返回
第10章 网络安全ppt课件.ppt

第10章 网络安全ppt课件.ppt

ID:59195365

大小:534.50 KB

页数:50页

时间:2020-09-26

第10章 网络安全ppt课件.ppt_第1页
第10章 网络安全ppt课件.ppt_第2页
第10章 网络安全ppt课件.ppt_第3页
第10章 网络安全ppt课件.ppt_第4页
第10章 网络安全ppt课件.ppt_第5页
资源描述:

《第10章 网络安全ppt课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、21世纪全国高职高专计算机系列实用规划教材计算机网络技术基础主 编:杨瑞良 李 平副主编: 邱 涛 李明龙第10章网络安全2005.10主要内容什么是网络安全网络防火墙技术网络防病毒技术网络加密技术入侵检测系统企业防黑五大策略私密性:当信息被信息来源人士和收受人获知时,就丧失了私密性。完整性:当信息被非预期方式更动时,就丧失了完整性。身份鉴别:确保使用者能够提出与宣称身份相符的证明。10.1什么是网络安全信息系统的安全原则:授权:系统必须能够判定用户是否具备足够的权限,进行特定的活动,如开启档案、执行程序等等。因为系统授权给

2、特定用户后,用户才具备权限运行于系统之上,因此用户事先必须经由系统“身份鉴别”,才能取得对应的权限。不可否认:用户在系统进行某项运作后,若事后能提出证明,而无法加以否认,便具备不可否认性。因为在系统运作时必须拥有权限,不可否认性通常架构在“授权”机制之上。10.2网络防火墙技术10.2.1防火墙的基本原理1.防火墙技术包过滤包过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。优点:对用户透

3、明,传输性能高。状态检测它是比包过滤更为有效的安全控制方法。对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。优点:由于不需要对每个数据包进行规则检查,而是一个连接的后续数据包(通常是大量的数据包)通过散列算法,直接进行状态检查,从而使得性能得到了较大提高;而且,由于状态表是动态的,因而可以有选择地、动态地开通1024号以上的端口,使得安全性得到进一步地提高。2.防火墙的工作原理(1)包过滤防火墙包过滤防火

4、墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址。工作原理:系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。主要问题:防火墙不理解通信的内容,容易被黑客所攻破。包过滤防火墙工作原理图(2)应用网关防火墙应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。应用网关防火墙是通过打破客户机/服务器模式实现的。每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。应用网关防火墙工作原理图(3)状态检测防火墙状态检测防火墙

5、基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理。可以这样说,状态检测包过滤防火墙规范了网络层和传输层行为,而应用代理型防火墙则是规范了特定的应用协议上的行为。状态检测防火墙工作原理图(4)复合型防火墙复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙,进一步基于ASIC架构,把防病毒、内容过滤整合到防

6、火墙里,其中还包括VPN、IDSS功能,多单元融为一体,是一种新突破。在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路。它在网络边界实施OSI第七层的内容扫描,实现了实时在网络边缘部署病毒防护、内容过滤等应用层服务措施。复合型防火墙工作原理图3.四类防火墙的对比包过滤防火墙:包过滤防火墙不检查数据区,包过滤防火墙不建立连接状态表,前后报文无关,应用层控制很弱。应用网关防火墙:不检查IP、TCP报头,不建立连接状态表,网络层保护比较弱。状态检测防火墙:不检查数据区,建立连接状态表,前后

7、报文相关,应用层控制很弱。复合型防火墙:可以检查整个数据包内容,根据需要建立连接状态表,网络层保护强,应用层控制细,会话控制较弱。4.防火墙术语网关:在两个设备之间提供转发服务的系统。DMZ非军事化区:为了配置管理方便,内部网中需要向外提供服务的服务器往往放在一个单独的网段,这个网段便是非军事化区。吞吐量:吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。最大连接数:和吞吐量一样,数字越大越好。数据包转发率:是指在所有安全规则配置正确的情况下,防火墙对数据流量的处理速度。网络地址转换:网络地址转换(NAT)是一种将

8、一个IP地址域映射到另一个IP地址域技术,从而为终端主机提供透明路由。NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。堡垒主机:一种被强化的可以防御进攻的计算机,被暴露于因特网之上,作为进入内部网络的一个检查点,以达到把整个网络的安全问

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。