网络工程设计CH8.ppt-第8章网络安全设计.ppt

解放军理工大学计算机系 陈鸣：网络工程设计 * 防火墙的定义 防火墙(firewall)是把一个组织的内部网络与整个Internet隔离开的软件和硬件的组合，它允许一些数据分组通过，禁止另一些数据分组通过 防火墙允许网络管理员控制对外部网络和被管理网络内部资源之间的访问，这种控制是通过管理流入和流出这些资源的流量实现的 两种类型 分组过滤防火墙 应用程序级网关 电路级网关 Internet 分组过滤 路由器 (a)屏蔽的主机防火墙(单地址堡垒主机) 堡垒主机 信息服务器 内部网主机 Internet 分组过滤 路由器 (b)屏蔽的主机防火墙(双地址堡垒主机) 堡垒主机 信息服务器 内部网主机 Internet 分组过滤 路由器 (c)屏蔽的子网防火墙系统 堡垒主机 信息服务器 内部网 内部 路由器 解放军理工大学计算机系 * 陈鸣：网络工程设计 解放军理工大学计算机系 陈鸣：网络工程设计 * 入侵检测 网络内部人员滥用职权往往对网络安全危害性很大 入侵检测用于识别未经授权使用计算机系统资源的行为；识别有权使用计算机系统资源但滥用特权的行为(如内部威胁)；识别未成功的入侵尝试行为 即使一个系统中不存在某个特定的漏洞，入侵检测系统仍然可以检测到特定的攻击事件，并自动调整系统状态对未来可能发生的侵入做出警告预报 它是一种利用入侵留下的痕迹，如试图登录的失败记录等信息来有效地发现来自外部或内部的非法入侵的技术。它以探测、控制为技术本质，起着主动防御的作用 解放军理工大学计算机系 陈鸣：网络工程设计 * 入侵检测系统的类型 通常分为基于主机和基于网络两类 基于主机的IDS 早期用于审计用户的活动，如用户的登录、命令操作行和应用程序使用等。一般主要使用操作系统的审计跟踪日志作为输入 基于网络的IDS 在网络中某点被动地监听网络上传输的原始流量，通过对俘获的网络分组进行处理，从中得到有用信息 入侵检测方法一般可以分为基于异常的入侵检测和基于特征的入侵检测两种方式 虚拟专用网VPN 基本思想：跨越费用低廉的公网来扩展信任关系而不牺牲安全性。理想的VPN应当像一个专网一样，它应当是安全的、高度可用的和具有可预测的性能 解放军理工大学计算机系 陈鸣：网络工程设计 * 解放军理工大学计算机系 陈鸣：网络工程设计 * 物理安全性 指将资源保护在加锁的门里来限制对网络关键资源的访问 也指保护资源免受诸如洪水、火灾、暴风雪和地震等自然灾害的侵害 它是一个当然的需求，很容易熟视无睹而忘记对它进行设计，非常重要 网络安全性设计要考虑 网络设备放置的问题 网络数据的异地备份问题 解放军理工大学计算机系 陈鸣：网络工程设计 * 要点 网络安全设计的步骤 选择网络安全机制 选择数据备份和容错技术 设计网络安全方案 网络工程案例教学 ? 解放军理工大学计算机系 陈鸣：网络工程设计 * 数据备份和容错设计 “幸运的是那些做了数据备份的悲观主义者” 如果我们通过有效而简单的数据备份，就能具有更强的数据恢复能力，很容易找回失去的数据；而如果有了坚实的容错手段，数据丢失也许就不会发生了 数据备份 备份通常要按日、按周或按月做备份 对最为重要的文件进行更为频繁的备份 解放军理工大学计算机系 陈鸣：网络工程设计 * 系统容错技术 容错是指系统在部分出现故障的情况下仍能提供正确功能的能力 RAID技术通过冗余具有可靠性和可用性方面的优势 RAID分为几级，不同的级实现不同的可靠性，但是工作的基本思想是相同的，即用冗余来保证在个别驱动器故障的情况下，仍然维持数据的可访问性 RAID级别 得到业界广泛认同的有4种，即RAID 0，RAID 1, RAID 0+1和RAID 5 RAID 0是无数据冗余的存储空间条带化，具有成本低、读写性能极高以及存储空间利用率高等特点 RAID 1是两块硬盘数据的完全镜像，其优点是安全性好、技术简单、管理方便以及读写性能较好 RAID 0＋1综合了RAID 0和RAID 1的特点，独立磁盘配置成RAID 0，两套完整的RAID 0互相镜像 RAID 5应用最广泛，各块独立硬盘进行条带化分割，具有数据安全、读写速度快和空间利用率高等优点 解放军理工大学计算机系 陈鸣：网络工程设计 * 解放军理工大学计算机系 陈鸣：网络工程设计 * 数据存储方式 存储区域网络(SAN) 是储存资料所要流通的网域 SAN 基于光纤信道，采用光纤通道(Fiber Channel)标准协议 因特网数据中心(IDC) 为因特网内容提供商(ICP)、企业、媒体和各类网站提供大规模、高质量、安全可靠的专业化服务器托管、空间租用、网络批发带宽以及动态服务器主页、电子商务等业务 数据中心在大型主机时代就已出现，那时是为了通过托管、外包或集中方式向企业提供大型主机的管理维护，以达到