网络安全.pptx

网络安全简介
网络是一条数据高速公路，它专门用来增加对计算机系统的访问，而安全性却专门用来控制访问。提供网络安全性是在公开访问与控制访问之间的一种权衡举措。在家里，通过锁门为财产提高安全性，而不是封锁街道。同样，网络了保护数据和资源的安全，创建了防火墙。
防火墙从本质上来说是一种保护装置，用来保护网络数据、资源和用户的声誉。
防火墙服务用于多个目的：
·限定人们从一个特别的节点进入。
·防止入侵者接近你的防御设施。
·限定人们从一个特别的节点离开。
·有效的阻止破坏者对你的计算机系统进行破坏。

从逻辑上讲，防火墙是分离器、限制器和分析器；从物理角度看，各个防火墙的物理实现方式可以有所不同，它通常是一组硬件设备（路由器、主机）和软件的多种组合。
● 防火墙的优点：
(1)防火墙能强化安全策略
(2)防火墙能有效地记录因特网上的活动
(3)防火墙可以实现网段控制
(4)防火墙是一个安全策略的检查站
● 防火墙的缺点：
(1)防火墙不能防范恶意的知情者
(2)防火墙不能防范不通过它的连接

(3)防火墙不能防备全部的威胁
(4)防火墙不能防范病毒
防火墙要检测随机数据中的病毒十分困难，它要求：
·确认数据包是程序的一部分
·确定程序的功能
·确定病毒引起的改变
防火墙的功能
防火墙通常具有以下几种功能：
·数据包过滤
·代理服务

1．数据包过滤
数据包过滤系统在内部网络与外部主机之间发送数据包，但它们发送的数据包是有选择的。它们按照自己的安全策略允许或阻止某些类型的数据包通过，这种控制由路由器来完成，所以数据包过滤系统通常也称之为屏蔽路由器。
普通路由器只是简单地查看每一个数据包的目标地址，然后选择发往目标地址的最佳路径。处理数据包目标地址的方法一般有两种：
·如果路由器知道如何将数据包发送到目标地址，则发送。
·如果路由器不知道如何将数据包发送到目标地址，则返回数据包，经由ICMP向源地址发送不能到达的消息。

屏蔽路由器有以下特点：
·屏蔽路由器比普通的路由器担负更大的责任，它不但要执行转发任务，还要执行确定转发的任务。
·如果屏蔽路由器的安全保护失败，内部的网络将被暴露。
·简单的屏蔽路由器不能修改任务。
·屏蔽路由器能允许或拒绝服务，但它不能保护服务之内的单独操作。如果一个服务没有提供安全的操作，或者这个服务由不安全的服务器提供，那么屏蔽路由器就不能保证它的安全。

2．代理服务
代理服务是运行在防火墙主机上的专门的应用程序（服务器程序）。防火墙主机可以是一个同时拥有内部网络接口和外部网络接口的双重宿主主机，也可以是一些内部网络中唯一可以与因特网通信的堡垒主机。
代理服务程序接受用户对因特网服务的请求，并按照安全策略转发它们的请求。所谓代理就是一个提供替代连接并且充当服务的网关。由于这个原因，代理也称之为应用级网关。
代理服务位于内部用户和外部服务之间，它在幕后处理所有用户和因特网服务之间的通信，以代替它们之间的直接交谈。

防火墙的体系结构
防火墙的体系结构一般有以下几种
·双重宿主主机体系结构
·屏蔽主机体系结构
·屏蔽子网体系结构
1．双重宿主主机体系结构
双重宿主主机体系结构是具有双重宿主功能的主机而构筑的。该计算机至少有两个网络接口，一个是内部网络接口，一个是因特网接口。

2．屏蔽主机体系结构
双重宿主主机体系结构提供内部网络和外部网络之间的服务（但是路由关闭），屏蔽主机体系结构使用一个单独的路由器来提供内部网络主机之间的服务。在这种体系结构中，主要的安全机制由数据包过滤系统来提供 。
3．屏蔽子网体系结构
屏蔽子网体系结构在屏蔽主机体系结构的基础上添加额外的安全层，它通过添加周边网络把内部网络更进一步地与因特网隔离开。
周边网络 堡垒主机 内部路由器 外部路由器

4．防火墙体系结构的不同形式
①使用多堡垒主机
②合并内部路由器与外部路由器
③合并堡垒主机与外部路由器
④合并堡垒主机与内部路由器
⑤使用多台内部路由器
⑥使用多台外部路由器
⑦使用多个周边网络
⑧使用双重宿主主机与屏蔽子网

内部防火墙
①实验室网络
②不安全的网络
③特别安全的网络
④合作共建防火墙
⑤共享周边网络
⑥堡垒主机可有可无

发展趋势
被称为“第三代防火墙”的系统正在成为现实，它综合了数据包过滤与代理系统的特点与功能。
目前，人们正在设计新的IP协议（也被