| 1 网络安全系统设计 中科院计算所教育中心 2 内容 ? 1. Friewall ? 2. SSL/TLS ? 3. IPSec ? 4. IDS 3 防火墙(Firewall) ? 防火墙的基本设计目标– 对于一个网络来说,所有通过 “内部 ”和 “外部 ”的网 络流量都要经过防火墙 – 通过一些安全策略,来保证只有 经过授权的流量 才 可以通过防火墙 – 防火墙本身必须建立在 安全操作系统 上 ? 防火墙的控制能力– 服务控制 ,确定哪些服务可以被访问 – 方向控制 ,对于特定的服务,可以确定允许哪个方 向能够通过防火墙 – 用户控制 ,根据用户来控制对服务的访问 – 行为控制 ,控制一个特定的服务的行为 4 防火墙能为我们做什么 ? 定义一个 必经之点 – 挡住未经授权的访问流量 – 禁止具有脆弱性的服务带来危害 – 实施保护,以避免各种 IP 欺骗和路由攻击 ? 防火墙提供了一个监视各种安全事件的位置, 所以, 可以在防火墙上实现审计和报警 ? 对于有些 Internet 功能来说,防火墙可以是一个 理想的平台,比如地址转换, IPSec/VPN, Internet 日志、审计,甚至计费功能 5 防火墙本身的一些局限性 ? 对于绕过防火墙的攻击,它无能为力。如内部 网用户通过 SLIP 或 PPP 直接进入 Internet 。 ? 防火墙不能防止内部的攻击,以及内部人员与 外部人员的联合攻击 (比如,通过 tunnel 进入 ) ? 防火墙对用户不完全透明,可能带来传输延 迟、瓶颈及单点失效。 ? 防火墙不能防止被病毒感染的程序或者文件、 邮件等 6 防火墙的类型 ? 包过滤路由器 ? 应用层网关 ? 电路层网关 7 静态包过滤路由器 ? 基本的思想很简单– 对于每个进来的包,适用一组规则,然后决定转发 或者丢弃该包 – 往往配置成双向的 ? 如何过滤– 过滤的规则以 IP 和传输层的头中的域 (字段 )为基础 , 包括源和目标 IP 地址、 IP 协议域、源和目标端口号 – 过滤器往往建立一组规则,根据 IP 包是否匹配规则 中指定的条件来作出决定。 ? 如果匹配到一条规则,则根据此规则决定转发或 者丢弃 ? 如果所有规则都不匹配,则根据缺省策略 8 安全缺省策略 ? 两种基本策略,或缺省策略– 没有被拒绝的流量都可以通过 ? 管理员必须针对每一种新出现 的攻击,制定新的规则 – 没有被允许的流量都要拒绝 ? 比较保守 ? 根据需要,逐渐开放 9 静态包过滤路由器示意图 网络层 链路层 物理层 外部网络 内部网络 10 静态包过滤防火墙特点 ? 在网络层上进行监测– 并没有考虑连接状态信息 ? 通常在路由器上实现– 实际上是一种网络的访问控制机制 ? 优点:– 实现简单 – 对用户透明 – 效率高 11 静态包过滤防火墙缺点 ? 配置基于包过滤方式的防火墙, 需要对 IP 、 TCP 、 UDP 、 ICMP 等 各种协议有深入的了 解 ,否则容易出现因配置不当带来的问题; ? 据以过滤判别的只有网络层和传输层的 有限信 息 ,因而各种安全要求不能得到充分满足; ? 由于数据包的地址及端口号都在数据包的头 部,不能彻底防止地址欺骗; ? 允许外部客户和内部主机的直接连接 ;不提供 用户的鉴别机制。 12 包过滤防火墙的设置 (1) ? 从内往外的 telnet 服务 client server 外部 内部 往外包的特性 (用户操作信息 ) IP 源是内部地址 目标地址为 server TCP 协议,目标端口 23 源端口 >1023 [原文截取] 1 网络安全系统设计 中科院计算所教育中心 2 内容 ? 1. Friewall ? 2. SSL/TLS ? 3. IPSec ? 4. IDS 3 防火墙(Firewall) ? 防火墙的基本设计目标– 对于一个网络来说,所有通过 “内部 ”和 “外部 ”的网 络流量都要经过防火墙 – 通过一些安全策略,来保证只有 经过授权的流量 才 可以通过防火墙 – 防火墙本身必须建立在 安全操作系统 上 ? 防火墙的控制能力– 服务控制 ,确定哪些服务可以被访问 – 方向控制 ,对于特定的服务,可以确定允许哪个方 向能够通过防火墙 – 用户控制 ,根据用户来控制对服务的访问 – 行为控制 ,控制一个特定的服务的行为 4 防火墙能为我们做什么 ? 定义一个 必经之点 – 挡住未经授权的访问流量 – 禁止具有脆弱性的服务带来危害 – 实施保护,以避免各种 IP 欺骗和路由攻击 ? 防火墙提供了一个监视各种安全事件的位置, 所以, 可以在防火墙上实现审计和报警 ? 对于有些 Internet 功能来说,防火墙可以是一个 理想的平台,比如地址转换, IPSec/VPN, Internet 日志、审..... |
网络安全系统设计
查看评论
已有0位网友发表了看法