[精选]计算机网络安全基础15205.pptx

《[精选]计算机网络安全基础15205.pptx》由会员分享，可在线阅读，更多相关《[精选]计算机网络安全基础15205.pptx（55页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、安全网管技术安全网管技术张焕杰中国科学技术大学网络信息中心http:/202.38.64.40/james/nmsTel:3601897(O)1第第3章章 网络隔离与防火墙技术网络隔离与防火墙技术(1)l本章主要内容物理隔离技术与双网隔离计算机协议隔离技术防火墙技术包过滤防火墙Socks协议l参考资料：计算机网络安全基础，袁津生等，人民邮电出版社2网络隔离与防火墙技术网络隔离与防火墙技术l根据安全等级不同将网络划分不同的部分l各个部分之间采用物理、逻辑隔离或受限访问方式互连l物理隔离网络间禁止有物理通信线路连接困难l拨号/无线网络l移动设备l逻辑隔离协议转换l受限访问防火墙3案例：政府网络案例

2、：政府网络l一般划分为3个安全等级不同的部分内部保密专用网络，传送保密信息业务网络，传送政府业务管理信息Internet连接网络，建设网站或对外访问l保密网络要求跟其它部分物理隔离l其它部分可以在保证安全性情况下互连4案例：证券交易网案例：证券交易网l一般划分为3个安全等级不同的部分证券交易业务专用网络，传送证券业务信息企业内综合管理网络，传送办公、财务、VOIP等企业内部管理信息Internet连接网络，建设网站或对外访问l交易网络首先要保证可靠性和安全性，跟其它部分物理隔离，必要时可以采用逻辑隔离方式连接l其它可以在保证安全性情况下互连53.1 物理隔离物理隔离l网络间禁止有物理通信线路连

3、接l建立2套独立的网络系统交换机、服务器、布线、客户机l难点：无处不在的Internetl拨号/无线网络l移动设备每人2台计算机？6双网隔离计算机双网隔离计算机解决每人2台计算机的问题1台计算机，可以分时使用内网或外网关键部件硬盘网线软盘/USB/MODEM等共享部件显示器键盘/鼠标主板/电源原理切换关键部件7简单双网隔离计算机简单双网隔离计算机外网硬盘内网硬盘外网网线内网网线公共部件控制卡控制开关8简单双网隔离计算机简单双网隔离计算机l优点一台计算机，可以分时使用内外网降低成本控制卡简单l缺点增加硬盘增加网线安装复杂，重新安装一个操作系统内外网数据无法传递切换时需要断电、切换、重新启动9复杂

4、双网隔离计算机复杂双网隔离计算机内网硬盘外网网线内网网线公共部件控制卡远端设备使用控制卡上的翻译功能将硬盘分为逻辑上独立的部分充分使用UTP中的8芯，减少一根网线10复杂双网隔离计算机复杂双网隔离计算机l优点仅仅增加控制卡和远端设备（无源），成本低安装容易，不需重新安装操作系统软切换，界面友好存在数据传输通道l设置一个逻辑分区，内网状态只读，外网状态可读写l缺点控制卡复杂11双网隔离计算机双网隔离计算机l侧重保密需求l政府中应用较多l对病毒并无特别防护l使用中注意其它数据传输途径的危害软盘/USB等MODEM123.2 协议隔离技术协议隔离技术l使用不同的协议，切断整个系统内的全局连通性l避免

5、被攻击后整个系统处于危险状态l类似于代理技术，协议转换相当于在不同协议之间的代理l常用于安全要求较高，但是又不得不建立连接的地方13串口串口/并口隔离技术并口隔离技术转换机1转换机2TCP/IPTCP/IP串口/并口专用协议，专用程序简单协议如：文件传送特定协议包的转发14串口串口/并口隔离技术并口隔离技术l优点简单，相对比较安全l缺点专有的转换程序、协议，不容易维护速率慢隐患l如简单的文件传输，带病毒的文件也会被传输15异构协议的隔离技术异构协议的隔离技术转换机1转换机2TCP/IPTCP/IPIPX/SPX专用协议，专用程序简单协议如：文件传送特定协议包的转发16异构协议的隔离技术异构协议

6、的隔离技术l破坏全局连通性l仅仅允许特定数据包被转发l安全性取决于程序的实现转换机的操作系统安全性转换的协议细节17异构协议的隔离技术异构协议的隔离技术l转换的协议一般采用基于数据包 收/发 的通信方式跟应用直接相关如证券交易的操作l主机签到/签到应答l交易请求/交易应答l查询请求/查询应答l协议越简单，实现的难度越低，越不容易出现问题，越安全18案例：网上证券交易系统案例：网上证券交易系统转换机1转换机2IPX/SPX防火墙证券业务专网防火墙加/解密交易处理Internet客户机Internet19同构协议的隔离技术同构协议的隔离技术l单向连接仅仅允许信息单向流动如一个系统需要公开发布的信息

7、，可以通过单向连接传输出去，而系统不具备任何被攻击的可能l实时交换先连接到一个网络上读取一些数据断开所有连接，对数据进行处理、安全检查再连接到一个网络上发送这些数据20实时交换技术实时交换技术外网内网控制存储介质从外网取数据21实时交换技术实时交换技术外网内网控制存储介质处理、安全检查22实时交换技术实时交换技术外网内网控制存储介质数据发送给内网23实时交换技术实时交换技术243.3 防火墙技术防火墙技术lFirewalll来源于建筑业，用墙来分隔建筑物的各个部分，并具有防火功能。l万一某一部分或单元失火时，火灾被限制在一个局部范围内，其它部分不会受到损害。25防火墙技术防火墙技术 主要介绍：

8、1.防火墙基本概念2.防火墙的分类3.包过滤4.代理服务26防火墙基本概念防火墙基本概念 l防火墙是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，目的是保护网络不被他人侵扰。l本质上，它遵循的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。l网络边界上访问控制设施。根据预先定义的策略控制穿过防火墙的信息流通。27防火墙基本概念防火墙基本概念l通常，防火墙就是位于内部网或Web站点与因特网之间的一个设备。l防火墙是由管理员为保护自己的网络免遭外界非授权访问但又允许与因特网联接而发展起来的。l防火墙可以看成是安装在两个网络之间的一道栅栏

9、，根据安全计划和安全策略中的定义来保护其后面的网络。28防火墙基本概念防火墙基本概念l由软件和硬件组成的防火墙应该具有以下功能：所有进出网络的通信流都应该通过防火墙。所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。理论上说，防火墙是穿不透的。29防火墙基本概念防火墙基本概念l内部网需要防范的三种攻击有：间谍：试图偷走敏感信息的黑客、入侵者和闯入者。盗窃：盗窃对象包括数据、Web表格、磁盘空间和CPU资源等。破坏系统：通过路由器或主机服务器蓄意破坏文件系统或阻止授权用户访问内部网 （外部网）和服务器。l防火墙的作用是保护Web站点和公司的内部网，使之免遭因特网上各种危险的侵犯。30 防

10、火墙基本概念防火墙基本概念 防火墙在因特网与内部网中的位置 从逻辑上讲，防火墙是一个控制器，控制内外网之间的通信。从物理角度看，防火墙物理实现的方式有所不同。通常防火墙是一组硬件设备，即路由器、计算机或者是路由器、计算机和配有适当软件的网络的多种组合。31防火墙基本概念防火墙基本概念l防火墙的基本功能防火墙能够强化安全策略防火墙能有效地记录因特网上的活动防火墙限制暴露用户点防火墙是一个安全策略的检查站l防火墙的不足之处不能防范恶意的知情者防火墙不能防范不通过它的连接防火墙不能防备全部的威胁防火墙不能防范病毒32防火墙分类防火墙分类l 包过滤型根据数据包的源地址、目的地址、协议、端口、协议内部数

11、据、时间、物理接口来判断是否允许数据包通过。外在表现：路由型、透明网桥型、混合型优点：性能高，对应用透明，使用方便缺点：安全控制粒度不够细33防火墙分类防火墙分类 l应用层代理对不同的应用进行相关的特殊处理，一般具有身份认证、访问控制、日志等功能。不同的应用需要不同的代理：HTTP、FTP、TELNET、SMTP、POP3l优点：安全控制粒度细，可以实现基于用户的控制l缺点：每种应用要设置，对用户不透明，不是所有应用都支持代理使用复杂性能低34防火墙分类防火墙分类代理的实现过程 35应用层代理应用层代理lHTTP，本身支持代理GET URL_You_Want HTTP/1.0CONNECT I

12、P:PORT HTTP/1.0l(tcp proxy for ssl)lPOP3协议，原来不支持代理，扩展语法USER proxy-userproxy-user:server-userserver-userserverserver PASS proxy-passproxy-pass:server-passserver-pass 36防火墙分类防火墙分类l链路级代理类似于应用层代理，区别是不针对专门应用协议，而是针对TCP、UDP连接进行中继服务，一般具有身份认证、访问控制、日志等功能，最典型的是socks代理。l优点：安全控制粒度适中，可以实现基于用户的控制在Windows环境下，通过截获wi

13、nsock调用，基本上可以做到对应用透明，使用方便l缺点：性能低 373.4 包过滤防火墙包过滤防火墙l包过滤型防火墙是应用最普遍的防火墙。l包是网络上信息流动的单位。l包过滤型防火墙对经过它的数据包进行处理，仅仅允许安全策略允许的数据包通过。其他的数据包全部丢弃。l在处理过程中可以进行日志记录。l包过滤一直是一种简单而有效的方法。通过拦截安全策略不允许的数据包，保护内部网络的安全。38包过滤防火墙包过滤防火墙包过滤防火墙一般放置在不同安全等级的网络之间案例：XXX市政府业务网络结构图39包过滤防火墙包过滤防火墙l每个数据包有两个部分：数据部分和包头。l每个数据包都包含有特定信息的一组报头，其

14、主要信息是：IP协议类型（TCP、UDP，ICMP等）IP源地址IP目标地址IP选择域的内容TCP或UDP源端口号TCP或UDP目标端口号ICMP消息类型l包过滤器主要根据以上信息决定一个数据是否符合安全策略要求40包过滤防火墙包过滤防火墙41包过滤防火墙包过滤防火墙42包过滤防火墙包过滤防火墙l包过滤器规则包过滤器工作时依靠预先设定的规则来对数据包进行判断l没有被明确允许的都被拒绝l规则有先后顺序关系l规则的例子Allow proto=icmp src=202.38.64.0/24Reject proto=tcp src=202.38.64.40 dst=202.38.64.2 dport=

15、80Allow proto=tcp dst=202.38.64.2 dport=8043包过滤操作流程图包过滤操作流程图 44包过滤防火墙包过滤防火墙包过滤设计考虑图中的网络，其中过滤路由器被用作在内部被保护网络和外部不信任网络之间的第一道防线。策略：内部SMTP Server:202.38.64.1 允许从128.0.0.1以外的SMTP连接 允许SMTP Server对外发邮件45包过滤防火墙包过滤防火墙序号动作 协议SRCSportDSTDportSYN1REJTCP128.0.0.01any202.38.64.1252ACP TCPany1024202.38.64.1253ACP TC

16、P 202.38.64.125any1024!SYN4ACP TCP 202.38.64.1 1024any255ACP TCPany25202.38.64.11024!SYN46包过滤防火墙包过滤防火墙l仅仅根据单个数据包判断的包过滤防火墙有很多弊端l如：仅仅允许内部机器访问DNS 服务(UDP 53)47包过滤防火墙包过滤防火墙序号动作 协议SRCSportDSTDportSYN1ACP UDP内网1024any532ACP UDPany53内网1024所有内网UDP 1024端口都开放了！48包过滤防火墙包过滤防火墙l状态包过滤 Stateful Firewalll记录数据包的连接状态T

17、CP:SYN_SENT,SYN_RECV,ESTABLISHED,TIME_OUT等，根据数据包的内容动态修改UDP:无状态，第一个数据包触发创建一个新连接，后续的数据包刷新该连接，直到超时后连接信息被删除ICMP:状态49包过滤防火墙包过滤防火墙l状态表超时 协议 SRC Sport DST Dport state50SYNSYN ACKACKClientServer状态SYN_SENTESTABLISHED51包过滤防火墙包过滤防火墙l状态过滤状态：lESTABLISHED 已经建立的连接的数据包lRELATED已经建立的连接相关连接的数据包，如ftp的data连接lNEW新连接lINVA

18、LID不属于任何连接的无效数据包，一般情况下，这种数据包应该丢弃52SMTP的例子的例子序号动作 协议SRCSportDSTDportSTATE1REJTCP128.0.0.01any202.38.64.1252ACP AnyanyanyanyanyESTABLISHED,RELATED3ACP TCPany1024202.38.64.125NEW4ACP TCP 202.38.64.1 1024any25NEW53UDP的例子的例子序号动作 协议 SRCSportDST DportSTATE1ACP AnyanyanyanyanyESTABLISHED,RELATED2ACP UDP 内网

19、1024any53NEW54l9、静夜四无邻，荒居旧业贫。3月-233月-23Monday,March 20,2023l10、雨中黄叶树，灯下白头人。11:05:3511:05:3511:053/20/2023 11:05:35 AMl11、以我独沈久，愧君相见频。3月-2311:05:3511:05Mar-2320-Mar-23l12、故人江海别，几度隔山川。11:05:3511:05:3511:05Monday,March 20,2023l13、乍见翻疑梦，相悲各问年。3月-233月-2311:05:3611:05:36March 20,2023l14、他乡生白发，旧国见青山。20 三月

20、202311:05:36 上午11:05:363月-23l15、比不了得就不比，得不到的就不要。三月 2311:05 上午3月-2311:05March 20,2023l16、行动出成果，工作出财富。2023/3/20 11:05:3611:05:3620 March 2023l17、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。11:05:36 上午11:05 上午11:05:363月-23l9、没有失败，只有暂时停止成功！。3月-233月-23Monday,March 20,2023l10、很多事情努力了未必有结果，但是不努力却什么改变也没有。11:05:3611:05

21、:3611:053/20/2023 11:05:36 AMl11、成功就是日复一日那一点点小小努力的积累。3月-2311:05:3611:05Mar-2320-Mar-23l12、世间成事，不求其绝对圆满，留一份不足，可得无限完美。11:05:3611:05:3611:05Monday,March 20,2023l13、不知香积寺，数里入云峰。3月-233月-2311:05:3611:05:36March 20,2023l14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。20 三月 202311:05:36 上午11:05:363月-23l15、楚塞三湘接，荆门九派通。三月 2311:05

22、 上午3月-2311:05March 20,2023l16、少年十五二十时，步行夺得胡马骑。2023/3/20 11:05:3611:05:3620 March 2023l17、空山新雨后，天气晚来秋。11:05:36 上午11:05 上午11:05:363月-23l9、杨柳散和风，青山澹吾虑。3月-233月-23Monday,March 20,2023l10、阅读一切好书如同和过去最杰出的人谈话。11:05:3611:05:3611:053/20/2023 11:05:36 AMl11、越是没有本领的就越加自命不凡。3月-2311:05:3611:05Mar-2320-Mar-23l12、越

23、是无能的人，越喜欢挑剔别人的错儿。11:05:3611:05:3611:05Monday,March 20,2023l13、知人者智，自知者明。胜人者有力，自胜者强。3月-233月-2311:05:3611:05:36March 20,2023l14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。20 三月 202311:05:36 上午11:05:363月-23l15、最具挑战性的挑战莫过于提升自我。三月 2311:05 上午3月-2311:05March 20,2023l16、业余生活要有意义，不要越轨。2023/3/20 11:05:3611:05:3620 March 2023l17、一个人即使已登上顶峰，也仍要自强不息。11:05:36 上午11:05 上午11:05:363月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉