网络安全规划

《计算机网络技术基础》课件四川托普信息技术职业学院计算机科学与技术系2005年11月网络安全规划2013.6《计算机网络技术基础》课件四川托普信息技术职业学院计算机科学与技术系2005年11月主要内容什么是网络安全网络防火墙技术网络防病毒技术网络加密技术入侵检测系统企业防黑五大策略《计算机网络技术基础》课件四川托普信息技术职业学院计算机科学与技术系2005年11月私密性：当信息被信息来源人士和收受人获知时,就丧失了私密性。完整性：当信息被非预期方式更动时，就丧失了完整性。身份鉴别：确保使用者能够提出与宣称身份相符的证明。10.1什么是网络安全信息系统的安全原则：《计算机网络技术基础》课件四川托普信息技术职业学院计算机科学与技术系2005年11月授权：系统必须能够判定用户是否具备足够的权限，进行特定的活动，如开启档案、执行程序等等。因为系统授权给特定用户后，用户才具备权限运行于系统之上，因此用户事先必须经由系统“身份鉴别”，才能取得对应的权限。不可否认：用户在系统进行某项运作后，若事后能提出证明，而无法加以否认，便具备不可否认性。因为在系统运作时必须拥有权限，不可否认性通常架构在“授权”机制之上。《计算机网络技术基础》课件四川托普信息技术职业学院计算机科学与技术系2005年11月10.2网络防火墙技术10.2.1防火墙的基本原理1.防火墙技术包过滤包过滤技术是一种简单、有效的安全控制技术，它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。优点：对用户透明，传输性能高。《计算机网络技术基础》课件四川托普信息技术职业学院计算机科学与技术系2005年11月状态检测它是比包过滤更为有效的安全控制方法。对新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。《计算机网络技术基础》课件四川托普信息技术职业学院计算机科学与技术系2005年11月优点：由于不需要对每个数据包进行规则检查，而是一个连接的后续数据包（通常是大量的数据包）通过散列算法，直接进行状态检查，从而使得性能得到了较大提高；而且，由于状态表是动态的，因而可以有选择地、动态地开通1024号以上的端口，使得安全性得到进一步地提高。《计算机网络技术基础》课件四川托普信息技术职业学院计算机科学与技术系2005年11月2.防火墙的工作原理(1)包过滤防火墙包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容，如IP地址。工作原理：系统在网络层检查数据包，与应用层无关。这样系统就具有很好的传输性能，可扩展能力强。主要问题：防火墙不理解通信的内容，容易被黑客所攻破。《计算机网络技术基础》课件四川托普信息技术职业学院计算机科学与技术系2005年11月包过滤防火墙工作原理图《计算机网络技术基础》课件四川托普信息技术职业学院计算机科学与技术系2005年11月（2）应用网关防火墙应用网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。应用网关防火墙是通过打破客户机／服务器模式实现的。每个客户机／服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。《计算机网络技术基础》课件四川托普信息技术职业学院计算机科学与技术系2005年11月应用网关防火墙工作原理图《计算机网络技术基础》课件四川托普信息技术职业学院计算机科学与技术系2005年11月（3）状态检测防火墙状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为。《计算机网络技术基础》课件四川托普信息技术职业学院计算机科学与技术系2005年11月状态检测防火墙工作原理图《计算机网络技术基础》课件四川托普信息技术职业学院计算机科学与技术系2005年11月（4）复合型防火墙复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙，进一步基于ASIC架构，把防病毒、内容过滤整合到防火墙里，其中还包括VPN、IDSS功能，多单元融为一体，是一种新突破。在网络界面对应用层扫描，把防病毒、内容过滤与防火墙结合起来，这体现了网络与信息安全的新思路。它在网络边界实施OSI第七层的内容扫描，实现了实时在网络边缘部署病毒防护、内容过滤等应用层服务措施。《计算机网络技术基础》课件四川托普信息技术职业学院计算机科学与技术系2005年11月复合型防火墙工作原理图《计算机网络技术基础》课件四川托普信息技术职业学院计算机科学与技术系2005年11月3.四类防火墙的对比包过滤防火墙：包过滤防火墙不检查数据区，包过滤防火墙不建立连接状态表，前后报文无关，应用层控制很弱。应用网关防火墙：不检查IP、TCP报头，不建立连接状态表，网络层保护比较弱。状态检测防火墙：不检查数据区，建立连接状态表，前后报文相关，应用层控制很弱。复合型防火墙：可以检查整个数据包内容，根据需要建立连接状态表，网络层保护强，应用层控制细，会话控制较弱。《计算机网络技术基础》课件四川托普信息技术职业学院计算机科学与技术系2005年11月4.防火墙术语网关：在两个设备之间提供转发服务的系统。DMZ非军事化区：为了配置管理方便，内部网中需要向外提供服务的服务器往往放在一个单独的网段，这个网段便是非军事化区。吞吐量：吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。最大连接数：和吞吐量一样，数字越大越好。数据包转发率：是指在所有安全规则配置正确的情况下，防火墙对数据流量的处理速度。《计算机网络技术基础》课件四川托普信息技术职业学院计算机科学与技术系2005年11月网络地址转换：网络地址转换（NAT）是一种将一个IP地址域映射到另一个IP地址域技术，从而为终端主机提供透明路由。NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。堡垒主机：一种被强化的可以防御进攻的计算机，被暴露于因特网之上，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的。《计算机网络技术基础》课件四川托普信息技术职业学院计算机科学与技术系2005年11月10.2.2市场上常见的硬件防火墙1．NetScreen208FirewallNetScreen科技公司推出的NetScreen防火墙产品是一种新型的网络安全硬件产品。NetScreen采用内置的ASIC技术，其安全设备具有低延时、高效的IPSec加密和防火墙功能，可以无缝地部署到任何网络。《计算机网络技术基础》课件四川托普信息技术职业学院计算机科学与技术系2005年11月2．CiscoSecurePIX515-EFirewallCiscoSecurePIX防火墙是Cisco防火墙家族中的专用防火墙设施。CiscoSecurePIX515-E防火墙系通过端到端的安全服务的有机组合，提供了很高的安全性。适合那些仅需要与自己企业网进行双向通信的远程站点，或由企业网在自己的企业防火墙上提供所有的Web服务的情况。《计算机网络技术基础》课件四川托普信息技术职业学院计算机科学与技术系2005年11月3．天融信网络卫士NGFW4000-S防火墙北京天融信公司的网络卫士是我国第一套自主版权的防火墙系统,目前在我国电信、电子、教育、科研等单位广泛使用。它由防火墙和管理器组成。网络卫士NGFW4000-S防火墙是我国首创的核检测防火墙，更加安全更加稳定。网络卫士防火墙系统是中国人自己设计的，因此管理界面完全是中文化的，使管理工作更加方便，网络卫士NGFW4000-S防火墙的管理界面是所有防火墙中最直观的。适合中型企业的网络安全需求。《计算机网络技术基础》课件四川托普信息技术职业学院计算机科学与技术系2005年11月4．东软NetEye4032防火墙NetEye4032防火墙是NetEye防火墙系列中的最新版本，该系统在性能，可靠性，管理性等方面大大提高。其基于状态包过滤的流过滤体系结构，保证从数据链路层到应用层的完全高性能过滤，可以进行应用级插件的及时升级，攻击方式的及时响应，实现动态的保障网络安全。《计算机网络技术基础》课件四川托普信息技术职业学院计算机科学与技术系2005年11月10.2.3防火墙的基本配置NGFW4000有3个标准端口，其中一个接外网（Internet网），一个接内网，一个接DMZ区，在DMZ区中有网络服务器。网络拓扑结构《计算机网络技术基础》课件四川托普信息技术职业学院计算机科学与技术系2005年11月1．配置管理端口天融信网络卫士NGFW4000防火墙是由防火墙和管理器组成的，管理防火墙都是通过网络中的一台电脑来实现的。防火墙默认情况下，3个口都不是管理端口，所以我们先要通过串口把天融信网络卫士NGFW4000防火墙与我们的电脑连接起来，给防火墙指定一个管理端口，以后对防火墙的设置就可以通过远程来实现了。《计算机网络技术基础》课件四川托普信息技术职业学院计算机科学与技术系2005年11月使用一条串口线把电脑的串口（COM1）与NGFW4000防火墙的console口连接起来，启动电脑的“超级终端”，端口选择COM1，通信参数设置为每秒位数9600，数据位8，奇偶校验无，停止位1，数据流控制无。进入超级终端的界面，输入防火墙的密码进入命令行格式。定义管理口：ifeth1XXX.XXX.XXX.XXX255.255.255.0修改管理口GUI的登录权限：fireclientaddtopsec-tgui-a外网-i0.0.0.0-255.255.255.255《计算机网络技术基础》课件四川托普信息技术职业学院计算机科学与技术系2005年11月2.使用GUI管理软件配置防火墙（1）定义网络区域Internet（外网）：接在eth0上，缺省访问策略为any（即缺省可读、可写），日志选项为空，禁止ping、GUI、telnet。Intranet（内网）：接在eth1上，缺省访问策略为none（不可读、不可写），日志选项为记录用户命令，允许ping、GUI、telnet。DMZ区：接在eth2上，缺省访问策略为none（不可读、不可写），日志选项为记录用户命令，禁止ping、GUI、telnet。《计算机网络技术基础》课件四川托普信息技术职业学院计算机科学与技术系2005年11月（2）定义网络对象一个网络节点表示某个区域中的一台物理机器。它可以作为访问策略中的源和目的，也可以作为通信策略中的源和目的。FTP_SERVER：FTP服务器，区域=DMZ，IP地址=XXX.XXX.XXX.XXX。HTTP_SERVER：HTTP服务器，区域=DMZ，IP地址=XXX.XXX.XXX.XXX。MAIL_SERVER：邮件服务器，区域=DMZ，IP地址=XXX.XXX.XXX.XXX。V_SERVER：外网访问的虚拟服务器，区域=Internet，IP=防火墙IP地址。insIDSe：表示内网上的所有机器，区域=Intranet，起始地址=0.0.0.0，结束地址=255.255.255.255。outsIDSe：表示外网上的所有机器，区域=Internet，起始地址=0.0.0.0，结束地址=255.255.255.255。《计算机网络技术基础》课件四川托普信息技术职业学院计算机科学与技术系2005年11月（3）配置访问策略在DMZ区域中增加三条访问策略：A、访问目的=FTP_SERVER，目的端口=TCP21。源=insIDSe，访问权限=读、写。源=outsI