《计算机网络设计第05章网络安全设计课件》由会员分享,可在线阅读,更多相关《计算机网络设计第05章网络安全设计课件(96页珍藏版)》请在金锄头文库上搜索。
1、第第5章章 网络安全设计网络安全设计主讲:主讲:刘文硕1计算机网络设计第05章 网络安全设计5.1 网络安全体系结构网络安全体系结构网络安全是一个系统的、全局性的问题。网络安全是一个系统的、全局性的问题。网络安全是一个系统的、全局性的问题。网络安全是一个系统的、全局性的问题。一个好的安全措施是多种方法综合的结果。一个好的安全措施是多种方法综合的结果。一个好的安全措施是多种方法综合的结果。一个好的安全措施是多种方法综合的结果。5.1.1 5.1.1 TCP/IPTCP/IP协议的安全模型协议的安全模型协议的安全模型协议的安全模型 (1 1)网络安全定义)网络安全定义)网络安全定义)网络安全定义网
2、络安全是指网络系统的网络安全是指网络系统的网络安全是指网络系统的网络安全是指网络系统的硬件、软件硬件、软件硬件、软件硬件、软件及其系统中的及其系统中的及其系统中的及其系统中的数据受到保护数据受到保护数据受到保护数据受到保护,不受偶然的或者恶意的原因而遭到,不受偶然的或者恶意的原因而遭到,不受偶然的或者恶意的原因而遭到,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统能连续、破坏、更改、泄露,系统能连续、破坏、更改、泄露,系统能连续、破坏、更改、泄露,系统能连续、可靠的正常运行可靠的正常运行可靠的正常运行可靠的正常运行,网络服务不中断。网络服务不中断。网络服务不中断。网络服务不中断。2计算机
3、网络设计第05章 网络安全设计5.1 网络安全体系结构网络安全体系结构在在在在TCP/IPTCP/IP体体体体系结构中,系结构中,系结构中,系结构中,各层都能提各层都能提各层都能提各层都能提供一定的安供一定的安供一定的安供一定的安全手段。如全手段。如全手段。如全手段。如图图图图5-15-1所示。所示。所示。所示。3计算机网络设计第05章 网络安全设计5.1 网络安全体系结构网络安全体系结构(2 2)接口层的安全)接口层的安全)接口层的安全)接口层的安全接口层安全技术:接口层安全技术:接口层安全技术:接口层安全技术: 加密传输、防电磁波泄漏等。加密传输、防电磁波泄漏等。加密传输、防电磁波泄漏等。
4、加密传输、防电磁波泄漏等。(3 3)网络层的安全)网络层的安全)网络层的安全)网络层的安全网络层安全威胁:网络层安全威胁:网络层安全威胁:网络层安全威胁: 报文窃听、口令失密、流量攻击、拒绝服务攻击等。报文窃听、口令失密、流量攻击、拒绝服务攻击等。报文窃听、口令失密、流量攻击、拒绝服务攻击等。报文窃听、口令失密、流量攻击、拒绝服务攻击等。网络层安全技术:网络层安全技术:网络层安全技术:网络层安全技术: 路由安全机制、路由安全机制、路由安全机制、路由安全机制、IPSecIPSec、防火墙技术等。、防火墙技术等。、防火墙技术等。、防火墙技术等。4计算机网络设计第05章 网络安全设计5.1 网络安全
5、体系结构网络安全体系结构IPSecIPSec是加密服务的安全协议,对应用程序和终端用是加密服务的安全协议,对应用程序和终端用是加密服务的安全协议,对应用程序和终端用是加密服务的安全协议,对应用程序和终端用户是透明的。户是透明的。户是透明的。户是透明的。5计算机网络设计第05章 网络安全设计5.1 网络安全体系结构网络安全体系结构(4 4)传输层的安全)传输层的安全)传输层的安全)传输层的安全传输层安全协议:传输层安全协议:传输层安全协议:传输层安全协议: SSL SSL(安全套接字协议)。(安全套接字协议)。(安全套接字协议)。(安全套接字协议)。SSLSSL提供三个方面的服务:提供三个方面的
6、服务:提供三个方面的服务:提供三个方面的服务: 用户和服务器认证用户和服务器认证用户和服务器认证用户和服务器认证 数据加密服务数据加密服务数据加密服务数据加密服务 维护数据的完整性。维护数据的完整性。维护数据的完整性。维护数据的完整性。6计算机网络设计第05章 网络安全设计5.1 网络安全体系结构网络安全体系结构(5 5)应用层的安全)应用层的安全)应用层的安全)应用层的安全应用层安全问题有:应用层安全问题有:应用层安全问题有:应用层安全问题有: 操作系统漏洞、应用程序操作系统漏洞、应用程序操作系统漏洞、应用程序操作系统漏洞、应用程序BUGBUG、非法访问、病毒木、非法访问、病毒木、非法访问、
7、病毒木、非法访问、病毒木马程序等。马程序等。马程序等。马程序等。应用层安全技术:应用层安全技术:应用层安全技术:应用层安全技术: 加密、用户级认证、数字签名等。加密、用户级认证、数字签名等。加密、用户级认证、数字签名等。加密、用户级认证、数字签名等。7计算机网络设计第05章 网络安全设计5.1 网络安全体系结构网络安全体系结构网络层面网络层面网络层面网络层面可靠性研究可靠性研究可靠性研究可靠性研究测度指标测度指标测度指标测度指标网络拓扑层网络拓扑层研究拓扑结构的可靠性及网络组织的要求和改研究拓扑结构的可靠性及网络组织的要求和改进措施进措施抗毁性、生存性抗毁性、生存性网络设备层网络设备层研究通信
8、设备终端到终端的可靠性及整个网络研究通信设备终端到终端的可靠性及整个网络系统设备的可靠性系统设备的可靠性设备可靠性设备可靠性网络路由层网络路由层分析网络路由算法的效率、流量控制、路由管分析网络路由算法的效率、流量控制、路由管理理网络运行层网络运行层研究网络环境和网络异常故障的规律对网络可研究网络环境和网络异常故障的规律对网络可靠性的影响靠性的影响可用性可用性网络业务层网络业务层分析网络业务能力及服务质量,对网络的性能分析网络业务能力及服务质量,对网络的性能可靠性进行综合评价可靠性进行综合评价完成性、有效性完成性、有效性网络管理层网络管理层研究网络维护和管理体系及提高维护管理水平研究网络维护和管
9、理体系及提高维护管理水平的措施的措施网络的可靠性研究网络的可靠性研究网络的可靠性研究网络的可靠性研究8计算机网络设计第05章 网络安全设计补充补充补充补充:网络可靠性指标:网络可靠性指标:网络可靠性指标:网络可靠性指标9计算机网络设计第05章 网络安全设计5.1 网络安全体系结构网络安全体系结构5.1.2 IATF5.1.2 IATF网络安全体系结构网络安全体系结构网络安全体系结构网络安全体系结构(1 1)IATEIATE安全技术标准安全技术标准安全技术标准安全技术标准美国国家安全局(美国国家安全局(美国国家安全局(美国国家安全局(NSANSA)组织世界安全专家制定了)组织世界安全专家制定了)
10、组织世界安全专家制定了)组织世界安全专家制定了IATFIATF(信息保障技术框架)标准(信息保障技术框架)标准(信息保障技术框架)标准(信息保障技术框架)标准。IATFIATF代表理论是代表理论是代表理论是代表理论是“ “深度保护战略深度保护战略深度保护战略深度保护战略” ”。IATFIATF标准标准标准标准强调人、技术、操作三个核心原则强调人、技术、操作三个核心原则强调人、技术、操作三个核心原则强调人、技术、操作三个核心原则IATFIATF关注的四个信息安全保障领域:关注的四个信息安全保障领域:关注的四个信息安全保障领域:关注的四个信息安全保障领域: 保护网络和基础设施、保护边界、保护计算环
11、境、保护网络和基础设施、保护边界、保护计算环境、保护网络和基础设施、保护边界、保护计算环境、保护网络和基础设施、保护边界、保护计算环境、保护支撑基础设施。保护支撑基础设施。保护支撑基础设施。保护支撑基础设施。10计算机网络设计第05章 网络安全设计5.1 网络安全体系结构网络安全体系结构(2 2)边界)边界)边界)边界有时边界定义为物理实体,如:人、信息、和信息有时边界定义为物理实体,如:人、信息、和信息有时边界定义为物理实体,如:人、信息、和信息有时边界定义为物理实体,如:人、信息、和信息系统,它们在一个物理区域中。系统,它们在一个物理区域中。系统,它们在一个物理区域中。系统,它们在一个物理
12、区域中。边界还被定义为包围在一个网络区域中,实施共同边界还被定义为包围在一个网络区域中,实施共同边界还被定义为包围在一个网络区域中,实施共同边界还被定义为包围在一个网络区域中,实施共同安全策略的信息系统。安全策略的信息系统。安全策略的信息系统。安全策略的信息系统。(3 3)信息基础设施)信息基础设施)信息基础设施)信息基础设施在在在在IATFIATF标准中,标准中,标准中,标准中,飞地指位于非安全区中的一小块安飞地指位于非安全区中的一小块安飞地指位于非安全区中的一小块安飞地指位于非安全区中的一小块安全区域全区域全区域全区域。IATFIATF把网络和系统分成局域计算、飞地边界、网络把网络和系统分
13、成局域计算、飞地边界、网络把网络和系统分成局域计算、飞地边界、网络把网络和系统分成局域计算、飞地边界、网络基础设施、支持性基础设施等基础设施、支持性基础设施等基础设施、支持性基础设施等基础设施、支持性基础设施等4 4种类型(如图种类型(如图种类型(如图种类型(如图5-25-2)。)。)。)。11计算机网络设计第05章 网络安全设计5.1 网络安全体系结构网络安全体系结构12计算机网络设计第05章 网络安全设计5.1 网络安全体系结构网络安全体系结构(4 4)对手、动机和攻击类型)对手、动机和攻击类型)对手、动机和攻击类型)对手、动机和攻击类型可能的对手(攻击者):可能的对手(攻击者):可能的对
14、手(攻击者):可能的对手(攻击者): 国家、恐怖分子、罪犯、黑客或企业竞争者。国家、恐怖分子、罪犯、黑客或企业竞争者。国家、恐怖分子、罪犯、黑客或企业竞争者。国家、恐怖分子、罪犯、黑客或企业竞争者。攻击动机:攻击动机:攻击动机:攻击动机: 收集情报、窃取知识产权、引发尴尬不安,或仅仅收集情报、窃取知识产权、引发尴尬不安,或仅仅收集情报、窃取知识产权、引发尴尬不安,或仅仅收集情报、窃取知识产权、引发尴尬不安,或仅仅是为了炫耀自己。是为了炫耀自己。是为了炫耀自己。是为了炫耀自己。五类攻击方法:五类攻击方法:五类攻击方法:五类攻击方法: 被动攻击、主动攻击、物理临近攻击、内部人员攻被动攻击、主动攻击
15、、物理临近攻击、内部人员攻被动攻击、主动攻击、物理临近攻击、内部人员攻被动攻击、主动攻击、物理临近攻击、内部人员攻击、分发攻击。击、分发攻击。击、分发攻击。击、分发攻击。13计算机网络设计第05章 网络安全设计5.1 网络安全体系结构网络安全体系结构非恶意事件引发的破坏性后果:非恶意事件引发的破坏性后果:非恶意事件引发的破坏性后果:非恶意事件引发的破坏性后果: 火灾、洪水、电力中断以及用户失误。火灾、洪水、电力中断以及用户失误。火灾、洪水、电力中断以及用户失误。火灾、洪水、电力中断以及用户失误。14计算机网络设计第05章 网络安全设计5.1 网络安全体系结构网络安全体系结构15计算机网络设计第
16、05章 网络安全设计5.1 网络安全体系结构网络安全体系结构(5 5)安全威胁的表现形式)安全威胁的表现形式)安全威胁的表现形式)安全威胁的表现形式安全威胁的表现形式:安全威胁的表现形式:安全威胁的表现形式:安全威胁的表现形式: 信息泄露、媒体废弃、人员不慎、授权侵犯、非授信息泄露、媒体废弃、人员不慎、授权侵犯、非授信息泄露、媒体废弃、人员不慎、授权侵犯、非授信息泄露、媒体废弃、人员不慎、授权侵犯、非授权访问、旁路控制、假冒、窃听、电磁权访问、旁路控制、假冒、窃听、电磁权访问、旁路控制、假冒、窃听、电磁权访问、旁路控制、假冒、窃听、电磁/ /射频截获、射频截获、射频截获、射频截获、完整性侵犯、
17、截获完整性侵犯、截获完整性侵犯、截获完整性侵犯、截获/ /修改、物理侵入、重放、业务否修改、物理侵入、重放、业务否修改、物理侵入、重放、业务否修改、物理侵入、重放、业务否认、业务拒绝、资源耗尽、业务欺骗、业务流分析、认、业务拒绝、资源耗尽、业务欺骗、业务流分析、认、业务拒绝、资源耗尽、业务欺骗、业务流分析、认、业务拒绝、资源耗尽、业务欺骗、业务流分析、特洛伊木马程序、后门等。特洛伊木马程序、后门等。特洛伊木马程序、后门等。特洛伊木马程序、后门等。16计算机网络设计第05章 网络安全设计5.1 网络安全体系结构网络安全体系结构网络攻击包括被动攻击和主动攻击两大部分。网络攻击包括被动攻击和主动攻击
18、两大部分。网络攻击包括被动攻击和主动攻击两大部分。网络攻击包括被动攻击和主动攻击两大部分。被动攻击指对信息的保密性进行攻击被动攻击指对信息的保密性进行攻击被动攻击指对信息的保密性进行攻击被动攻击指对信息的保密性进行攻击。特点是偷听。特点是偷听。特点是偷听。特点是偷听或监视信息的传输。或监视信息的传输。或监视信息的传输。或监视信息的传输。主动攻击是篡改信息来源的真实性、信息传输的完主动攻击是篡改信息来源的真实性、信息传输的完主动攻击是篡改信息来源的真实性、信息传输的完主动攻击是篡改信息来源的真实性、信息传输的完整性和系统服务的可用性整性和系统服务的可用性整性和系统服务的可用性整性和系统服务的可用
19、性。包括中断、伪造、篡改。包括中断、伪造、篡改。包括中断、伪造、篡改。包括中断、伪造、篡改等。等。等。等。网络信息系统受到安全威胁的网络信息系统受到安全威胁的网络信息系统受到安全威胁的网络信息系统受到安全威胁的IATFIATF模型如图模型如图模型如图模型如图5-35-3所示。所示。所示。所示。17计算机网络设计第05章 网络安全设计案例案例案例案例:网络攻击:网络攻击:网络攻击:网络攻击18计算机网络设计第05章 网络安全设计5.1 网络安全体系结构网络安全体系结构(6 6)深度保护战略模型)深度保护战略模型)深度保护战略模型)深度保护战略模型深度保护战略的四个基本领域:深度保护战略的四个基本
20、领域:深度保护战略的四个基本领域:深度保护战略的四个基本领域: 保护局域网计算环境;保护局域网计算环境;保护局域网计算环境;保护局域网计算环境; 保护区域边界;保护区域边界;保护区域边界;保护区域边界; 保护网络和基础设施;保护网络和基础设施;保护网络和基础设施;保护网络和基础设施; 保护支撑基础设施保护支撑基础设施保护支撑基础设施保护支撑基础设施。IATFIATF标准认为,只有将技术、管理、策略、工程等标准认为,只有将技术、管理、策略、工程等标准认为,只有将技术、管理、策略、工程等标准认为,只有将技术、管理、策略、工程等方面紧密结合,安全保障体系才能真正成为指导安方面紧密结合,安全保障体系才
21、能真正成为指导安方面紧密结合,安全保障体系才能真正成为指导安方面紧密结合,安全保障体系才能真正成为指导安全方案设计和建设的依据。全方案设计和建设的依据。全方案设计和建设的依据。全方案设计和建设的依据。19计算机网络设计第05章 网络安全设计5.1 网络安全体系结构网络安全体系结构IATFIATF提出:提出:提出:提出:深度保护战略体系包含人、技术和操作深度保护战略体系包含人、技术和操作深度保护战略体系包含人、技术和操作深度保护战略体系包含人、技术和操作三个要素三个要素三个要素三个要素。深度保护战略的模型如图深度保护战略的模型如图深度保护战略的模型如图深度保护战略的模型如图5-45-4所示。所示
22、。所示。所示。20计算机网络设计第05章 网络安全设计5.1 网络安全体系结构网络安全体系结构5.1.3 5.1.3 网络安全防护技术网络安全防护技术网络安全防护技术网络安全防护技术(1 1)安全防护策略)安全防护策略)安全防护策略)安全防护策略在设计内部网络时应满足以下两条原则:在设计内部网络时应满足以下两条原则:在设计内部网络时应满足以下两条原则:在设计内部网络时应满足以下两条原则:内网应当根据部门需要划分子网,并实现子网之间内网应当根据部门需要划分子网,并实现子网之间内网应当根据部门需要划分子网,并实现子网之间内网应当根据部门需要划分子网,并实现子网之间的隔离;的隔离;的隔离;的隔离;采
23、取安全措施后,子网之间应当可以相互访问。采取安全措施后,子网之间应当可以相互访问。采取安全措施后,子网之间应当可以相互访问。采取安全措施后,子网之间应当可以相互访问。内网接口的安全防护内网接口的安全防护内网接口的安全防护内网接口的安全防护对外网接口的安全防护对外网接口的安全防护对外网接口的安全防护对外网接口的安全防护对数据库的安全保护对数据库的安全保护对数据库的安全保护对数据库的安全保护服务器主机的安全防护服务器主机的安全防护服务器主机的安全防护服务器主机的安全防护客户端的安全防护客户端的安全防护客户端的安全防护客户端的安全防护21计算机网络设计第05章 网络安全设计物理环境用户层应用层表示层
24、会话层传输层网络层链路层物理层可靠性可用性审计管理防止否认数据完整数据保密访问控制身份鉴别信息处理单元通信网络安全管理安全特性安全特性结构层次结构层次系统单元系统单元补充补充补充补充 :ISO 7498-2ISO 7498-2安全模型安全模型安全模型安全模型22计算机网络设计第05章 网络安全设计案例案例案例案例:网络安全技术:网络安全技术:网络安全技术:网络安全技术23计算机网络设计第05章 网络安全设计5.1 网络安全体系结构网络安全体系结构(2 2)传输过程中的安全防护技术)传输过程中的安全防护技术)传输过程中的安全防护技术)传输过程中的安全防护技术网络物理安全防护网络物理安全防护网络物
25、理安全防护网络物理安全防护网络地址转换(网络地址转换(网络地址转换(网络地址转换(NATNAT)(3 3)包过滤技术)包过滤技术)包过滤技术)包过滤技术包过滤是最常见的一种安全防护技术。包过滤是最常见的一种安全防护技术。包过滤是最常见的一种安全防护技术。包过滤是最常见的一种安全防护技术。包过滤技术的特点是利用包过滤技术的特点是利用包过滤技术的特点是利用包过滤技术的特点是利用IPIP数据包的特征进行访问数据包的特征进行访问数据包的特征进行访问数据包的特征进行访问控制;它不像控制;它不像控制;它不像控制;它不像AAAAAA技术那样是根据用户名和密码进技术那样是根据用户名和密码进技术那样是根据用户名
26、和密码进技术那样是根据用户名和密码进行访问控制。行访问控制。行访问控制。行访问控制。24计算机网络设计第05章 网络安全设计5.1 网络安全体系结构网络安全体系结构25计算机网络设计第05章 网络安全设计5.2 网络防火墙技术网络防火墙技术5.2.1 5.2.1 防火墙的功能防火墙的功能防火墙的功能防火墙的功能防火墙是由软件或硬件构成的网络安全系统,用来防火墙是由软件或硬件构成的网络安全系统,用来防火墙是由软件或硬件构成的网络安全系统,用来防火墙是由软件或硬件构成的网络安全系统,用来在两个网络之间实施访问控制策略。在两个网络之间实施访问控制策略。在两个网络之间实施访问控制策略。在两个网络之间实
27、施访问控制策略。(1 1)防火墙在网络中的位置)防火墙在网络中的位置)防火墙在网络中的位置)防火墙在网络中的位置防火墙用来解决内网和外网之间的安全问题防火墙用来解决内网和外网之间的安全问题防火墙用来解决内网和外网之间的安全问题防火墙用来解决内网和外网之间的安全问题。防火墙在网络中的位置如图防火墙在网络中的位置如图防火墙在网络中的位置如图防火墙在网络中的位置如图5-65-6所示。所示。所示。所示。26计算机网络设计第05章 网络安全设计5.2 网络防火墙技术网络防火墙技术5.2.1 5.2.1 防火墙的功能防火墙的功能防火墙的功能防火墙的功能LAN防火墙Internet27计算机网络设计第05章
28、 网络安全设计5.2 网络防火墙技术网络防火墙技术(2 2)防火墙的功能)防火墙的功能)防火墙的功能)防火墙的功能所有内网和外网之间交换的数据都可以,而且必须所有内网和外网之间交换的数据都可以,而且必须所有内网和外网之间交换的数据都可以,而且必须所有内网和外网之间交换的数据都可以,而且必须经过防火墙。经过防火墙。经过防火墙。经过防火墙。只有防火墙安全策略允许的数据,才可以自由出入只有防火墙安全策略允许的数据,才可以自由出入只有防火墙安全策略允许的数据,才可以自由出入只有防火墙安全策略允许的数据,才可以自由出入防火墙,其他数据禁止通过。防火墙,其他数据禁止通过。防火墙,其他数据禁止通过。防火墙,
29、其他数据禁止通过。防火墙受到攻击后,应能稳定有效的工作。防火墙受到攻击后,应能稳定有效的工作。防火墙受到攻击后,应能稳定有效的工作。防火墙受到攻击后,应能稳定有效的工作。防火墙可以记录和统计网络的使用情况。防火墙可以记录和统计网络的使用情况。防火墙可以记录和统计网络的使用情况。防火墙可以记录和统计网络的使用情况。防火墙应能过滤和屏蔽一切有害的服务和信息。防火墙应能过滤和屏蔽一切有害的服务和信息。防火墙应能过滤和屏蔽一切有害的服务和信息。防火墙应能过滤和屏蔽一切有害的服务和信息。防火墙应能隔离网络中的某些网段,防止一个网段防火墙应能隔离网络中的某些网段,防止一个网段防火墙应能隔离网络中的某些网段
30、,防止一个网段防火墙应能隔离网络中的某些网段,防止一个网段的故障传播到整个网络。的故障传播到整个网络。的故障传播到整个网络。的故障传播到整个网络。28计算机网络设计第05章 网络安全设计5.2 网络防火墙技术网络防火墙技术(3 3)防火墙设置的基本安全准则)防火墙设置的基本安全准则)防火墙设置的基本安全准则)防火墙设置的基本安全准则防火墙设置有防火墙设置有防火墙设置有防火墙设置有“ “阻止阻止阻止阻止” ”和和和和“ “允许允许允许允许” ”两种设计原则。两种设计原则。两种设计原则。两种设计原则。大部分厂商遵循:大部分厂商遵循:大部分厂商遵循:大部分厂商遵循:一切未被允许的访问就是禁止的一切未
31、被允许的访问就是禁止的一切未被允许的访问就是禁止的一切未被允许的访问就是禁止的这一基本原则这一基本原则这一基本原则这一基本原则。部分厂商遵循:部分厂商遵循:部分厂商遵循:部分厂商遵循:一切未被禁止的访问就是允许的这一切未被禁止的访问就是允许的这一切未被禁止的访问就是允许的这一切未被禁止的访问就是允许的这一基本准则一基本准则一基本准则一基本准则。29计算机网络设计第05章 网络安全设计5.2 网络防火墙技术网络防火墙技术(4 4)防火墙的不足)防火墙的不足)防火墙的不足)防火墙的不足不能防范不经过防火墙的攻击。不能防范不经过防火墙的攻击。不能防范不经过防火墙的攻击。不能防范不经过防火墙的攻击。不
32、能防范恶意的知情者或内部用户误操作造成的威不能防范恶意的知情者或内部用户误操作造成的威不能防范恶意的知情者或内部用户误操作造成的威不能防范恶意的知情者或内部用户误操作造成的威胁。胁。胁。胁。不能防止受病毒感染的软件或木马文件的传输。不能防止受病毒感染的软件或木马文件的传输。不能防止受病毒感染的软件或木马文件的传输。不能防止受病毒感染的软件或木马文件的传输。由于防火墙不检测数据的内容,因此防火墙不能防由于防火墙不检测数据的内容,因此防火墙不能防由于防火墙不检测数据的内容,因此防火墙不能防由于防火墙不检测数据的内容,因此防火墙不能防止数据驱动式的攻击。止数据驱动式的攻击。止数据驱动式的攻击。止数据
33、驱动式的攻击。30计算机网络设计第05章 网络安全设计5.2 网络防火墙技术网络防火墙技术5.2.2 5.2.2 防火墙的类型防火墙的类型防火墙的类型防火墙的类型软件防火墙功能强于硬件防火墙,硬件防火墙性能软件防火墙功能强于硬件防火墙,硬件防火墙性能软件防火墙功能强于硬件防火墙,硬件防火墙性能软件防火墙功能强于硬件防火墙,硬件防火墙性能高于软件防火墙。高于软件防火墙。高于软件防火墙。高于软件防火墙。包过滤防火墙:包过滤防火墙:包过滤防火墙:包过滤防火墙: 以以色列以以色列以以色列以以色列CheckpointCheckpoint防火墙、防火墙、防火墙、防火墙、 美国美国美国美国CiscoCisc
34、o公司公司公司公司PIXPIX防火墙。防火墙。防火墙。防火墙。代理型防火墙的典型产品:代理型防火墙的典型产品:代理型防火墙的典型产品:代理型防火墙的典型产品: 美国美国美国美国NAINAI公司公司公司公司GauntletGauntlet防火墙。防火墙。防火墙。防火墙。31计算机网络设计第05章 网络安全设计5.2 网络防火墙技术网络防火墙技术(1 1)软件防火墙)软件防火墙)软件防火墙)软件防火墙个人级软件防火墙:个人级软件防火墙:个人级软件防火墙:个人级软件防火墙: 瑞星防火墙产品。瑞星防火墙产品。瑞星防火墙产品。瑞星防火墙产品。企业级软件防火墙:企业级软件防火墙:企业级软件防火墙:企业级软
35、件防火墙: 微软公司微软公司微软公司微软公司ISA ServerISA Server CheckPoint CheckPoint公司公司公司公司FWFW等。等。等。等。32计算机网络设计第05章 网络安全设计5.2 网络防火墙技术网络防火墙技术(1 1)软件防火墙)软件防火墙)软件防火墙)软件防火墙个人级软件防火墙:瑞星防火墙产品。个人级软件防火墙:瑞星防火墙产品。个人级软件防火墙:瑞星防火墙产品。个人级软件防火墙:瑞星防火墙产品。企业级软件防火墙:微软公司企业级软件防火墙:微软公司企业级软件防火墙:微软公司企业级软件防火墙:微软公司ISA ServerISA Server、CheckPoin
36、tCheckPoint公司公司公司公司FWFW等。等。等。等。案例案例案例案例:ISA ServerISA Server企业级软件防火墙企业级软件防火墙企业级软件防火墙企业级软件防火墙33计算机网络设计第05章 网络安全设计5.2 网络防火墙技术网络防火墙技术(2 2)硬件防火墙)硬件防火墙)硬件防火墙)硬件防火墙大多数企业级防火墙都是硬件产品,都基于大多数企业级防火墙都是硬件产品,都基于大多数企业级防火墙都是硬件产品,都基于大多数企业级防火墙都是硬件产品,都基于PCPC架构。架构。架构。架构。硬件防火墙主要产品:硬件防火墙主要产品:硬件防火墙主要产品:硬件防火墙主要产品: Cisco PIX
37、Cisco PIX防火墙、防火墙、防火墙、防火墙、 美国杰科公司美国杰科公司美国杰科公司美国杰科公司NetScreenNetScreen系列防火墙、系列防火墙、系列防火墙、系列防火墙、 中国中国中国中国天融信天融信天融信天融信公司公司公司公司“ “网络卫士网络卫士网络卫士网络卫士” ”防火墙等。防火墙等。防火墙等。防火墙等。34计算机网络设计第05章 网络安全设计案例案例案例案例:Cisco PIXCisco PIX防火墙产品防火墙产品防火墙产品防火墙产品35计算机网络设计第05章 网络安全设计案例案例案例案例:华为:华为:华为:华为1800F1800F硬件防火墙硬件防火墙硬件防火墙硬件防火墙
38、36计算机网络设计第05章 网络安全设计5.2 网络防火墙技术网络防火墙技术(4 4)包过滤防火墙)包过滤防火墙)包过滤防火墙)包过滤防火墙包过滤防火墙所以廉价,是因为大多数路由器都提包过滤防火墙所以廉价,是因为大多数路由器都提包过滤防火墙所以廉价,是因为大多数路由器都提包过滤防火墙所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数由路由器供数据包过滤功能,所以这类防火墙多数由路由器供数据包过滤功能,所以这类防火墙多数由路由器供数据包过滤功能,所以这类防火墙多数由路由器集成。集成。集成。集成。包过滤防火墙的弱点:包过滤防火墙的弱点:包过滤防火墙的弱点:包过滤防火墙的弱点: 过
39、滤的依据只是网络层和传输层的有限信息,安过滤的依据只是网络层和传输层的有限信息,安过滤的依据只是网络层和传输层的有限信息,安过滤的依据只是网络层和传输层的有限信息,安全要求不可能充分满足。全要求不可能充分满足。全要求不可能充分满足。全要求不可能充分满足。 随着过滤规则数量的增加,防火墙性能会受到很随着过滤规则数量的增加,防火墙性能会受到很随着过滤规则数量的增加,防火墙性能会受到很随着过滤规则数量的增加,防火墙性能会受到很大地影响。大地影响。大地影响。大地影响。 缺少审计和报警机制,不能对用户身份进行验证,缺少审计和报警机制,不能对用户身份进行验证,缺少审计和报警机制,不能对用户身份进行验证,缺
40、少审计和报警机制,不能对用户身份进行验证,很容易受到地址欺骗型攻击。很容易受到地址欺骗型攻击。很容易受到地址欺骗型攻击。很容易受到地址欺骗型攻击。37计算机网络设计第05章 网络安全设计案例案例案例案例:防火墙包过滤策略:防火墙包过滤策略:防火墙包过滤策略:防火墙包过滤策略38计算机网络设计第05章 网络安全设计5.2 网络防火墙技术网络防火墙技术(5 5)代理型防火墙)代理型防火墙)代理型防火墙)代理型防火墙代理型防火墙是工作在应用层,实现监视和控制应代理型防火墙是工作在应用层,实现监视和控制应代理型防火墙是工作在应用层,实现监视和控制应代理型防火墙是工作在应用层,实现监视和控制应用层通信流
41、的作用。典型网络结构如图用层通信流的作用。典型网络结构如图用层通信流的作用。典型网络结构如图用层通信流的作用。典型网络结构如图5-85-8所示。所示。所示。所示。优点:优点:优点:优点: 安全,它可以对网络中任何一层的数据通信进行筛安全,它可以对网络中任何一层的数据通信进行筛安全,它可以对网络中任何一层的数据通信进行筛安全,它可以对网络中任何一层的数据通信进行筛选和保护选和保护选和保护选和保护。缺点:缺点:缺点:缺点: 速度相对比较慢,当网关吞吐量较高时,容易成为速度相对比较慢,当网关吞吐量较高时,容易成为速度相对比较慢,当网关吞吐量较高时,容易成为速度相对比较慢,当网关吞吐量较高时,容易成为
42、内网与外网之间的瓶颈。内网与外网之间的瓶颈。内网与外网之间的瓶颈。内网与外网之间的瓶颈。39计算机网络设计第05章 网络安全设计5.2 网络防火墙技术网络防火墙技术 代理服务器代理服务器 侦听内部网络客户的服务请求,验证合法性。若侦听内部网络客户的服务请求,验证合法性。若合法,将向公共服务器发出请求,并取回所需信息,合法,将向公共服务器发出请求,并取回所需信息,最后再转发给客户。最后再转发给客户。代理服务器工作流程真实的客户端真实服务器转发请求外部网络代理客户机代理服务器应用协议分析响应内部网络请求转发响应40计算机网络设计第05章 网络安全设计5.2 网络防火墙技术网络防火墙技术(6 6)分
43、布式防火墙)分布式防火墙)分布式防火墙)分布式防火墙分布式防火墙不是只位于网络边界,而是渗透到网分布式防火墙不是只位于网络边界,而是渗透到网分布式防火墙不是只位于网络边界,而是渗透到网分布式防火墙不是只位于网络边界,而是渗透到网络的每一台主机,对整个内网的主机实施保护。络的每一台主机,对整个内网的主机实施保护。络的每一台主机,对整个内网的主机实施保护。络的每一台主机,对整个内网的主机实施保护。41计算机网络设计第05章 网络安全设计5.2 网络防火墙技术网络防火墙技术5.2.3 PIX5.2.3 PIX防火墙配置案例防火墙配置案例防火墙配置案例防火墙配置案例(1 1)防火墙的接口)防火墙的接口
44、)防火墙的接口)防火墙的接口硬件防火墙的接口:硬件防火墙的接口:硬件防火墙的接口:硬件防火墙的接口: 内网接口内网接口内网接口内网接口下行连接内部网络设备;下行连接内部网络设备;下行连接内部网络设备;下行连接内部网络设备; 外网接口外网接口外网接口外网接口上行连接上公网的路由器等外部网关设上行连接上公网的路由器等外部网关设上行连接上公网的路由器等外部网关设上行连接上公网的路由器等外部网关设备;备;备;备; DMZDMZ接口接口接口接口接非军事区网络设备。接非军事区网络设备。接非军事区网络设备。接非军事区网络设备。硬件防火墙中的网卡一般都设置为硬件防火墙中的网卡一般都设置为硬件防火墙中的网卡一般
45、都设置为硬件防火墙中的网卡一般都设置为混杂模式混杂模式混杂模式混杂模式,这样,这样,这样,这样就可以监测到流过防火墙的数据。就可以监测到流过防火墙的数据。就可以监测到流过防火墙的数据。就可以监测到流过防火墙的数据。42计算机网络设计第05章 网络安全设计Internetv 服务器可以使用私有地址v 隐藏内部网络的结构WWW 192.168.1.2FTP 192.168.1.3MAIL 192.168.1.4DNS 192.168.1.5192.168.1.6202.103.96.3192.168.1.2:80202.103.96.3:80192.168.1.3:21202.103.96.3:2
46、1192.168.1.4:25202.103.96.3:25192.168.1.5:53202.103.96.3:53http:/202.103.96.3:21案例案例案例案例:网络端口映射:网络端口映射:网络端口映射:网络端口映射43计算机网络设计第05章 网络安全设计5.3 DMZ网络安全设计网络安全设计5.3.1 DMZ5.3.1 DMZ的功能与安全策略的功能与安全策略的功能与安全策略的功能与安全策略(1 1)DMZDMZ的基本慨念的基本慨念的基本慨念的基本慨念DMZDMZ把敏感的内部网络和提供外部访问服务的网络把敏感的内部网络和提供外部访问服务的网络把敏感的内部网络和提供外部访问服务的
47、网络把敏感的内部网络和提供外部访问服务的网络分离开。分离开。分离开。分离开。DMZDMZ区域内通常放置一些不含机密信息的公用服务区域内通常放置一些不含机密信息的公用服务区域内通常放置一些不含机密信息的公用服务区域内通常放置一些不含机密信息的公用服务器,如器,如器,如器,如WebWeb、EmailEmail、FTPFTP等服务器。等服务器。等服务器。等服务器。DMZDMZ并不是网络组成的必要部分并不是网络组成的必要部分并不是网络组成的必要部分并不是网络组成的必要部分。44计算机网络设计第05章 网络安全设计5.3 DMZ网络安全设计网络安全设计45计算机网络设计第05章 网络安全设计5.3 DM
48、Z网络安全设计网络安全设计(3 3)DMZDMZ网络访问控制策略网络访问控制策略网络访问控制策略网络访问控制策略基本原则:基本原则:基本原则:基本原则: 设计设计设计设计最小权限最小权限最小权限最小权限,定义允许访问的网络资源和网络,定义允许访问的网络资源和网络,定义允许访问的网络资源和网络,定义允许访问的网络资源和网络的安全级别。的安全级别。的安全级别。的安全级别。 确定可信用户和可信任区域。确定可信用户和可信任区域。确定可信用户和可信任区域。确定可信用户和可信任区域。 明确各个网络之间的访问关系,制定访问控制策明确各个网络之间的访问关系,制定访问控制策明确各个网络之间的访问关系,制定访问控
49、制策明确各个网络之间的访问关系,制定访问控制策略。略。略。略。46计算机网络设计第05章 网络安全设计案例案例案例案例:DMZDMZ区域与外网的访问控制区域与外网的访问控制区域与外网的访问控制区域与外网的访问控制47计算机网络设计第05章 网络安全设计5.3 DMZ网络安全设计网络安全设计5.3.2 DMZ5.3.2 DMZ网络拓扑结构网络拓扑结构网络拓扑结构网络拓扑结构(1 1)堡垒主机防火墙结构)堡垒主机防火墙结构)堡垒主机防火墙结构)堡垒主机防火墙结构堡垒主机是一台具有多个网络接口的计算机,它可堡垒主机是一台具有多个网络接口的计算机,它可堡垒主机是一台具有多个网络接口的计算机,它可堡垒主
50、机是一台具有多个网络接口的计算机,它可以进行内部网络与外部网络之间的路由,也可以充以进行内部网络与外部网络之间的路由,也可以充以进行内部网络与外部网络之间的路由,也可以充以进行内部网络与外部网络之间的路由,也可以充当与这台主机相连的若干网络之间的路由。当与这台主机相连的若干网络之间的路由。当与这台主机相连的若干网络之间的路由。当与这台主机相连的若干网络之间的路由。攻击者如果掌握了登录到堡垒主机的权限,那么内攻击者如果掌握了登录到堡垒主机的权限,那么内攻击者如果掌握了登录到堡垒主机的权限,那么内攻击者如果掌握了登录到堡垒主机的权限,那么内部网络就非常容易遭到攻击。部网络就非常容易遭到攻击。部网络
51、就非常容易遭到攻击。部网络就非常容易遭到攻击。48计算机网络设计第05章 网络安全设计5.3 DMZ网络安全设计网络安全设计49计算机网络设计第05章 网络安全设计5.3 DMZ网络安全设计网络安全设计(2 2)单防火墙)单防火墙)单防火墙)单防火墙DMZDMZ网络结构网络结构网络结构网络结构单单单单DMZDMZ结构将网络划分为三个区域,结构将网络划分为三个区域,结构将网络划分为三个区域,结构将网络划分为三个区域,内网、外网和内网、外网和内网、外网和内网、外网和DMZDMZ区域区域区域区域(如图(如图(如图(如图5-135-13)。)。)。)。(3 3)双防火墙)双防火墙)双防火墙)双防火墙D
52、MZDMZ网络结构网络结构网络结构网络结构如图如图如图如图5-145-14所示,有两台防火墙连接到所示,有两台防火墙连接到所示,有两台防火墙连接到所示,有两台防火墙连接到DMZDMZ公共子网,公共子网,公共子网,公共子网,一台位于一台位于一台位于一台位于DMZDMZ子网与内部网络之间,而另一台防火子网与内部网络之间,而另一台防火子网与内部网络之间,而另一台防火子网与内部网络之间,而另一台防火墙位于外部网络与墙位于外部网络与墙位于外部网络与墙位于外部网络与DMZDMZ之间。之间。之间。之间。50计算机网络设计第05章 网络安全设计5.3 DMZ网络安全设计网络安全设计5.3.3 5.3.3 网络
53、安全区域设计网络安全区域设计网络安全区域设计网络安全区域设计(1 1)定义网络安全区域)定义网络安全区域)定义网络安全区域)定义网络安全区域(2 2)安全区域中的服务)安全区域中的服务)安全区域中的服务)安全区域中的服务对于不同安全级别的信息,要采取不同级别的安全对于不同安全级别的信息,要采取不同级别的安全对于不同安全级别的信息,要采取不同级别的安全对于不同安全级别的信息,要采取不同级别的安全保护措施。保护措施。保护措施。保护措施。(3 3)网络服务区域的安全问题)网络服务区域的安全问题)网络服务区域的安全问题)网络服务区域的安全问题网络内部应用服务类型:网络内部应用服务类型:网络内部应用服务
54、类型:网络内部应用服务类型: 数据库等服务器,它不允许内部用户直接访问数据库等服务器,它不允许内部用户直接访问数据库等服务器,它不允许内部用户直接访问数据库等服务器,它不允许内部用户直接访问; 应用服务器,需要为内部用户提供服务,并且需应用服务器,需要为内部用户提供服务,并且需应用服务器,需要为内部用户提供服务,并且需应用服务器,需要为内部用户提供服务,并且需要访问数据库服务器要访问数据库服务器要访问数据库服务器要访问数据库服务器。51计算机网络设计第05章 网络安全设计5.3 DMZ网络安全设计网络安全设计在安全策略设置中,不允许内部用户直接访问信任在安全策略设置中,不允许内部用户直接访问信
55、任在安全策略设置中,不允许内部用户直接访问信任在安全策略设置中,不允许内部用户直接访问信任域,允许内部用户通过域,允许内部用户通过域,允许内部用户通过域,允许内部用户通过DMZDMZ访问信任域,允许不信访问信任域,允许不信访问信任域,允许不信访问信任域,允许不信任域访问任域访问任域访问任域访问DMZDMZ区域。这样就可以实现三个层次的安区域。这样就可以实现三个层次的安区域。这样就可以实现三个层次的安区域。这样就可以实现三个层次的安全防护。全防护。全防护。全防护。52计算机网络设计第05章 网络安全设计案例案例案例案例:网络安全设计:网络安全设计:网络安全设计:网络安全设计53计算机网络设计第0
56、5章 网络安全设计5.4 IDS和和IPS网络安全设计网络安全设计5.4.1 5.4.1 IDSIDS入侵检测技术入侵检测技术入侵检测技术入侵检测技术 (1 1)入侵检测系统)入侵检测系统)入侵检测系统)入侵检测系统IDSIDS是检测和识别系统中未授权的或异常的现象。是检测和识别系统中未授权的或异常的现象。是检测和识别系统中未授权的或异常的现象。是检测和识别系统中未授权的或异常的现象。入侵检测过程:入侵检测过程:入侵检测过程:入侵检测过程: 信息收集、信息预处理、数据检测分析和响应等。信息收集、信息预处理、数据检测分析和响应等。信息收集、信息预处理、数据检测分析和响应等。信息收集、信息预处理、
57、数据检测分析和响应等。入侵检测系统本质上是一种入侵检测系统本质上是一种入侵检测系统本质上是一种入侵检测系统本质上是一种“ “嗅探设备嗅探设备嗅探设备嗅探设备” ”。54计算机网络设计第05章 网络安全设计补充补充补充补充:入侵检测原理:入侵检测原理:入侵检测原理:入侵检测原理55计算机网络设计第05章 网络安全设计5.4 IDS和和IPS网络安全设计网络安全设计IDSIDS通常设计为两部分:通常设计为两部分:通常设计为两部分:通常设计为两部分:安全服务器安全服务器安全服务器安全服务器和和和和主机代理主机代理主机代理主机代理。(2 2) IDS IDS常用的入侵检测方法常用的入侵检测方法常用的入
58、侵检测方法常用的入侵检测方法特征检测、统计检测与专家系统。特征检测、统计检测与专家系统。特征检测、统计检测与专家系统。特征检测、统计检测与专家系统。(3 3)其他入侵防御技术)其他入侵防御技术)其他入侵防御技术)其他入侵防御技术防火墙防火墙防火墙防火墙口令验证系统口令验证系统口令验证系统口令验证系统虚拟专用网(虚拟专用网(虚拟专用网(虚拟专用网(VPNVPN)系统完整性检测(系统完整性检测(系统完整性检测(系统完整性检测(SIVSIV)蜜罐系统:它给黑客提供一个容易攻击的假目标。蜜罐系统:它给黑客提供一个容易攻击的假目标。蜜罐系统:它给黑客提供一个容易攻击的假目标。蜜罐系统:它给黑客提供一个容
59、易攻击的假目标。56计算机网络设计第05章 网络安全设计5.4 IDS和和IPS网络安全设计网络安全设计5.4.2 5.4.2 IDSIDS网络安全设计网络安全设计网络安全设计网络安全设计(1 1)IDSIDS系统在网络中的布署系统在网络中的布署系统在网络中的布署系统在网络中的布署IDSIDS系统可以部署在网络中各个关键节点系统可以部署在网络中各个关键节点系统可以部署在网络中各个关键节点系统可以部署在网络中各个关键节点,它们的工,它们的工,它们的工,它们的工作效果大不相同的。作效果大不相同的。作效果大不相同的。作效果大不相同的。57计算机网络设计第05章 网络安全设计案例案例案例案例:IDSI
60、DS在网络设计中的部署在网络设计中的部署在网络设计中的部署在网络设计中的部署58计算机网络设计第05章 网络安全设计5.4 IDS和和IPS网络安全设计网络安全设计(2 2)IDSIDS系统产品选择系统产品选择系统产品选择系统产品选择系统的价格系统的价格系统的价格系统的价格最大处理流量(以最大处理流量(以最大处理流量(以最大处理流量(以ppspps为单位衡量)为单位衡量)为单位衡量)为单位衡量)产品的扩展性产品的扩展性产品的扩展性产品的扩展性是否通过了国家权威机构的评测是否通过了国家权威机构的评测是否通过了国家权威机构的评测是否通过了国家权威机构的评测系统的价格系统的价格系统的价格系统的价格最
61、大处理流量(以最大处理流量(以最大处理流量(以最大处理流量(以ppspps为单位衡量)为单位衡量)为单位衡量)为单位衡量)产品的扩展性产品的扩展性产品的扩展性产品的扩展性是否通过了国家权威机构的评测是否通过了国家权威机构的评测是否通过了国家权威机构的评测是否通过了国家权威机构的评测59计算机网络设计第05章 网络安全设计5.4 IDS和和IPS网络安全设计网络安全设计5.4.3 IDS5.4.3 IDS存在的问题存在的问题存在的问题存在的问题误报误报误报误报/ /漏报率高漏报率高漏报率高漏报率高没有主动防御能力没有主动防御能力没有主动防御能力没有主动防御能力缺乏准确定位和处理机制缺乏准确定位和
62、处理机制缺乏准确定位和处理机制缺乏准确定位和处理机制性能普遍不足性能普遍不足性能普遍不足性能普遍不足60计算机网络设计第05章 网络安全设计5.4 IDS和和IPS网络安全设计网络安全设计5.4.4 IPS5.4.4 IPS入侵防御技术入侵防御技术入侵防御技术入侵防御技术(1 1)IPSIPS的功能的功能的功能的功能IPSIPS(入侵防御系统)是一种主动的、积极的入侵防(入侵防御系统)是一种主动的、积极的入侵防(入侵防御系统)是一种主动的、积极的入侵防(入侵防御系统)是一种主动的、积极的入侵防御系统,御系统,御系统,御系统,IPSIPS不但能检测入侵的发生,并且能实时终不但能检测入侵的发生,并
63、且能实时终不但能检测入侵的发生,并且能实时终不但能检测入侵的发生,并且能实时终止入侵行为。止入侵行为。止入侵行为。止入侵行为。IPSIPS一般部署在网络的进出口处。一般部署在网络的进出口处。一般部署在网络的进出口处。一般部署在网络的进出口处。IPSIPS的功能比较单一,它只能的功能比较单一,它只能的功能比较单一,它只能的功能比较单一,它只能串联串联串联串联在网络上,对防火在网络上,对防火在网络上,对防火在网络上,对防火墙不能过滤的攻击进行处理。墙不能过滤的攻击进行处理。墙不能过滤的攻击进行处理。墙不能过滤的攻击进行处理。61计算机网络设计第05章 网络安全设计5.4 IDS和和IPS网络安全设
64、计网络安全设计(2 2)IPSIPS工作原理工作原理工作原理工作原理IPSIPS中流行的检测技术:中流行的检测技术:中流行的检测技术:中流行的检测技术: 并行处理检测并行处理检测并行处理检测并行处理检测 协议重组分析协议重组分析协议重组分析协议重组分析并行处理检测是指所有流经并行处理检测是指所有流经并行处理检测是指所有流经并行处理检测是指所有流经IPSIPS的数据包,都要被送的数据包,都要被送的数据包,都要被送的数据包,都要被送入处理单元中进行过滤器。入处理单元中进行过滤器。入处理单元中进行过滤器。入处理单元中进行过滤器。协议重组分析是指所有流经协议重组分析是指所有流经协议重组分析是指所有流经
65、协议重组分析是指所有流经IPSIPS的数据包,首先经过的数据包,首先经过的数据包,首先经过的数据包,首先经过硬件级别的预处理,这个预处理过程主要是对数据硬件级别的预处理,这个预处理过程主要是对数据硬件级别的预处理,这个预处理过程主要是对数据硬件级别的预处理,这个预处理过程主要是对数据包进行重组,以便包进行重组,以便包进行重组,以便包进行重组,以便IPSIPS能够看清楚具体的应用协议。能够看清楚具体的应用协议。能够看清楚具体的应用协议。能够看清楚具体的应用协议。62计算机网络设计第05章 网络安全设计补充补充补充补充:IPSIPS工作原理工作原理工作原理工作原理63计算机网络设计第05章 网络安
66、全设计5.4 IDS和和IPS网络安全设计网络安全设计5.4.5 IPS5.4.5 IPS网络安全设计网络安全设计网络安全设计网络安全设计(1 1)IPSIPS在网络中的位置在网络中的位置在网络中的位置在网络中的位置IDSIDS产品在网络中采用旁路式连接。产品在网络中采用旁路式连接。产品在网络中采用旁路式连接。产品在网络中采用旁路式连接。64计算机网络设计第05章 网络安全设计5.4 IDS和和IPS网络安全设计网络安全设计5.4.6 IPS5.4.6 IPS存在的问题存在的问题存在的问题存在的问题(1 1)单点故障)单点故障)单点故障)单点故障如果如果如果如果IPSIPS出现问题,则会严重影
67、响网络的正常运转。出现问题,则会严重影响网络的正常运转。出现问题,则会严重影响网络的正常运转。出现问题,则会严重影响网络的正常运转。(2 2)性能瓶颈)性能瓶颈)性能瓶颈)性能瓶颈IPSIPS串接在网络上,要求必须像网络设备一样对数据串接在网络上,要求必须像网络设备一样对数据串接在网络上,要求必须像网络设备一样对数据串接在网络上,要求必须像网络设备一样对数据包做快速转发。包做快速转发。包做快速转发。包做快速转发。IPSIPS必须与数千兆或更大容量的网络流量保持同步,必须与数千兆或更大容量的网络流量保持同步,必须与数千兆或更大容量的网络流量保持同步,必须与数千兆或更大容量的网络流量保持同步,尤其
68、是加载了数量庞大的检测特征库时,尤其是加载了数量庞大的检测特征库时,尤其是加载了数量庞大的检测特征库时,尤其是加载了数量庞大的检测特征库时,IPSIPS嵌入设嵌入设嵌入设嵌入设备无法支持这种响应速度。备无法支持这种响应速度。备无法支持这种响应速度。备无法支持这种响应速度。65计算机网络设计第05章 网络安全设计5.4 IDS和和IPS网络安全设计网络安全设计(3 3)误报和漏报)误报和漏报)误报和漏报)误报和漏报IPSIPS是串接在网络中的主动防御,产生误报后将直接是串接在网络中的主动防御,产生误报后将直接是串接在网络中的主动防御,产生误报后将直接是串接在网络中的主动防御,产生误报后将直接影响
69、网络的正常工作。影响网络的正常工作。影响网络的正常工作。影响网络的正常工作。(4 4)规则动态更新)规则动态更新)规则动态更新)规则动态更新IPSIPS设备由于集成了庞大的攻击特征库,因此更新支设备由于集成了庞大的攻击特征库,因此更新支设备由于集成了庞大的攻击特征库,因此更新支设备由于集成了庞大的攻击特征库,因此更新支持势在必行。持势在必行。持势在必行。持势在必行。(5 5)总体拥有成本)总体拥有成本)总体拥有成本)总体拥有成本IPSIPS总体拥有成本高。总体拥有成本高。总体拥有成本高。总体拥有成本高。66计算机网络设计第05章 网络安全设计5.5 网络隔离设计网络隔离设计我国我国我国我国20
70、002000年年年年1 1月月月月1 1日起实施的计算机信息系统国际日起实施的计算机信息系统国际日起实施的计算机信息系统国际日起实施的计算机信息系统国际联网保密管理规定第二章保密制度第六条的规定:联网保密管理规定第二章保密制度第六条的规定:联网保密管理规定第二章保密制度第六条的规定:联网保密管理规定第二章保密制度第六条的规定:“ “涉及国家秘密的计算机信息系统,不得直接或间涉及国家秘密的计算机信息系统,不得直接或间涉及国家秘密的计算机信息系统,不得直接或间涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连接,接地与国际互联网或其他公共信息网络相连接,接地与国际互联
71、网或其他公共信息网络相连接,接地与国际互联网或其他公共信息网络相连接,必必必必须实行物理隔离须实行物理隔离须实行物理隔离须实行物理隔离” ”。 67计算机网络设计第05章 网络安全设计5.5 网络隔离设计网络隔离设计5.5.1 5.5.1 网络隔离的技术特点网络隔离的技术特点网络隔离的技术特点网络隔离的技术特点(2 2)网络物理隔离卡技术)网络物理隔离卡技术)网络物理隔离卡技术)网络物理隔离卡技术物理隔离的思路是首先物理隔离的思路是首先物理隔离的思路是首先物理隔离的思路是首先切断可能的攻击途径切断可能的攻击途径切断可能的攻击途径切断可能的攻击途径(如物(如物(如物(如物理链路),然后再尽力满足
72、用户的应用需求。理链路),然后再尽力满足用户的应用需求。理链路),然后再尽力满足用户的应用需求。理链路),然后再尽力满足用户的应用需求。(3 3)协议隔离技术)协议隔离技术)协议隔离技术)协议隔离技术协议隔离指两个网络之间协议隔离指两个网络之间协议隔离指两个网络之间协议隔离指两个网络之间存在直接的物理连接,但存在直接的物理连接,但存在直接的物理连接,但存在直接的物理连接,但通过专用协议来连接两个网络。通过专用协议来连接两个网络。通过专用协议来连接两个网络。通过专用协议来连接两个网络。协议隔离把两个或两个以上可路由的网络(如协议隔离把两个或两个以上可路由的网络(如协议隔离把两个或两个以上可路由的
73、网络(如协议隔离把两个或两个以上可路由的网络(如TCP/IPTCP/IP)通过不可路由的协议(如)通过不可路由的协议(如)通过不可路由的协议(如)通过不可路由的协议(如IPX/SPXIPX/SPX、NetBEUINetBEUI等)进行数据交换而达到隔离目的。等)进行数据交换而达到隔离目的。等)进行数据交换而达到隔离目的。等)进行数据交换而达到隔离目的。68计算机网络设计第05章 网络安全设计5.5 网络隔离设计网络隔离设计(4 4)网络隔离的安全要求)网络隔离的安全要求)网络隔离的安全要求)网络隔离的安全要求在物理传输上使内网与外网络隔断。在物理传输上使内网与外网络隔断。在物理传输上使内网与外
74、网络隔断。在物理传输上使内网与外网络隔断。在物理辐射上隔断内网与外网。在物理辐射上隔断内网与外网。在物理辐射上隔断内网与外网。在物理辐射上隔断内网与外网。在物理存储上隔断两个网络环境。在物理存储上隔断两个网络环境。在物理存储上隔断两个网络环境。在物理存储上隔断两个网络环境。网络隔离产品自身具有高度的安全性。网络隔离产品自身具有高度的安全性。网络隔离产品自身具有高度的安全性。网络隔离产品自身具有高度的安全性。要保证网络之间交换的只是应用数据。要保证网络之间交换的只是应用数据。要保证网络之间交换的只是应用数据。要保证网络之间交换的只是应用数据。在网络隔离的前提下,保证网络畅通和应用透明。在网络隔离
75、的前提下,保证网络畅通和应用透明。在网络隔离的前提下,保证网络畅通和应用透明。在网络隔离的前提下,保证网络畅通和应用透明。69计算机网络设计第05章 网络安全设计5.5 网络隔离设计网络隔离设计5.5.2 5.5.2 网络物理隔离卡工作原理网络物理隔离卡工作原理网络物理隔离卡工作原理网络物理隔离卡工作原理(1 1)单主板安全隔离计算机)单主板安全隔离计算机)单主板安全隔离计算机)单主板安全隔离计算机采用双硬盘,将内网与外网的转换功能做入主板采用双硬盘,将内网与外网的转换功能做入主板采用双硬盘,将内网与外网的转换功能做入主板采用双硬盘,将内网与外网的转换功能做入主板BIOSBIOS中,并将主板网
76、卡插槽也分为内网和外网。中,并将主板网卡插槽也分为内网和外网。中,并将主板网卡插槽也分为内网和外网。中,并将主板网卡插槽也分为内网和外网。(2 2)网络物理隔离卡技术)网络物理隔离卡技术)网络物理隔离卡技术)网络物理隔离卡技术网络物理隔离是一个基于网络物理隔离是一个基于网络物理隔离是一个基于网络物理隔离是一个基于PCIPCI总线的硬件插卡。总线的硬件插卡。总线的硬件插卡。总线的硬件插卡。隔离卡采用双硬盘技术,启动外网时关闭内网硬盘,隔离卡采用双硬盘技术,启动外网时关闭内网硬盘,隔离卡采用双硬盘技术,启动外网时关闭内网硬盘,隔离卡采用双硬盘技术,启动外网时关闭内网硬盘,启动内网时关闭外网硬盘,使
77、两个网络和硬盘进行启动内网时关闭外网硬盘,使两个网络和硬盘进行启动内网时关闭外网硬盘,使两个网络和硬盘进行启动内网时关闭外网硬盘,使两个网络和硬盘进行物理隔离物理隔离物理隔离物理隔离。网络物理隔离卡兼容所有操作系统。网络物理隔离卡兼容所有操作系统。网络物理隔离卡兼容所有操作系统。网络物理隔离卡兼容所有操作系统。70计算机网络设计第05章 网络安全设计5.5 网络隔离设计网络隔离设计(3 3)双网口网络物理隔离卡)双网口网络物理隔离卡)双网口网络物理隔离卡)双网口网络物理隔离卡隔离卡上有三个接口,一个总线接口连接主板,一隔离卡上有三个接口,一个总线接口连接主板,一隔离卡上有三个接口,一个总线接口
78、连接主板,一隔离卡上有三个接口,一个总线接口连接主板,一个个个个IDEIDE接口连接内网硬盘,另外一个接口连接内网硬盘,另外一个接口连接内网硬盘,另外一个接口连接内网硬盘,另外一个IDEIDE接口连接外接口连接外接口连接外接口连接外网硬盘。在安全状态时,主机只能使用内网硬盘与网硬盘。在安全状态时,主机只能使用内网硬盘与网硬盘。在安全状态时,主机只能使用内网硬盘与网硬盘。在安全状态时,主机只能使用内网硬盘与内网连接,此时外部因特网连接是断开的,而且硬内网连接,此时外部因特网连接是断开的,而且硬内网连接,此时外部因特网连接是断开的,而且硬内网连接,此时外部因特网连接是断开的,而且硬盘上的公共区通道
79、是封闭的。当盘上的公共区通道是封闭的。当盘上的公共区通道是封闭的。当盘上的公共区通道是封闭的。当PCPC机处于公共状态机处于公共状态机处于公共状态机处于公共状态时,主机只能使用外网硬盘,此时与内网是断开的,时,主机只能使用外网硬盘,此时与内网是断开的,时,主机只能使用外网硬盘,此时与内网是断开的,时,主机只能使用外网硬盘,此时与内网是断开的,而且硬盘上的公共区也是被封闭的。而且硬盘上的公共区也是被封闭的。而且硬盘上的公共区也是被封闭的。而且硬盘上的公共区也是被封闭的。(5 5)网络物理隔离卡技术原理)网络物理隔离卡技术原理)网络物理隔离卡技术原理)网络物理隔离卡技术原理双硬盘型网络物理隔离卡工
80、作原理如图双硬盘型网络物理隔离卡工作原理如图双硬盘型网络物理隔离卡工作原理如图双硬盘型网络物理隔离卡工作原理如图5-205-20。71计算机网络设计第05章 网络安全设计5.5 网络隔离设计网络隔离设计72计算机网络设计第05章 网络安全设计案例案例案例案例:网络物理隔离解决方案:网络物理隔离解决方案:网络物理隔离解决方案:网络物理隔离解决方案73计算机网络设计第05章 网络安全设计案例案例案例案例:网络安全隔离解决方案:网络安全隔离解决方案:网络安全隔离解决方案:网络安全隔离解决方案74计算机网络设计第05章 网络安全设计5.5 网络隔离设计网络隔离设计5.5.3 5.5.3 安全隔离网闸工
81、作原理安全隔离网闸工作原理安全隔离网闸工作原理安全隔离网闸工作原理GAPGAP是一种通过专用硬件和软件技术,使两个或者是一种通过专用硬件和软件技术,使两个或者是一种通过专用硬件和软件技术,使两个或者是一种通过专用硬件和软件技术,使两个或者两个以上的网络在不连通的情况下,实现数据安全两个以上的网络在不连通的情况下,实现数据安全两个以上的网络在不连通的情况下,实现数据安全两个以上的网络在不连通的情况下,实现数据安全传输和资源共享的技术。传输和资源共享的技术。传输和资源共享的技术。传输和资源共享的技术。(1 1)GAPGAP技术原理技术原理技术原理技术原理GAPGAP技术包含两个独立的主机系统和一套
82、固态开关技术包含两个独立的主机系统和一套固态开关技术包含两个独立的主机系统和一套固态开关技术包含两个独立的主机系统和一套固态开关读写介质系统。读写介质系统。读写介质系统。读写介质系统。GAPGAP所连接的两个独立主机系统之间,不存在通信所连接的两个独立主机系统之间,不存在通信所连接的两个独立主机系统之间,不存在通信所连接的两个独立主机系统之间,不存在通信连接,没有命令,没有协议,没有连接,没有命令,没有协议,没有连接,没有命令,没有协议,没有连接,没有命令,没有协议,没有TCP/IPTCP/IP连接,没连接,没连接,没连接,没有包转发等。只有数据文件的无协议有包转发等。只有数据文件的无协议有包
83、转发等。只有数据文件的无协议有包转发等。只有数据文件的无协议“ “摆渡摆渡摆渡摆渡” ”,且,且,且,且对固态存储介质只有对固态存储介质只有对固态存储介质只有对固态存储介质只有“ “读读读读” ”和和和和“ “写写写写” ”两个命令。两个命令。两个命令。两个命令。75计算机网络设计第05章 网络安全设计5.5 网络隔离设计网络隔离设计纯数据交换是纯数据交换是纯数据交换是纯数据交换是GAPGAP技术的特点。技术的特点。技术的特点。技术的特点。GAPGAP把通信协议全部剥离,以原始数据方式进行把通信协议全部剥离,以原始数据方式进行把通信协议全部剥离,以原始数据方式进行把通信协议全部剥离,以原始数据
84、方式进行“ “摆渡摆渡摆渡摆渡” ”。因此,它能够抵御互联网目前存在的几乎。因此,它能够抵御互联网目前存在的几乎。因此,它能够抵御互联网目前存在的几乎。因此,它能够抵御互联网目前存在的几乎所有攻击。所有攻击。所有攻击。所有攻击。(2 2)GAPGAP数据交换过程数据交换过程数据交换过程数据交换过程当内网与专网之间无信息交换时,安全隔离网闸与当内网与专网之间无信息交换时,安全隔离网闸与当内网与专网之间无信息交换时,安全隔离网闸与当内网与专网之间无信息交换时,安全隔离网闸与内网,安全隔离网闸与专网,内网与专网之间是完内网,安全隔离网闸与专网,内网与专网之间是完内网,安全隔离网闸与专网,内网与专网之
85、间是完内网,安全隔离网闸与专网,内网与专网之间是完全断开的,即三者之间不存在物理连接和逻辑连接,全断开的,即三者之间不存在物理连接和逻辑连接,全断开的,即三者之间不存在物理连接和逻辑连接,全断开的,即三者之间不存在物理连接和逻辑连接,如图如图如图如图5-215-21所示。所示。所示。所示。76计算机网络设计第05章 网络安全设计5.5 网络隔离设计网络隔离设计77计算机网络设计第05章 网络安全设计5.5 网络隔离设计网络隔离设计当内网数据需要传输到专网时,安全隔离网闸主动当内网数据需要传输到专网时,安全隔离网闸主动当内网数据需要传输到专网时,安全隔离网闸主动当内网数据需要传输到专网时,安全隔
86、离网闸主动向内网服务器数据交换代理发起非向内网服务器数据交换代理发起非向内网服务器数据交换代理发起非向内网服务器数据交换代理发起非TCP/IPTCP/IP协议的数协议的数协议的数协议的数据连接请求,并发出据连接请求,并发出据连接请求,并发出据连接请求,并发出“ “写写写写” ”命令,将写入开关合上,命令,将写入开关合上,命令,将写入开关合上,命令,将写入开关合上,并把所有的协议剥离,将原始数据写入存储介质。并把所有的协议剥离,将原始数据写入存储介质。并把所有的协议剥离,将原始数据写入存储介质。并把所有的协议剥离,将原始数据写入存储介质。如图如图如图如图5-225-22所示。所示。所示。所示。一
87、旦数据写入存储介质,开关立即打开,中断与内一旦数据写入存储介质,开关立即打开,中断与内一旦数据写入存储介质,开关立即打开,中断与内一旦数据写入存储介质,开关立即打开,中断与内网的连接。转而发起对专网的连接请求,当专网服网的连接。转而发起对专网的连接请求,当专网服网的连接。转而发起对专网的连接请求,当专网服网的连接。转而发起对专网的连接请求,当专网服务器收到请求后,发出务器收到请求后,发出务器收到请求后,发出务器收到请求后,发出“ “读读读读” ”命令,将安全隔离网命令,将安全隔离网命令,将安全隔离网命令,将安全隔离网闸存储介质内的数据导向专网服务器。服务器收到闸存储介质内的数据导向专网服务器。
88、服务器收到闸存储介质内的数据导向专网服务器。服务器收到闸存储介质内的数据导向专网服务器。服务器收到数据后,按数据后,按数据后,按数据后,按TCP/IPTCP/IP协议重新封装接收到的数据,交协议重新封装接收到的数据,交协议重新封装接收到的数据,交协议重新封装接收到的数据,交给应用系统,完成内网到专网的信息交换。如图给应用系统,完成内网到专网的信息交换。如图给应用系统,完成内网到专网的信息交换。如图给应用系统,完成内网到专网的信息交换。如图5-235-23所示。所示。所示。所示。78计算机网络设计第05章 网络安全设计5.5 网络隔离设计网络隔离设计(3 3)GAPGAP系统的逻辑隔离属性系统的
89、逻辑隔离属性系统的逻辑隔离属性系统的逻辑隔离属性GAPGAP经有关部门鉴定,仍然属于逻辑隔离产品,不经有关部门鉴定,仍然属于逻辑隔离产品,不经有关部门鉴定,仍然属于逻辑隔离产品,不经有关部门鉴定,仍然属于逻辑隔离产品,不能直接用于内部网与国际因特网之间进行隔离。能直接用于内部网与国际因特网之间进行隔离。能直接用于内部网与国际因特网之间进行隔离。能直接用于内部网与国际因特网之间进行隔离。(4 4)GAPGAP与其他技术的区别与其他技术的区别与其他技术的区别与其他技术的区别防火墙侧重于网络层至应用层的隔离;而防火墙侧重于网络层至应用层的隔离;而防火墙侧重于网络层至应用层的隔离;而防火墙侧重于网络层
90、至应用层的隔离;而GAPGAP属于属于属于属于从物理层到应用层数据级别的隔离。从物理层到应用层数据级别的隔离。从物理层到应用层数据级别的隔离。从物理层到应用层数据级别的隔离。一个物理隔离卡只能管一台计算机;而一个物理隔离卡只能管一台计算机;而一个物理隔离卡只能管一台计算机;而一个物理隔离卡只能管一台计算机;而GAPGAP系统可系统可系统可系统可管理整个网络,管理整个网络,管理整个网络,管理整个网络,GAPGAP不需要物理隔离卡。不需要物理隔离卡。不需要物理隔离卡。不需要物理隔离卡。物理隔离卡每次切换网络都要重新启动;物理隔离卡每次切换网络都要重新启动;物理隔离卡每次切换网络都要重新启动;物理隔
91、离卡每次切换网络都要重新启动;GAPGAP进行进行进行进行网络转换不需要开关机。网络转换不需要开关机。网络转换不需要开关机。网络转换不需要开关机。79计算机网络设计第05章 网络安全设计5.5 网络隔离设计网络隔离设计5.5.4 5.5.4 安全隔离网络设计安全隔离网络设计安全隔离网络设计安全隔离网络设计(1 1)利用)利用)利用)利用GAPGAP技术的组网设计技术的组网设计技术的组网设计技术的组网设计安全隔离网闸可以部署在涉密网与非涉密网之间,安全隔离网闸可以部署在涉密网与非涉密网之间,安全隔离网闸可以部署在涉密网与非涉密网之间,安全隔离网闸可以部署在涉密网与非涉密网之间,如图如图如图如图5
92、-245-24所示。所示。所示。所示。(2 2)利用网络物理隔离卡组网设计)利用网络物理隔离卡组网设计)利用网络物理隔离卡组网设计)利用网络物理隔离卡组网设计使用网络物理隔离卡的安全主机,内网和外网最好使用网络物理隔离卡的安全主机,内网和外网最好使用网络物理隔离卡的安全主机,内网和外网最好使用网络物理隔离卡的安全主机,内网和外网最好分别使用两个分别使用两个分别使用两个分别使用两个IPIP地址。地址。地址。地址。网络结构如图网络结构如图网络结构如图网络结构如图5-265-26所示。所示。所示。所示。80计算机网络设计第05章 网络安全设计5.6 VPN网络安全设计网络安全设计5.6.1 VPN5
93、.6.1 VPN技术特点技术特点技术特点技术特点(2 2)VPNVPN的定义的定义的定义的定义VPNVPN使用使用使用使用IPIP机制仿真出一个私有的广域网。机制仿真出一个私有的广域网。机制仿真出一个私有的广域网。机制仿真出一个私有的广域网。(3 3)VPNVPN隧道技术工作原理隧道技术工作原理隧道技术工作原理隧道技术工作原理VPNVPN在公用网上建立一条数据通道(隧道),让数在公用网上建立一条数据通道(隧道),让数在公用网上建立一条数据通道(隧道),让数在公用网上建立一条数据通道(隧道),让数据包通过这条隧道进行安全传输(如图据包通过这条隧道进行安全传输(如图据包通过这条隧道进行安全传输(如
94、图据包通过这条隧道进行安全传输(如图5-295-29)。被封)。被封)。被封)。被封装的数据包在公共互联网络上传递时所经过的逻辑装的数据包在公共互联网络上传递时所经过的逻辑装的数据包在公共互联网络上传递时所经过的逻辑装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点,数据将被解包路径称为隧道。一旦到达网络终点,数据将被解包路径称为隧道。一旦到达网络终点,数据将被解包路径称为隧道。一旦到达网络终点,数据将被解包并转发到最终目的地。并转发到最终目的地。并转发到最终目的地。并转发到最终目的地。隧道技术是指包括数据封装,隧道技术是指包括数据封装,隧道技术是指包括数据封装,隧道技
95、术是指包括数据封装,传输和解包在内的全过程。传输和解包在内的全过程。传输和解包在内的全过程。传输和解包在内的全过程。81计算机网络设计第05章 网络安全设计5.6 VPN网络安全设计网络安全设计82计算机网络设计第05章 网络安全设计5.6 VPN网络安全设计网络安全设计(4 4)VPNVPN技术技术技术技术VPNVPN采用的信息安全技术:隧道技术、加密和解密采用的信息安全技术:隧道技术、加密和解密采用的信息安全技术:隧道技术、加密和解密采用的信息安全技术:隧道技术、加密和解密技术、密钥管理技术、用户与设备认证技术。技术、密钥管理技术、用户与设备认证技术。技术、密钥管理技术、用户与设备认证技术
96、。技术、密钥管理技术、用户与设备认证技术。VPNVPN有两种隧道协议:有两种隧道协议:有两种隧道协议:有两种隧道协议:PPTPPPTP(点到点隧道协议,)(点到点隧道协议,)(点到点隧道协议,)(点到点隧道协议,)和和和和L2TPL2TP(第二层隧道协议)。(第二层隧道协议)。(第二层隧道协议)。(第二层隧道协议)。PPTPPPTP是是是是PPPPPP的扩展,它增加了一个新的安全等级。的扩展,它增加了一个新的安全等级。的扩展,它增加了一个新的安全等级。的扩展,它增加了一个新的安全等级。L2TPL2TP使用使用使用使用IPSecIPSec进行身份验证和数据加密。进行身份验证和数据加密。进行身份验
97、证和数据加密。进行身份验证和数据加密。IPSecIPSec由一组由一组由一组由一组RFCRFC文档组成,定义了一个系统的安全文档组成,定义了一个系统的安全文档组成,定义了一个系统的安全文档组成,定义了一个系统的安全协议选择、安全算法,确定服务所使用密钥服务等,协议选择、安全算法,确定服务所使用密钥服务等,协议选择、安全算法,确定服务所使用密钥服务等,协议选择、安全算法,确定服务所使用密钥服务等,从而在从而在从而在从而在IPIP层提供安全保障。层提供安全保障。层提供安全保障。层提供安全保障。83计算机网络设计第05章 网络安全设计5.6 VPN网络安全设计网络安全设计5.6.2 VPN5.6.2
98、 VPN网络设计网络设计网络设计网络设计构建企业构建企业构建企业构建企业VPNVPN服务所需的设备很少,只需在资源共服务所需的设备很少,只需在资源共服务所需的设备很少,只需在资源共服务所需的设备很少,只需在资源共享处放置一台享处放置一台享处放置一台享处放置一台VPNVPN的服务器(如一台的服务器(如一台的服务器(如一台的服务器(如一台Windows Windows ServerServer主机或支持主机或支持主机或支持主机或支持VPNVPN的路由器)就可以了。的路由器)就可以了。的路由器)就可以了。的路由器)就可以了。(2 2)软件)软件)软件)软件VPNVPN技术技术技术技术(3 3)企业内
99、部虚拟网()企业内部虚拟网()企业内部虚拟网()企业内部虚拟网(Intranet VPNIntranet VPN)结构)结构)结构)结构企业内部虚拟网的优点是能使用灵活的拓扑结构,企业内部虚拟网的优点是能使用灵活的拓扑结构,企业内部虚拟网的优点是能使用灵活的拓扑结构,企业内部虚拟网的优点是能使用灵活的拓扑结构,企业拥有完全的控制权,缺点是投资成本较大。企业拥有完全的控制权,缺点是投资成本较大。企业拥有完全的控制权,缺点是投资成本较大。企业拥有完全的控制权,缺点是投资成本较大。84计算机网络设计第05章 网络安全设计5.6 VPN网络安全设计网络安全设计85计算机网络设计第05章 网络安全设计5
100、.6 VPN网络安全设计网络安全设计(4 4)远程访问虚拟网()远程访问虚拟网()远程访问虚拟网()远程访问虚拟网(Access VPNAccess VPN)结构)结构)结构)结构(5 5)企业扩展虚拟网()企业扩展虚拟网()企业扩展虚拟网()企业扩展虚拟网(Extranet VPNExtranet VPN)结构)结构)结构)结构(6 6)设备厂商)设备厂商)设备厂商)设备厂商VPNVPN解决方案解决方案解决方案解决方案86计算机网络设计第05章 网络安全设计补充补充补充补充:VPNVPN技术的发展技术的发展技术的发展技术的发展87计算机网络设计第05章 网络安全设计5.6 VPN网络安全设计
101、网络安全设计5.6.3 VPN5.6.3 VPN网络设计案例网络设计案例网络设计案例网络设计案例(2 2)在)在)在)在CiscoCisco路由器上配置路由器上配置路由器上配置路由器上配置VPNVPNVPNVPN配置过程非常复杂,主要步骤如下配置过程非常复杂,主要步骤如下配置过程非常复杂,主要步骤如下配置过程非常复杂,主要步骤如下: : IPsec IPsec参数确定参数确定参数确定参数确定 配置配置配置配置IKEIKE(密钥交换协议)(密钥交换协议)(密钥交换协议)(密钥交换协议) 配置配置配置配置IPSecIPSec 测试测试测试测试VPNVPN连通性连通性连通性连通性88计算机网络设计第
102、05章 网络安全设计案例案例案例案例:企业级:企业级:企业级:企业级VPNVPN系统解决方案系统解决方案系统解决方案系统解决方案89计算机网络设计第05章 网络安全设计案例案例案例案例:VPNVPN系统解决方案系统解决方案系统解决方案系统解决方案90计算机网络设计第05章 网络安全设计案例案例案例案例:VPNVPN认证系统解决方案认证系统解决方案认证系统解决方案认证系统解决方案91计算机网络设计第05章 网络安全设计案例案例案例案例:网络防病毒系统解决方案:网络防病毒系统解决方案:网络防病毒系统解决方案:网络防病毒系统解决方案92计算机网络设计第05章 网络安全设计补充补充补充补充:统一防御系
103、统的结构:统一防御系统的结构:统一防御系统的结构:统一防御系统的结构93计算机网络设计第05章 网络安全设计5.6 VPN网络安全设计网络安全设计5.6.4 VPN5.6.4 VPN穿透穿透穿透穿透NATNAT的问题的问题的问题的问题94计算机网络设计第05章 网络安全设计 课程讨论课程讨论(1 1)有人提出)有人提出)有人提出)有人提出“ “网络安全永远没有止境网络安全永远没有止境网络安全永远没有止境网络安全永远没有止境” ”,你如何看,你如何看,你如何看,你如何看待这个问题。待这个问题。待这个问题。待这个问题。(2 2)安全性与易用性往往是相互矛盾的,你有哪些折)安全性与易用性往往是相互矛
104、盾的,你有哪些折)安全性与易用性往往是相互矛盾的,你有哪些折)安全性与易用性往往是相互矛盾的,你有哪些折中的解决方案。中的解决方案。中的解决方案。中的解决方案。(3 3)有人提出)有人提出)有人提出)有人提出“ “防火墙能够不能防止计算机病毒防火墙能够不能防止计算机病毒防火墙能够不能防止计算机病毒防火墙能够不能防止计算机病毒” ”,你如何看待这个问题。你如何看待这个问题。你如何看待这个问题。你如何看待这个问题。(4 4)如果计算机网络没有防火墙和杀毒软件,如何保)如果计算机网络没有防火墙和杀毒软件,如何保)如果计算机网络没有防火墙和杀毒软件,如何保)如果计算机网络没有防火墙和杀毒软件,如何保证网络的安全。证网络的安全。证网络的安全。证网络的安全。(5 5)网络隔离与防火墙有哪些差别。)网络隔离与防火墙有哪些差别。)网络隔离与防火墙有哪些差别。)网络隔离与防火墙有哪些差别。95计算机网络设计第05章 网络安全设计【本章结束】【本章结束】96计算机网络设计第05章 网络安全设计
