计算机网络及网络安全技术.ppt

1、Slide Title,Body Text,Second Level,Third Level,Fourth Level,Fifth Level,*,*,*,2004.,Teamsun.All rights reserved.,Presentation_ID,1,1,1,2003,Cisco Systems,Inc.All rights reserved.,Presentation_ID,计算机网络及网络安全技术,北京华胜天成科技股份有限公司,售前技术部：王超,2005,年,1,月,内容概述,计算机网络基础,局域网技术及解决方案,广域网技术及解决方案,网络安全相关技术及解决方案,问题,&,应答,

2、计算机网络基础,OSI,七层参考模型,Application,Presentation,Session,Transport,Network,Data Link,Physical,Data Link,Network,Transport,Session,Presentation,Application,Physical,比特流,帧（,Frame）,包（,Packet）,分段（,Segment）,会话流,代码流,数据,TCP/IP,协议簇,传输层,数据连路层,网络层,物理层,应用层,会话层,表示层,应用层,传输层,网络层,物理层,HTTP、FTP、SMTP、,SNMP、POP、TELNET、,RIP

3、NNTP,等,TCP和UDP,IP、ICMP、IGMP、,ARP、RARP,等,Ethernet、ATM、FDDI、,X.25、ISDN,等,内容分发,负载均衡,路由器,交换机,TCP,会话连接,SYN received,主机,A：,客户端,主机,B：,服务端,发送,TCP SYN,分段,(,seq,=100,ctl,=SYN),1,发送,TCP SYN&ACK,分段,(,seq,=300,ack,=101,ctl,=,syn,ack,),SYN received,2,Established,(,seq,=101,ack,=301,ctl,=,ack,),3,TCP,连接的终止,主机,B：,

4、服务端,主机,A：,客户端,1,发送,TCP FIN,分段,2,发送,TCP ACK,分段,3,发送,TCP FIN,分段,4,发送,TCP ACK,分段,关闭,A,到,B,的连接,关闭,A,到,B,的连接,局域网技术及解决方案,局域网技术,1、局域网（,LAN）,的定义：,LAN,是一个覆盖地理位置相对较小的高速数据网络，通过电缆将服务器、工作站、打印机和其它设备连接到一起。这种网络通常位于一个比较集中的建筑群内。,2、,LAN,拓扑结构：,电脑连接的方式叫,“,网络拓扑,”,，常见的,LAN,物理拓扑结构,有三种：总线型、环型和星型。而,逻辑拓扑结构,只有总线型和环型两种。逻辑总线型和环型

5、拓扑结构通常可以在星型物理拓扑结构中实现。,图一,总线型,（以太网）,图二,环型,（令牌环、,FDDI）,图三,星型,图四,星型,局域网技术,3、以太网类型：,1）标准以太网,：,速率为10,Mbps，,传输介质为同轴电缆或双绞线,；,2）快速以太网：,速率为100,Mbps，,传输介质为双绞线或光纤；,3）千兆以太网：,速率为1000,Mbps，,传输介质为双绞线或光纤；,4）万兆以太网：速率为10000,Mbps,传输介质为双绞线或光纤.,4、局域网（以太网）设备：,1）网络线缆,：,同轴电缆、双绞线、光纤。,2）网卡：,一种电脑辅助板卡，一面插入电脑母板的扩展槽，另一面与网络线缆相连。网

6、卡完成网络通信所需的各种功能。只有通过网卡，电脑才能通过网络进行通信。,目前常用的以太网卡：10,M、10/100M,自适应、1000,M。,3）,集线器：,是一种连接多个用户节点的,物理层,设备，每个经集线器连接的节点都需要一条专用电缆，用集线器可以建立一个物理的星型网络结构。,常用的集线器按速率分有10,M、100M、10/100M,自适应三种，支持的端口数从8口到24口不等。集线器令所有端口,共享,10,M（,或100,M）,带宽。,局域网技术,4、局域网（以太网）设备：,4）交换机：,是,数据链路层,设备，它将较大的局域网分解成较小的子网，另每个端口下连接的单个设备或子网独享10,M（

7、或100,M）,分段，然后再实现分段间通信。,交换机对大网进行细分，减少了从一个分段到另一个分段时不必要的网络信息流，从而解决了网络拥塞问题，提高网络整体性能。,常见交换机类型：10,M、10/100M、1000M，,端口从8口到48口不等。,交换机还有可堆叠、不可堆叠，可网管、不可网管以及是否带三层路由功能之分。,交换机,集线器,子网,A,集线器,子网,B,局域网技术,5、虚拟局域网（,VLAN）,简介：,1）,所谓,VLAN,，,是指一个由多个段组成的物理网络中的结点的,逻辑分组,，利用,VLAN，,工作组应用可以象所有工作组成员都连接到同一个物理网段上一样进行工作，而不必关心用户实际连

8、接到哪个网段上。,VLAN,是交换式,LAN,的最大特点。,交换机,信息中心,交换机,A楼,交换机,B楼,部门,A,部门,B,部门,A,部门,B,局域网技术,2）,VLAN,的优点：,改进管理的效率：,VLAN,提供了有效的机制来控制由于企业结构、人事或资源变化对网络系统所造成的影响。例如，当用户从一个地点移到另一个地点时，只需对交换机的配置稍做改动即可，大大简化了重新布线。配置和测试的步骤。,控制广播活动：,VLAN,可保护网络不受由广播流量所造成的影响，一个,VLAN,内的广播信息不会传送到,VLAN,之外，网络管理人员可以通过设置,VLAN,灵活控制广播域。,增强网络安全：,VLAN,创

9、造了虚拟边界，它只能通过路由跨越，因此通过将网络用户划分到不同,VLAN,并结合访问控制，可控制,VLAN,外部站点对,VLAN,内部资源的访问，提高网络的安全性。,3）,VLAN,的划分方法：,MAC,地址、,IP,地址、交换机端口,5、虚拟局域网（,VLAN）,简介：,局域网络,的设计需求,更高的可靠性,冗余的网络结构：,STP，PVST,高速故障链路切换：,Uplink fast,Backbone fast,Port fast,更高的安全性,完整的网络安全策略：,VLAN,基于交换机端口的安全性，,更高的性能,基于光纤和,UTP,的千兆以太网及以太网通道,高效的第三层交换,更好的可管理性

10、强大的网络管理工具：,CiscoWorks2000,支持未来业务的发展,企业总部局域网网络解决方案,CiscoWorks,2000,网管,邮件服务器,4GB GEC,1000M,10/100,M,10/100,M,在具备光纤资源的营业部采用,Catalyst4000/3500,接入，否则采用,Catalyst 2950T,接入,业务服务器,10/100,M,10/100,M,Catalyst 2950T,1000M,1000M,OA,服务器,Catalyst 3550,工作站 10/100,M,接入,中心两台,Catalyst 6509,配置千兆模块，支持,VLAN,和高速三层交换,1000

11、M,1000M,企业总部局域网网络解决方案特点,特点：,1.系统全套备份,稳定可靠；双中心配置，中心设备交换引擎、路由引擎冗余配置；二级交换机到中心交换机链路冗余配置,2.高性能；,Catalyst 6500,交换机可具有高达256,Gbps,的交换交换矩阵，保证中心高性能交换；,千兆主干，满足大负荷网络运行需求,3.三层交换，虚拟网络划分，,有效隔离办公与业务网络，,避免广播风暴，提高网络性能,4.边缘交换机采用10/,100M,端口连接终端用户，,Catalyst 3550,光纤千兆上联，堆叠扩展用户数目，节省上联链路；,Catalyst 2950,采用,UTP,千兆上联，投资保护,5.,

12、思科,GEC/FEC,带宽聚合技术保证网络速度不会造成人行业务的瓶颈,6.实施丰富的网络安全控制策略，,ACL,VLAN；,可以配置入侵检测模块,IDS,7.管理简单，浏览器方式无需专门培训；配置,CiscoWorks,2000,网管软件及,NAM,模块,8.良好的扩充性,可满足不断增长的用户网络需求,9.支持多媒体应用，视频点播、,IP,电话机供电,企业大型分支机构局域网网络解决方案,CiscoWorks,for Windows,或,CiscoWorks,2000,网管,邮件服务器,4GB GEC,中心两台,Catalyst4506/4507，,配置千兆模块，支持,VLAN,和高速三层交换,

13、1000M,10/100,M,10/100,M,业务服务器,10/100,M,10/100,M,Catalyst 2950T,1000M,1000M,OA,服务器,Catalyst 3550,工作站 10/100,M,接入,1000M,1000M,Catalyst 3550,企业大型分支机构局域网网络,解决方案特点,1.系统稳定可靠；采用,Catalyst4506/4507,组成双中心，且链路冗余；,2.高性能全交换、千兆主干，满足大负荷网络运行需求；中心交换机备板,64,Gbps,，,二层和三层交换性能为48,MPPS;,3.三层交换，虚拟网络划分，,有效隔离办公与业务网络，,避免广播风暴，

14、提高网络性能；,4.,边缘交换机采用10/,100M,端口连接终端用户，,Catalyst 3550,光纤千兆上联，可堆叠扩展用户数目，节省上联链路；,Catalyst 2950,采用,UTP,千兆上联，投资保护,5.,思科,GEC/FEC,带宽聚合技术保证网络速度不会造成业务的瓶颈,6.系统安全,保密性高;,ACL，VLAN,等网络安全策略,7.管理简单，浏览器方式无需专门培训;,配置,CiscoWorks,2000,或,CiscoWorks,Windows,网管软件,8.良好的扩充性,9.支持多媒体应用，视频点播、,IP,电话机供电,企业中型分支机构局域网网络解决方案,CiscoWorks

15、for Windows,网管,OA/,邮件服务器,4GB GEC,中心两台,Catalyst3550T,交换机，通过千兆连接，支持,VLAN,和高速三层交换,1000M,10/100,M,10/100,M,业务服务器,10/100,M,10/100,M,Catalyst 2950T,1000M,1000M,Catalyst 2950T,工作站 10/100,M,接入,1000M,1000M,Catalyst 2950T,企业中型分支机构局域网网络,解决方案特点,1.系统稳定可靠；采用,Catalyst 3550T,组成双中心，且链路冗余；,2.高性能全交换、千兆主干，满足大负荷网络运行需求；

16、中心交换机备板24,Gbps,;,性能价格比高;,17,Mpps,的二、三层转发速率；,3.三层交换，虚拟网络划分，,有效隔离办公与业务网络，,避免广播风暴，提高网络性能；,4.,边缘交换机采用10/,100M,端口连接终端用户，,Catalyst 3550,光纤千兆上联，可堆叠扩展用户数目，节省上联链路；,Catalyst 2950T,采用,UTP,千兆上联，投资保护,5.,思科,GEC/FEC,带宽聚合技术保证网络速度不会造成业务的瓶颈,6.系统安全,保密性高;,ACL，VLAN,等网络安全策略,7.管理简单，浏览器方式无需专门培训;,配置,CiscoWorks,Windows,网管软件,

17、8.良好的扩充性,9.支持多媒体应用，视频点播,企业小型分支机构局域网网络解决方案,CiscoWorks,for Windows,OA/,邮件服务器,4GB GEC,中心两台,Catalyst3550,交换机，通过千兆连接，支持,VLAN,和高速三层交换,100M,业务服务器,100M,100M,工作站,100M,100M,企业小型分支机构局域网,网络解决方案特点,1.,系统稳定可靠；采用,Catalyst 3550,组成双中心，且链路冗余；,2.,性价比高，全交换、百兆主干，满足小规模网络运行需求；中心交换机备板8.8,Gbps,;6.6Mpps,的二、三层转发速率；,3.三层交换，虚拟网络

18、划分，,有效隔离办公与业务网络，,避免广播风暴，提高网络性能；,4.思科,GEC/FEC,带宽聚合技术保证网络速度不会造成业务的瓶颈,5.系统安全,保密性高;,ACL，VLAN,等安全策略,6.管理简单，浏览器方式无需专门培训;,配置,CiscoWorks,Windows,网管软件,7.良好的扩充性,8.支持多媒体应用，视频点播,IEEE 802.1x,Authentication,Server,2,3,802.1x is a client-server-based access control and authentication protocol that,restricts unauth

19、orized devices from connecting,to a LAN through publicly accessible ports,4,1,1,User activates link(i.e.PC Powers on),2,Switch requests Authentication Server if user authorised to access LAN,3,4,Authentication Server responds with authority access,Switch opens controlled port(if authorised)for user

20、to access LAN,802.1,X,首先是一个认证协议，是一种对用户进行认证的方法和策略。,802.1,X,是基于端口的认证策略,（这里的端口可以是一个实实在在的物理端口也可以是一个就像,VLAN,一样的逻辑端口，对于无线局域网来说个“端口”就是一条信道）,802.1,X,的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许,802.1,X,的认证报文,EAPOL,（,Extensible Authentication Protocol over LAN,）,通过。,802.

21、1,x,是用来做什么的？,在,win98,下提供的客户端：,在,winXP,下提供的客户端：,IEEE 802.1x,认证客户端,广域网技术及解决方案,广域网综述,广域网综述：,广域网,是地理位置较为分散的局域网之间链接通道的集合。,广域网的出现是为了解决局域网与一台远程工作站或另一个局域网链接的问题，在这种情况下，需要链接的距离已超过了线缆媒体的规格，或者不可能进行物理性的线缆连接，为了实现广域网，需要用到下面这些传输媒体：,普通电话网（,PSTN）,X.25,专线,一线通,ISDN,DDN,专线,帧中继业务,国际互联网(,Internet),高速光缆,卫星链路,微波传输链路,无线广播媒体,

22、一线通,ISDN,一线通,ISDN：,ISDN,是一种建立在全数字化网络基础上的综合业务,数字,网络，中国电信称之为,“,一线通,”,。它有以下特点：,1）通过一根普通电话线您可以进行多种业务通信，如用于电话、上网、传真、会议电视、局域网互连等；,2）因为,ISDN,提供2,B+D,服务（,B,信道传输速率为64,K，D,信道为,“,服务信道,”,传输速率16,K），,通过一根普通电话线您可以同时进行两路通信，比如边上国际互联网边打电话，或两部电话同时通话等；,3）可以同时使用两个,B,信道来进行数据传输，从而获得128,K,的总体传输速率，当一个,B,信道用于语音传送时，另一个,B,信道上的

23、传输速率就会降回原始的64,K，,当语音停止传送时，数据传送速率就会立即恢复成128,K。,数据专线,DDN,专线：,DDN,是数字数据网的简称，主要是为用户提供永久的出租数字电路。,DDN,为用户开放多种形式的业务：点对点的专线、一点对多点的连接、同点对多点的图像通信等。速率从9.6,K、19.2K、64K,一直2,M。,帧中继业务,：,帧中继提供了高速度、高效率、大吞吐量、低时延的数据服务。帧中继利用永久性虚电路（,PVC）,建立可靠的端到端回路。,对于低速帧中继业务可通过,DDN,网内以帧中继,OVER DDN,的方式或经由,DDN,网接入宽带,ATM,网；对于高速用户可使用光纤或,HD

24、SL,直接接入,ATM,网。,相对于,DDN,电路，帧中继更适合于点到多点的业务。,DDN,的点到多点业务只能提供轮询方式（在一段时间内，主点只能与一个从点进行通信）。帧中继业务采用,PVC,方式，可提供与所有从站并发双工通信。另外，由于帧中继支持突发数据，也比较适合于局域网互连或业务突发量较大的应用。,VPN,技术使用户可以通过国际互联网为企业构筑安全可靠、方便快捷的企业私有网络。,根据业务类型，,VPN,业务大致可分为两类，拨号,VPN,与专线,VPN。,所谓拨号,VPN，,指企业员工或企业的小分支机构通过当地,ISP,拨号入公网的方式而构筑的虚拟网。专线,VPN,是指企业的分支机构通过租

25、用当地专线入公网来构筑的虚拟网。,VPN,系统使分布在不同地方的专用网络在不可信任的公共网络上安全地通信。它采用复杂的算法来加密传输的信息，使得敏感的数据不会被窃听。,工作过程：,局域网中被保护的主机发明文信息到,VPN,设备，,VPN,对数据加密后通过路由器送到互联网上，加密的数据从互联网到达另一个局域网的路由器，然后由路由器后面的,VPN,设备将数据解密后送到,VPN,后面被保护的主机上。,通过国际互联网建立虚拟专用网（,VPN）,：,VPN,技术,当地专线,隧道从一个,VPN,设备开始到另一个,VPN,设备结束。,当地专线,拨当地,ISP,拨长途号,租长途专线,专用网,虚拟专用网,国际互

26、联网,分支机构,总部,局域网,路由器,VPN,设备,VPN,设备,路由器,带,VPN,软件的远程站点,VPN,技术,防火墙,Checkpoint&,FortiGate,400,出口路由器,CISCO 3620,INTERNET,SDH,128,KDDN,专线,XXX,单位网络系统拓扑图,2,M,数字电路,中心交换机,Catalyst4006,股份公司,防火墙,PIX515-R,出口路由器,CISCO 3640,内部路由器,CISCO 3745,4,M,数字电路,PSTN,财务信息系统,DMZ,防火墙,拨号路由器,财务客户端,财务客户端,财务客户端,DB*2,Switch*2,RAID,APP*

27、2,TAPE,DB=,数据库服务器,APP=,应用服务器,RAID=,磁盘阵列,TAPE=,磁盘阵列,2,Gb/s,光纤通道,WEB,WEB=WWW,服务器,应用实例一：,总部网络,拥有静态,IP,地址的分公司网络,拥有动态,IP,地址的分公司网络,备用,VPN,通道,DDN,专用线路,公司外地出差人员,公司外地出差人员,拥有静态,IP,地址的分公司所属各经营部,拥有动态,IP,地址的分公司所属各经营,FortiGate-100,FortiGate-50,两网关设备间,IPSecVPN,通道,FortiNet,SSH,软件,IPSecVPN,通道,L2TP/PPTP VPN,通道,XXX,集团

28、销售公司,VPN,专网,应用实例二：,VPN,网络安全技术及相关解决方案,防火墙技术,防火墙,：,是加载于可信网络与不可信网络之间的安全设备，是网络安全政策的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。,防火墙可以是软件、硬件和软硬件结合的,发展历经简单包过滤、应用代理、状态检测（状态包过滤）防火墙,最新技术是具有数据流过滤功能的防火墙,对于一个网络来说，所有通过“内部”和“外部”的网络流量都要经过防火墙,防火墙本身必须建立在安全操作系统的基础上,防火墙的控制能力,服务控制，确定哪些服务可以被访问,方向控制，对于特定的服务，可以确定允许哪个方向能够通过

29、防火墙,用户控制，根据用户来控制对服务的访问,行为控制，控制一个特定的服务的行为,防火墙主要功能,过滤进、出网络的数据,管理进、出网络的访问行为,封堵某些禁止的业务,记录通过防火墙的信息内容和活动,对网络攻击进行检测和报警,内部工作子网与外网的访问控制,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,合法请求则允许对外访问,发起访问请求,防火墙在此处的功能：,1、工作子网与外部子网的物理 隔离,2、访问控制,3、对工作子网做,NAT,地址转换,4、日志记录,Internet,区域,Internet,边界路由器,DMZ,区域,WWW Mail DNS,内部工作子网

30、管理子网,一般子网,内部,WWW,重点子网,DMZ,区域与外网的访问控制,Internet,区域,Internet,边界路由器,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,禁止对外发起连结请求,发起访问请求,防火墙在此处的功能：,1、,DMZ,网段与外部子网的物理隔离,2、访问控制,3、对,DMZ,子网做,MAP,映射,4、日志记录,DMZ,区域,WWW Mail DNS,内部工作子网,管理子网,一般子网,内部,WWW,重点子网,内部子网与,DMZ,区的访问控制,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,禁止对工作子网

31、发起连结请求,发起访问请求,Internet,区域,Internet,边界路由器,DMZ,区域,WWW Mail DNS,内部工作子网,管理子网,一般子网,内部,WWW,重点子网,拨号用户对内部网的访问控制,拨号服务器,Cisco 2620,移动用户,PSTN,Modem,Modem,进行一次性口令认证,认证通过后允许访问 内网,将访问记录写进日志文件,内部工作子网,管理子网,一般子网,内部,WWW,重点子网,下属机构对总部的访问控制,拨号服务器,PSTN,Internet,区域,Internet,边界路由器,内部工作子网,管理子网,一般子网,内部,WWW,重点子网,下属机构,DDN/FR,X

32、25,专线,DMZ,区域,WWW Mail DNS,FW+VPN,FW+VPN,进行规则检查,将访问记录写进日志文件,防火墙在此处的功能：,1、将内部子网与连接下属机构的公网隔离开,2、控制下属机构子网用户对总部内网的访问,3、对下属机构网络与总部子网之间的通讯做日志和审计,基于时间的访问控制,Host C,Host D,在防火墙上制定基于时间的访问控制策略,上班时间不允许访问,Internet,上班时间可以访问公司的网络,Internet,用户级权限控制,Host C,Host D,Host B,Host A,受保护网络,Internet,Permit,Password,Username,

33、预先可在防火墙上设定用户,root,123,root,123,Yes,admin,883,No,不管那台电脑都可以用相同的用户名来登陆防火墙,只需在防火墙设置该用户的规则即可,高层协议控制,应用控制可以对常用的高层应用做更细的控制,如,HTTP,的,GET、POST、HEAD,如,FTP,的,GET、PUT,等,物理层,链路层,网络层,传输层,会话层,表示层,应用层,物理层,链路层,网络层,传输层,会话层,表示层,应用层,内部网络,外部网络,防火墙,内部接口,外部接口,根据策略检查应用层的数据,符合策略,应用层,应用层,应用层,IP,与,MAC,绑定,Internet,Host A,199.1

34、68.1.2,Host B,199.168.1.3,Host C,199.168.1.4,Host D,199.168.1.5,00-50-04-,BB-71-A6,00-50-04-,BB-71-BC,Bind 199.168.1.2 To 00-50-04-BB-71-A6,Bind 199.168.1.4 To 00-50-04-BB-71-BC,IP,与,MAC,地址绑定后，不允许,Host B,假冒,Host A,的,IP,地址上网,防火墙允许,Host A,上网,流量控制,Host C,Host D,Host B,Host A,受保护网络,Host A,的流量已达到 10,M,Ho

35、st A,的流量已达到 极限值30,M,阻断,Host A,的连接,Internet,端口映射,Internet,公开服务器可以使用私有地址,隐藏内部网络的结构,WWW,199.168.1.2,FTP,199.168.1.3,MAIL,199.168.1.4,DNS,199.168.1.5,199.168.1.6,12.4.1.5,202.102.1.3,199.168.1.2：80,202.102.1.3：80,199.168.1.3：21,202.102.1.3：21,199.168.1.4：25,202.102.1.3：25,199.168.1.5：53,202.102.1.3：53,1

36、99.168.1.2,202.102.1.3,NAT,网关和,IP,复用,Internet,202.102.93.54,Host A,受保护网络,Host C,Host D,192.168.1.21,192.168.1.25,防火墙,Eth2：192.168.1.23,Eth0：101.211.23.1,数据,IP,报头,数据,IP,报头,源地址：192.168.1.21,目地址：202.102.93.54,源地址：101.211.23.1,目地址：202.102.93.54,101.211.23.2,隐藏了内部网络的结构,内部网络可以使用私有,IP,地址,公开地址不足的网络可以使用这种方式提

37、供,IP,复用功能,透明接入,受保护网络,Internet,如果防火墙支持透明模式，则内部网络主机的配置不用调整,Host A,199.168.1.2,Host C,199.168.1.4,Host D,199.168.1.5,Host B,199.168.1.3,199.168.1.8,同一网段,透明模式下，这里不用配置,IP,地址,透明模式下，这里不用配置,IP,地址,Default Gateway=199.168.1.8,防火墙相当于网桥，原网络结构没有改变,信息系统审计与日志,Host A,199.168.1.2,Host B,199.168.1.3,Host C,199.168.1.

38、4,Host D,199.168.1.5,Internet,安全网域,Host G,Host H,TCP,202.102.1.2,199.168.1.2,8：30,2001-02-07,202.102.1.2,202.102.1.3,TCP,202.102.1.3,199.168.1.5,9：10,2001-02-07,写入日志,写入日志,一旦出现安全事故,可以查询此日志,身份鉴别功能,Host C,Host D,Host B,Host A,受保护网络,Internet,Permit,Password,Username,预先可在防火墙上设定用户,root,asdasdf,验证通过则允许访问,r

39、oot,123,Yes,admin,883,No,用户身份认证,根据用户控制访问,防火墙的类型,包过滤路由器,应用层网关,电路层网关,这仅是一种防火墙分类方法，所着眼的视角不同，得到的类型划分也不一样,包过滤防火墙,基本的思想很简单,对于每个进来的包，适用一组规则，然后决定转发或者丢弃该包,往往配置成双向的,如何过滤,过滤的规则以,IP,和传输层的头中的域,(,字段,),为基础，包括源和目标,IP,地址、,IP,协议域、源和目标端口号,过滤器往往建立一组规则，根据,IP,包是否匹配规则中指定的条件来作出决定,包过滤路由器示意图,网络层,链路层,物理层,外部网络,内部网络,包过滤,Host C,

40、Host D,数据包,数据包,数据包,数据包,数据包,查找对应的控制策略,拆开数据包,进行分析,根据策略决定如何处理该数据包,数据包,控制策略,基于源,IP,地址,基于目的,IP,地址,基于源端口,基于目的端口,基于时间,基于用户,基于流量,基于数据流,可以灵活的制定,的控制策略,包过滤防火墙的优缺点,在网络层上进行监测,并没有考虑连接状态信息,通常在路由器上实现,实际上是一种网络的访问控制机制,优点,实现简单,对用户透明,效率高,缺点,正确制定规则并不容易,不可能引入认证机制,针对包过滤防火墙的攻击,IP,地址欺骗，例如，假冒内部的,IP,地址,对策：在外部接口上禁止内部地址,源路由攻击，即

41、由源指定路由,对策：禁止这样的选项,小碎片攻击，利用,IP,分片功能把,TCP,头部切分到不同的分片中,对策：丢弃分片太小的分片,利用复杂协议和管理员的配置失误进入防火墙,例如，利用,ftp,协议对内部进行探查,应用层网关,也称为代理服务器,特点,所有的连接都通过防火墙，防火墙作为网关,在应用层上实现,可以监视包的内容,可以实现基于用户的认证,所有的应用需要单独实现,可以提供理想的日志功能,非常安全，但是开销比较大,应用层网关的优缺点,优点,允许用户“直接”访问,Internet,易于记录日志,缺点,新的服务不能及时地被代理,每个被代理的服务都要求专门的代理软件,客户软件需要修改，重新编译或者

42、配置,有些服务要求建立直接连接，无法使用代理,代理服务不能避免协议本身的缺陷或者限制,电路层网关,工作于,OSI/RM,的会话层,充当屏蔽路由器，将内外网彻底隔离,防火墙设计规则,保持设计的简单性,计划好防火墙被攻破时的应急响应,考虑以下问题,双机热备,安全的远程管理,入侵监测的集成,数据保护功能,双机热备,内部网,外网或者不信任域,Eth 0,Eth 0,Eth1,Eth1,Eth2,Eth2,心跳线,Active Firewall,Standby Firewall,检测,Active Firewall,的状态,发现出故障，立即接管其工作,正常情况下由主防火墙工作,主防火墙出故障以后，接管它

43、的工作,安全远程管理,安全网域,Host C,Host D,Internet,管理员,黑客,如何实现,安全管理呢,采用一次性口令认证来实现安全管理,用户名，口令,用户名，口令,数据机密性保护,拨号服务器,PSTN,Internet,区域,Internet,边界路由器,内部工作子网,管理子网,一般子网,内部,WWW,重点子网,下属机构,DDN/FR,X.25,专线,DMZ,区域,WWW Mail DNS,密文,传输,明文传输,明文传输,数据完整性保护,内部工作子网,管理子网,一般子网,内部,WWW,重点子网,下属机构,DDN/FR,X.25,专线,原始数据包,对原始数据包进行,Hash,加密后的

44、数据包,摘要,Hash,摘要,对原始数据包进行加密,加密后的数据包,加密,加密后的数据包,摘要,加密后的数据包,摘要,摘要,解密,原始数据包,Hash,原始数据包,与原摘要进行比较，验证数据的完整性,数据源身份验证,内部工作子网,管理子网,一般子网,内部,WWW,重点子网,下属机构,DDN/FR,X.25,专线,原始数据包,对原始数据包进行,Hash,Hash,摘要,加密,摘要,摘要,取出,DSS,原始数据包,Hash,原始数据包,两摘要相比较,私钥,原始数据包,DSS,DSS,将数字签名附在原始包后面供对方验证签名,得到数字签名,原始数据包,DSS,原始数据包,DSS,DSS,解密,相等吗？

45、验证通过,IDS,IDS,（,Intrusion Detection System,）,就是入侵检测系统，它通过抓取网络上的所有报文，分析处理后，报告异常和重要的数据模式和行为模式，使网络安全管理员清楚地了解网络上发生的事件，并能够采取行动阻止可能的破坏。,监控室=控制中心,后门,保安=防火墙,摄像机=探测引擎,Card Key,形象地说，它就是网络摄象机，能够捕获并记录网络上的所有数据，同时它也是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是,X,光摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄象机，还包括保安员的摄象机，能够对入侵行为自动地进行反击：

46、阻断连接、关闭道路（与防火墙联动）。,入侵检测系统,Firewall,Internet,Servers,DMZ,IDS Agent,Intranet,监控中心,router,攻击者,发现攻击,发现攻击,发现攻击,报警,报警,IDS Agent,入侵检测系统的作用,实时检测,实时地监视、分析网络中所有的数据报文,发现并实时处理所捕获的数据报文,安全审计,对系统记录的网络事件进行统计分析,发现异常现象,得出系统的安全状态，找出所需要的证据,主动响应,主动切断连接或与防火墙联动，调用其他程序处理,典型部署企业内部安装,Intranet,IDS Agent,IDS Agent,Firewall,Int

47、ernet,Servers,DMZ,IDS Agent,监控中心,router,典型部署广域网应用,Internet,监控中心（辅）,IDS Agent,IDS Agent,IDS Agent,IDS Agent,IDS Agent,IDS Agent,监控中心（主）,病毒新概念,病毒感染不仅是一个文件，,而是一个系统,病毒文件会替换操作系统文件,不是所有病毒都可以修复的！,杀蠕虫和特洛伊木马的方法就是删除整个文件,完整的防毒规划七大,要素,多层次,、,全方位,、,跨平台的技术及強大功能,简易快速的网络安装,集中管理,警报和报表系统,自动化服务机制,合理的预算规划,对,企业用户的服务与支持,防

48、毒产品的剖析,选购防毒产品的考虑,防毒解毒能力最重要的基本,能力,管理能力,针对中国用户的病毒库升级服务,选择的标准,厂商提供的比较表最不可靠,单一产品評比仅在當发有效(产品版本不断更新),专业防毒认证具公信力，需要持续送测,主要认证单位,ICSA(,基本认证),Check-Mark(Level 2,确保修复能力),Virus Bulletin(,最,严格,),计算机安全产品认证,Data source:ICSA International Computer Security Association,CheckMark,认证：,,www.check-,Level 1,、,Level 2,Lev

49、el Trojan,ICSA,认证：,www.ICSA.net,On-Demand/On-Access,Cleaning,Internet,Internet Email,网关,防火墙,网关级,群件服务器-,Notes and Exchange,NetWare,Server,NT Server,服务器级,Macintosh,Windows,95/98,WinXP,Windows,NT/2000,客户端级,3.第三是通过软盘和盗版光盘传播病毒,1.第一是电子邮件带来的病毒,2.第二是通过,Internet,浏览、,下载（,HTTP、FTP）,病毒-多层感染途径,只要有可能感染和传播病毒的途径和方式

50、都应有相应的解决方案,服务器,客户端,网关,防病毒,入侵检测,风险管理,内容过滤,内容过滤,入侵检测,防病毒,防火墙,内容过滤,入侵检测,防病毒,防火墙,安全市场的现状：,多层次；多供应商,Internet,病毒网关应用,DMZ,Email,HTTP,财务部,市场部,研发部,Router,Exe/doc/zip,病毒库,病毒网关性能测试,Note 1:The testing results for Symantec,Trend/Cisco and Trend/Nokia are obtained from,Veritest,report December 2002,Note 2:The,For