)證和加密機(jī)制增強(qiáng)用戶(hù) 用戶(hù)通信流量。 ? 組成網(wǎng)絡(luò)的通信系統(tǒng)和信息系統(tǒng)的自身缺陷。 ? 不易有效防止，具體措施包括自動(dòng)審計(jì)、入侵檢測(cè)和完整性恢復(fù)等。 ? 通常分為： ? 假冒； ? 重放； ? 篡改消息； ? 拒絕服務(wù)。 ? 重點(diǎn)在于預(yù)防 ，如使用虛擬專(zhuān)用網(wǎng)（ VPN）、采用加密技術(shù)保護(hù)網(wǎng)絡(luò)以及使用加保護(hù)的分布式網(wǎng)絡(luò)等。 ? 常見(jiàn)手段： ? 搭線(xiàn)監(jiān)聽(tīng)； ? 無(wú)線(xiàn)截獲； ? 其他截獲。 ? 軟硬件配裝攻擊。 ? 物理臨近攻擊。 1. 網(wǎng)絡(luò)安全概述 網(wǎng)絡(luò)安全標(biāo)準(zhǔn) ? 信息保障技術(shù)框架 (IATF) 要解決的問(wèn)題 ? 怎樣定義信息保護(hù)需求和解決方案？ ? 現(xiàn)有的何種技術(shù)能夠滿(mǎn)足我的保護(hù)需求？ ? 什么樣的機(jī)構(gòu)資源能夠幫助找到所需的保護(hù)？ ? 當(dāng)前有哪些信息保障產(chǎn)品和服務(wù)市場(chǎng) ? ? 對(duì) IA方法和技術(shù)的研究關(guān)注點(diǎn)應(yīng)放在哪里？ ? 信息保障的原則是什么？ 1. 網(wǎng)絡(luò)安全概述