第6章网络防护(一) 63防火墙 6.4∨PN 6.5蜜罐技术
第6章 网络防护(一) 6.3 防火墙 6.4 VPN 6.5 蜜罐技术
主要内容 安全策略与安全网络设计 °路由器 防火墙 虚拟专用网(VPN) ·蜜罐技术 入侵检测 snort系统介绍
主要内容 • 安全策略与安全网络设计 • 路由器 • 防火墙 • 虚拟专用网(VPN) • 蜜罐技术 • 入侵检测 • snort系统介绍
63防火墙 路由器包过滤安全机制主要是在网络层实现 对分组的过滤功能,路由器在对数据包进行筛 选时,往往缺乏被过滤数据包所在上下文环境 的知识(例如,该数据包是属于哪个应用连接 的?),因此过滤的针对性不强,过滤策略缺 乏全局性依据,这是路由器安全过滤机制的主 要缺陷。本节将考虑可以根据数据包所处的应 用数据流对分组进行过滤,从全局角度设计报 文过滤规则,提高了报文过滤的准确性,可以 有效阻止非法的应用数据流的通过,因而更具 有安全性
6.3 防火墙 ➢路由器包过滤安全机制主要是在网络层实现 对分组的过滤功能,路由器在对数据包进行筛 选时,往往缺乏被过滤数据包所在上下文环境 的知识(例如,该数据包是属于哪个应用连接 的?),因此过滤的针对性不强,过滤策略缺 乏全局性依据,这是路由器安全过滤机制的主 要缺陷。本节将考虑可以根据数据包所处的应 用数据流对分组进行过滤,从全局角度设计报 文过滤规则,提高了报文过滤的准确性,可以 有效阻止非法的应用数据流的通过,因而更具 有安全性
6.3.1防火墙概论 Internet防火墙的主要目标是控制可信网络 ( trusted network)和 IInternet之间的连接。 防火墙允许访问服务并保护这些服务的用 户。防火墙可以看成保护内部网边界的哨 卡,阻塞进出防火墙的恶意信息流
6.3.1 防火墙概论 • Internet防火墙的主要目标是控制可信网络 (trusted network)和Internet之间的连接。 防火墙允许访问服务并保护这些服务的用 户。防火墙可以看成保护内部网边界的哨 卡,阻塞进出防火墙的恶意信息流
防火墙的策略与技术 对防火墙的使用都必须遵循以下三条原则 (1)进出网络的双向通信信息必须通过防 火墙 (2)只能允许经过本地安全策略授权的通 信信息通过; (3)防火墙本身不能影响网络信息的流通
一、 防火墙的策略与技术 • 对防火墙的使用都必须遵循以下三条原则: • (1)进出网络的双向通信信息必须通过防 火墙; • (2)只能允许经过本地安全策略授权的通 信信息通过; • (3)防火墙本身不能影响网络信息的流通
1防火墙的引入 防火墙并不是对每一台主机系统进行自我 保护,而是让所有对系统的访问通过网络 中的某一点。通过保护这一点,尽可能地 对外界屏蔽,保护内部网络的信息和结构。 防火墙是设置在可信网络( trusted network) 和外部不可信任的外界之间的一道屏障, 可以实施比较广泛的安全策略来控制信息 流进入可信网络,防止不可预料的潜在的 入侵破坏;另一方面能够限制可信网络中 的用户对外部网络的非授权访问
1 防火墙的引入 • 防火墙并不是对每一台主机系统进行自我 保护,而是让所有对系统的访问通过网络 中的某一点。通过保护这一点,尽可能地 对外界屏蔽,保护内部网络的信息和结构。 防火墙是设置在可信网络(trusted network) 和外部不可信任的外界之间的一道屏障, 可以实施比较广泛的安全策略来控制信息 流进入可信网络,防止不可预料的潜在的 入侵破坏;另一方面能够限制可信网络中 的用户对外部网络的非授权访问
Web服务器 Internet 远程网络 防灭墙 VPN服务器 远程客户端
Internet VPN 服务器 远程客户端 远程网络 防火墙 Web服务器
DMZ 外部网络 内部网络
防火墙 外部网络 DMZ 内部网络
2使用防火墙所带来的问题 (1)使用防火墙为网络带来安全性的代价 是削弱了网络的功能。 (2)使用防火墙可能会成为网络的瓶颈。 (3)使用应用代理防火墙时必须不断地设 法获得新出现服务的应用代理。 (4)对某些以提供服务为目的的组织,如 ISP( Internet service Provider),如果采 用如此严格的防火墙安仝策略,就会失去 用户
2 使用防火墙所带来的问题 • (1)使用防火墙为网络带来安全性的代价 是削弱了网络的功能。 • (2)使用防火墙可能会成为网络的瓶颈。 • (3)使用应用代理防火墙时必须不断地设 法获得新出现服务的应用代理。 • (4)对某些以提供服务为目的的组织,如 ISP(Internet Service Provider),如果采 用如此严格的防火墙安全策略,就会失去 用户
防火墙的接入与安全策略 防火墙是用来加强网络之间访问控制的硬 件或软件系统,它可以随用户网络的安全 标准的要求不同而不同。有防火墙防护的 网络称为可信网络,其他的网络都被称为 不可信任的网络。防火墙所起的安全作用 的双向的,一方面用来防止来自非信任网 络的非受权访问;另一方面能够限制网络 内部对互联网络的访问
二、 防火墙的接入与安全策略 • 防火墙是用来加强网络之间访问控制的硬 件或软件系统,它可以随用户网络的安全 标准的要求不同而不同。有防火墙防护的 网络称为可信网络,其他的网络都被称为 不可信任的网络。防火墙所起的安全作用 的双向的,一方面用来防止来自非信任网 络的非受权访问;另一方面能够限制网络 内部对互联网络的访问