网络安全技术(PPT65页).pptx
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
– 按地址过滤; – 按服务过滤。
17
防火墙的规则动作
有以下几种类型: • 通过(accept)
允许IP包通过防火墙传输。
• 放弃(deny)
不允许IP包通过防火墙传输,但仅仅丢弃,不做任何响应。
• 拒绝(reject)
不允许IP包通过防火墙传输,并向源端发送目的主机不可 达的ICMP报文。
• 返回(return)
欺骗。
10
包过滤防火墙的工作原理
11
代理服务器型防火墙
• 工作在应用层,将客户与服务的连接隔离成两段。
– 根据规则为客户请求建立新的服务连接。
• 从网络层切断了内外网络之间的连通性,安全性 大大提高。
• 能够识别高层协议信息,进行高层协议过滤。 • 对应用不透明,客户端需要重新配置。 • 速度较慢、效率低。
是David Koblas在1990年开发的。
14
SOCKS系统
15
三种防火墙技术安全功能比较
源地址 目的地址 用户身份 数据内容
包过滤
Y
Y
N
N
应用代理
Y
Y
Y
P
电路级网关 Y
Y
Y
N
16
规则
• 一般包含以下各项:
源地址、源端口 、目的地址、目的端口、协议类型、 协议标志、服务类型、动作。
▪ 规则原则
20
双宿主主机结构防火墙
21
屏蔽主机防火墙
• 主要的安全机制由屏蔽路由器来提供。 • 堡垒主机位于内部网络上,是外部能访
问的惟一的内部网络主机。
– 堡垒主机需要保持更高的安全等级。
• 问题:
– 如果路由器被破坏,整个网络对侵袭者是开 放的。如堡垒主机被侵,内部网络的主机失 去任何的安全保护。
22
没有发现匹配的规则,省缺动作。
18
规则举例(包过滤)
• 只允许Telet出站的服务
规则 方向 源地 目的地 协议 源端口 目的端 ACK设置 动作
号
址
址
口
1
出 内部 任意 TCP 〉1023
23
任意 通过
2
入 任意 内部 TCP 23
〉1023
是
通过
3 双向 任意 任意 任意 任意 任意
任意 拒绝
– 包过滤防火墙; – 代理服务器; – 电路级网关。。
• 按拓扑结构分类
– 双宿主主机防火墙; – 屏蔽主机防火墙; – 屏蔽子网防火墙。
8
网络防火墙位置模型
9
包过滤防火墙
• 工作在网络层(IP 层)
– 根据过滤规则,逐个检查 IP 包,确定是否允许通过。
• 对应用透明,合法建立的连接不被中断。 • 速度快、效率高。 • 安全性级别低:不能识别高层信息、容易受到
• 对用户不透明,可能带来传输延迟、瓶颈和单 点失效等问题。
• 不能防范不经过它的连接。 • 当使用端到端加密时,其作用会受到很大限制。 • 过于依赖于拓扑结构。 • 防火墙不能防范病毒。 • 是一种静态防御技术。
7
防火墙的分类
• 按网络体系结构分类
– 工作在OSI参考模型中的不同位置。
• 按应用技术分类
• 周边网即:非军事化区,提供附加的保护层,入侵 者如侵入周边网,可防止监听(sniffer)内部网的 通信(窃取密码),不会损伤内部网的完整性。周 边网上的主机主要通过主机安全来保证其安全性。
• 屏蔽子网防火墙使用了两个屏蔽路由器,消除了内 部网络的单一侵入点,增强了安全性。
• 两个屏蔽路由器的规则设置的侧重点不同。
第12章 网络安全技术
1
主要内容
• 防火墙技术 • 漏洞扫描技术 • 入侵检测技术 • 虚拟专用网VPN技术
2
防火墙技术
• 定义为:“设置在两个或多个网络之间的安全阻隔,用于保 证本地网络资源的安全,通常是包含软件部分和硬件部分的 一个系统或多个系统的组合”。
• 基本工作原理是在可信任网络的边界(即常说的在内部网络 和外部网络之间,我们认为内部网络是可信任的,而外部网 络是不可信的)建立起网络控制系统,隔离内部和外部网络, 执行访问控制策略,防止外部的未授权节点访问内部网络和 非法向外传递内部信息,同时也防止非法和恶意的网络行为 导致内部网络的运行被破坏。
• 实施网间访问控制,强化安全策略。 • 有效地纪录因特网上的活动。 • 隔离网段,限制安全问题扩散。 • 防火墙自身有一定的抗攻击能力。 • 综合运用各种安全措施,使用先进健壮的信息
安全技术。 • 人机界面良好,用户配置方便,易管理。
6
防火墙的不足
• 它能保护网络系统的可用性和系统安全,但由 于无法理解数据内容,不能提供数据安全。
19
双宿主主机结构防火墙
• 核心是具有双宿主功能的主机。
– 至少有两个网络接口,充当路由器。
• 不允许两网之间的直接发送功能。
– 仅仅能通过代理,或让用户直接登陆到双宿主主机 来提供服务。
• 提供高级别的安全控制。 • 问题:
– 用户账号本身会带来明显的安全问题,会允许某种 不安全的服务;通过登陆来使用因特网太麻烦。
屏蔽主机防火墙
23
堡垒主机
• 设计与构筑堡垒主机的原则:
– 使堡垒主机尽量简单; – 随时做好堡垒主机可能被损害的准备。
• 堡垒主机提供的服务:
– 同因特网相关的一些服务; – 删除所有不需要的服务;
• 不要在堡垒主机上保留用户账号。
24
百度文库
屏蔽子网防火墙
• 添加额外的安全层:周边网,将内部网与因特网进 一 步隔开。
– 外部路由器只允许外部流量进入,内部路由器只允许内 部流量进入。
25
屏蔽子网防火墙
26
高性能过滤算法
• 规则库的规模很大 ,对规则的处理速度决定了 防火墙的速度。
• 对高性能过滤算法的要求:
– 过滤算法的速度应当足够快; – 理想的过滤算法应当能够对任意的数据域进行匹配,
• 基本思想不是对每台主机系统进行保护,而是让所有对系统 的访问通过某一点,并且保护这一点,并尽可能地对外界屏 蔽被保护网络的信息和结构。
3
防火墙在网络中的位置
4
防火墙的基本需求
• 保证内部网的安全性。 • 保证内部网同外部网间的连通性。
• 设计实现的重点为:
– 安全性能; – 处理速度。
5
防火墙的功能
12
代理服务器防火墙的工作原理
13
电路级网关
• 工作在传输层。 • 它在两个主机首次建立TCP连接时创立一个电
子屏障,建立两个TCP连接。 • 一旦两个连接建立起来,网关从一个连接向另
一个连接转发数据包,而不检查内容。 • 也称为通用代理,统一的代理应用程序,各协
议可透明地通过通用代理防火墙。 • 电路级网关实现的典型例子是SOCKS软件包,
17
防火墙的规则动作
有以下几种类型: • 通过(accept)
允许IP包通过防火墙传输。
• 放弃(deny)
不允许IP包通过防火墙传输,但仅仅丢弃,不做任何响应。
• 拒绝(reject)
不允许IP包通过防火墙传输,并向源端发送目的主机不可 达的ICMP报文。
• 返回(return)
欺骗。
10
包过滤防火墙的工作原理
11
代理服务器型防火墙
• 工作在应用层,将客户与服务的连接隔离成两段。
– 根据规则为客户请求建立新的服务连接。
• 从网络层切断了内外网络之间的连通性,安全性 大大提高。
• 能够识别高层协议信息,进行高层协议过滤。 • 对应用不透明,客户端需要重新配置。 • 速度较慢、效率低。
是David Koblas在1990年开发的。
14
SOCKS系统
15
三种防火墙技术安全功能比较
源地址 目的地址 用户身份 数据内容
包过滤
Y
Y
N
N
应用代理
Y
Y
Y
P
电路级网关 Y
Y
Y
N
16
规则
• 一般包含以下各项:
源地址、源端口 、目的地址、目的端口、协议类型、 协议标志、服务类型、动作。
▪ 规则原则
20
双宿主主机结构防火墙
21
屏蔽主机防火墙
• 主要的安全机制由屏蔽路由器来提供。 • 堡垒主机位于内部网络上,是外部能访
问的惟一的内部网络主机。
– 堡垒主机需要保持更高的安全等级。
• 问题:
– 如果路由器被破坏,整个网络对侵袭者是开 放的。如堡垒主机被侵,内部网络的主机失 去任何的安全保护。
22
没有发现匹配的规则,省缺动作。
18
规则举例(包过滤)
• 只允许Telet出站的服务
规则 方向 源地 目的地 协议 源端口 目的端 ACK设置 动作
号
址
址
口
1
出 内部 任意 TCP 〉1023
23
任意 通过
2
入 任意 内部 TCP 23
〉1023
是
通过
3 双向 任意 任意 任意 任意 任意
任意 拒绝
– 包过滤防火墙; – 代理服务器; – 电路级网关。。
• 按拓扑结构分类
– 双宿主主机防火墙; – 屏蔽主机防火墙; – 屏蔽子网防火墙。
8
网络防火墙位置模型
9
包过滤防火墙
• 工作在网络层(IP 层)
– 根据过滤规则,逐个检查 IP 包,确定是否允许通过。
• 对应用透明,合法建立的连接不被中断。 • 速度快、效率高。 • 安全性级别低:不能识别高层信息、容易受到
• 对用户不透明,可能带来传输延迟、瓶颈和单 点失效等问题。
• 不能防范不经过它的连接。 • 当使用端到端加密时,其作用会受到很大限制。 • 过于依赖于拓扑结构。 • 防火墙不能防范病毒。 • 是一种静态防御技术。
7
防火墙的分类
• 按网络体系结构分类
– 工作在OSI参考模型中的不同位置。
• 按应用技术分类
• 周边网即:非军事化区,提供附加的保护层,入侵 者如侵入周边网,可防止监听(sniffer)内部网的 通信(窃取密码),不会损伤内部网的完整性。周 边网上的主机主要通过主机安全来保证其安全性。
• 屏蔽子网防火墙使用了两个屏蔽路由器,消除了内 部网络的单一侵入点,增强了安全性。
• 两个屏蔽路由器的规则设置的侧重点不同。
第12章 网络安全技术
1
主要内容
• 防火墙技术 • 漏洞扫描技术 • 入侵检测技术 • 虚拟专用网VPN技术
2
防火墙技术
• 定义为:“设置在两个或多个网络之间的安全阻隔,用于保 证本地网络资源的安全,通常是包含软件部分和硬件部分的 一个系统或多个系统的组合”。
• 基本工作原理是在可信任网络的边界(即常说的在内部网络 和外部网络之间,我们认为内部网络是可信任的,而外部网 络是不可信的)建立起网络控制系统,隔离内部和外部网络, 执行访问控制策略,防止外部的未授权节点访问内部网络和 非法向外传递内部信息,同时也防止非法和恶意的网络行为 导致内部网络的运行被破坏。
• 实施网间访问控制,强化安全策略。 • 有效地纪录因特网上的活动。 • 隔离网段,限制安全问题扩散。 • 防火墙自身有一定的抗攻击能力。 • 综合运用各种安全措施,使用先进健壮的信息
安全技术。 • 人机界面良好,用户配置方便,易管理。
6
防火墙的不足
• 它能保护网络系统的可用性和系统安全,但由 于无法理解数据内容,不能提供数据安全。
19
双宿主主机结构防火墙
• 核心是具有双宿主功能的主机。
– 至少有两个网络接口,充当路由器。
• 不允许两网之间的直接发送功能。
– 仅仅能通过代理,或让用户直接登陆到双宿主主机 来提供服务。
• 提供高级别的安全控制。 • 问题:
– 用户账号本身会带来明显的安全问题,会允许某种 不安全的服务;通过登陆来使用因特网太麻烦。
屏蔽主机防火墙
23
堡垒主机
• 设计与构筑堡垒主机的原则:
– 使堡垒主机尽量简单; – 随时做好堡垒主机可能被损害的准备。
• 堡垒主机提供的服务:
– 同因特网相关的一些服务; – 删除所有不需要的服务;
• 不要在堡垒主机上保留用户账号。
24
百度文库
屏蔽子网防火墙
• 添加额外的安全层:周边网,将内部网与因特网进 一 步隔开。
– 外部路由器只允许外部流量进入,内部路由器只允许内 部流量进入。
25
屏蔽子网防火墙
26
高性能过滤算法
• 规则库的规模很大 ,对规则的处理速度决定了 防火墙的速度。
• 对高性能过滤算法的要求:
– 过滤算法的速度应当足够快; – 理想的过滤算法应当能够对任意的数据域进行匹配,
• 基本思想不是对每台主机系统进行保护,而是让所有对系统 的访问通过某一点,并且保护这一点,并尽可能地对外界屏 蔽被保护网络的信息和结构。
3
防火墙在网络中的位置
4
防火墙的基本需求
• 保证内部网的安全性。 • 保证内部网同外部网间的连通性。
• 设计实现的重点为:
– 安全性能; – 处理速度。
5
防火墙的功能
12
代理服务器防火墙的工作原理
13
电路级网关
• 工作在传输层。 • 它在两个主机首次建立TCP连接时创立一个电
子屏障,建立两个TCP连接。 • 一旦两个连接建立起来,网关从一个连接向另
一个连接转发数据包,而不检查内容。 • 也称为通用代理,统一的代理应用程序,各协
议可透明地通过通用代理防火墙。 • 电路级网关实现的典型例子是SOCKS软件包,