计算机网络及网络安全技术要点.ppt

计算机网络及网络安全技术 北京华胜天成科技股份有限公司 售前技术部：王超 2005年1月 内容概述 计算机网络基础 局域网技术及解决方案 广域网技术及解决方案 网络安全相关技术及解决方案 问题应答 计算机网络基础 OSI 七层参考模型 TCP/IP协议簇 TCP会话连接 TCP连接的终止 局域网技术及解决方案 局域网技术 局域网技术 局域网技术 局域网络的设计需求 企业总部局域网网络解决方案 企业总部局域网网络解决方案特点 企业大型分支机构局域网网络解决方案 企业大型分支机构局域网网络解决方案特点 企业中型分支机构局域网网络解决方案 企业中型分支机构局域网网络解决方案特点 企业小型分支机构局域网网络解决方案 企业小型分支机构局域网网络解决方案特点 IEEE 802.1x 802.1x是用来做什么的？ IEEE 802.1x 认证客户端 广域网技术及解决方案 应用实例二：VPN 网络安全技术及相关解决方案 防火墙技术 防火墙：是加载于可信网络与不可信网络之间的安全设备，是网络安全政策的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。 防火墙可以是软件、硬件和软硬件结合的 发展历经简单包过滤、应用代理、状态检测（状态包过滤）防火墙 必威体育精装版技术是具有数据流过滤功能的防火墙 对于一个网络来说，所有通过“内部”和“外部”的网络流量都要经过防火墙 防火墙本身必须建立在安全操作系统的基础上 防火墙的控制能力 服务控制，确定哪些服务可以被访问 方向控制，对于特定的服务，可以确定允许哪个方向能够通过防火墙 用户控制，根据用户来控制对服务的访问 行为控制，控制一个特定的服务的行为 防火墙主要功能 过滤进、出网络的数据 管理进、出网络的访问行为 封堵某些禁止的业务 记录通过防火墙的信息内容和活动 对网络攻击进行检测和报警 内部工作子网与外网的访问控制 DMZ区域与外网的访问控制 内部子网与DMZ区的访问控制 拨号用户对内部网的访问控制 下属机构对总部的访问控制 基于时间的访问控制 用户级权限控制 高层协议控制 IP与MAC绑定 流量控制 端口映射 NAT网关和IP复用 透明接入 信息系统审计与日志 身份鉴别功能 防火墙的类型 包过滤路由器 应用层网关 电路层网关 这仅是一种防火墙分类方法，所着眼的视角不同，得到的类型划分也不一样 包过滤防火墙 基本的思想很简单 对于每个进来的包，适用一组规则，然后决定转发或者丢弃该包 往往配置成双向的 如何过滤 过滤的规则以IP和传输层的头中的域(字段)为基础，包括源和目标IP地址、IP协议域、源和目标端口号 过滤器往往建立一组规则，根据IP包是否匹配规则中指定的条件来作出决定 包过滤路由器示意图 包过滤 包过滤防火墙的优缺点 在网络层上进行监测 并没有考虑连接状态信息 通常在路由器上实现 实际上是一种网络的访问控制机制 优点 实现简单 对用户透明 效率高 缺点 正确制定规则并不容易 不可能引入认证机制 针对包过滤防火墙的攻击 IP地址欺骗，例如，假冒内部的IP地址 对策：在外部接口上禁止内部地址 源路由攻击，即由源指定路由 对策：禁止这样的选项 小碎片攻击，利用IP分片功能把TCP头部切分到不同的分片中 对策：丢弃分片太小的分片 利用复杂协议和管理员的配置失误进入防火墙 例如，利用ftp协议对内部进行探查 应用层网关 也称为代理服务器 特点 所有的连接都通过防火墙，防火墙作为网关 在应用层上实现 可以监视包的内容 可以实现基于用户的认证 所有的应用需要单独实现 可以提供理想的日志功能 非常安全，但是开销比较大 应用层网关的优缺点 优点 允许用户“直接”访问Internet 易于记录日志 缺点 新的服务不能及时地被代理 每个被代理的服务都要求专门的代理软件 客户软件需要修改，重新编译或者配置 有些服务要求建立直接连接，无法使用代理 代理服务不能避免协议本身的缺陷或者限制 电路层网关 工作于OSI/RM的会话层 充当屏蔽路由器，将内外网彻底隔离 防火墙设计规则 保持设计的简单性 计划好防火墙被攻破时的应急响应 考虑以下问题 双机热备 安全的远程管理 入侵监测的集成 数据保护功能 双机热备 安全远程管理 数据机密性保护 数据完整性保护 数据源身份验证 IDS IDS（Intrusion Detection System）就是入侵检测系统，它通过抓取网络上的所有报文，分析处理后，报告异常和重要的数据模式和行为模式，使网络安全管理员清楚地了解网络上发生的事件，并能够采取行动阻止可能的破坏。 入侵检测系统 入侵检测系统的作用 实时检测 实时地监视、分析网络中所有的数据报文 发现并实时处理所捕获的数据报文 安全审计 对系统记录的网络事件进行统计分析 发现异常现象