第6章 网络安全与防火墙技术.ppt

6.4.2 天网防火墙 瑞星防火墙 本章小结 网络安全的定义及基本体系 网络安全的策略及措施 防火墙技术 防火墙的基本概念、体系结构和类型 思科硬件防火墙 个人软件防火墙 第6章 网络安全与防火墙技术 本章学习重点 网络安全的基本知识 网络安全策略及一些措施 防火墙的工作原理 常见防火墙产品 配置和使用个人防火墙 6.1网络安全概述 6.1.1网络安全的定义 网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。 国际标准化组织（ISO）对计算机系统安全的定义是：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。 由此可以将计算机网络的安全理解为：通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、可控性、完整性、必威体育官网网址性和不可抵赖性。 可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击； 可控性：对信息的传播及内容具有控制能力。 完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 必威体育官网网址性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。 不可抵赖性：不可抵赖性也称为不可否认性，是指通信的双方在通信过程中，对于自己所发送或接收的消息不可抵赖。 6.1.2网络安全的基本体系 网络安全的基本体系由三部分组成 物理安全 信息安全 安全管理 1．物理安全 物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏行为 环境安全：对系统所在环境的安全保护 设备安全：设备的防盗、防毁、防电磁信息辐射泄露、防止线路截获、抗电磁干扰及电源保护 媒体安全：包括媒体数据的安全及媒体本身的安全 2．信息安全 （1）信息传输安全 ① 数据传输加密技术 ② 数据完整性鉴别技术：校验 ③ 抗否认技术：数字签名 （2）数据存储安全 （3）信息内容审计:记录所有网络活动 （4）用户访问控制：验证网络中的主体（口令、智能卡、指纹等） 3．安全管理 面对网络安全必威体育官网网址的脆弱性，除了在网络设计上增加安全服务功能，还应加强网络的安全管理，因为许多不安全因素恰恰反映在组织管理和人员录用等方面，这是网络安全必须考虑的基本问题，从统计数字来看，70%以上的网络攻击行为来自企业内部。 人员管理、制定管理制度 人员管理 人员管理方面可以采用以下原则： 1．多人负责原则。每一项与安全有关的活动，都必须有两人或多人在场。 2．任期有限原则。工作人员应不定期地循环任职，强制实行作假制度 3．职责分离原则。在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情，除非系统主管领导批准。 制定管理制度 制订相应的管理制度或采用相应的规范。具体工作是： 1． 根据工作的重要程度，确定该系统的安全需求 2． 根据确定的安全需求，确定安全管理的范围 3． 制订相应的机房出入管理制度 4． 制订严格的操作规程。操作规程要根据职责分离和多人负责的原则，各负其责 5． 制订完备的系统维护制度 6． 制订应急措施。 6.2网络安全策略及措施 为保证网络的安全，首先要制定全面的安全策略，然后对照这些策略采取相应的安全措施。 网络安全策略是一系列决策的集合，集中体现了网络管理者对网络安全的态度。网络安全策略确定了可接受的行为和不可接受行为的界限，以及当不可接受行为发生时应作出何种响应。 6.2.1网络安全策略 1. 职责划分： 2. 类型限制：网络使用的类型限制 3. 授权管理： 4. 用户管理 5. 恢复策略：安全策略被破坏时采取的策略 6. 跟踪审计：网络使用的详尽记录 6.2.2 网络安全措施 1. 防病毒软件 2. 防火墙 3. 数据加密 4. 访问控制 5. 智能卡 6. 漏洞扫描 7. 入侵检测 8．策略管理 6.3防火墙技术概述 它是一种隔离控制技术，作用是在某个企业的内部网络和不安全的外部网络之间设置屏障，阻止对内部信息资源的非法访问。 6.3.1防火墙的定义及分类 1. 防火墙的定义 防火墙的本义是指古代构筑和使用木制结构房屋的时侯，为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称之为“防火墙” 防火墙（FireWall），是指位于计算机和它所连接的网络之间的硬件或软件，也可以位于两个或多个网络之间，比如局域网和互联网之间，网络之间的所有数据流都经过防火墙 通过防火墙可以对网络之间的通讯进行扫描，关闭不安全的端口，阻止外来的DoS攻击