网络安全概述ppt(105张)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
– 网关理解应用协议,可以实施更细粒度的 访问控制
– 对每一类应用,都需要一个专门的代理 – 灵活性不够
客户
发送请求 转发响应
转发请求
网关
请求响应
服务器
8
体系结构
• 双宿主主机体系
– 双重宿主主机的特性:
Internet • 安全至关重要(唯一通道),其用户口令控制安全是关键。
• 必须支持很多用户的访问(中转站),其性能非常重要。
存储设备
内部服务器
物理隔离控制设备
网络安全概述(ppt105页)
集线器 内部网络
13
网络安全概述(ppt105页)
• 一个典型的物理隔离方案(隔离设备处 于与外网相连状态)
原始数据
互联网
外部服务器非TCP/IP连接
存储设备
内部服务器
物理隔离控制设备
网络安全概述(ppt105页)
集线器 内部网络
14
网络安全概述(ppt105页)
• 一个典型的物理隔离方案(隔离设备处 于与内网相连状态)
互联网
外部服务器
原始数据
存储设备 非TCP/IP连接 内部服务器
物理隔离控制设备
集线器
网络安全概述(ppt105页)
15
网络安全概述(ppt105页)
2 VPN概述
• VPN定义 • VPN技术 • VPN分类 • IPSec体系
– 缺点:双重宿主主机是隔开内外网络的唯一屏障, 一旦它被入侵,内部网络便向入侵者敞开大门。
防火墙
双重宿主主机
内部网络
… …
9
• 屏蔽主机体系
– 屏蔽主机体系结构由防火墙和内部网络的堡垒主机 承担安全责任。一般这种防火墙较简单,可能就是 简单的路由器。
– 典型构成:包过滤路由器+堡垒主机。
• 包过滤路由器配置在内部网和外部网之间,保证外部系统 对内部网络的操作只能经过堡垒主机。
内部网络 … …
网络安全概述(ppt105页)
12
网络安全概述(ppt105页)
网络隔离
• 物理隔离的指导思想与防火墙绝然不同:防火墙的思路 是在保障互联互通的前提下,尽可能安全,而物理隔离 的思路是在保证必须安全的前提下,尽可能互联互通。
• 一个典型的物理隔离方案(处于完全隔离状态)
互联网
外部服务器
网络安全概述(ppt105页)
16
网络安全概述(ppt105页)
VPN定义
• 两个基本的专网形式
Modem 远程独立客户机
电话网
wk.baidu.com
远程访问服务器
Modem
网络安全概述(ppt105页)
17
网络安全概述(ppt105页)
适配器 分支机构服务器
数据网
专用通道
SDH、DDN、 ADSL、
ISDN、……
适配器
– 网络地址转就是在防火墙上装一个合法IP地址集,然后 • 当内部某一用户要访问Internet时,防火墙动态地从 地址集中选一个未分配的地址分配给该用户; • 同时,对于内部的某些服务器如Web服务器,网络 地址转换器允许为其分配一个固定的合法地址。
– 地址翻译主要用在两个方面: • 网络管理员希望隐藏内部网络的IP地址。这样互联 网上的主机无法判断内部网络的情况。 • 内部网络的IP地址是无效的IP地址。 这种情况主要 是因为现在的IP地址不够用,要申请到足够多的合 法IP地址很难办到,因此需要翻译IP地址。
6
源IP
10.0. 0.108
目的IP
202.112. 108.50
源IP
202.112. 108.50
目的IP
10.0. 0.108
源IP
202.112. 108.3
目的IP
202.112. 108.50
防火墙网关
源IP
目的IP
202.112. 202.112. 108.50 108.3
7
• 应用层代理
– 周边网络:一个防护层,在其上可放置一些信息服 务器,它们是牺牲主机,可能会受到攻击,因此又 被称为非军事区(DMZ)。周边网络的作用:即使 堡垒主机被入侵者控制,它仍可消除对内部网的侦 听。例: netxray等的工作原理。
11
网络安全概述(ppt105页)
Internet
外部路由器
周边网络
堡垒主机 内部路由器
总部远程访问服务器
网络安全概述(ppt105页)
3
• 防火墙缺陷
– 使用不便,认为防火墙给人虚假的安全感 – 对用户不完全透明,可能带来传输延迟、瓶颈及单
点失效 – 不能替代墙内的安全措施
• 不能防范恶意的知情者 • 不能防范不通过它的连接 • 不能防范全新的威胁 • 不能有效地防范数据驱动式的攻击 • 当使用端-端加密时,其作用会受到很大的限制
第7讲 保密通信(一)
IPSec FW
Page 1
1 防火墙概述
• 基本概念 • 关键技术 • 体系结构 • 网络隔离
2
基本概念
• 防火墙概念 – William Cheswick和Steve Beilovin(1994): 防火墙是放置在两个网络之间的一组组件,这组组 件共同具有下列性质: • 只允许本地安全策略授权的通信信息通过 • 双向通信信息必须通过防火墙 • 防火墙本身不会影响信息的流通 – 防火墙是位于两个信任程度不同的网络之间(如企 业内部网络和Internet之间)的软件或硬件设备的 组合,它对两个网络之间的通信进行控制,通过强 制实施统一的安全策略,防止对重要信息资源的非 法存取和访问以达到保护系统安全的目的。 – 传统防火墙概念特指网络层实现
4
关键技术
• 数据包过滤
– 依据事先设定的过滤规则,对所接收的每个数据包做允许拒 绝的决定。
• 数据包过滤优点:
– 速度快,性能高
应用层
应用层
– 对用户透明
表示层
• 数据包过滤缺点:
会话层
– –
维安护全比性较低困(难IP(欺需骗要等对)TCP/I传P输了层解)
– 不提供有用的日志,或根本就网不络层提供
网络层
表示层 会话层 传输层 网络层
– –
不不防能范根数据据状驱态动信型 息攻 进击 行控制数据链路层
– 不能处理网络层以上的信息 物理层
数据链路层 物理层
– 无法对网络上流动的信息提供全面的控互制连的物理介质
数据链路层
物理 层
5
• NAT (Network Address Translation)
• 堡垒主机配置在内部网络上,是因外部特网网络主机连接到内部
网络主机的桥梁,它需要拥有高等级的安全。
防火墙
堡垒主机
10
• 屏蔽子网体系
– 组成:屏蔽子网体系结构在本质上与屏蔽主机体系 结构一样,但添加了额外的一层保护体系——周边 网络。堡垒主机位于周边网络上,周边网络和内部 网络被内部路由器分开。
– 对每一类应用,都需要一个专门的代理 – 灵活性不够
客户
发送请求 转发响应
转发请求
网关
请求响应
服务器
8
体系结构
• 双宿主主机体系
– 双重宿主主机的特性:
Internet • 安全至关重要(唯一通道),其用户口令控制安全是关键。
• 必须支持很多用户的访问(中转站),其性能非常重要。
存储设备
内部服务器
物理隔离控制设备
网络安全概述(ppt105页)
集线器 内部网络
13
网络安全概述(ppt105页)
• 一个典型的物理隔离方案(隔离设备处 于与外网相连状态)
原始数据
互联网
外部服务器非TCP/IP连接
存储设备
内部服务器
物理隔离控制设备
网络安全概述(ppt105页)
集线器 内部网络
14
网络安全概述(ppt105页)
• 一个典型的物理隔离方案(隔离设备处 于与内网相连状态)
互联网
外部服务器
原始数据
存储设备 非TCP/IP连接 内部服务器
物理隔离控制设备
集线器
网络安全概述(ppt105页)
15
网络安全概述(ppt105页)
2 VPN概述
• VPN定义 • VPN技术 • VPN分类 • IPSec体系
– 缺点:双重宿主主机是隔开内外网络的唯一屏障, 一旦它被入侵,内部网络便向入侵者敞开大门。
防火墙
双重宿主主机
内部网络
… …
9
• 屏蔽主机体系
– 屏蔽主机体系结构由防火墙和内部网络的堡垒主机 承担安全责任。一般这种防火墙较简单,可能就是 简单的路由器。
– 典型构成:包过滤路由器+堡垒主机。
• 包过滤路由器配置在内部网和外部网之间,保证外部系统 对内部网络的操作只能经过堡垒主机。
内部网络 … …
网络安全概述(ppt105页)
12
网络安全概述(ppt105页)
网络隔离
• 物理隔离的指导思想与防火墙绝然不同:防火墙的思路 是在保障互联互通的前提下,尽可能安全,而物理隔离 的思路是在保证必须安全的前提下,尽可能互联互通。
• 一个典型的物理隔离方案(处于完全隔离状态)
互联网
外部服务器
网络安全概述(ppt105页)
16
网络安全概述(ppt105页)
VPN定义
• 两个基本的专网形式
Modem 远程独立客户机
电话网
wk.baidu.com
远程访问服务器
Modem
网络安全概述(ppt105页)
17
网络安全概述(ppt105页)
适配器 分支机构服务器
数据网
专用通道
SDH、DDN、 ADSL、
ISDN、……
适配器
– 网络地址转就是在防火墙上装一个合法IP地址集,然后 • 当内部某一用户要访问Internet时,防火墙动态地从 地址集中选一个未分配的地址分配给该用户; • 同时,对于内部的某些服务器如Web服务器,网络 地址转换器允许为其分配一个固定的合法地址。
– 地址翻译主要用在两个方面: • 网络管理员希望隐藏内部网络的IP地址。这样互联 网上的主机无法判断内部网络的情况。 • 内部网络的IP地址是无效的IP地址。 这种情况主要 是因为现在的IP地址不够用,要申请到足够多的合 法IP地址很难办到,因此需要翻译IP地址。
6
源IP
10.0. 0.108
目的IP
202.112. 108.50
源IP
202.112. 108.50
目的IP
10.0. 0.108
源IP
202.112. 108.3
目的IP
202.112. 108.50
防火墙网关
源IP
目的IP
202.112. 202.112. 108.50 108.3
7
• 应用层代理
– 周边网络:一个防护层,在其上可放置一些信息服 务器,它们是牺牲主机,可能会受到攻击,因此又 被称为非军事区(DMZ)。周边网络的作用:即使 堡垒主机被入侵者控制,它仍可消除对内部网的侦 听。例: netxray等的工作原理。
11
网络安全概述(ppt105页)
Internet
外部路由器
周边网络
堡垒主机 内部路由器
总部远程访问服务器
网络安全概述(ppt105页)
3
• 防火墙缺陷
– 使用不便,认为防火墙给人虚假的安全感 – 对用户不完全透明,可能带来传输延迟、瓶颈及单
点失效 – 不能替代墙内的安全措施
• 不能防范恶意的知情者 • 不能防范不通过它的连接 • 不能防范全新的威胁 • 不能有效地防范数据驱动式的攻击 • 当使用端-端加密时,其作用会受到很大的限制
第7讲 保密通信(一)
IPSec FW
Page 1
1 防火墙概述
• 基本概念 • 关键技术 • 体系结构 • 网络隔离
2
基本概念
• 防火墙概念 – William Cheswick和Steve Beilovin(1994): 防火墙是放置在两个网络之间的一组组件,这组组 件共同具有下列性质: • 只允许本地安全策略授权的通信信息通过 • 双向通信信息必须通过防火墙 • 防火墙本身不会影响信息的流通 – 防火墙是位于两个信任程度不同的网络之间(如企 业内部网络和Internet之间)的软件或硬件设备的 组合,它对两个网络之间的通信进行控制,通过强 制实施统一的安全策略,防止对重要信息资源的非 法存取和访问以达到保护系统安全的目的。 – 传统防火墙概念特指网络层实现
4
关键技术
• 数据包过滤
– 依据事先设定的过滤规则,对所接收的每个数据包做允许拒 绝的决定。
• 数据包过滤优点:
– 速度快,性能高
应用层
应用层
– 对用户透明
表示层
• 数据包过滤缺点:
会话层
– –
维安护全比性较低困(难IP(欺需骗要等对)TCP/I传P输了层解)
– 不提供有用的日志,或根本就网不络层提供
网络层
表示层 会话层 传输层 网络层
– –
不不防能范根数据据状驱态动信型 息攻 进击 行控制数据链路层
– 不能处理网络层以上的信息 物理层
数据链路层 物理层
– 无法对网络上流动的信息提供全面的控互制连的物理介质
数据链路层
物理 层
5
• NAT (Network Address Translation)
• 堡垒主机配置在内部网络上,是因外部特网网络主机连接到内部
网络主机的桥梁,它需要拥有高等级的安全。
防火墙
堡垒主机
10
• 屏蔽子网体系
– 组成:屏蔽子网体系结构在本质上与屏蔽主机体系 结构一样,但添加了额外的一层保护体系——周边 网络。堡垒主机位于周边网络上,周边网络和内部 网络被内部路由器分开。