企业信息化培训07课件.ppt

企业信息化 傅建明 武汉大学计算机学院 第七章 网络信息安全 网络信息安全的概念 网络信息安全的常用技术 网络信息安全的概念 网络信息安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统能连续可靠地运行，网络服务不中断。 网络安全性 指计算机机密性、完整性和可用性的实现。 网络安全性 可用性 授权实体有权访问数据。 机密性 信息不暴露给未授权实体或进程。 完整性 保证数据不被未授权修改。 网络信息安全的常用技术 防火墙技术 入侵检测技术 反病毒技术 内外网隔离技术 VPN技术 电子邮件的安全 7.1 防火墙技术 有关知识和概念 体系结构 防火墙的设计 7.1.1 有关知识和概念 防火墙的概念 Internet防火墙指能增强网络安全性的（一组）系统或一种装置。它是由软件 或硬件设计组合而成，通常位于局域网/内部网与Internet/外部网之间，用于加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络不被破坏，防止内部网的敏感数据被窃取。所以防火墙实际上可以作为内部网和外部网之间的一种访问控制设备。它可以是路由器，也可以是个人主机、主系统或一批主系统，用于把网络或子网同子网外的可能是不安全的系统隔离。 7.1.1 有关知识和概念 防火墙的访问控制： 1.???服务控制，决定哪些服务可以被访问 2.??方向控制，决定哪些方向的服务请求被发起 3.?用户控制，哪些用户可以访问服务（本地用户，远程用户） 4.???行为控制，控制具体的服务过程 7.1.1 有关知识和概念 防火墙的应用： 1.?????? 设立单一阻塞点 2.?????? 提供NAT，对外可以隐藏内部IP，可计费 3.?????? 作为IPSec的平台 （性能管理、安全管理、故障管理、计费管理、配置管理） 7.1.1 有关知识和概念 防火墙的优点 防止易受攻击的服务 控制访问网点 集中安全性 增强必威体育官网网址，强化私有权 有关网络使用、滥用的纪录和统计 政策执行 7.1.1 有关知识和概念 防火墙的主要组成部分： 网络政策（高级的、低级的） 先进的验证工具 包过滤 应用网关 防火墙设计的基本方针 只允许访问特定的服务 只拒绝访问特定的服 7.1.1 有关知识和概念 防火墙的缺点 不能防范恶意的知情者 不能防范不通过它的连接 几乎不能防范病毒 只能用来防备已知的威胁，不能防备新的未知的威胁 7.1.1 有关知识和概念 按位置分： l?????? 个人防火墙（主机） l???????? 企业防火墙（网络） 按实现方式分： l???????? 软件防火墙 l???????? 硬件防火墙 l???????? 软硬一体化防火墙 按技术分： l???????? 包过滤器 l???????? 应用层网关 电路层网关 7.1.2 防火墙体系结构 双宿主主机防火墙 被屏蔽主机 被屏蔽子网 其它 7.1.2 防火墙体系结构 ? 堡垒主机 bastion host 是网络安全的一个边界点，可以作为应用层网关和电路层网关的服务平台。 双宿主主机防火墙 双宿主主机防火墙 被屏蔽主机 被屏蔽主机 被屏蔽子网 被屏蔽子网 7.1.3 防火墙的设计 包过滤防火墙 网络层(IP层) 应用层防火墙 应用层 NAT 代理服务 包过滤防火墙 包过滤防火墙 数据包的处理信息： l???????? 源IP地址/目的IP地址 l???????? 源端口/目的端口 l???????? IP协议域-TCP,UDP,ICMP.RIP,OSPF… l???????? TCP标志位ACK l???????? ICMP type 包过滤防火墙 设计要求： 1.???外网的主机可以访问内网的SMTP服务器（25） 2.???内网的主机可以访问外网的SMTP服务器（25） 3.?????? 除1，2外不允许其他流量通过该防火墙 包过滤防火墙 包过滤防火墙 包过滤防火墙-状态检查 应用层网关 电路层网关 防火墙的发展 1.?????? 功能： l???????? 包过滤：基于状态检查的包过滤 l???????? 基于内容的信息过滤 非法信息/垃圾邮件/端口扫描/拒绝服务/病毒/木马/蠕虫… l???????? VPN，Virtual Private Network l???????? IDS 防火墙的发展 2.?????? 性能： 千兆防火墙，专用芯片（ASIC芯片，NP） 快速算法 stress-test-强力测试 规则数? 性能? 防火墙的发展 3.?????? 管理： l???????? Web l???????? GUI l???????? Conso