网络安全及防火墙技术
第 12 章
网络安全与防火墙技术
信息学院公共教学部
伴随网络的普及,安全日益成为影 响网络效能的重要问题。而Internet所 具有的开放性、国际性、自由性,在增 加应用自由度的同时,对安全提出了更 高的要求。如何保护企业的机密信息不 受黑客和工业间谍的入侵,已成为政府 机构、企事业单位信息化健康发展所要 考虑的重要事情之一。
h
2
12.1 网络安全概述
12.1.1 网络安全的定义 12.1.2 网络安全的研究内容 12.1.3 Internet安全面临的威胁 12.1.4 个人上网用户面临的网络陷阱 12.1.5 安全策略
h
返回本章首页 3
12.1.1 网络安全的定义
1)保密性 2)完整性 3)可用性 4)可审查性 5) 可控性
12.2.2 网络安全 1、内外网隔离及访问控制系统、 2、内部网不同安全域的隔离及访问控制 3、网络安全检测 4、审计与控制 5、网络反病毒 6、网络备份系统
h
9
12.2.3 信息安全
合法用户的鉴别 数据传输安全系统 数据存储安全系统
h
10
12.2.4 安全管理的原则与实现
网络安全管理的隐患 (1)有权账号管理混乱 (2)系统缺乏分级管理 (3)FTP带来的隐患 (4)CGI接口程序弊病
h
23
12.4 防火墙技术概述
12.4.1 防火墙的定义 12.4.2 防火墙的架构 12.4.3 防火墙的体系结构 12.4.4 防火墙的基本类型
h
24
12.4.1 防火墙的定义
防火墙是设置在不同网络或网络安全域之间的一系列部 件的组合。既可以使一台或多台主机;也可以使一台路 由器或其他设备。
h
27
图9.2 防火墙技术的简单发展历史
h
28
设置防火墙的目的和功能
(1)防火墙是网络安全的屏障 (2)防火墙可以强化网络安全策略 (3)对网络存取和访问进行监控审计 (4)防止内部信息的外泄
h
29
防火墙的局限性
(1)防火墙防外不防内。 (2)防火墙难于管理和配置,易造成安全
漏洞。 (3)很难为用户在防火墙内外提供一致的
安全策略。 (4)防火墙只实现了粗粒度的访问控制。
h
30
防火墙技术发展动态和趋势
(1)优良的性能 (2)可扩展的结构和功能 (3)简化的安装与管理 (4)主动过滤 (5)防病2 防火墙的架构
返回本节
h
6
个人上网用户面临的网络陷阱
(1)账号密码被窃取 (2)“电子炸弹”和“垃圾邮件”
骚扰 (3)网络病毒 (4)winnuke攻击
返回本节
h
7
12.1.5 安全策略
威严的法律 先进的技术 严格的管理
返回本节
h
8
12.2 网络安全的基本体系
12.2.1 物理安全 环境安全、设备安全、媒体安全
h
11
网络安全管理的内容
(1)鉴别管理 (2)访问控制管理 (3)密钥管理 (4)信息网络的安全管理
h
12
网络安全管理的作用
1)在通信实体上实施强制安全策略。 2)允许实体确定与之通信一组实体的自主安
全策略。 3)控制和分配信息到提供安全服务的各类开
放系统中,报告所提供的安全服务,以及已发 生与安全有关的事件。 4)在一个实际的开放系统中,可设想与安全 有关的信息将存储在文件或表中。
h
13
网络安全的常规防护措施
1.采用备份来避免损失 2.帮助用户自助 3.预防引导病毒 4.预防文件病毒 5.将访问控制加到PC机 6.防止无意的信息披露 7.使用服务器安全
h
14
计算机网络的安全服务
1.对象认证安全服务 2.访问控制安全服务 3.数据保密性安全服务 4.数据完整性安全服务 5.防抵赖安全服务
佳收益 3.安全概念确定在设计早期 4.完善规则 5.注重经济效益规则
h
21
6.对安全防护措施进行综合集成 7.尽量减少与外部的联系 8.一致性与平等原则 9.可以接受的基本原则 10.时刻关注技术进步
h
22
12.3 信息安全的评价标准
美国TCSEC(桔皮书) 欧洲ITSEC 美国联邦准则FC 联合公共准则CC 系统安全工程能力成熟模型SSE-CMM ISO安全体系结构标准 等同采用国际标准
防火墙提供信息安全服务,所有的通信都必须经过防火 墙。只允许经过授权的网络流量通性,它经得起对其本 身的攻击。
图9.1为防火墙示意图。
h
25
图9.1 防火墙示意图
h
返回本节 26
防火墙的发展简史
第 一 代 防 火 墙 : 采 用 了 包 过 滤 ( Packet Filter)技术。 第二、三代防火墙:1989年,推出了电路层 防火墙,和应用层防火墙的初步结构。 第四代防火墙:1992年,开发出了基于动态 包过滤技术的第四代防火墙。 第五代防火墙:1998年,NAI公司推出了一 种自适应代理技术,可以称之为第五代防火墙。
h
返回本节 4
12.1.2 网络安全的研究内容
1.物理安全 2.逻辑安全 3.操作系统提供的安全 4.联网安全 5.其他形式的安全 6.虚假安全
返回本节
h
5
12.1.3 网络安全面临的威胁
1.非授权访问、黑客 2.计算机病毒、网络病毒 3.信息泄漏或丢失 4.后门 5.窥探 6. 破坏数据完整性 7. 拒绝服务攻击
h
15
计算机网络的安全机制
加密机制 数字签名机制 访问控制机制 数据完整性机制 鉴别交换机制 防业务流分析机制 路由控制机制 公证机制 安全审计跟踪
h
16
表1 安全机制与安全服务的关系对照表
h
17
安全服务机制的配置
1.物理层 2.数据链路层 3.网络层 4.传输层 5.会话层 6.表示层 7.应用层
h
18
表2 参考模型的各个层能提供的安全服务
h
19
网络安全控制措施
1.物理访问控制 2.逻辑访问控制 3.组织方面的控制 4.人事控制 5.操作控制 6.应用程序开发控制 7.工作站控制 8.服务器控制 9.数据传输保护
h
20
网络安全实施过程中要注意的问题
1.网络安全分级应以风险为依据 2.有效防止部件被毁坏或丢失可以得到最
