第十一章网络系统安全技术及.pptVIP

现有网络安全体制 网络安全的演化 病毒的演化趋势 病毒发展史 病毒发展史（续1） 病毒出现越来越快 网络病毒的特征 通过攻击操作系统或应用软件的已知安全漏洞来获得控制权 在本地硬盘上并不留下文件 由于其在网络上进行扫描的动作，可能会引起严重的网络负载 如果攻击是属于常规的应用，例如SQL, IIS等就可能穿过防火墙 垃圾邮件的发展速度和趋势 管理分析 实施策略 三、 防火墙系统的实现类型 1．包过滤防火墙 也称作包过滤路由器，它是最基本、最简单的一种防火墙，可以在一般的路由器上实现也可以在基于主机的路由器上实现。 包过滤防火墙 Internet 内部网络 Server PC PC 包过滤路由器 2．双穴网关防火墙 这种防火墙系统由一台特殊主机来实现。这台主机拥有两个不同的网络接口，一端接外部网络，一端接需要保护的内部网络，并运行代理服务器，故被称为双穴网关。双穴网关防火墙不使用包过滤规则，而是在外部网络和被保护的内部网络之间设置一个网关(双穴网关)，隔断IP层之间的直接传输。 采取的解决办法一 对于非法访问及攻击类 -----在非可信网络接口处安装 访问控制防火墙、蠕虫墙、Dos/DDos墙、IPsec VPN、SSL VPN、内容过滤系统 领导网段 防火墙、IPSEC VPN、SSL VPN、内容过滤等 防DOS/DDOS设备 个人安全套件 语音教室网段 财务网段 多媒体教室网段 内部办公 网段1 数字图书馆网段 内部办公N OA网段 教学网段3 教学网段2 教学网段4 网管网段 校园网服务器群 教学网段5 采取的解决办法二 对于病毒、蠕虫、木马类 -----实施全网络防病毒系统 对于垃圾邮件类 -----在网关处实施防垃圾邮件系统 邮件过滤网关、反垃圾邮件系统 在MAIL系统中邮件病毒过滤系统、反垃圾邮件系统 领导网段 语音教室网段 财务网段 多媒体教室网段 内部办公 网段1 数字图书馆网段 内部办公N OA网段 教学网段3 教学网段2 教学网段4 网管网段 校园网服务器群 教学网段5 采取的解决办法三 对于内部信息泄露、非法外联、内部攻击类 -----在各网络中安装IDS系统 -----在系统中安装安全隐患扫描系统 -----在系统中安装事件分析响应系统 -----在主机中安装资源管理系统 -----在主机中安装防火墙系统 -----在重要主机中安装内容过滤系统 -----在重要主机中安装VPN系统 人事商务网段 领导网段 语音教室网段 财务网段 多媒体教室网段 内部办公 网段1 数字图书馆网段 内部办公N OA网段 教学网段3 教学网段2 教学网段4 网管网段 校园网服务器群 教学网段5 采取的解决办法四 对于系统统一管理、信息分析、事件分析响应 -----在网络中配置管理系统 -----在网络中配置信息审计系统 -----在网络中配置日志审计系统 -----在网络中补丁分发系统 -----在网络中配置安全管理中心 销售体系 网段N 安全审计中心010101000101010001010100010101000101010001010100 领导网段 语音教室网段 财务网段 多媒体教室网段 内部办公 网段1 数字图书馆网段 内部办公N OA网段 教学网段3 教学网段2 教学网段4 网管网段 校园网服务器群 教学网段5 安全管理中心 专家库 领导网段 语音教室网段 财务网段 多媒体教室网段 内部办公 网段1 数字图书馆网段 内部办公N OA网段 教学网段3 安服网段 教学网段4 网管网段 校园网服务器群 教学网段5 11．1．2 网络系统安全的主要技术 .物理隔离技术 物理隔离的指导思想是：要绝对保证安全，不安全就不连网；而逻辑隔离的思路是：在保证网络正常使用的情况F，尽可能安全。 .防火墙技术 防火墙技术，即在Intemet和内部网络之间设一个 防火墙。 防火墙又分为软件防火墙和硬件防火墙两种 .网络防病毒技术 自动分发、集中管理、在线升级、实时监控等 .访问控制技术 访问控制主要是指通过路由和交换体系的访问控制列表和AAA体系进行对于网络系统的访问控制技术。 .加密技术 加密技术的核心思想就是假定网络本身并不十分安全可靠，网上传输的数据容易被窃取，因而对所有重要信息全部经过加密处理后再进行传送。