第7次课程网络安全.ppt

1、1,Internet的安全性,2,Internet安全问题现状,网络安全的主要内容: 在网络上如何保证合法用户对资源的合法访问以及如何防止网络黑客的攻击 网络层的安全防护主要目的是： 保证网络的可用性和合法使用，保护网络中的网络设备，主机操作系统以及网络服务的正常运行，根据IP地址控制用户的网络访问,3,Internet攻击类型 网络威胁可以分成以下不同类型：黑客入侵、内部攻击、不良信息传播、秘密信息泄漏、修改网络配置而造成网络瘫痪等 。 安全威胁主要来自下面几个方面： （1）对用户身份的仿冒 （2）对网络上信息的窃取 （3）对网络上信息的篡改 （4）对发出的信息予以否认 （5）对信息进行重发

2、,4,ISO 7498-2模型提供的五种安全服务： 认证（Authentication） 访问控制（Access Control） 数据保密（Data Confidentiality） 数据完整性（Data Integrity） 抗否认（Non-repudiation）,5,目前所建立的主要的安全机制包括： 1身份鉴别机制 2访问控制机制 3数据加密机制 4数据完整性机制 5数字签名机制 6防重发机制 7审计机制,6,Interne安全技术-防火墙,防火墙位于内部网络和Internet之间,7,“防火墙” 是指在两个网络之间实现控制策略的系统（软件、硬件，或者是两者并用），用来保护内部的网络不

3、易受到来自Internet的侵害。是一种安全策略的体现。,8,防火墙技术的主要内容,防火墙技术大体上分为网络层或应用层两类 。 防火墙产品大体上可以分成两类： 一类是基于包过滤（Packet filter）的包过滤型防火墙。另一类是基于代理服务（Proxy service）的代理服务型防火墙。,9,包过滤技术（Packet Filter）,包过滤（Packet Filtering）： 基于协议特定的标准，路由器在其端口能够区分包和限制包的能力。 包过滤器 主要基于以下选项进行包过滤： 源端口号 目的端口号 TCP标志,10,过滤路由器为内部网络提供安全边界,11,包过滤模型,包过滤服务器模型,

4、12,包过滤设备的方式工作： 包过滤标准必须为包过滤设备端口存储起来，这些包过滤标准叫包过滤规则。 当包到达端口时，对包报头进行语法分析。 包过滤器规则以特殊的方式存储 如果一条规则阻止包传输或接受，此包便不被允许。 如果一条规则允许包传输或接受，此包可以被继续处理。 如果包不满足任何一条规则，该包被阻塞。,13,包过滤技术的优缺点 优点 ： 对小型的、不太复杂的站点包过滤较容易实现。 缺点： 几乎没有日志记录能力。 很难确认系统是否正在被入侵或已经被入侵了。 依赖一个单一的部件来保护系统。,14,代理服务器（Proxy Server）,代理服务器的位置,15,代理服务器、包过滤器与OSI模型

5、的关系,16,设置代理服务器时要注意到： 打开所有输出TCP连接。 允许SMTP和DNS进入邮件主机。 允许FTP进入高于1024的端口。 双宿主主机 在TCP/IP中，多宿主主机（Multi-Homed Host）这个词用来描述具有多个网卡的主机,17,18,双宿主主机示意图,19,双宿主主机可以用于把一个内部网络从一个不可信的外部网络中分离出来。它可以彻底堵塞内部和外部不可信网络间的任何IP流量。 双宿主主机是防火墙使用的最基本配置，双宿主防火墙主机的重要性是路由被禁止。,20,带有应用程序进程的双宿主主机,21,堡垒主机（Bastion Host）是对网络安全至关重要的防火墙主机。堡垒主

6、机是一个组织的网络安全的中心主机。 堡垒主机通常和包过滤器放在一起使用，构成二级安全体系 .,22,双网络接口和过滤路由器作为第一线防卫的堡垒主机,23,应用层网关 管理存储转发的流量以及交互流量。 记录和控制进出流量的能力是应用层网关的主要优点之一。 缺点： 用户的程序经常为每个应用程序而编写。,24,应用层网关,25,作为客户机和服务器的代理,26,防火墙的体系结构,单宿主堡垒主机防火墙,几种常见的防火墙体系结构 :,27,包过滤路由器、单宿主堡垒主机的防火墙,28,单路由器、双宿主堡垒主机防火墙（有DMZ）,29,单路由器、双堡垒主机防火墙（两个DMZ）,30,11.3 加强Internet安全性意识及防护,网络攻击得逞的主要原因： 客观方面： 由于现有的网络系统具有内在的安全脆弱性； 主管方面： 是由于管理者思想麻痹,没有采取正确的安全策略和安全机制,31,网络安全防护的一般措施,信息质量主要指： （1）可靠性 （2）完整性 （