主要内容 安全策略与安全网络设计 °路由器 防火墙 虚拟专用网(VPN) ·蜜罐技术 入侵检测 snort系统介绍
主要内容 • 安全策略与安全网络设计 • 路由器 • 防火墙 • 虚拟专用网(VPN) • 蜜罐技术 • 入侵检测 • snort系统介绍
63防火墙 路由器包过滤安全机制主要是在网络层实现 对分组的过滤功能,路由器在对数据包进行筛 选时,往往缺乏被过滤数据包所在上下文环境 的知识(例如,该数据包是属于哪个应用连接 的?),因此过滤的针对性不强,过滤策略缺 乏全局性依据,这是路由器安全过滤机制的主 要缺陷。本节将考虑可以根据数据包所处的应 用数据流对分组进行过滤,从全局角度设计报 文过滤规则,提高了报文过滤的准确性,可以 有效阻止非法的应用数据流的通过,因而更具 有安全性
6.3 防火墙 ➢路由器包过滤安全机制主要是在网络层实现 对分组的过滤功能,路由器在对数据包进行筛 选时,往往缺乏被过滤数据包所在上下文环境 的知识(例如,该数据包是属于哪个应用连接 的?),因此过滤的针对性不强,过滤策略缺 乏全局性依据,这是路由器安全过滤机制的主 要缺陷。本节将考虑可以根据数据包所处的应 用数据流对分组进行过滤,从全局角度设计报 文过滤规则,提高了报文过滤的准确性,可以 有效阻止非法的应用数据流的通过,因而更具 有安全性
6.3.1防火墙概论 Internet防火墙的主要目标是控制可信网络 ( trusted network)和 IInternet之间的连接。 防火墙允许访问服务并保护这些服务的用 户。防火墙可以看成保护内部网边界的哨 卡,阻塞进出防火墙的恶意信息流
6.3.1 防火墙概论 • Internet防火墙的主要目标是控制可信网络 (trusted network)和Internet之间的连接。 防火墙允许访问服务并保护这些服务的用 户。防火墙可以看成保护内部网边界的哨 卡,阻塞进出防火墙的恶意信息流
防火墙的策略与技术 对防火墙的使用都必须遵循以下三条原则 (1)进出网络的双向通信信息必须通过防 火墙 (2)只能允许经过本地安全策略授权的通 信信息通过; (3)防火墙本身不能影响网络信息的流通
一、 防火墙的策略与技术 • 对防火墙的使用都必须遵循以下三条原则: • (1)进出网络的双向通信信息必须通过防 火墙; • (2)只能允许经过本地安全策略授权的通 信信息通过; • (3)防火墙本身不能影响网络信息的流通
1防火墙的引入 防火墙并不是对每一台主机系统进行自我 保护,而是让所有对系统的访问通过网络 中的某一点。通过保护这一点,尽可能地 对外界屏蔽,保护内部网络的信息和结构。 防火墙是设置在可信网络( trusted network) 和外部不可信任的外界之间的一道屏障, 可以实施比较广泛的安全策略来控制信息 流进入可信网络,防止不可预料的潜在的 入侵破坏;另一方面能够限制可信网络中 的用户对外部网络的非授权访问
1 防火墙的引入 • 防火墙并不是对每一台主机系统进行自我 保护,而是让所有对系统的访问通过网络 中的某一点。通过保护这一点,尽可能地 对外界屏蔽,保护内部网络的信息和结构。 防火墙是设置在可信网络(trusted network) 和外部不可信任的外界之间的一道屏障, 可以实施比较广泛的安全策略来控制信息 流进入可信网络,防止不可预料的潜在的 入侵破坏;另一方面能够限制可信网络中 的用户对外部网络的非授权访问
2使用防火墙所带来的问题 (1)使用防火墙为网络带来安全性的代价 是削弱了网络的功能。 (2)使用防火墙可能会成为网络的瓶颈。 (3)使用应用代理防火墙时必须不断地设 法获得新出现服务的应用代理。 (4)对某些以提供服务为目的的组织,如 ISP( Internet service Provider),如果采 用如此严格的防火墙安仝策略,就会失去 用户
2 使用防火墙所带来的问题 • (1)使用防火墙为网络带来安全性的代价 是削弱了网络的功能。 • (2)使用防火墙可能会成为网络的瓶颈。 • (3)使用应用代理防火墙时必须不断地设 法获得新出现服务的应用代理。 • (4)对某些以提供服务为目的的组织,如 ISP(Internet Service Provider),如果采 用如此严格的防火墙安全策略,就会失去 用户
防火墙的接入与安全策略 防火墙是用来加强网络之间访问控制的硬 件或软件系统,它可以随用户网络的安全 标准的要求不同而不同。有防火墙防护的 网络称为可信网络,其他的网络都被称为 不可信任的网络。防火墙所起的安全作用 的双向的,一方面用来防止来自非信任网 络的非受权访问;另一方面能够限制网络 内部对互联网络的访问
二、 防火墙的接入与安全策略 • 防火墙是用来加强网络之间访问控制的硬 件或软件系统,它可以随用户网络的安全 标准的要求不同而不同。有防火墙防护的 网络称为可信网络,其他的网络都被称为 不可信任的网络。防火墙所起的安全作用 的双向的,一方面用来防止来自非信任网 络的非受权访问;另一方面能够限制网络 内部对互联网络的访问