資源描述:
《網(wǎng)絡(luò)安全概述00002)(00002).ppt》由會(huì)員上傳分享,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在PPT專區(qū)-天天文庫�。
1、第7講保密通信(一)IPSecFWPage11防火墻概述基本概念關(guān)鍵技術(shù)體系結(jié)構(gòu)網(wǎng)絡(luò)隔離2基本概念防火墻概念WilliamCheswick和SteveBeilovin(1994):防火墻是放置在兩個(gè)網(wǎng)絡(luò)之間的一組組件���,這組組件共同具有下列性質(zhì):只允許本地安全策略授權(quán)的通信信息通過雙向通信信息必須通過防火墻防火墻本身不會(huì)影響信息的流通防火墻是位于兩個(gè)信任程度不同的網(wǎng)絡(luò)之間(如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間)的軟件或硬件設(shè)備的組合�,它對(duì)兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行控制��,通過強(qiáng)制實(shí)施統(tǒng)一的安全策略���,防止對(duì)重要信息資源的非法存取和訪問以達(dá)到保護(hù)系
2��、統(tǒng)安全的目的��。傳統(tǒng)防火墻概念特指網(wǎng)絡(luò)層實(shí)現(xiàn)3防火墻缺陷使用不便���,認(rèn)為防火墻給人虛假的安全感對(duì)用戶不完全透明,可能帶來傳輸延遲���、瓶頸及單點(diǎn)失效不能替代墻內(nèi)的安全措施不能防范惡意的知情者不能防范不通過它的連接不能防范全新的威脅不能有效地防范數(shù)據(jù)驅(qū)動(dòng)式的攻擊當(dāng)使用端-端加密時(shí)���,其作用會(huì)受到很大的限制4關(guān)鍵技術(shù)數(shù)據(jù)包過濾依據(jù)事先設(shè)定的過濾規(guī)則�,對(duì)所接收的每個(gè)數(shù)據(jù)包做允許拒絕的決定��。數(shù)據(jù)包過濾優(yōu)點(diǎn):速度快���,性能高對(duì)用戶透明數(shù)據(jù)包過濾缺點(diǎn):維護(hù)比較困難(需要對(duì)TCP/IP了解)安全性低(IP欺騙等)不提供有用的日志����,或根本就不提供不防范數(shù)據(jù)驅(qū)動(dòng)型攻
3��、擊不能根據(jù)狀態(tài)信息進(jìn)行控制不能處理網(wǎng)絡(luò)層以上的信息無法對(duì)網(wǎng)絡(luò)上流動(dòng)的信息提供全面的控制互連的物理介質(zhì)應(yīng)用層表示層會(huì)話層傳輸層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層5NAT(NetworkAddressTranslation)網(wǎng)絡(luò)地址轉(zhuǎn)就是在防火墻上裝一個(gè)合法IP地址集��,然后當(dāng)內(nèi)部某一用戶要訪問Internet時(shí)����,防火墻動(dòng)態(tài)地從地址集中選一個(gè)未分配的地址分配給該用戶;同時(shí)��,對(duì)于內(nèi)部的某些服務(wù)器如Web服務(wù)器���,網(wǎng)絡(luò)地址轉(zhuǎn)換器允許為其分配一個(gè)固定的合法地址�。地址翻譯主要用在兩個(gè)方面:網(wǎng)絡(luò)管理
4�、員希望隱藏內(nèi)部網(wǎng)絡(luò)的IP地址。這樣互聯(lián)網(wǎng)上的主機(jī)無法判斷內(nèi)部網(wǎng)絡(luò)的情況。內(nèi)部網(wǎng)絡(luò)的IP地址是無效的IP地址��。這種情況主要是因?yàn)楝F(xiàn)在的IP地址不夠用����,要申請(qǐng)到足夠多的合法IP地址很難辦到�����,因此需要翻譯IP地址�����。6源IP目的IP10.0.0.108202.112.108.50源IP目的IP202.112.108.3202.112.108.50源IP目的IP202.112.108.50202.112.108.3源IP目的IP202.112.108.5010.0.0.108防火墻網(wǎng)關(guān)7應(yīng)用層代理網(wǎng)關(guān)理解應(yīng)用協(xié)議�����,可以實(shí)施更細(xì)粒度的訪問控制對(duì)每一
5���、類應(yīng)用���,都需要一個(gè)專門的代理靈活性不夠客戶網(wǎng)關(guān)服務(wù)器發(fā)送請(qǐng)求轉(zhuǎn)發(fā)請(qǐng)求請(qǐng)求響應(yīng)轉(zhuǎn)發(fā)響應(yīng)8體系結(jié)構(gòu)雙宿主主機(jī)體系雙重宿主主機(jī)的特性:安全至關(guān)重要(唯一通道),其用戶口令控制安全是關(guān)鍵��。必須支持很多用戶的訪問(中轉(zhuǎn)站),其性能非常重要����。缺點(diǎn):雙重宿主主機(jī)是隔開內(nèi)外網(wǎng)絡(luò)的唯一屏障,一旦它被入侵�����,內(nèi)部網(wǎng)絡(luò)便向入侵者敞開大門���。Internet防火墻雙重宿主主機(jī)內(nèi)部網(wǎng)絡(luò)……9屏蔽主機(jī)體系屏蔽主機(jī)體系結(jié)構(gòu)由防火墻和內(nèi)部網(wǎng)絡(luò)的堡壘主機(jī)承擔(dān)安全責(zé)任���。一般這種防火墻較簡(jiǎn)單,可能就是簡(jiǎn)單的路由器���。典型構(gòu)成:包過濾路由器+堡壘主機(jī)���。包過濾路由器配置在內(nèi)部網(wǎng)和外部
6、網(wǎng)之間��,保證外部系統(tǒng)對(duì)內(nèi)部網(wǎng)絡(luò)的操作只能經(jīng)過堡壘主機(jī)��。堡壘主機(jī)配置在內(nèi)部網(wǎng)絡(luò)上��,是外部網(wǎng)絡(luò)主機(jī)連接到內(nèi)部網(wǎng)絡(luò)主機(jī)的橋梁,它需要擁有高等級(jí)的安全����。因特網(wǎng)10屏蔽子網(wǎng)體系組成:屏蔽子網(wǎng)體系結(jié)構(gòu)在本質(zhì)上與屏蔽主機(jī)體系結(jié)構(gòu)一樣,但添加了額外的一層保護(hù)體系——周邊網(wǎng)絡(luò)��。堡壘主機(jī)位于周邊網(wǎng)絡(luò)上�����,周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)被內(nèi)部路由器分開�����。周邊網(wǎng)絡(luò):一個(gè)防護(hù)層���,在其上可放置一些信息服務(wù)器,它們是犧牲主機(jī)��,可能會(huì)受到攻擊����,因此又被稱為非軍事區(qū)(DMZ)。周邊網(wǎng)絡(luò)的作用:即使堡壘主機(jī)被入侵者控制����,它仍可消除對(duì)內(nèi)部網(wǎng)的偵聽���。例:netxray等的工作原理。11In
7����、ternet周邊網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)……外部路由器堡壘主機(jī)內(nèi)部路由器12網(wǎng)絡(luò)隔離物理隔離的指導(dǎo)思想與防火墻絕然不同:防火墻的思路是在保障互聯(lián)互通的前提下,盡可能安全��,而物理隔離的思路是在保證必須安全的前提下�����,盡可能互聯(lián)互通�。一個(gè)典型的物理隔離方案(處于完全隔離狀態(tài))13一個(gè)典型的物理隔離方案(隔離設(shè)備處于與外網(wǎng)相連狀態(tài))14一個(gè)典型的物理隔離方案(隔離設(shè)備處于與內(nèi)網(wǎng)相連狀態(tài))152VPN概述VPN定義VPN技術(shù)VPN分類IPSec體系16VPN定義兩個(gè)基本的專網(wǎng)形式17SDH、DDN����、ADSL、ISDN����、……18ISPModemsVPNGate
8、wayVPNGateway總部網(wǎng)絡(luò)遠(yuǎn)程局域網(wǎng)絡(luò)總部分支機(jī)構(gòu)單個(gè)用戶Internet19VPN的定義:是指依靠ISP或其他NSP在公用網(wǎng)絡(luò)基礎(chǔ)設(shè)施之上構(gòu)建的專用的數(shù)據(jù)通信網(wǎng)絡(luò)���,這里所指的公用網(wǎng)絡(luò)有多種��,包括I
