第5章网络安全结构设计 一、要点解析 1.网路安全隐悲 ()网储窃听 网路窃斯通常发生在局城网内部。由于以太网数据领通常不加密且采取CSMA/CD访月控制方 式,局域网中的任何一台计算机可以获得在同一物理网段上的传输的数据。防范网洛窃听的三种方 法:使用交换机分段、传输数据加密、使用载件进行监控。 (☑完整性破坏 在公共网络上传输的数据存在被篡改的可能。保护完整性的唯一方法是使用散列函数算法。 (窗地址欺需 伪透一个被主机信任的P地址,从而编过路由设备,获得主机信任面造成攻击。P地址款编必 须具有3个对象:攻击者、目标主机、受信任主机 ()拒绝服务攻击 通常以消耗服务器资潭为目标,通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞, 从面使正常的用户请求得不到应答,实现攻击目的。拒绝服务攻击的高级形式是分布式拒绝服务攻 击,目前主要针对微软操作系饶平台。 (5句计算机病青 一种能破环计算机系统。并且能潜优在计算机中,复制、感染其他的程序和文件的程序。计算 机病毒的危害主要包括:系统速度变慢甚至死机,硬盘容量减小,网洛系饶崩溃,数据破坏和硬件 损坏。计算机病毒分为:文件型病毒、引导扇区病毒、混合型病毒、麦病毒、木马病毒、蠕虫病毒、 网页璃毒。计算机病毒主要传播途径:磁盘、网络 (的系统漏洞 软件设计中的缺阶,他称为Bg。软件漏洞哈黑客创造了进入系统的机会,堵佳漏洞的方法是 及时下载、安装载件补丁。 2,网铬安全技术 身份验证技术,数据完整技术,限踪审计技术,信息加密技术,防火墙技术, 3.网络结构 按解网路数据安全等级标准,将网络结构划分为:外网、内网、公共子网, 外网指Internet上的匿名设备,任何不属于本部门网路的设备和主机露可以称为外网用户。 内网指园区内部局域网。在具有公共子网的国区网中通常指被隔离在内部防火墙之内的私有网 部分,包括内部服务器和用户。 公共子网指将部分向Inr用户提供公共服务的服务器设备单验从内网中隔离出米,既允许外 部用户访利也允许内部用户访网,也移做军事管制区(D亿》
第 5 章 网络安全结构设计 一、要点解析 1.网络安全隐患 ⑴ 网络窃听 网络窃听通常发生在局域网内部。由于以太网数据帧通常不加密且采取 CSMA/CD 访问控制方 式,局域网中的任何一台计算机可以获得在同一物理网段上的传输的数据。防范网络窃听的三种方 法:使用交换机分段、传输数据加密、使用软件进行监控。 ⑵ 完整性破坏 在公共网络上传输的数据存在被篡改的可能。保护完整性的唯一方法是使用散列函数算法。 ⑶ 地址欺骗 伪造一个被主机信任的 IP 地址,从而骗过路由设备,获得主机信任而造成攻击。IP 地址欺骗必 须具有 3 个对象:攻击者、目标主机、受信任主机。 ⑷ 拒绝服务攻击 通常以消耗服务器资源为目标,通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞, 从而使正常的用户请求得不到应答,实现攻击目的。拒绝服务攻击的高级形式是分布式拒绝服务攻 击,目前主要针对微软操作系统平台。 ⑸ 计算机病毒 一种能破坏计算机系统,并且能潜伏在计算机中,复制、感染其他的程序和文件的程序。计算 机病毒的危害主要包括:系统速度变慢甚至死机、硬盘容量减小、网络系统崩溃、数据破坏和硬件 损坏。计算机病毒分为:文件型病毒、引导扇区病毒、混合型病毒、宏病毒、木马病毒、蠕虫病毒、 网页病毒。计算机病毒主要传播途径:磁盘、网络。 ⑹ 系统漏洞 软件设计中的缺陷,也称为 Bug。软件漏洞给黑客创造了进入系统的机会,堵住漏洞的方法是 及时下载、安装软件补丁。 2.网络安全技术 身份验证技术、数据完整技术、跟踪审计技术、信息加密技术、防火墙技术。 3.网络结构 按照网络数据安全等级标准,将网络结构划分为:外网、内网、公共子网。 外网指 Internet 上的匿名设备,任何不属于本部门网络的设备和主机都可以称为外网用户。 内网指园区内部局域网,在具有公共子网的园区网中通常指被隔离在内部防火墙之内的私有网 部分,包括内部服务器和用户。 公共子网指将部分向 Internet 用户提供公共服务的服务器设备单独从内网中隔离出来,既允许外 部用户访问也允许内部用户访问,也称做军事管制区(DMZ)
4。防火墙体系结构 ()双宿主机结构 双宿主机结构将包过滤和代理服务两种技术结合起来形成新的防火墙。双宿主机是一台具有多 个网络接口的主机,可以遗行内网与外料之间的寻径,可以充当与这台主机相连的若干网路之间的 落由墨。 档主机过滤姑构 主机过滤结构由过滤路由器和堡桑主机共组成。堡鱼主机仅与内网直接相连,通过过滤路由 器与外网相连,路由器过滤规则规定任何外网的主机都只能与坐垒主机建立连接。 (围子网过滤结构 子网过滤结构由两个包过滤路由器构成,在内网与外网之间设置一个安全保护网络层。即公共 子网。其中,两台过滤路由器连接到公共子网,一台位于公共子网与内网之间,另一台位于公共子 网与外网之间:在此公共子网中可以设置应用网关,各类服务器,堡垒主机与公共子网相连。负责 将来自外网的服务分发给内网中的站点。 5.防火墙特点 防火墙是一种在内网和外网之间实施的安全斯范措施,好的防火墙系统应具有以下特性和功能: ①所有在该内韶网和外部网之间交换的数据都可以而且只能经过该防火墙:②只有被防火墙检测后 合格,即防火墙系统中安全策略允许的数据才可以白由出入防火墙,其他不合格的数据一律被禁止 通过:③防火墙的技术是最新安全的技术。和时代是同步的:④防火墙本身不受任何攻击:@人机 界面友好,易于操作,易于系统管理员选行配置和控制。 6.防火墙技术 ()色过滤防火墙 为防止网络系统中每台计算机:可随意访月其他计算机以及系统中的各项服务,需要使用包过 滤技术。包过滤器是路由器的一部分,由阻止包任意通过路由器在不问的网铬之间穿越的载件组成。 包过滤器的工作是检查每个包的头部的有关字及。网管员通过配置包过滤器检测数据包是否允许通 过路由器。 包过滤新火墙的优点是对于用户来说是透明的,处理速度快而且易于维护,通常作为第一道防 线。但是色过滤路由器通常没有用户记录。不能得到入侵者的攻击记录, (四应用级网关 应用级网关安装在网路应用层,是一种比包过滤防火墙更安全的防火墙技术。对于每个它所转 接的应用程序,应用缓网美使用一个特株的目的代马。对于每种服务,首先要把这种服务代码安装 在网关上,每当添加一种新的需要绿护的服务时,必须为其编制相应的程序代码,否则就不能被支 持且不能通过该应用级网关。 包过滤防火墙和应用级网关防火墙有一个共同的特点,仅依拿特定的逐辑判断是否允许数据包 的通过,一旦满是判断逻辑,防火墙内外的计算机系统藏会建立直接的联系,外部网络的用户藏可 以直接穿透防火墙了解到内部网络的结构和运行状态。此外,应用级网关需要脚买硬件和编制专用
4.防火墙体系结构 ⑴ 双宿主机结构 双宿主机结构将包过滤和代理服务两种技术结合起来形成新的防火墙。双宿主机是一台具有多 个网络接口的主机,可以进行内网与外网之间的寻径,可以充当与这台主机相连的若干网络之间的 路由器。 ⑵ 主机过滤结构 主机过滤结构由过滤路由器和堡垒主机共同组成。堡垒主机仅与内网直接相连,通过过滤路由 器与外网相连,路由器过滤规则规定任何外网的主机都只能与堡垒主机建立连接。 ⑶ 子网过滤结构 子网过滤结构由两个包过滤路由器构成,在内网与外网之间设置一个安全保护网络层,即公共 子网。其中,两台过滤路由器连接到公共子网,一台位于公共子网与内网之间,另一台位于公共子 网与外网之间;在此公共子网中可以设置应用网关、各类服务器,堡垒主机与公共子网相连,负责 将来自外网的服务分发给内网中的站点。 5.防火墙特点 防火墙是一种在内网和外网之间实施的安全防范措施。好的防火墙系统应具有以下特性和功能: ①所有在该内部网和外部网之间交换的数据都可以而且只能经过该防火墙;②只有被防火墙检测后 合格,即防火墙系统中安全策略允许的数据才可以自由出入防火墙,其他不合格的数据一律被禁止 通过;③防火墙的技术是最新安全的技术,和时代是同步的;④防火墙本身不受任何攻击;⑤人机 界面友好,易于操作,易于系统管理员进行配置和控制。 6.防火墙技术 ⑴ 包过滤防火墙 为防止网络系统中每台计算机都可随意访问其他计算机以及系统中的各项服务,需要使用包过 滤技术。包过滤器是路由器的一部分,由阻止包任意通过路由器在不同的网络之间穿越的软件组成。 包过滤器的工作是检查每个包的头部的有关字段。网管员通过配置包过滤器检测数据包是否允许通 过路由器。 包过滤防火墙的优点是对于用户来说是透明的,处理速度快而且易于维护,通常作为第一道防 线。但是包过滤路由器通常没有用户记录,不能得到入侵者的攻击记录。 ⑵ 应用级网关 应用级网关安装在网络应用层,是一种比包过滤防火墙更安全的防火墙技术。对于每个它所转 接的应用程序,应用级网关使用一个特殊的目的代码。对于每种服务,首先要把这种服务代码安装 在网关上,每当添加一种新的需要保护的服务时,必须为其编制相应的程序代码,否则就不能被支 持且不能通过该应用级网关。 包过滤防火墙和应用级网关防火墙有一个共同的特点,仅依靠特定的逻辑判断是否允许数据包 的通过,一旦满足判断逻辑,防火墙内外的计算机系统就会建立直接的联系,外部网络的用户就可 以直接穿透防火墙了解到内部网络的结构和运行状态。此外,应用级网关需要购买硬件和编制专用
程序等。安装使用的费用者常高,而且由于其透明性差。限制严格,会给一些用户带米麻频。 (阁电路级网美 电路级网关也称为代理服务器成P通道。它不允许直接建立端对端的连接,将两越防火墙的 网络通信链路分为两段,通过代理服务器建立两个TP违接:一个是内网主机上的应用程序和代理 服务器相连,另一个是代理服务器和外料主机上的应用程序相连。外网的最务器只能到达代理服务 器,从而起到了隔离防火墙内外计算机系统的作用。一且建立起两个连接,代理服务器通常只是把 传输的数据从一个连接中进行复制并送到另外一个莲接中去而不检查其中的内容。 代理服务器可以提供详细的日志和审计记录,提高了网络的安全性和可管理性,们代理服务器 一股不能处理高免荷通信量。且对用户的透明性不好: (0新型防火墙技术 新型防火墙,既有包过滤的功能,又能在应用是进行代理。它具有以下特点:①综合包过滤和 代理技术,克服二者在安全方面的肤陪:②能从数据链路层一直到应用层随加全方位的控制:①实 现TP/IP的微内核,从而在TCP/IP协议层进行各项安全控制:④基于上述微内核,使速度超过传 统的包过礼斯火墙:⑤提供透明代理模式。减轻客户端的配置工作:@支特数据加密和解密5和 5),提供对虚拟网WPM的强大支持:⑦内部信息完全隐藏。 7.防火墙选购原则 任何防火墙产品的功能都不是绝对完善的,企业在选购防火培时,应根据自身的需要去这购, 可以参考以下七个单则 ()安全性 防火墙的安全性能取决于防火墙是否深用了安全的操作系统和是否采用专用的硬件平台。 (②功能完备 防火墙除了应该具备基本的包过滤功能外,还位该具备的很多功能,其中NAT和VW两项功 能划企业很重要。NAT是隔离内网和外网的有效手段:VPN是建立安全远程连接的有效手爱。 (图带宽要高 防火墙在处理进出数据包的时候必然有一定的时延,导政蒂克下降。好的防火墙应该将这种影 响降低到最小程度,否则会给网络使用带来极大的不便。 ()高可用性 为了防火墙能够稳定工作,要求硬件上保证一定的沉余部件设计。 (固配置方便 防火墙的安全功能主要是由用户配置的各种规则集决定的,灵活的配置方式旋够提高用户的决 策能力: (铜可展性和可升级性 防火墙应该具有可扩充械块,提供更多的可用接口:其操作系饶也应能经常升级、提升性能, (团品牌因素 选择防火墙时,品牌较好的产品往往具有更成熟的技术,符合最新的技术标准
程序等,安装使用的费用非常高,而且由于其透明性差,限制严格,会给一些用户带来麻烦。 ⑶ 电路级网关 电路级网关也称为代理服务器或 TCP 通道。它不允许直接建立端对端的连接,将跨越防火墙的 网络通信链路分为两段,通过代理服务器建立两个 TCP 连接;一个是内网主机上的应用程序和代理 服务器相连,另一个是代理服务器和外网主机上的应用程序相连。外网的服务器只能到达代理服务 器,从而起到了隔离防火墙内外计算机系统的作用。一旦建立起两个连接,代理服务器通常只是把 传输的数据从一个连接中进行复制并送到另外一个连接中去而不检查其中的内容。 代理服务器可以提供详细的日志和审计记录,提高了网络的安全性和可管理性,但代理服务器 一般不能处理高负荷通信量,且对用户的透明性不好。 ⑷ 新型防火墙技术 新型防火墙,既有包过滤的功能,又能在应用层进行代理。它具有以下特点:①综合包过滤和 代理技术,克服二者在安全方面的缺陷;②能从数据链路层一直到应用层施加全方位的控制;③实 现 TCP/IP 的微内核,从而在 TCP/IP 协议层进行各项安全控制;④基于上述微内核,使速度超过传 统的包过滤防火墙;⑤提供透明代理模式,减轻客户端的配置工作;⑥支持数据加密和解密(DES 和 RSA),提供对虚拟网(VPN)的强大支持;⑦内部信息完全隐藏。 7.防火墙选购原则 任何防火墙产品的功能都不是绝对完善的,企业在选购防火墙时,应根据自身的需要去选购, 可以参考以下七个原则。 ⑴ 安全性 防火墙的安全性能取决于防火墙是否采用了安全的操作系统和是否采用专用的硬件平台。 ⑵ 功能完备 防火墙除了应该具备基本的包过滤功能外,还应该具备的很多功能,其中 NAT 和 VPN 两项功 能对企业很重要。NAT 是隔离内网和外网的有效手段;VPN 是建立安全远程连接的有效手段。 ⑶ 带宽要高 防火墙在处理进出数据包的时候必然有一定的时延,导致带宽下降。好的防火墙应该将这种影 响降低到最小程度,否则会给网络使用带来极大的不便。 ⑷ 高可用性 为了防火墙能够稳定工作,要求硬件上保证一定的冗余部件设计。 ⑸ 配置方便 防火墙的安全功能主要是由用户配置的各种规则集决定的,灵活的配置方式能够提高用户的决 策能力。 ⑹ 可扩展性和可升级性 防火墙应该具有可扩充模块,提供更多的可用接口;其操作系统也应能经常升级、提升性能。 ⑺ 品牌因素 选择防火墙时,品牌较好的产品往往具有更成熟的技术,符合最新的技术标准
二、典型例题 1,斯范网格窃听的主要方法色括() A.使用交换机进行网络分段 B,对网洛传输数据进行加密 C,使用软件进行监控 D,开启杀青载件实时监控 E.开启5 ndows防火墙 参考答案:ABC 2。计算机病毒的危害主要体现在() A,系饶速度变慢成死机 B。硬盘容量减少 C。网路系统谢渍 D.数据破坏 E。硬件损坏 参考答案:ABCDE 3。常见的计算机病毒主要包括()类型 A.文件病毒 B。引导刚区病毒 C.木马病毒 D,孀虫病毒 E。网页病毒 参考答案:ABCDE 4。按组对网格数据安全等级的标准,将网络结构划分为《 A内密网B.防火墙C.公共子网D.路由器 E.外部网 参考答案:ACE 5,网路防火墙体系结构设计可以采用(》结构形式 A.双宿主机 B.主机过滤 C.子网过滤 D。多堡条主机,多路由器、多子网 E,以上各种方法的组合或改进 参考答案ABCDE 6。防火墙系统应具有()方面的特性和功能 A。所有内部料和外部网之间交换的数据都可以而且只能经过该防火培
二、典型例题 1.防范网络窃听的主要方法包括( ) A.使用交换机进行网络分段 B.对网络传输数据进行加密 C.使用软件进行监控 D.开启杀毒软件实时监控 E.开启 Windows 防火墙 参考答案:ABC 2.计算机病毒的危害主要体现在( ) A.系统速度变慢或死机 B.硬盘容量减少 C.网络系统崩溃 D.数据破坏 E.硬件损坏 参考答案:ABCDE 3.常见的计算机病毒主要包括( )类型 A.文件病毒 B.引导扇区病毒 C.木马病毒 D.蠕虫病毒 E.网页病毒 参考答案:ABCDE 4.按照对网络数据安全等级的标准,将网络结构划分为( )。 A.内部网 B.防火墙 C.公共子网 D.路由器 E.外部网 参考答案:ACE 5.网络防火墙体系结构设计可以采用( )结构形式 A.双宿主机 B.主机过滤 C.子网过滤 D.多堡垒主机、多路由器、多子网 E.以上各种方法的组合或改进 参考答案:ABCDE 6.防火墙系统应具有( )方面的特性和功能 A.所有内部网和外部网之间交换的数据都可以而且只能经过该防火墙
B.防火墙系统安全策略允许的数据可以白由出入防火墙 C,防火培使用的技术是最新的安全的技术 D。防火墙本身不受任何政击 E,人机界面友好,易于管理员操作, 参考答案:ABCDE 7,防火墙产品速购原则包括() A。安全性、可用性 B.功能完备、配置方便 C.扩展性、升饭性 D,高带宽 E。品牌 参考答案:ABCDE 8.防火墙根据内部使用的技术可以分为() A,包过花肠火培 B.应用级网关防火墙 C,代理服务励火墙 D.双宿主机防火墙 E。新型防火墙 参考容案:ABCE 9。架设防火培的主要工作包括() A,制定安全策略 B.搭建安全体系结构 C。制定规则次序与规则集 D,规则更改控制 E。网路事计工作 参考答案:ACDE 10.常用的料络安全技术包括() A.身衍验证技术 B。数据完整性技术 C,跟踪审计技术 D,信息加密技术 E,防火墙技术 参考粉案:ABCDE
B.防火墙系统安全策略允许的数据可以自由出入防火墙 C.防火墙使用的技术是最新的安全的技术 D.防火墙本身不受任何攻击 E.人机界面友好,易于管理员操作。 参考答案:ABCDE 7.防火墙产品选购原则包括( ) A.安全性、可用性 B.功能完备、配置方便 C.扩展性、升级性 D.高带宽 E.品牌 参考答案:ABCDE 8.防火墙根据内部使用的技术可以分为( ) A.包过滤防火墙 B.应用级网关防火墙 C.代理服务器防火墙 D.双宿主机防火墙 E.新型防火墙 参考答案:ABCE 9.架设防火墙的主要工作包括( ) A.制定安全策略 B.搭建安全体系结构 C.制定规则次序与规则集 D.规则更改控制 E.网络审计工作 参考答案:ABCDE 10.常用的网络安全技术包括( ) A.身份验证技术 B.数据完整性技术 C.跟踪审计技术 D.信息加密技术 E.防火墙技术 参考答案:ABCDE