《网络安全应用技术课件》由会员分享,可在线阅读,更多相关《网络安全应用技术课件(29页珍藏版)》请在金锄头文库上搜索。
1、网络安全应用技术网络安全应用技术全国高等职业教育计算机类规划教材全国高等职业教育计算机类规划教材实例与实训教程系列实例与实训教程系列网络防火墙技术 网络安全应用技术你将学习你将学习 防火墙的概念、类型、目的与作用;防火墙的概念、类型、目的与作用; 基于防火墙的安全网络结构;基于防火墙的安全网络结构; 网络防火墙的结构。网络防火墙的结构。你将获取你将获取 配置与管理防火墙系统的技能;配置与管理防火墙系统的技能; ISA Server防火墙的使用方法;防火墙的使用方法; 硬件防火墙的配置技能。硬件防火墙的配置技能。在这一章中在这一章中网络安全应用技术5.1 案例问题案例问题5.1.1 案例说明案例
2、说明5.1.2 思考与讨论思考与讨论网络安全应用技术5.1.1 案例说明案例说明1. 背景描述背景描述近年来随着网络应用的深入,应用领域从近年来随着网络应用的深入,应用领域从传统的、小型的业务系统逐渐向大型、关键传统的、小型的业务系统逐渐向大型、关键业务系统扩展。业务系统扩展。大部分子系统已接入网络,行业系统数据、大部分子系统已接入网络,行业系统数据、监测监控系统数据等都在该网络上传输。监测监控系统数据等都在该网络上传输。随着网络规模的不断扩大、接入点的增多、随着网络规模的不断扩大、接入点的增多、内部网络中存在的安全隐患问题就更加突出,内部网络中存在的安全隐患问题就更加突出,安全日益成为影响网
3、络效能的重要问题。安全日益成为影响网络效能的重要问题。 网络安全应用技术5.1.1 案例说明案例说明2. 需求分析需求分析集集团团员员工工、远远程程办办公公人人员员、设设备备供供应应商商、临临时时职职员员以以及及商商业业合合作作伙伙伴伴要要求求能能够够自自由由访访问问集集团团网网络络,而而重重要要的的客客户户数数据据与与财财务务记记录录往往往往也也存存储储在在这这些些网网络上。络上。使用普通的安全软件来抵挡日益猖獗的攻击已经使用普通的安全软件来抵挡日益猖獗的攻击已经显得力不从心,选择防火墙是防范网络攻击的关键。显得力不从心,选择防火墙是防范网络攻击的关键。防火墙作为网络实施安全保护的核心,网络
4、管理防火墙作为网络实施安全保护的核心,网络管理员可以制定安全策略来有选择性地拒绝进出网络的员可以制定安全策略来有选择性地拒绝进出网络的数据流量。数据流量。 网络安全应用技术5.1.1 案例说明案例说明3. 解决方案解决方案网络安全应用技术5.1.2 思考与讨论思考与讨论阅读案例并思考以下问题阅读案例并思考以下问题 据据你你分分析析,兵兵器器集集团团网网络络可可能能遇遇到到的的攻攻击主要来自何处?击主要来自何处? 兵兵器器集集团团的的网网管管员员应应该该如如何何制制定定网网络络安安全策略呢全策略呢? 根根据据我我们们使使用用Windows防防火火墙墙或或天天网网防防火墙的经历,你认为防火墙会有哪
5、些作用?火墙的经历,你认为防火墙会有哪些作用?网络安全应用技术5.1.2 思考与讨论思考与讨论专题讨论专题讨论 你能为网络防火墙做个定义吗?你能为网络防火墙做个定义吗? “有了防火墙,内部网络应该是安全的,有了防火墙,内部网络应该是安全的,而来自外部的访问则是可疑的而来自外部的访问则是可疑的”的说法正确的说法正确吗?吗? 网络安全应用技术5.2 技术视角技术视角5.2.1 防火墙技术概述防火墙技术概述5.2.2 防火墙技术的分类防火墙技术的分类网络安全应用技术5.2.1 防火墙技术概述防火墙技术概述1. 网络防火墙的任务网络防火墙的任务 执行安全策略执行安全策略 创建一个阻塞点创建一个阻塞点
6、记录网络活动记录网络活动 限制网络暴露限制网络暴露网络防火墙可以限定内网用户访问外网特网络防火墙可以限定内网用户访问外网特殊站点,接纳外网对本地公共信息的访问;殊站点,接纳外网对本地公共信息的访问;可以允许内网的一部分主机被外网访问,而可以允许内网的一部分主机被外网访问,而另一部分被保护起来,防止不必要访问。另一部分被保护起来,防止不必要访问。 网络安全应用技术5.2.1 防火墙技术概述防火墙技术概述2. 网络防火墙的技术特征网络防火墙的技术特征 网络防火墙中,安全策略是其灵魂和基网络防火墙中,安全策略是其灵魂和基础。通常采用的安全策略有两个基本准则。础。通常采用的安全策略有两个基本准则。 一
7、切未被允许的访问就是禁止的。一切未被允许的访问就是禁止的。 一切未被禁止的访问就是允许的。一切未被禁止的访问就是允许的。 网络防火墙能够抵抗网络黑客的攻击,网络防火墙能够抵抗网络黑客的攻击,并可对网络通信进行监控和审计。并可对网络通信进行监控和审计。 网络安全应用技术5.2.1 防火墙技术概述防火墙技术概述2. 网络防火墙的技术特征网络防火墙的技术特征 网络防火墙一旦失效、重启动或崩溃,网络防火墙一旦失效、重启动或崩溃,则应完全阻断内网和外网的连接,以免闯入则应完全阻断内网和外网的连接,以免闯入者进入。者进入。 网络防火墙提供强制认证服务,外网对网络防火墙提供强制认证服务,外网对内网的访问应该
8、经过防火墙的认证检查,包内网的访问应该经过防火墙的认证检查,包括对网络用户和数据源的认证。括对网络用户和数据源的认证。 网络防火墙对内网应起到屏蔽作用,并网络防火墙对内网应起到屏蔽作用,并且隐蔽内网的地址和内网的拓扑结构。且隐蔽内网的地址和内网的拓扑结构。 网络安全应用技术5.2.1 防火墙技术概述防火墙技术概述3. 防火墙技术的现状及发展趋势防火墙技术的现状及发展趋势第一代防火墙,提出了防火墙的概念。第一代防火墙,提出了防火墙的概念。第二代防火墙,也称代理服务器,它用来提供网第二代防火墙,也称代理服务器,它用来提供网络服务级的控制,起到外部网络向被保护的内部网络服务级的控制,起到外部网络向被
9、保护的内部网络申请服务时中间转接作用,这种方法有效地防止络申请服务时中间转接作用,这种方法有效地防止对内网的攻击,安全性较高。对内网的攻击,安全性较高。第三代防火墙,称为状态监控功能防火墙,它可第三代防火墙,称为状态监控功能防火墙,它可以对每一层的数据包进行检测和监控。以对每一层的数据包进行检测和监控。第四代的功能更强大、安全性更强,可以抵御目第四代的功能更强大、安全性更强,可以抵御目前常见的网络攻击手段,如前常见的网络攻击手段,如IP地址欺骗、特洛伊木地址欺骗、特洛伊木马攻击、马攻击、Internet蠕虫、口令探寻攻击、邮件攻击等。蠕虫、口令探寻攻击、邮件攻击等。网络安全应用技术5.2.1
10、防火墙技术概述防火墙技术概述4. 网络防火墙的术语网络防火墙的术语 网关,电路级网关、应用级网关网关,电路级网关、应用级网关 包过滤包过滤 代理服务器代理服务器 网络地址转换网络地址转换 堡垒主机堡垒主机 筛选路由器筛选路由器 阻塞路由器阻塞路由器 非军事化区域非军事化区域(DMZ)网络安全应用技术5.2.2 防火墙技术的分类防火墙技术的分类1. 包过滤防火墙技术包过滤防火墙技术包过滤防火墙中的包过滤器一般安装在路由器上,包过滤防火墙中的包过滤器一般安装在路由器上,工作在网络层。它基于单个包实施网络控制,根据工作在网络层。它基于单个包实施网络控制,根据所收到的数据包的源地址、目的地址、所收到的
11、数据包的源地址、目的地址、TCP/UDP、源端口号及目的端口号、包出入接口、协议类型和源端口号及目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数,与用户预定的访问数据包中的各种标志位等参数,与用户预定的访问控制表进行比较,决定数据是否符合预先制定的安控制表进行比较,决定数据是否符合预先制定的安全策略,决定数据包的转发或丢弃,即实施信息过全策略,决定数据包的转发或丢弃,即实施信息过滤。滤。 网络安全应用技术5.2.2 防火墙技术的分类防火墙技术的分类2. IP级包过滤型防火墙级包过滤型防火墙 IP级过滤型防火墙可看做是一个多端口的交换设级过滤型防火墙可看做是一个多端口的交换设备,它对
12、每一个报文根据其报头进行过滤,按一组备,它对每一个报文根据其报头进行过滤,按一组预定义的规则来判断报文是否可以继续转发,不考预定义的规则来判断报文是否可以继续转发,不考虑报文之间的前后关系。虑报文之间的前后关系。过滤规则定义在转发控制表中,报文遵循自上向过滤规则定义在转发控制表中,报文遵循自上向下的次序依次运用每一条规则,直到遇到与其相匹下的次序依次运用每一条规则,直到遇到与其相匹配的规则为止。配的规则为止。对报文采取的操作有转发、丢弃、报错和备忘等。对报文采取的操作有转发、丢弃、报错和备忘等。根据不同的实现方式,报文过滤可以在进入防火根据不同的实现方式,报文过滤可以在进入防火墙时进行,也可以
13、在离开防火墙时进行。墙时进行,也可以在离开防火墙时进行。 网络安全应用技术5.2.2 防火墙技术的分类防火墙技术的分类3. 代理防火墙技术代理防火墙技术代理服务器型防火墙通过在主机上运行的代理服务器型防火墙通过在主机上运行的服务程序,直接面对特定的应用层服务,因服务程序,直接面对特定的应用层服务,因此也称为应用型防火墙。此也称为应用型防火墙。对每种不同的应用对每种不同的应用(E-mail、FTP、Telnet、WWW等等)都应用一个相应的代理服务。都应用一个相应的代理服务。外网与内网之间想要建立连接,首先必须外网与内网之间想要建立连接,首先必须通过代理服务器的中间转换,内网只接受代通过代理服务
14、器的中间转换,内网只接受代理服务器提出的要求,拒绝外网的直接请求。理服务器提出的要求,拒绝外网的直接请求。网络安全应用技术5.2.2 防火墙技术的分类防火墙技术的分类4. 其他类型的防火墙其他类型的防火墙 电路层网关电路层网关 混合型防火墙混合型防火墙 应用层网关应用层网关 自适应代理技术自适应代理技术自适应代理技术是一种新颖的防火墙技术,自适应代理技术是一种新颖的防火墙技术,在一定程序上反映了防火墙目前的发展动态。在一定程序上反映了防火墙目前的发展动态。该技术可以根据用户定义的安全策略,动态该技术可以根据用户定义的安全策略,动态适应传送中的分组流量。适应传送中的分组流量。 网络安全应用技术5
15、.3 防火墙配置与管理实验防火墙配置与管理实验 5.3.1 天网个人软件防火墙的配置天网个人软件防火墙的配置 5.3.2 ISA Server网络软件防火墙的使用网络软件防火墙的使用 5.3.3 Cisco PIX 515硬件防火墙的配置硬件防火墙的配置 网络安全应用技术5.3.1 天网个人软件防火墙配置天网个人软件防火墙配置实验目的实验目的通通过过实实验验,学学会会天天网网防防火火墙墙的的配配置置与与管管理理的的方方法法,掌掌握握天天网网防防火火墙墙的的各各个个功功能能使使用用,编编写写规规则则对对一一定定的的应应用用程程序序、端端口口、站站点点、网网段段过过滤滤,对对已已有有过过滤滤规规则
16、则进进行行测测验验,验验证证防防火火墙墙对对数数据据包包拦拦截截、对对端端口口的的保保护护、网网络络监听等内容。监听等内容。具体实验条件、内容和步骤参看教材具体实验条件、内容和步骤参看教材P129。网络安全应用技术5.3.2 ISA Server网络软件网络软件防火墙的使用防火墙的使用实验目的实验目的通过实验,深入理解防火墙的功能和原理,通过实验,深入理解防火墙的功能和原理,学会学会ISA Server防火墙的简单配置,并通过防防火墙的简单配置,并通过防火墙策略的配置实现代理内网的客户机上网,火墙策略的配置实现代理内网的客户机上网,以及发布以及发布Web站点供外部网络访问。站点供外部网络访问。
17、 具体实验条件、内容和步骤参看教材具体实验条件、内容和步骤参看教材P137。网络安全应用技术5.3.3 Cisco PIX 515硬件防硬件防火墙的配置火墙的配置实验目的实验目的通过实验,学会通过实验,学会Cisco PIX 515硬件防火墙硬件防火墙的初始配置、基本配置、外网访问内网的配的初始配置、基本配置、外网访问内网的配置、静态或动态地址翻译配置等。置、静态或动态地址翻译配置等。 具体实验条件、内容和步骤参看教材具体实验条件、内容和步骤参看教材P138。网络安全应用技术5.4 超越与提高超越与提高5.4.1 防火墙安全体系结构防火墙安全体系结构 5.4.2 网络防火墙的局限性网络防火墙的
18、局限性网络安全应用技术5.4.1 防火墙安全体系结构防火墙安全体系结构1. 过滤路由器防火墙结构过滤路由器防火墙结构在传统的路由器中增加分组过滤功能就能在传统的路由器中增加分组过滤功能就能形成这种最简单的防火墙。形成这种最简单的防火墙。 网络安全应用技术5.4.1 防火墙安全体系结构防火墙安全体系结构2. 双宿主主机防火墙结构双宿主主机防火墙结构 该结构至少是具有两个接口该结构至少是具有两个接口(即两块网卡即两块网卡)的双宿主主机而构成。的双宿主主机而构成。 网络安全应用技术5.4.1 防火墙安全体系结构防火墙安全体系结构3. 主机过滤型防火墙结构主机过滤型防火墙结构这种防火墙由过滤路由器和运
19、行网关软件这种防火墙由过滤路由器和运行网关软件的堡垒主机构成。的堡垒主机构成。 网络安全应用技术5.4.1 防火墙安全体系结构防火墙安全体系结构4. 子网过滤型防火墙结构子网过滤型防火墙结构该防火墙是在主机过滤结构中再增加一层该防火墙是在主机过滤结构中再增加一层参数网络的安全机制,使得内部网络和外部参数网络的安全机制,使得内部网络和外部网络之间有两层隔断。网络之间有两层隔断。 网络安全应用技术5.4.1 防火墙安全体系结构防火墙安全体系结构5. 吊带式防火墙结构吊带式防火墙结构这种防火墙与子网过滤型防火墙结构的区这种防火墙与子网过滤型防火墙结构的区别是,作为代理服务器和认证服务器的网关别是,作为代理服务器和认证服务器的网关主机位于周边网络中。主机位于周边网络中。 网络安全应用技术5.4.2 网络防火墙的局限性网络防火墙的局限性1. 无法检测加密的无法检测加密的Web流量流量2. 普通应用程序加密后,也能轻易躲过防普通应用程序加密后,也能轻易躲过防火墙的检测火墙的检测3. 对于对于Web应用程序,防范能力不足应用程序,防范能力不足4. 应用防护特性,只适用于简单情况应用防护特性,只适用于简单情况 5. 无法扩展带深度检测功能无法扩展带深度检测功能 网络安全应用技术
