网络集成技术CH.pptVIP

防火墙(firewall)是把一个组织的内部网络与整个Internet隔离开的软件和硬件的组合，它允许一些数据分组通过，禁止另一些数据分组通过01防火墙允许网络管理员控制对外部网络和被管理网络内部资源之间的访问，这种控制是通过管理流入和流出这些资源的流量实现的01两种类型分组过滤防火墙应用程序级网关电路级网关01防火墙的定义Internet分组过滤路由器(a)屏蔽的主机防火墙(单地址堡垒主机)堡垒主机信息服务器内部网主机Internet分组过滤路由器(b)屏蔽的主机防火墙(双地址堡垒主机)堡垒主机信息服务器内部网主机Internet分组过滤路由器(c)屏蔽的子网防火墙系统堡垒主机信息服务器内部网内部路由器网络内部人员滥用职权往往对网络安全危害性很大入侵检测用于识别未经授权使用计算机系统资源的行为；识别有权使用计算机系统资源但滥用特权的行为(如内部威胁)；识别未成功的入侵尝试行为即使一个系统中不存在某个特定的漏洞，入侵检测系统仍然可以检测到特定的攻击事件，并自动调整系统状态对未来可能发生的侵入做出警告预报它是一种利用入侵留下的痕迹，如试图登录的失败记录等信息来有效地发现来自外部或内部的非法入侵的技术。它以探测、控制为技术本质，起着主动防御的作用入侵检测通常分为基于主机和基于网络两类基于主机的IDS早期用于审计用户的活动，如用户的登录、命令操作行和应用程序使用等。一般主要使用操作系统的审计跟踪日志作为输入基于网络的IDS在网络中某点被动地监听网络上传输的原始流量，通过对俘获的网络分组进行处理，从中得到有用信息入侵检测方法一般可以分为基于异常的入侵检测和基于特征的入侵检测两种方式入侵检测系统的类型虚拟专用网VPN基本思想：跨越费用低廉的公网来扩展信任关系而不牺牲安全性。理想的VPN应当像一个专网一样，它应当是安全的、高度可用的和具有可预测的性能指将资源保护在加锁的门里来限制对网络关键资源的访问01也指保护资源免受诸如洪水、火灾、暴风雪和地震等自然灾害的侵害02它是一个当然的需求，很容易熟视无睹而忘记对它进行设计，非常重要03网络安全性设计要考虑网络设备放置的问题网络数据的异地备份问题04物理安全性?02网络安全设计的步骤选择网络安全机制选择数据备份和容错技术设计网络安全方案网络工程案例教学01要点“幸运的是那些做了数据备份的悲观主义者”如果我们通过有效而简单的数据备份，就能具有更强的数据恢复能力，很容易找回失去的数据；而如果有了坚实的容错手段，数据丢失也许就不会发生了数据备份备份通常要按日、按周或按月做备份对最为重要的文件进行更为频繁的备份010302数据备份和容错设计容错是指系统在部分出现故障的情况下仍能提供正确功能的能力RAID技术通过冗余具有可靠性和可用性方面的优势RAID分为几级，不同的级实现不同的可靠性，但是工作的基本思想是相同的，即用冗余来保证在个别驱动器故障的情况下，仍然维持数据的可访问性321系统容错技术得到业界广泛认同的有4种，即RAID0，RAID1,RAID0+1和RAID5RAID0是无数据冗余的存储空间条带化，具有成本低、读写性能极高以及存储空间利用率高等特点RAID1是两块硬盘数据的完全镜像，其优点是安全性好、技术简单、管理方便以及读写性能较好RAID0＋1综合了RAID0和RAID1的特点，独立磁盘配置成RAID0，两套完整的RAID0互相镜像RAID5应用最广泛，各块独立硬盘进行条带化分割，具有数据安全、读写速度快和空间利用率高等优点RAID级别是储存资料所要流通的网域SAN基于光纤信道，采用光纤通道(FiberChannel)标准协议存储区域网络(SAN)为因特网内容提供商(ICP)、企业、媒体和各类网站提供大规模、高质量、安全可靠的专业化服务器托管、空间租用、网络批发带宽以及动态服务器主页、电子商务等业务数据中心在大型主机时代就已出现，那时是为了通过托管、外包或集中方式向企业提供大型主机的管理维护，以达到专业化管理和降低运行成本的目的因特网数据中心(IDC)数据存储方式异地容灾系统关键技术包括网络技术、存储技术与解决方案网络技术无论ATM网络还是光纤网络，都已经广泛应用于存储技术领域RAID和磁盘等技术已经成熟存储区域网络也已经得到认可实现异地容灾两类方式基于主机系统的数据复制基于存储系统的远地镜像第8章网络安全设计第8章网络安全设计第8章网络安全设计天津大学计算机科学与技术学院饶国政博士本课程知识结构导学图网络工程设计概述(