返回
信息安全管理 第06讲 网络安全技术.pdf

信息安全管理 第06讲 网络安全技术.pdf

ID:48023165

大小:710.34 KB

页数:56页

时间:2020-01-28

信息安全管理 第06讲 网络安全技术.pdf_第1页
信息安全管理 第06讲 网络安全技术.pdf_第2页
信息安全管理 第06讲 网络安全技术.pdf_第3页
信息安全管理 第06讲 网络安全技术.pdf_第4页
信息安全管理 第06讲 网络安全技术.pdf_第5页
资源描述:

《信息安全管理 第06讲 网络安全技术.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、第第第060606讲讲讲网络安全技术网络安全技术网络安全技术1引言•意义:–信息安全主要内容–信息安全管理重要技术保证•内容–网络安全技术–网络的攻与防–网络漏洞和补丁•范围:–认证机制:PKI–访问控制:FW、–保密通信:IPSec、SSL、SHTTP、SMIME–各种网络攻防技术2防火墙•基本概念•关键技术•体系结构•网络隔离基本概念•防火墙概念–WilliamCheswick和SteveBeilovin(1994):防火墙是放置在两个网络之间的一组组件,这组组件共同具有下列性质:•只允许本地安全策略授权的通信信息通过•双向通信信息必

2、须通过防火墙•防火墙本身不会影响信息的流通–防火墙是位于两个信任程度不同的网络之间(如企业内部网络和Internet之间)的软件或硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。•防火墙缺陷–使用不便,认为防火墙给人虚假的安全感–对用户不完全透明,可能带来传输延迟、瓶颈及单点失效–不能替代墙内的安全措施•不能防范恶意的知情者•不能防范不通过它的连接•不能防范全新的威胁•不能有效地防范数据驱动式的攻击•当使用端-端加密时,其作用会受到很大的限制•防火墙分

3、类–软件防火墙、硬件防火墙–Windows、Linux防火墙–主机防火墙、网络防火墙–基于不同技术的防火墙关键技术•数据包过滤–依据事先设定的过滤规则,对所接收的每个数据包做允许拒绝的决定。•数据包过滤优点:–速度快,性能高–对用户透明应用层应用层•数据包过滤缺点:–维护比较困难(需要对TCP/IP表示层了解)表示层–安全性低(IP欺骗等)会话层会话层–不提供有用的日志,或根本就不提供传输层传输层–不防范数据驱动型攻击网络层网络层–不能根据状态信息进行控制网络层–不能处理网络层以上的信息数据链路层数据链路层数据链路层–无法对网络上流动的信

4、息提供全面的控制物理物理层物理层层互连的物理介质•NAT(NetworkAddressTranslation)–网络地址转就是在防火墙上装一个合法IP地址集,然后•当内部某一用户要访问Internet时,防火墙动态地从地址集中选一个未分配的地址分配给该用户;•同时,对于内部的某些服务器如Web服务器,网络地址转换器允许为其分配一个固定的合法地址。–地址翻译主要用在两个方面:•网络管理员希望隐藏内部网络的IP地址。这样互联网上的主机无法判断内部网络的情况。•内部网络的IP地址是无效的IP地址。这种情况主要是因为现在的IP地址不够用,要申请到

5、足够多的合法IP地址很难办到,因此需要翻译IP地址。源IP目的IP源IP目的IP10.0.202.112.202.112.202.112.0.108108.50108.3108.50防火墙网关源IP目的IP源IP目的IP202.112.10.0.202.112.202.112.108.500.108108.50108.3•应用层代理–网关理解应用协议,可以实施更细粒度的访问控制–对每一类应用,都需要一个专门的代理–灵活性不够发送请求转发请求客户网关服务器转发响应请求响应•电路级网关–拓扑结构同应用程序网关相同–接收客户端连接请求,代理客户

6、端完成网络连接–在客户和服务器间中转数据–通用性强体系结构•双宿主主机体系–双重宿主主机的特性:•安全至关重要(唯一通道),其用户口令控制安全是关InternetInternet键。•必须支持很多用户的访问(中转站),其性能非常重要。–缺点:双重宿主主机是隔开内外网络的唯一屏障,一旦它被入侵,内部网络便向入侵者敞开大门。防火墙双重宿主主机内部网络……•屏蔽主机体系–屏蔽主机体系结构由防火墙和内部网络的堡垒主机承担安全责任。一般这种防火墙较简单,可能就是简单的路由器。–典型构成:包过滤路由器+堡垒主机。•包过滤路由器配置在内部网和外部网之间

7、,保证外部系统对内部网络的操作只能经过堡垒主机。因特网•堡垒主机配置在内部网络上,是外部网络主机连接到内部网络主机的桥梁,它需要拥有高等级的安全。防火墙堡垒主机•屏蔽子网体系–屏蔽子网体系结构在本质上与屏蔽主机体系结构一样,但添加了额外的一层保护体系——周边网络。堡垒主机位于周边网络上,周边网络和内部网络被内部路由器分开。–原因:堡垒主机是用户网络上最容易受侵袭的机器。通过在周边网络上隔离堡垒主机,能减少在堡垒主机被侵入的影响。InternetInternet外部路由器堡垒主机周边网络内部路由器内部网络……•周边网络是一个防护层,在其上可

8、放置一些信息服务器,它们是牺牲主机,可能会受到攻击,因此又被称为非军事区(DMZ)。•周边网络的作用:即使堡垒主机被入侵者控制,它仍可消除对内部网的侦听。例:netxray等的工作原理。•堡垒

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。