最新《网络安全技术与实践》第二篇--边界安全(1)

知识点 1 防火墙的类型
1.按发展阶段划分
第0代防火墙
交换机访问控制列表－ACL
源地址
目的地址
策略
10.0.0.1/16 10.2.0.0/16 ALLOW
10.1.0.1/16 10.2.0.0/16 DENY 源地址 目的地址 服务端口 策略
第1代防火墙
简单包过滤防火墙
第2代防火墙
状态包过滤防火墙
《网络安全技术与实践》第二 篇--边界安全(1)
第二篇 网络边界安全
不同安全级别的网络存在着互联互通问题。政府要开 放办公，其内网就需要与外网相联；商业银行要支持网 上交易，其数据网也必须与互联网相连；企业要实现信 息资源的共享和管理，其办公网与生产网、办公网与互 联网的之间也存在连接问题；民航、铁路与交通部门要 实现网上定票与实时信息查询也存在信息网与互联网的 连接问题。不同安全级别的网络之间的互连就形成了网 络边界，网络边界是指内部安全网络与外部非安全网络 的分界线。由于网络中的泄密、攻击、病毒等侵害行为 主要是透过网络边界实现，网络边界实际上就是网络安 全的第一道防线
10.0.0.1 10.2.0.0
10.1.0.1 10.2.0.0 源地址 目的地址 服务端
口 10.0.0.1 10.2.0.0 80
10.1.0.1 10.2.0.0 21
80 ALLOW
21
DENY
策略 会话状态
ALLOW DENY
合法 非法
第2.5代防火墙
1. 重新组装数据包
防
火
1 /downloads/Gettysburg
墙
2 Five score and BAD CONTENT their foremathers brou
缓
3
ght forth upon this continent a new nation,
存 区
4
n liberty, and dedicated to the proposition that all
某公司的网络拓扑图
项目一 防火墙
【需求分析】
要解决网络安全问题首先要明确需求。项目 中提到网络WEB服务器受到攻击，常常有不明的 网络链接的侵扰，可以考虑选择对于应用层数据 报文有控制能力的安全设备进行控制，对于员工 下载一些大容量的文件，可以通过限制用户从 Internet上的下载带宽，保证带宽资源的合理利 用。要防止外网的攻击，选择的安全设备要具备 抗攻击的功能。
项目一 防火墙
【实施目标】
1． 知识目标
了解不同发展水平的防火墙
了解不同类型的防火墙
了解不同防火墙产品的特色
熟悉防火墙产品线
熟悉防火墙的部署
熟悉防火墙的功能指标
2． 技能目标
会选用典型的防火墙
会典型防火墙典部署
会典型防火墙的配置
项目一 防火墙
【项目背景】
某企业有一个规模不大的计算机网络，其网 络拓扑图如下图3.1所示。因没有采取任何安全 防护措施，网络频繁受到攻击，员工在上班时经 常访问娱乐网站，下载一些大容量的文件，造成 网络拥塞。DMZ区域部署的WEB服务器常常有大量 的不明链接侵扰，严重影响其服务性能。为提高 网络的安全性能，公司要求采取网络安全措施， 拟投资5万元，解决上述安全问题。
木马入侵
二、边界安全概念
网络可看作一个独立的对象，它通过自身的属性，维持内部业 务的运转。网络的安全威胁来自网络内部与网络外部两个方面。内 网的安全问题是指内部网络的合法用户在使用网络资源的时候，发 生不合规范的操作与恶意的破坏，当然，内网的设备与系统自身的 健康，软、硬件的稳定性，网络配置的合理性，流量是否均衡也会 影响内网的安全。外网的安全问题是指外网的木马、病毒与网络攻 击行为对于内网的威胁与破坏。由于外网的威胁主要通过网络边界 完成，因此对于外网安全防护主要通过网络边界的安全手段来实现 。边界安全问题是指内网与外网互通时由外网引起的安全问题，是 指外网对于内网的入侵、病毒传播与攻击。对于网络边界的攻击， 安全防护是唯一的手段。对于外网的入侵，关键是对入侵的识别和 阻断，而如何区分正常非正常的业务申请则是边界安全防护的重点 与难点。
项目一 防火墙
【预备知识】
防火墙原是指建筑物之间用来防止火灾蔓延的防 火隔离墙，计算机网络中提到的防火墙是指隔离本地 网络与外界网络之间的一道防御系统，是指具有此类 功能的软件或硬件设备的总称。防火墙是通过控制和 监测网络之间的信息交换和访问行为来实现对网络安 全的有效管理的软件或设备。互联网上的防火墙是一 种非常有效的网络安全模型，通过它既可隔离风险区 域与安全区域，同时也不妨碍本地网与外部网之间的 信息访问。
一、边界安全问题
信息泄密
不同的网络之间实现资源共享过程中，如果没有授权的人也获得了他不该得 到的资源，就是信息泄露。
网络攻击
入侵者通过互联网与内网的边界进入内部网络，篡改存储的数据，实施破坏 ，或者通过某种技术手段降低网络性能，造成网络的瘫痪。
网络病毒
网络的业务互联，难免感染病毒，一旦在网络中发作，网络的业务将受到巨 大的冲击。
三、边界安全技术
边界安全实际上是指边界的接入安全，边界安全技 术是指面向互联网的边界安全体系，包括：边界路由 器、防火墙、入侵检测系统、入侵防御系统、UTM、 隔离网闸与VPN等技术。
本篇将透过五款典型边界安全产品的项目应用，介 绍相关网络边界安全产品的基本知识包括：产品应用 的技术、种类与功能，以及产品的部署与配置技术等 。
特点 提高内容安全性
性能低
第3代防火墙 基于内容增量检测技术的防火墙
FTP过滤
网络蠕虫 过滤
HTTP过滤 邮件过滤
增量状态表
会话ID 检测状态 会话策略
安全引擎
1 http://www.×××/index.html/
பைடு நூலகம்
禁止浏览内容
Four score and seven years ago our
BAD CONTENT
forefathers brought forth upon this
BAD CONTENT
BAD CONTENT a new
NASTY THINGS NASTIER THINGS
!!
liberty, and dedicated to the proposition that all…