网络与应用系统安全技术.ppt

第3章 网络与应用系统安全技术 【本章提要】 Internet安全概述 防火墙技术 虚拟专用网 入侵检测系统 计算机病毒和计算机系统安全 3.1 Internet安全概述3.1.1 OSI模型概述 1.OSI模型概述 3.1.1 OSI模型概述 2.OSI模型与网络攻击 （1）对OSI物理层的攻击 （2）对OSI数据链路攻击 （3）对OSI网络层的攻击 （4）对OSI传输层的攻击 （5）对OSI会话层的攻击 （6）对OSI表现层的攻击 （7）对OSI应用层的攻击 对应用层的攻击是目前最为严重的攻击 3.1.2网络层安全 1.网络层的安全隐患 IP协议主要存在以下安全威胁：① 无法保证数据源的正确性；② 无法保证数据传输过程中的完整性；③ 无法保证数据传输过程中的必威体育官网网址性 3.1.2网络层安全 2.网络层安全卫士——IPSec协议 3.1.3应用层安全 如果确实想要区分一个具体文件的不同的安全性要求，那就必须借助于应用层的安全性。提供应用层的安全服务实际上是最灵活的处理单个文件安全性的手段。 3.2防火墙 3.2.1 防火墙概述 3.2.2 防火墙的关键技术 3.2.3 防火墙技术发展动态和趋势 3.2.4 防火墙系统的设计 3.2.5 选择防火墙的原则 3.2.6 主流防火墙产品介绍 3.2.7 防火墙应用举例 3.2.1 防火墙概述 1.防火墙的定义 防火墙就是介于内部网络和不可信任的外部网络之间的一系列部件的组合，它是不同网络或网络安全域之间信息的唯一出入口，根据企业的总体安全策略控制（如允许、拒绝）出入内部可信任网络的信息流，而且防火墙本身具备很强的抗攻击能力，是提供信息安全服务和实现网络和信息安全的基础设施 3.2.1 防火墙概述 防火墙逻辑位置图 3.2.1 防火墙概述 2．防火墙的功能 （1）强化公司的安全策略 （2）实现网络安全的集中控制 （3）实现网络边界安全 （4）记录网络之间的数据包 3.2.1 防火墙概述 3．防火墙的扩展功能 （1）减少可信任网络的暴露程度 （2）实现流量控制 （3）集成VPN功能 （4）双重DNS（域名服务）服务 4．防火墙的分类 可以分为数据包过滤型防火墙、代理服务型防火墙和状态检测型防火墙 3.2.2防火墙的关键技术 1.分组过滤技术 3.2.2防火墙的关键技术 1.分组过滤技术 3.2.2防火墙的关键技术 2.代理服务器技术 代理的概念对于防火墙是非常重要的，因为代理把网络IP地址替换成其它的暂时的地址。这种执行对于互联网来说有效地隐藏了真正的网络IP地址，因此保护了整个网络。 3.2.2防火墙的关键技术 代理服务器工作原理 3.2.2防火墙的关键技术 电路层代理 3.2.2防火墙的关键技术 3.状态检测防火墙技术 状态检测防火墙，试图跟踪通过防火墙的网络连接和分组，这样防火墙就可以使用一组附加的标准，以确定是否允许和拒绝通信。它是在使用了基本包过滤防火墙的通信上应用一些技术来做到这点的。 3.2.3防火墙技术发展动态和趋势 （1）优良的性能 （2）可扩展的结构和功能 （3）简化的安装与管理 （4）主动过滤 （5）防病毒与防黑客 3.2.4防火墙系统的设计 1．屏蔽路由器体系结构 3.2.4防火墙系统的设计 2．双重宿主主机体系结构 3.2.4防火墙系统的设计 3.被屏蔽主机体系结构 3.2.4防火墙系统的设计 4.被屏蔽子网体系结构 3.2.5选择防火墙的原则 （1）防火墙管理的难易度 （2）防火墙自身是否安全 （3）系统是否稳定 （4）是否高效 （5）是否可靠 （6）功能是否灵活 （7）是否可以抵抗拒绝服务攻击 （8）是否可以针对用户身份过滤 （9）是否可扩展、可升级 3.2.6主流防火墙产品介绍 MicroSoft ISA2004 Firewall Check Point Firewall-1 AXENT Raptor CyberGuard Firewall Cisco PIX Firewall NAI Gauntlet 东大阿尔派 天融信网络卫士 3.2.7防火墙应用举例 1）ISA Server 2004的安装程序 3.2.7防火墙应用举例 2）ISA Server 2004的安装界面 3.2.7防火墙应用举例 3）选择典型安装 3.2.7防火墙应用举例 4）指定内部网络地址 3.2.7防火墙应用举例 4）指定内部网络地址 3.2.7防火墙应用举例 5）允许运行早期版本 3.2.7防火墙应用举例 6）单击安装 3.2.7防火墙应用举例 2.配置I