系统与网络安全技术培训课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
▪ 堡垒主机是因特网上的主机能连接到内部网络 上的系统的桥梁。任何外部的系统试图访问内 部的系统或服务将必须连接到这台堡垒主机上 。
1.3.3 被屏蔽子网体系结构
▪ 被屏蔽子网体系结构的最简单的形式为:两个 屏蔽路由器,每一个都连接到周边网。一个位 于周边网与内部网络之间,另一个位于周边网 与外部网络(通常为Internet)之间。这样就在 内部网络与外部网络之间形成了一个“隔离带” 。
1.1 防火墙概述
▪ 防火墙概念
▪ William Cheswick和Steve Beilovin(1994):防火墙是放置在两 个网络之间的一组组件,这组组件共同具有下列性质:
• 只允许本地安全策略授权的通信信息通过 • 双向通信信息必须通过防火墙 • 防火墙本身不会影响信息的流通
▪ 防火墙是位于两个信任程度不同的网络之间(如企业内部网络和 Internet之间)的软件或硬件设备的组合,它对两个网络之间的通信 进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非 法存取和访问以达到保护系统安全的目的。
关键技术
▪ NAT (Network Address Translation)
▪ 网络地址转就是在防火墙上装一个合法IP地址集,然后
• 当内部某一用户要访问Internet时,防火墙动态地从地址集中选一个未分 配的地址分配给该用户;
• 同时,对于内部的某些服务器如Web服务器,网络地址转换器允许为其分 配一个固定的合法地址。
系统与网络安全技术培训课 件
本讲提纲
▪ 网络防护技术
▪ 防火墙 ▪ VPN ▪ 入侵检测/入侵防御 ▪ 安全网关
▪ 终端防护技术
▪ 云安全技术 ▪ 桌面安全管理技术
一、 网络防护技术
▪ 防火墙 ▪ VPN ▪ 入侵检测/入侵防御 ▪ 安全网关
1防火墙技术
▪ 1.1防火墙概述 ▪ 1.2防火墙的分类 ▪ 1.3防火墙的体系结构 ▪ 1.4防火墙的局限性
1.4 防火墙的局限性
防火墙不能防范不经防火墙的攻击 防火墙不能防止感染了病毒的软件传播
防火墙的局限性 防火墙不能防范内部攻击
端到端加密可以绕开防火墙 防火墙不能提供细粒度的访问控制
2 VPN
2.1 概述 2.2 VPN的分类 2.3 IPSec协议 2.4 SSL协议
2.1 VPN概述
▪ VPN是虚拟专用网( Virtual Private Network )的 缩写。是指不同地点的网络通过公用网络连接 成逻辑上的虚拟子网。
1.2.4 电路级网关
▪ 电路级网关工作在会话层, ▪ 在两个主机首次建立TCP连接时建立电子屏障
。监视两主机建立连接时的握手信息是否合乎 逻辑,以后就是透明传输。
1.3 防火墙的体系结构
▪ 双重宿主主机体系结构 ▪ 被屏蔽主机体系结构 ▪ 被屏蔽子网体系结构
1.3.1 双重宿主主机体系结构
▪ 双重宿主主机至少有两个网络接口,外部网络 能够与双重宿主主机通信,内部网络也能够与 双重宿主主机通信,但是内部网络和外部网络 之间的通信必须经过双重宿主主机的过滤和控 制。
源IP
202.112. 108.50
目的IP
10.0. 0.108
源IP
202.112. 108.3
目的IP
202.112.1 08.50
防火墙网关
源IP
目的IP
202.112. 108.50
202.112. 108.3
1.3.2 被屏蔽主机体系结构
▪ 被屏蔽主机体系结构使用一个单独的路由器提 供来自仅仅与内部的网络相连的主机的服务。
▪ 安全性低(IP欺骗等) 表示层
应用层 表示层
▪ 不提供有用的日志,或根本就会不话提层供 ▪ 不防范数据驱动型攻击 ▪ 不能根据状态信息进行控制 传输层
会话层 传输层
▪ ▪
不无能法处对理网网络络上层流以动上的的信信息息提供网全络面层的控制 网络层
数据链路层 数据链路层
网络层 数据链路层
物理层
物理层
1.2.3 状态检测防火墙
▪ 状态检测防火墙工作在4、5层之上。 ▪ 状态检测防火墙能够实现连接的跟踪功能Biblioteka Baidu比
如对于一些复杂协议,除了使用一个公开的端 口进性通信外,在通信过程中还会动态建立自 连接进行数据传输。状态检测防火墙能够分析 主动连接中的内容信息,识别出缩写上的自连 接的端口而在防火墙上将其动态打开
▪ VPN具有以下优点:
▪ 降低成本 ▪ 易于扩展 ▪ 灵活性
2.1 VPN概述
机密 性
完整 性
访问 控制
VPN的安全需求
密钥 管理
认证
2.2 VPN的分类
▪ 按用途分类:
▪ 远程访问VPN ▪ 内联网VPN ▪ 外联网VPN
▪ 地址翻译主要用在两个方面:
• 网络管理员希望隐藏内部网络的IP地址。这样互联网上的主机无法判断内 部网络的情况。
• 内部网络的IP地址是无效的IP地址。 这种情况主要是因为现在的IP地址 不够用,要申请到足够多的合法IP地址很难办到,因此需要翻译IP地址。
源IP
10.0. 0.108
目的IP
202.112. 108.50
1.1 防火墙概述——防火墙的功能
集中 管理
流量 控制
访问 控制
日志
内容 控制
1.2 防火墙的分类
▪ 包过滤防火墙 ▪ 应用网关 ▪ 状态检测防火墙 ▪ 电路级网关
1.2.1 包过滤防火墙
▪ 包过滤防火墙是在网络层中根据数据包中包头 信息有选择地实施允许通过或阻断
▪ 即基于防火墙内事先设定的过滤规则,检查数 据包的头部,根据以下因素确定是否允许数据 包通过:
物理 层
互连的物理介质
1.2.2 应用级网关
▪ 建立在网络应用层,针对特别的应用协议进行 数据过滤,并且能够对数据包进行分析。
关键技术
▪ 应用层代理
▪ 网关理解应用协议,可以实施更细粒度的访问控 制
▪ 对每一类应用,都需要一个专门的代理 ▪ 灵活性不够
客户
发送请求 转发响应
转发请求
网关
请求响应
服务器
▪ 源IP地址 ▪ 目的IP地址 ▪ 源端口 ▪ 目的端口 ▪ 协议类型 ▪ ACK字段 ▪ 在IP/TCP层实现
关键技术
▪ 数据包过滤
▪ 依据事先设定的过滤规则,对所接收的每个数据包做允许拒绝的决 定。
▪ 数据包过滤优点:
▪ 速度快,性能高
▪ 对用户透明
▪ 数据包过滤缺点:
应用层
▪ 维护比较困难(需要对TCP/IP了解)
1.3.3 被屏蔽子网体系结构
▪ 被屏蔽子网体系结构的最简单的形式为:两个 屏蔽路由器,每一个都连接到周边网。一个位 于周边网与内部网络之间,另一个位于周边网 与外部网络(通常为Internet)之间。这样就在 内部网络与外部网络之间形成了一个“隔离带” 。
1.1 防火墙概述
▪ 防火墙概念
▪ William Cheswick和Steve Beilovin(1994):防火墙是放置在两 个网络之间的一组组件,这组组件共同具有下列性质:
• 只允许本地安全策略授权的通信信息通过 • 双向通信信息必须通过防火墙 • 防火墙本身不会影响信息的流通
▪ 防火墙是位于两个信任程度不同的网络之间(如企业内部网络和 Internet之间)的软件或硬件设备的组合,它对两个网络之间的通信 进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非 法存取和访问以达到保护系统安全的目的。
关键技术
▪ NAT (Network Address Translation)
▪ 网络地址转就是在防火墙上装一个合法IP地址集,然后
• 当内部某一用户要访问Internet时,防火墙动态地从地址集中选一个未分 配的地址分配给该用户;
• 同时,对于内部的某些服务器如Web服务器,网络地址转换器允许为其分 配一个固定的合法地址。
系统与网络安全技术培训课 件
本讲提纲
▪ 网络防护技术
▪ 防火墙 ▪ VPN ▪ 入侵检测/入侵防御 ▪ 安全网关
▪ 终端防护技术
▪ 云安全技术 ▪ 桌面安全管理技术
一、 网络防护技术
▪ 防火墙 ▪ VPN ▪ 入侵检测/入侵防御 ▪ 安全网关
1防火墙技术
▪ 1.1防火墙概述 ▪ 1.2防火墙的分类 ▪ 1.3防火墙的体系结构 ▪ 1.4防火墙的局限性
1.4 防火墙的局限性
防火墙不能防范不经防火墙的攻击 防火墙不能防止感染了病毒的软件传播
防火墙的局限性 防火墙不能防范内部攻击
端到端加密可以绕开防火墙 防火墙不能提供细粒度的访问控制
2 VPN
2.1 概述 2.2 VPN的分类 2.3 IPSec协议 2.4 SSL协议
2.1 VPN概述
▪ VPN是虚拟专用网( Virtual Private Network )的 缩写。是指不同地点的网络通过公用网络连接 成逻辑上的虚拟子网。
1.2.4 电路级网关
▪ 电路级网关工作在会话层, ▪ 在两个主机首次建立TCP连接时建立电子屏障
。监视两主机建立连接时的握手信息是否合乎 逻辑,以后就是透明传输。
1.3 防火墙的体系结构
▪ 双重宿主主机体系结构 ▪ 被屏蔽主机体系结构 ▪ 被屏蔽子网体系结构
1.3.1 双重宿主主机体系结构
▪ 双重宿主主机至少有两个网络接口,外部网络 能够与双重宿主主机通信,内部网络也能够与 双重宿主主机通信,但是内部网络和外部网络 之间的通信必须经过双重宿主主机的过滤和控 制。
源IP
202.112. 108.50
目的IP
10.0. 0.108
源IP
202.112. 108.3
目的IP
202.112.1 08.50
防火墙网关
源IP
目的IP
202.112. 108.50
202.112. 108.3
1.3.2 被屏蔽主机体系结构
▪ 被屏蔽主机体系结构使用一个单独的路由器提 供来自仅仅与内部的网络相连的主机的服务。
▪ 安全性低(IP欺骗等) 表示层
应用层 表示层
▪ 不提供有用的日志,或根本就会不话提层供 ▪ 不防范数据驱动型攻击 ▪ 不能根据状态信息进行控制 传输层
会话层 传输层
▪ ▪
不无能法处对理网网络络上层流以动上的的信信息息提供网全络面层的控制 网络层
数据链路层 数据链路层
网络层 数据链路层
物理层
物理层
1.2.3 状态检测防火墙
▪ 状态检测防火墙工作在4、5层之上。 ▪ 状态检测防火墙能够实现连接的跟踪功能Biblioteka Baidu比
如对于一些复杂协议,除了使用一个公开的端 口进性通信外,在通信过程中还会动态建立自 连接进行数据传输。状态检测防火墙能够分析 主动连接中的内容信息,识别出缩写上的自连 接的端口而在防火墙上将其动态打开
▪ VPN具有以下优点:
▪ 降低成本 ▪ 易于扩展 ▪ 灵活性
2.1 VPN概述
机密 性
完整 性
访问 控制
VPN的安全需求
密钥 管理
认证
2.2 VPN的分类
▪ 按用途分类:
▪ 远程访问VPN ▪ 内联网VPN ▪ 外联网VPN
▪ 地址翻译主要用在两个方面:
• 网络管理员希望隐藏内部网络的IP地址。这样互联网上的主机无法判断内 部网络的情况。
• 内部网络的IP地址是无效的IP地址。 这种情况主要是因为现在的IP地址 不够用,要申请到足够多的合法IP地址很难办到,因此需要翻译IP地址。
源IP
10.0. 0.108
目的IP
202.112. 108.50
1.1 防火墙概述——防火墙的功能
集中 管理
流量 控制
访问 控制
日志
内容 控制
1.2 防火墙的分类
▪ 包过滤防火墙 ▪ 应用网关 ▪ 状态检测防火墙 ▪ 电路级网关
1.2.1 包过滤防火墙
▪ 包过滤防火墙是在网络层中根据数据包中包头 信息有选择地实施允许通过或阻断
▪ 即基于防火墙内事先设定的过滤规则,检查数 据包的头部,根据以下因素确定是否允许数据 包通过:
物理 层
互连的物理介质
1.2.2 应用级网关
▪ 建立在网络应用层,针对特别的应用协议进行 数据过滤,并且能够对数据包进行分析。
关键技术
▪ 应用层代理
▪ 网关理解应用协议,可以实施更细粒度的访问控 制
▪ 对每一类应用,都需要一个专门的代理 ▪ 灵活性不够
客户
发送请求 转发响应
转发请求
网关
请求响应
服务器
▪ 源IP地址 ▪ 目的IP地址 ▪ 源端口 ▪ 目的端口 ▪ 协议类型 ▪ ACK字段 ▪ 在IP/TCP层实现
关键技术
▪ 数据包过滤
▪ 依据事先设定的过滤规则,对所接收的每个数据包做允许拒绝的决 定。
▪ 数据包过滤优点:
▪ 速度快,性能高
▪ 对用户透明
▪ 数据包过滤缺点:
应用层
▪ 维护比较困难(需要对TCP/IP了解)