Internet与网络安全技术.ppt

Internet与网络安全技术 网络入侵技术的简单分析 竞争条件(race condition)问题 栈瓦解(stack smash)问题 典型为栈溢出 利用网络传输的入侵 邮件欺骗(mail spoofing) 邮件炸弹(mail bombing) 网络信息侦听 利用嗅包器sniffer和网络信息分析器analyzer 拒绝服务(Denial of Service) 现象 系统性能临时降低 系统突然崩溃而需人工重新启动 数据永久性丢失而导致大范围崩溃 手法 利用邮包炸弹和邮包罐头 重负载的服务请求 UDP风暴，与IP欺骗共同使用 网络传输入侵的防御 采用加密和数字签名的技术防止窃听、冒充、欺骗和篡改 采用交换的以太网技术减少侦听 使用良好配置的IP地址过滤器监视IP地址与物理地址的对应关系以减少IP欺骗 通过日志分析和源点分析防范邮件欺诈 防火墙技术的应用 防火墙技术 什么是防火墙 防火墙是建立在两个网络的边界上的实现安全策略和网络通信监控的系统或系统组，强制执行对内部网和外部网的访问控制。通过建立一整套规则和策略来监测、限制、更改跨越防火墙的数据流，达到保护内部网络的目的。 防火墙的功能 访问控制 授权认证 内容安全：病毒扫描、URL扫描、HTTP过滤 加密 路由器安全管理 地址翻译 均衡负载 日志记帐、审计报警 有关的定义 防火墙 主机 堡垒主机 双宿主主机 包 路由 包过滤 参数网络（停火区DMZ） 代理服务器 包过滤防火墙 包过滤： 根据规则有选择地让数据包在网络内外进行交换 可以在一台机器上提供对整个网络的保护 不识别数据包中的用户信息和文件信息 数据包头部信息 IP源地址和目标地址 协议（TCP、UDP或ICMP包） TCP/UDP源和目标接口 ICMP信息类型 数据包要到达的端口和要出去的端口 包过滤防火墙 包过滤判断依据： 根据数据包的目的地址 根据数据包的源地址 根据数据包的传送协议 几种包过滤系统 用过滤路由器进行包过滤 用双宿主主机进行包过滤 用堡垒主机进行包过滤 IP过滤路由器 双宿主主机防火墙 子网过滤结构 在主机过滤结构中增加一层参数网络的安全机制， 使内部网与外部网之间有两层隔断。 包过滤的优点： 一个包过滤路由器即可保护整个网络 不需要用户软件支撑，不需要对用户作特别培训 包过滤产品比较容易获得 包过滤的缺点： 包过滤规则配置比较困难 对包过滤规则配置的测试比较麻烦 包过滤功能有种种局限性 代理服务器防火墙(Proxy Server) 不允许外部网与内部网的直接通信，内外计算机应用层的连接由终止于Proxy Server上的连接来实现。 代理的优点： 允许用户“直接”访问因特网 适合进行日志管理 代理的缺点： 代理服务落后于非代理服务 不同的代理服务要求不同的服务器 代理服务一般要求对客户或程序进行修改 代理服务不适合某些服务 代理服务不能保护用户不受协议本身缺陷的限制 应用层网关(Application Gateway) 建立在网络应用层上基于主机的协议过滤、转发器，在用户和应用协议层之间提供访问控制。 代理服务与应用层网关的特点 易于记录和控制所有进出通信 对用户不透明，提供的服务有限 * * Tel:3603400 E-mail: syang@ 1999.1.14 杨寿保 中国科学技术大学 网络中心 计算机和网络 安全问题的防范 Internet 内部网 外部网 防火墙 Internet R 内部网 外部网 路由器 Internet R 内部路由器 外部网 外部路由器 内部网 R 堡垒主机 参数网络 Internet R 内部网 代理服务器 路由器 Internet R 内部网 外部网 外网段(非军事区) 内网段 防火墙 路由器 代理服务器 Internet 应用程序网关 用户击键 应用程序输入 击键转发 应用程序转发