组网技术与配置第2版第10章.ppt
《组网技术与配置第2版第10章.ppt》由会员分享,可在线阅读,更多相关《组网技术与配置第2版第10章.ppt(40页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、组网技术与配置第2版第10章 Still waters run deep.流静水深流静水深,人静心深人静心深 Where there is life, there is hope。有生命必有希望。有生命必有希望对防火墙技术进行分析和讨论,企业网主要是采用防火墙技术进行安全防护,防火墙的结构有哪些,各有什么特点,一般采用什么结构? 讨论了基于密码理论的加密技术,涉及到加密方法、数字签名、身份认证。进一步给出网络地址转换NAT在网络安全的应用。介绍企业网中的网络管理技术、网络管理模型和网络管理协议,讨论网管代理、网管工具、网管软件的的作用和特点。10.1 Intranet安全 10.2 网络地址转
2、换NAT用于Intranet安全 10.3 IIS为Intranet提供的安全性 10.4 Intranet管理 10.5 小 结 10.1.1 Intranet的安全策略 10.1.2网络安全的层次划分 10.1.3 Internet的网络安全层次 10.1.4 网络防火墙技术 10.1.5 防火墙的结构 10.1.6 企业网防火墙的方案 10.1.7 基于密码理论的技术 用户身份认证,系统根据用户的私有信息确定用户身份的真实性,判断用户是否可以访问网络资源。 访问控制,是对不同的用户赋予不同的对网络的访问权限,控制用户对资源的访问。 数据加密,是一种主动的防御策略,是保证网络资源安全的技术
3、基础。 审计,能够记录用户对系统或网络资源的访问活动,记录内容保存在日志文件中,网络管理员查找问题时使用。 国际标准ISO 7498-2定义了OSI安全体系结构的网络安全层次 网络安全的6个层次 防火墙所起的作用 限制访问者进入一个被严格控制的点 防止进攻者接近受到保护的设备 限制人们离开一个严格控制的点。从逻辑上说,防火墙是一个分离器,是一个限制器,是一个分析器。 防火墙通常由一套硬件设备(一个路由器,或路由器的组合,一台主机)和相应的软件模块组成。构成防火墙的主要部分有:路由器;插有两块以上网卡的主机,具有两个以上的网络接口,一个和内部网络连接,另一个和外部网络连接;各种代理服务器主机。
4、包过滤型(packet filter),包过滤规则以IP包信息为基础,对IP源地址、IP目的地址、封装协议(TCP/UDP/ICMP/IP TUNNEL)、端口号等进行筛选,包过滤在OSI协议的网络层进行。 代理服务型(proxy service),代理服务通常由两部分组成:代理服务器端程序和客户端程序。客户端程序与中间节点(Proxy Server)连接,中间节点再与要访问的外部服务器实际连接。与包过滤不同的是,它使内部网与外部网之间不存在直接的连接,同时还提供日志(Log)和审计服务。 要想访问代理服务器,要在浏览器的选项配置中设置代理服务器的参数,例如IP地址等内容。 右击桌面上IE图标
5、,在弹出的菜单中选择【属性】,出现【Internet属性】对话框,选择【连接】选项卡。 单击【局域网设置】按钮,出现如图7.5所示对话框。输入代理服务器的IP地址和端口数据,单击【高级】按钮,出现如图7.6所示对话框。 对各种代理服务输入代理服务器的IP地址,并对不使用代理服务器的连接输入域名地址或IP地址,可以使用统配符“*”。依次单击【确定】按钮,完成代理服务设置。 控制冗余信息造成网络传输效率下降,实时性降低 防火墙对数据的内容缺少检测,从而对计算机病毒在内的数据驱动的攻击缺少有效的防范措施 仅仅解决了内部网络的安全访问控制问题,没有从根本上解决整个Internet网络上的传输信息安全问
6、题,而这些只能依靠密码技术解决 无法防火墙以外的其它途径的攻击,例如,内网有一个没有限制的拨号连接存在,内网上的用户就可以直接通过PPP接入Internet 不能防止来自内网用户带来的威胁 1. 双宿主主机结构 2. 屏蔽主机结构 3. 屏蔽子网结构 4.壁垒主机/代理服务器构成的防火墙 企业网防火墙有二个部分:屏蔽路由器Cisco 3600代理服务器-堡垒主机屏蔽路由器提供的安全特性有:基于接口的设置;与服务无关的过滤;与服务有关的过滤。 堡垒主机上安装防火墙软件,提供信息过滤、地址转换等功能,只允许特定的信息进入内部网络,提供协议过滤,可以实现数据加密和用户认证。 1. 数据加密技术 密码
7、体制可以分为两大类:对称密钥和非对称密钥。对称密钥体制的加密密钥和解密密钥相同,系统的保密性基于密钥的安全性,涉及的主要问题由两个:如何产生满足保密要求的密钥;如何将密钥安全可靠的分配给通信对方。包括密钥产生、分配、存储、销毁等和管理环节。典型的单钥算法有DES、IDEA等。 在非对称密钥体制中,每个用户有一对密码,一个公开,称为公钥,一个保密,称为密钥。主要特点是将加密和解密分开。系统的安全性在于从公钥和密文推出明文和解密密钥在计算上是不可能的。与单钥体制不同的是,双钥体制不仅可以实现保密通信,而且可以用于对消息进行数字签字。在相同密钥长度的情况下,双钥体制的安全性比单钥体制更高。典型的双钥
8、密码有RSA、ELGAMAL、RABIN等。 数字签名在信息安全,包括身份认证、数据完整性、不可否认性、匿名性等方面有重要应用,也是实现密钥分配的重要工具。数字签名必须保证: 接收者能够核实发送者对信息的签名 发送者事后不能抵赖对信息的签名 接收者不能伪造对信息的签名 一个签字体制包含两部分:签名算法和验证算法。签名算法或签名密钥是秘密的,只有签名人掌握。而验证算法应该公开,以便于进行验证。 身份认证技术是证明某人或某物身份的过程,它于消息认证的区别在于:消息认证部提供时间性,而身份认证一般都是实时的。与数字签名一样,身份认证也分为基于共享密钥和基于公钥的。基于共享密钥是执行一种查询问答协议,
9、发送方发送一个随机数给接收方,接收方解密后以一种特殊形式转换它并传回结果,实现认证。该协议的关键是如何建立共享密钥,应用在大多使用Diffie-Hellman密钥交换协议。 10.2.1 网络地址转换的用途 10.2.2 Intranet的专用IP地址 10.2.3 用路由器实现网络地址转换 10.2.4 用Windows2000实现网络地址转换 10.2.5 NAT技术用于安全的特点 10.2.6 NAT安全模型及实现结构 网络地址转换NAT(Network Address Translator)技术的用途有2个:一个是进行内网(Intranet)和外网(因特网Internet)之间的地址转
10、换另一个是用于网络安全NAT最主要的用途是解决IP地址紧缺的问题,可以在只有一个向外合法IP地址的Intranet中实现地址复用,与因特网(外网)进行通信,提高IP地址的利用率NAT技术可以由路由器或软件实现。 Internet 的NIC(Network Information Center)为了组建Intranet(也称为内网)的方便,规定了Intranet专用IP地址的三个地址范围用于Intranet IP地址的使用: A类地址范围10.0.0.0-10.255.255.255 B类地址范围172.16.0.0-172.31.255.255 C类地址范围192.168.0.0-192.16
11、8.255.255 由于这些地址不是合法的IP地址,分配有这些IP地址的主机不能在因特网(外网)进行信息传输,解决这一技术问题的方法是在Intranet(内网)中至少有一台主机具有合法的IP地址,将Intranet专用地址通过一个可以实现网络地址转换(NAT)的设备或软件转换为合法的IP地址,用这个合法的IP地址代理所有内网的专用网络地址。 用路由器实现网络地址转换(NAT)如图10.12所示,由三个子网组成 Windows2000提供两种方法解决Intranet IP地址转换,一种为Internet连接共享ICS(Internet Connection Sharing ),另一种为NAT,在
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 组网 技术 配置 10
限制150内