資源描述:
《網(wǎng)絡(luò)安全概述00002)(00002).ppt》由會員上傳分享,免費在線閱讀�,更多相關(guān)內(nèi)容在PPT專區(qū)-天天文庫。
1�����、第7講保密通信(一)IPSecFWPage11防火墻概述基本概念關(guān)鍵技術(shù)體系結(jié)構(gòu)網(wǎng)絡(luò)隔離2基本概念防火墻概念WilliamCheswick和SteveBeilovin(1994):防火墻是放置在兩個網(wǎng)絡(luò)之間的一組組件����,這組組件共同具有下列性質(zhì):只允許本地安全策略授權(quán)的通信信息通過雙向通信信息必須通過防火墻防火墻本身不會影響信息的流通防火墻是位于兩個信任程度不同的網(wǎng)絡(luò)之間(如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間)的軟件或硬件設(shè)備的組合,它對兩個網(wǎng)絡(luò)之間的通信進行控制�,通過強制實施統(tǒng)一的安全策略,防止對重要信息資源的非法存取和訪問以達到保護系
2���、統(tǒng)安全的目的��。傳統(tǒng)防火墻概念特指網(wǎng)絡(luò)層實現(xiàn)3防火墻缺陷使用不便��,認為防火墻給人虛假的安全感對用戶不完全透明����,可能帶來傳輸延遲、瓶頸及單點失效不能替代墻內(nèi)的安全措施不能防范惡意的知情者不能防范不通過它的連接不能防范全新的威脅不能有效地防范數(shù)據(jù)驅(qū)動式的攻擊當使用端-端加密時��,其作用會受到很大的限制4關(guān)鍵技術(shù)數(shù)據(jù)包過濾依據(jù)事先設(shè)定的過濾規(guī)則�,對所接收的每個數(shù)據(jù)包做允許拒絕的決定。數(shù)據(jù)包過濾優(yōu)點:速度快���,性能高對用戶透明數(shù)據(jù)包過濾缺點:維護比較困難(需要對TCP/IP了解)安全性低(IP欺騙等)不提供有用的日志�,或根本就不提供不防范數(shù)據(jù)驅(qū)動型攻
3����、擊不能根據(jù)狀態(tài)信息進行控制不能處理網(wǎng)絡(luò)層以上的信息無法對網(wǎng)絡(luò)上流動的信息提供全面的控制互連的物理介質(zhì)應(yīng)用層表示層會話層傳輸層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層5NAT(NetworkAddressTranslation)網(wǎng)絡(luò)地址轉(zhuǎn)就是在防火墻上裝一個合法IP地址集,然后當內(nèi)部某一用戶要訪問Internet時��,防火墻動態(tài)地從地址集中選一個未分配的地址分配給該用戶���;同時,對于內(nèi)部的某些服務(wù)器如Web服務(wù)器��,網(wǎng)絡(luò)地址轉(zhuǎn)換器允許為其分配一個固定的合法地址��。地址翻譯主要用在兩個方面:網(wǎng)絡(luò)管理
4���、員希望隱藏內(nèi)部網(wǎng)絡(luò)的IP地址�。這樣互聯(lián)網(wǎng)上的主機無法判斷內(nèi)部網(wǎng)絡(luò)的情況。內(nèi)部網(wǎng)絡(luò)的IP地址是無效的IP地址����。這種情況主要是因為現(xiàn)在的IP地址不夠用,要申請到足夠多的合法IP地址很難辦到���,因此需要翻譯IP地址�。6源IP目的IP10.0.0.108202.112.108.50源IP目的IP202.112.108.3202.112.108.50源IP目的IP202.112.108.50202.112.108.3源IP目的IP202.112.108.5010.0.0.108防火墻網(wǎng)關(guān)7應(yīng)用層代理網(wǎng)關(guān)理解應(yīng)用協(xié)議��,可以實施更細粒度的訪問控制對每一
5����、類應(yīng)用,都需要一個專門的代理靈活性不夠客戶網(wǎng)關(guān)服務(wù)器發(fā)送請求轉(zhuǎn)發(fā)請求請求響應(yīng)轉(zhuǎn)發(fā)響應(yīng)8體系結(jié)構(gòu)雙宿主主機體系雙重宿主主機的特性:安全至關(guān)重要(唯一通道)����,其用戶口令控制安全是關(guān)鍵。必須支持很多用戶的訪問(中轉(zhuǎn)站)�,其性能非常重要。缺點:雙重宿主主機是隔開內(nèi)外網(wǎng)絡(luò)的唯一屏障��,一旦它被入侵���,內(nèi)部網(wǎng)絡(luò)便向入侵者敞開大門����。Internet防火墻雙重宿主主機內(nèi)部網(wǎng)絡(luò)……9屏蔽主機體系屏蔽主機體系結(jié)構(gòu)由防火墻和內(nèi)部網(wǎng)絡(luò)的堡壘主機承擔安全責任。一般這種防火墻較簡單���,可能就是簡單的路由器��。典型構(gòu)成:包過濾路由器+堡壘主機�����。包過濾路由器配置在內(nèi)部網(wǎng)和外部
6�、網(wǎng)之間�����,保證外部系統(tǒng)對內(nèi)部網(wǎng)絡(luò)的操作只能經(jīng)過堡壘主機���。堡壘主機配置在內(nèi)部網(wǎng)絡(luò)上,是外部網(wǎng)絡(luò)主機連接到內(nèi)部網(wǎng)絡(luò)主機的橋梁����,它需要擁有高等級的安全�����。因特網(wǎng)10屏蔽子網(wǎng)體系組成:屏蔽子網(wǎng)體系結(jié)構(gòu)在本質(zhì)上與屏蔽主機體系結(jié)構(gòu)一樣�,但添加了額外的一層保護體系——周邊網(wǎng)絡(luò)���。堡壘主機位于周邊網(wǎng)絡(luò)上��,周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)被內(nèi)部路由器分開��。周邊網(wǎng)絡(luò):一個防護層�����,在其上可放置一些信息服務(wù)器��,它們是犧牲主機���,可能會受到攻擊,因此又被稱為非軍事區(qū)(DMZ)�。周邊網(wǎng)絡(luò)的作用:即使堡壘主機被入侵者控制,它仍可消除對內(nèi)部網(wǎng)的偵聽�。例:netxray等的工作原理。11In
7�����、ternet周邊網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)……外部路由器堡壘主機內(nèi)部路由器12網(wǎng)絡(luò)隔離物理隔離的指導思想與防火墻絕然不同:防火墻的思路是在保障互聯(lián)互通的前提下,盡可能安全����,而物理隔離的思路是在保證必須安全的前提下,盡可能互聯(lián)互通�����。一個典型的物理隔離方案(處于完全隔離狀態(tài))13一個典型的物理隔離方案(隔離設(shè)備處于與外網(wǎng)相連狀態(tài))14一個典型的物理隔離方案(隔離設(shè)備處于與內(nèi)網(wǎng)相連狀態(tài))152VPN概述VPN定義VPN技術(shù)VPN分類IPSec體系16VPN定義兩個基本的專網(wǎng)形式17SDH�、DDN、ADSL����、ISDN、……18ISPModemsVPNGate
8���、wayVPNGateway總部網(wǎng)絡(luò)遠程局域網(wǎng)絡(luò)總部分支機構(gòu)單個用戶Internet19VPN的定義:是指依靠ISP或其他NSP在公用網(wǎng)絡(luò)基礎(chǔ)設(shè)施之上構(gòu)建的專用的數(shù)據(jù)通信網(wǎng)絡(luò)����,這里所指的公用網(wǎng)絡(luò)有多種��,包括I
