通信网络安全
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
12
5.3.1 防火墙系统概述 1. 防火墙系统的体系结构 (1)简单包过滤防火墙 简单包过滤技术对网络层和传输层协议进行保护,对进 出网络的单个包进行检查,具有性能较好和对应用透明的 优点,目前绝大多数路由器都提供这种功能。 (2)应用代理防火墙 应用代理防火墙也可称之为应用网关防火墙。应用代理 的原理是彻底隔断通信两端的直接通信,所有通信都必须 经应用层代理层转发,访问者任何时候都不能与服务器建 立直接的TCP连接,应用层的协议会话过程必须符合代理 的安全策略要求。 (3)状态监测防火墙 状态监测防火墙已经成为防火墙的标准。
11
5.3 防火墙技术 防火墙是指设置在不同网络或网络安全域之间执行访问 控制策略的一个或一组控制系统。防火墙是不同网络或网 络安全域之间信息的唯一出入口,能根据企业的安全政策 控制出入网络的信息流,且本身具有较强的抗攻击能力。 它是提供信息安全服务,实现网络和信息安全的基础设施。 原则上,防火墙是由两种机制构成:一种是查阻信息通行, 另一种是允许信息通过。防火墙有效地监控了内部网和 Internet之间的任何活动,保证了内部网络的安全。
14ຫໍສະໝຸດ Baidu
(4)电路级网关 电路级网关防火墙属于第三代防火墙技术,它通过监控受信 任的客户或服务器与不受信任的主机间的TCP握手信息来决 定该会话是否合法。 (5)非军事化区(DMZ) DMZ位于企业内部网络和外部网络之间的小网络区域,通 常是一个过滤的子网。 (6)状态监视器(StatefulInspection): 状态监视器是一种最新的防火墙技术,它采用了一个在网关 上执行网络安全策略的软件引擎,称之为检测模块。
8
5.2.3 安装Radius认证访问服务器 远程认证拨号用户服务(Remote Authentication Dial In User Service,RADIUS)是在网络访问服务器(Network Access Server,NAS)和集中存放认证信息的Radius服务 器之间传输认证、授权和配置信息的协议。 1. RADIUS的工作原理 RADIUS以Client/Server方式工作,实现了对远程电话拨 号用户的身份认证、授权和计费功能。 RADIUS的工作流程是:(1)用户拨入NAS; (2)NAS 向RADIUS服务器发送一系列加密的“属性/值”; (3) RADIUS服务器检查用户是否存在、属性/值是否匹配; (4)RADIUS服务器发送回“接受“或“拒绝“给NAS。
7
2. 认证 传统的用户认证系统有三个功能,即对用户进行认证 (Authentication)、授权(Authorization)和计费数据采集 (Accounting)。 (1)认证(Authentication) 认证就是指用户必须提供他是谁的证明。 (2)授权(Authorization) 授权主要是用户管理,即针对普通操作员。 (3)计费数据采集(Accounting) ① 计费管理 ② 计费策略定制 ③ 系统管理功能
9
用户认证、管理和计费系统的结构如图5.1所示:
10
5.2.4 网络防病毒技术 网络病毒是在网络上传播的病毒。网络病毒的来源主要 有两种: 一种威胁是来自文件下载。 另一种主要威胁来自于电子邮件。 1. 病毒防治软件安装位置 网络病毒防治必须考虑安装病毒防治软件。 2. 防病毒软件的部署和管理 部署一种防病毒软件的实际操作一般包括以下步骤: (1)调查和制定计划 (2)测试 (3)系统安装 (4)维护 3. 常用防病毒软件
网络系统集成与 工程设计
1
第 5 章 网络安全技术
2
5.1 网络系统安全技术概述 5.1.1 网络系统面临的安全问题 从系统和应用出发,网络的安全因素可以划分为五个安全层,
即物理层、系统层、应用层、网络层和安全管理层。应 该在每个层面上进行细致的分析,根据风险分析的结果 设计出符合具体实际的、可行的网络安全整体解决方案。 1.物理层的安全风险 2. 网络层安全风险 3. 系统层的安全风险
6
(3)属性安全控制 属性安全控制可以将给定的属性与网络服务器的文件、 目录和网络设备联系起来。 (4)网络服务器安全控制 网络允许在服务器控制台上执行一系列操作。 5.2.2 加密和认证 1. 加密 网络系统自身的安全涉及很多技术,这些技术在网络攻 守较量中又不断发展、完善。网络的一种安全问题是数 据的安全,数据安全包括传输保密和存储保密,保密最 核心的是密码算法,密码算法包括加密算法、密钥管理 算法及验证算法。
13
2. 防火墙系统的关键技术 (1)分组过滤技术 分组过滤又称“包过滤”,它是防火墙最传统、最简单和 最基本的技术。 (2)地址翻译技术 地址翻译是指将一个IP地址映射为另一IP地址。它既可解 决内部网络IP地址不足的问题,也能使内部网络中的主机 IP地址对外部网络无效,隐藏内部网络主机。 (3)应用级网关(代理服务器) 与分组过滤技术不同,代理服务器(Proxy)技术不是在网络 层拦截数据分组,而是通过为各种应用服务分别设立代管 的方法在应用层对网络信息攻击进行防范。
3
4. 应用层安全风险 (1)身份认证漏洞 (2)DNS服务威胁 (3)WWW服务漏洞 (4)电子邮件系统漏洞 5. 管理层安全风险 5.1.2 网络安全产品 信息安全和网络安全产品有以下几类: (1)防火墙。 (2)安全路由器。 (3)虚拟专用网(VPN)。 (4)安全服务器。
4
(5)认证中心和公钥机制。 (6)用户认证产品。 (7)安全管理中心。 (8)数据恢复与容灾系统。 (9)入侵检测系统(IDS)。 (10)安全数据库。 (11)安全操作系统。 5.2 信息防护技术 5.2.1 访问控制策略 1. 入网访问控制 入网访问控制为网络访问提供了第一层访问控制。 用户的入网访问控制可分为三个步骤:用户名的识别与验 证、用户口令的识别与验证、用户账号的默认限制检查。
5
2. 文件和网络的权限控制 网络的权限控制是针对网络非法操作所提出的一种安全 保护措施。 (1)特殊用户(即系统管理员); (2)一般用户,系统管理员根据他们的实际需要为他们 分配操作权限; (3)审计用户,负责网络的安全控制与资源使用情况的 审计。 文件系统的安全主要是通过设置文件的权限来实现的。 (1)文件许可权 文件属性决定了文件的被访问权限,即什么人能存取或 执行该文件。 (2)目录级安全控制 网络应允许控制用户对目录、文件、设备的访问。
5.3.1 防火墙系统概述 1. 防火墙系统的体系结构 (1)简单包过滤防火墙 简单包过滤技术对网络层和传输层协议进行保护,对进 出网络的单个包进行检查,具有性能较好和对应用透明的 优点,目前绝大多数路由器都提供这种功能。 (2)应用代理防火墙 应用代理防火墙也可称之为应用网关防火墙。应用代理 的原理是彻底隔断通信两端的直接通信,所有通信都必须 经应用层代理层转发,访问者任何时候都不能与服务器建 立直接的TCP连接,应用层的协议会话过程必须符合代理 的安全策略要求。 (3)状态监测防火墙 状态监测防火墙已经成为防火墙的标准。
11
5.3 防火墙技术 防火墙是指设置在不同网络或网络安全域之间执行访问 控制策略的一个或一组控制系统。防火墙是不同网络或网 络安全域之间信息的唯一出入口,能根据企业的安全政策 控制出入网络的信息流,且本身具有较强的抗攻击能力。 它是提供信息安全服务,实现网络和信息安全的基础设施。 原则上,防火墙是由两种机制构成:一种是查阻信息通行, 另一种是允许信息通过。防火墙有效地监控了内部网和 Internet之间的任何活动,保证了内部网络的安全。
14ຫໍສະໝຸດ Baidu
(4)电路级网关 电路级网关防火墙属于第三代防火墙技术,它通过监控受信 任的客户或服务器与不受信任的主机间的TCP握手信息来决 定该会话是否合法。 (5)非军事化区(DMZ) DMZ位于企业内部网络和外部网络之间的小网络区域,通 常是一个过滤的子网。 (6)状态监视器(StatefulInspection): 状态监视器是一种最新的防火墙技术,它采用了一个在网关 上执行网络安全策略的软件引擎,称之为检测模块。
8
5.2.3 安装Radius认证访问服务器 远程认证拨号用户服务(Remote Authentication Dial In User Service,RADIUS)是在网络访问服务器(Network Access Server,NAS)和集中存放认证信息的Radius服务 器之间传输认证、授权和配置信息的协议。 1. RADIUS的工作原理 RADIUS以Client/Server方式工作,实现了对远程电话拨 号用户的身份认证、授权和计费功能。 RADIUS的工作流程是:(1)用户拨入NAS; (2)NAS 向RADIUS服务器发送一系列加密的“属性/值”; (3) RADIUS服务器检查用户是否存在、属性/值是否匹配; (4)RADIUS服务器发送回“接受“或“拒绝“给NAS。
7
2. 认证 传统的用户认证系统有三个功能,即对用户进行认证 (Authentication)、授权(Authorization)和计费数据采集 (Accounting)。 (1)认证(Authentication) 认证就是指用户必须提供他是谁的证明。 (2)授权(Authorization) 授权主要是用户管理,即针对普通操作员。 (3)计费数据采集(Accounting) ① 计费管理 ② 计费策略定制 ③ 系统管理功能
9
用户认证、管理和计费系统的结构如图5.1所示:
10
5.2.4 网络防病毒技术 网络病毒是在网络上传播的病毒。网络病毒的来源主要 有两种: 一种威胁是来自文件下载。 另一种主要威胁来自于电子邮件。 1. 病毒防治软件安装位置 网络病毒防治必须考虑安装病毒防治软件。 2. 防病毒软件的部署和管理 部署一种防病毒软件的实际操作一般包括以下步骤: (1)调查和制定计划 (2)测试 (3)系统安装 (4)维护 3. 常用防病毒软件
网络系统集成与 工程设计
1
第 5 章 网络安全技术
2
5.1 网络系统安全技术概述 5.1.1 网络系统面临的安全问题 从系统和应用出发,网络的安全因素可以划分为五个安全层,
即物理层、系统层、应用层、网络层和安全管理层。应 该在每个层面上进行细致的分析,根据风险分析的结果 设计出符合具体实际的、可行的网络安全整体解决方案。 1.物理层的安全风险 2. 网络层安全风险 3. 系统层的安全风险
6
(3)属性安全控制 属性安全控制可以将给定的属性与网络服务器的文件、 目录和网络设备联系起来。 (4)网络服务器安全控制 网络允许在服务器控制台上执行一系列操作。 5.2.2 加密和认证 1. 加密 网络系统自身的安全涉及很多技术,这些技术在网络攻 守较量中又不断发展、完善。网络的一种安全问题是数 据的安全,数据安全包括传输保密和存储保密,保密最 核心的是密码算法,密码算法包括加密算法、密钥管理 算法及验证算法。
13
2. 防火墙系统的关键技术 (1)分组过滤技术 分组过滤又称“包过滤”,它是防火墙最传统、最简单和 最基本的技术。 (2)地址翻译技术 地址翻译是指将一个IP地址映射为另一IP地址。它既可解 决内部网络IP地址不足的问题,也能使内部网络中的主机 IP地址对外部网络无效,隐藏内部网络主机。 (3)应用级网关(代理服务器) 与分组过滤技术不同,代理服务器(Proxy)技术不是在网络 层拦截数据分组,而是通过为各种应用服务分别设立代管 的方法在应用层对网络信息攻击进行防范。
3
4. 应用层安全风险 (1)身份认证漏洞 (2)DNS服务威胁 (3)WWW服务漏洞 (4)电子邮件系统漏洞 5. 管理层安全风险 5.1.2 网络安全产品 信息安全和网络安全产品有以下几类: (1)防火墙。 (2)安全路由器。 (3)虚拟专用网(VPN)。 (4)安全服务器。
4
(5)认证中心和公钥机制。 (6)用户认证产品。 (7)安全管理中心。 (8)数据恢复与容灾系统。 (9)入侵检测系统(IDS)。 (10)安全数据库。 (11)安全操作系统。 5.2 信息防护技术 5.2.1 访问控制策略 1. 入网访问控制 入网访问控制为网络访问提供了第一层访问控制。 用户的入网访问控制可分为三个步骤:用户名的识别与验 证、用户口令的识别与验证、用户账号的默认限制检查。
5
2. 文件和网络的权限控制 网络的权限控制是针对网络非法操作所提出的一种安全 保护措施。 (1)特殊用户(即系统管理员); (2)一般用户,系统管理员根据他们的实际需要为他们 分配操作权限; (3)审计用户,负责网络的安全控制与资源使用情况的 审计。 文件系统的安全主要是通过设置文件的权限来实现的。 (1)文件许可权 文件属性决定了文件的被访问权限,即什么人能存取或 执行该文件。 (2)目录级安全控制 网络应允许控制用户对目录、文件、设备的访问。