网络安全技术培训要点PPT课件

防火墙(Firewall)
防火墙的基本设计目标
– 对于一个网络来说，所有通过“内部”和“外部”的网络流 量都要经过防火墙
– 通过一些安全策略，来保证只有经过授权的流量才可以通过 防火墙
– 防火墙本身必须建立在安全操作系统的基础上
防火墙的控制能力
– 服务控制，确定哪些服务可以被访问 – 方向控制，对于特定的服务，可以确定允许哪个方来自百度文库能够通
过防火墙 – 用户控制，根据用户来控制对服务的访问 – 行为控制，控制一个特定的服务的行为
防火墙的类型
➢按网络体系结构分类
OSI模型 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
防火墙 网关级
电路级
路由器级 网桥级 中继器级
➢按应用技术分类 应用代理防火墙 电路级网关 包过滤防火墙
防火墙的实现技术—包过滤技术
彻底防止地址欺骗；一些应用协议不适合于数据包过滤。
包过滤路由器示意图
外部网络
网络层 链路层 物理层
内部网 络
防火墙的实现技术—电路级网关
➢ 工作在会话层。
➢ 它在两个主机首次建立TCP连接时创立一个电子屏障，建立两个 TCP连接。 一旦两个连接建立起来，网关从一个连接向另一个连 接转发数据包，而不检查内容。
网络入侵
多变形病毒 (Tequila)
病毒
安全层次
应用安全 系统安全 网络安全 安全协议 安全的密码算法
网络安全问题概述
1 .计算机网络安全的定义
国际标准化组织(ISO)对计算机系统安 全的定义是：为数据处理系统建立和采用的 技术和管理的安全保护，保护计算机硬件、 软件和数据不因偶然和恶意的原因遭到破坏、 更改和泄露。
网络安全的四种威胁
3.篡改：乙给甲发了如下一份报文： “请给丁汇一百元钱，乙”。报文 在转发过程中经过丙，丙把“丁” 改为“丙”。这就是报文被篡改
4.伪造：用计算机通信时，若甲的 屏幕上显示出“我是乙”时，甲如 何确信这是乙而不是别人呢?
网络安全的四种威胁
另外还有一种特殊的主动攻击就是 恶意程序(rogue program)的攻击。恶意 程序种类繁多，对网络安全威胁较大的 主要有以下几种：
其次，防火墙是一种访问控制技术，用于加强两个 网络或多个网络之间的访问控制
最后，防火墙作为内部网络和外部网络之间的隔离 设备，它是由一组能够提供网络安全保障的硬件、软件 构成的系统。
防火墙示意图
客户机
电子邮件服务器
防
Internet
火
墙
Intranet
Web服务器 数据库服务器
在逻辑上，防火墙是一个分离器，一个限制器，也是一个 分析器，有效地监控了内部网和 Internet 之间的任何活动，保 证了内部网络的安全。
应用层网关的协议栈结构
HTTP FTP Telnet Smtp 传输层 网络层 链路层
应用层网关
优点：代理易于配置；可以提供理想的日志功能；代理能灵
活、完全地控制进出的流量、内容；在应用层上实现，能过 滤数据内容；代理能为用户提供透明的加密机制；代理可以 方便地与其他安全手段集成。
缺点：代理速度较路由器慢；代理对用户不透明；对于每项
优点：效率高
精细控制，可以在应用层上授权 为一般的应用提供了一个框架
缺点：客户程序需要修改
动态链接库
防火墙的实现技术—应用代理服务技术
应用代理是运行于防火墙主机上的一种应用
程序，它取代用户和外部网络的直接通信。
代理技术的基本思想就是在两个网络之间设置一个“中 间检查站”，两边的网络应用可以通过这个检查站相互 通信，但是它们不能越过它直接通信。这个“中间检查 站”就是代理服务器，它运行在两个网络之间，对网络 之间的每一个请求进行检查。
1.计算机病毒： 2.计算机蠕虫： 3.逻辑炸弹:
保护计算机网络安全的措施
➢ 1．物理措施 ➢ 2．数据加密 ➢ 3．访问控制 ➢ 4．防止计算机网络病毒 ➢ 5．其他措施
防火墙技术
防火墙的基本概念
防火墙从本质上说是一种保护装置，可从三个层次上来 理解防火墙的概念：
首先，“防火墙”是一种安全策略，它是一类防范 措施的总称。
➢ 包过滤技术(Packet Filter)：通过在网络连接设备上
加载允许、禁止来自某些特定的源地址、目的地址、TCP端口 号等规则，对通过设备的数据包进行检查，限制数据包进出内 部网络.数据包过滤可以在网络层截获数据,使用一些规则来确 定是否转发或丢弃所截获的各个数据包。
优点：对用户透明；过滤路由器速度快、效率高 。 缺点：只能进行初步的安全控制；设置过滤规则困难，不能
网络面临的安全性威胁
✓ 网络安全包括数据安全和系统安全
✓ 数据安全受到四个方面的威胁 ✓ 设信息是从源地址流向目的地址，那么正
常的信息流向是：
网络安全的四种威胁
1.截获 ：当甲通过网络与乙通信 时，如果不采取任何保密措施，那 么其他人(如丙)，就有可能偷听到 他们的通信内容。
2.中断 ：当用户正在通信时，有 意的破坏者可设法中断他们的通信。
网络安全问题概述
2 .网络安全面临的威胁
➢ 1.物理安全威胁 包括自然灾害、电磁辐射、操作失误和意外
疏忽等 ➢ 2.数据信息的安全威胁
包括网络协议的安全缺陷、应用软件的安全 缺陷和恶意程序等
网络安全问题概述
3 .计算机网络安全的内容
➢ 1.可靠性： ➢ 2.可用性： ➢ 3.保密性： ➢ 4.授权性： ➢ 5.审查性：
服务代理可能要求不同的代理软件；代理服务不能保证你免 受所有协议弱点的限制；代理不能改进底层协议的安全性。
应用层网关的结构示意图
三种防火墙技术的安全功能比较
源地址
包过滤
Y
电路级网关 Y
应用代理
Y
目的地址 用户身份 数据内容
Y
N
N
Y
Y
N
Y
Y
Y
防火墙的实现技术
状态监视技术
这是第三代防火墙技术，集成了前两者的 优点，能对网络通信的各层实行检测。同包 过滤技术一样，它能够检测通过IP地址、端口 号以及TCP标记，过滤进出的数据包。只是在 分析应用层数据时，它与一个应用层网关不 同的是，它并不打破客户机/服务机模式，允 许受信任的客户机和不受信任的主机建立直 接连接。
网络安全技术
网络安全问题日益突出
已知威胁的数量
70,000 60,000 50,000 40,000 30,000 20,000 10,000
混合型威胁 (Red Code, Nimda)
拒绝服务攻击 (Yahoo!, eBay)
发送大量邮件的病毒 (Love Letter/Melissa)
特洛伊木马