《防火墻講解》PPT課件_第1頁
《防火墻講解》PPT課件_第2頁
《防火墻講解》PPT課件_第3頁
《防火墻講解》PPT課件_第4頁
《防火墻講解》PPT課件_第5頁
已閱讀5頁,還剩36頁未讀 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

1、防 火 墻 基 礎1黑客會對我們的網(wǎng)絡感興趣嗎?對黑客來說,只要看到一點點從系統(tǒng)漏洞發(fā)出的光亮就會蠢蠢欲動如何保護我們的網(wǎng)絡?防火墻2防火墻的概念隔離在本地網(wǎng)絡和外界網(wǎng)絡之間的一道防御系統(tǒng)可以隔離風險區(qū)域與安全區(qū)域的連接但不會妨礙人們對風險區(qū)域的訪問3防火墻的功能過濾不安全的服務和非法用戶控制對特殊站點的訪問提供監(jiān)視Internet安全訪問和預警的可靠節(jié)點實現(xiàn)公司的安全策略4防火墻的功能防止暴露內(nèi)部網(wǎng)結構,可以在防火墻上布置NAT,既可以保護內(nèi)部網(wǎng),又可以解決地址空間緊張的問題是審計和記錄Internet使用費用的一個最佳地點在物理上設置一個單獨的網(wǎng)段,放置WWW、FTP和Mail服務器等5防

2、火墻的分類包過濾防火墻(Checkpoint和PIX為代表)代理防火墻(NAI公司的防火墻為代表)6包 過 濾 技 術789101112包過濾技術的優(yōu)點在網(wǎng)絡中需要時時通信時,可以使用這種方法。對用戶來說是完全透明的可以通過普通的路由器實現(xiàn)13包過濾技術的缺點包過濾技術是通過設置具體的數(shù)據(jù)包過濾準則來實現(xiàn)的,為了實現(xiàn)更強的過濾功能,必須設置非常復雜的包過濾準則。大幅度降低了數(shù)據(jù)包的過濾速度。由于包過濾技術是工作在OSI模型的網(wǎng)絡層和傳輸層,對于高層的協(xié)議,都無法實現(xiàn)有效的過濾14包過濾技術的缺點包過濾技術一般只能實現(xiàn)基于主機和端口的過濾,無法實現(xiàn)針對用戶和應用程序的過濾當網(wǎng)絡安全的方案十分復雜

3、時,一般不采用包過濾技術單獨解決,原因主要包括:維護的代價很高;數(shù)據(jù)包的限制規(guī)則十分復雜;15如果黑客偽裝DNS服務器的地址,那么它在理論上當然可以從附著DNS的UDP端口發(fā)起攻擊。只要允許DNS查詢和反饋包進入網(wǎng)絡,這個問題就必然存在。解決辦法是采用代理服務器。16代 理 技 術17與包過濾技術不同,代理服務技術工作在OSI模型中的應用層,而不是前者的網(wǎng)絡層1819代理技術的優(yōu)點使用代理技術,可以實現(xiàn)基于用戶級的身份認證和訪問控制。由于代理服務器工作于客戶機和真實的服務器之間,可以完全控制兩者之間的對話,從而提供非常詳細的日志功能。在代理服務技術中,可以使用第三方的身份認證系統(tǒng)和日志記錄系統(tǒng)

4、。從而提供這兩方面更為完善的功能20代理技術的優(yōu)點具有內(nèi)部地址屏蔽及轉(zhuǎn)換功能使用代理技術可以簡化包過濾規(guī)則的設定21代理技術的缺點代理服務技術需要對每一種網(wǎng)絡服務都必須有特定的服務代理通常,每一種網(wǎng)絡服務的版本總是落后于現(xiàn)實環(huán)境。因此,多種情況下,無法找到新的網(wǎng)絡服務的代理版本由于徹底割斷了內(nèi)外部網(wǎng)絡之間的直接連接,使網(wǎng)絡的性能受到很大影響。2223其他技術NAT技術VPN技術內(nèi)容檢查技術加密技術安全審計身份認證負載均衡24案 例 分 析25問題描述某公司購買了防火墻之后,緊接著又購買了漏洞掃描和IDS(入侵檢測)產(chǎn)品。當系統(tǒng)管理員利用IDS發(fā)現(xiàn)入侵行為后必須每次都要手工調(diào)整防火墻的安全策略,

5、使管理工作量劇增,而且經(jīng)常調(diào)整安全策略,也會給整個網(wǎng)絡帶來不良影響。26問題分析選購防火墻時未充分考慮到與其它安全產(chǎn)品的聯(lián)動功能,導致不能最大程度的發(fā)揮安全系統(tǒng)的作用27解決辦法 確認防火墻是否有IDS等其他安全產(chǎn)品的聯(lián)動功能 28結論和忠告 具有保護網(wǎng)絡安全的功能不僅僅是防火墻一種產(chǎn)品,只有將多種安全產(chǎn)品無縫的結合起來,充分利用它們各自的優(yōu)點,才能最大限度的保證網(wǎng)絡的安全29入 侵 檢 測 技 術(I D S)30全球80%以上的入侵來自于內(nèi)部 對入侵攻擊的檢測與防范,保障計算機系統(tǒng)、網(wǎng)絡系統(tǒng)、以及整個信息基礎設施的安全已經(jīng)成為刻不容緩的重要課題。31IDS的概念入侵檢測是防火墻的合理補充擴

6、展了系統(tǒng)管理員的安全管理能力提高了信息安全基礎結構的完整性32IDS的任務監(jiān)視、分析用戶及系統(tǒng)活動系統(tǒng)的構造和弱點的審計識別已知進攻的活動模式并向相關人士報警異常行為模式的統(tǒng)計分析評估重要系統(tǒng)和數(shù)據(jù)文件的完整性操作系統(tǒng)的審計跟蹤管理,并識別用戶違反安全策略的行為33IDS的類型基于主機的IDS基于網(wǎng)絡的IDS34基于主機的IDS(HIDS)的優(yōu)點對分析“可能的攻擊”非常有效能夠提供更詳盡的相關信息誤報率低35HIDS的弱點安裝在需要保護的設備上它依賴于服務器固有的日志與監(jiān)視能力全面部署主機入侵檢測系統(tǒng)代價較大36基于網(wǎng)絡的入侵檢測產(chǎn)品(NIDS)的優(yōu)點目前,大部分的入侵檢測是基于網(wǎng)絡的不需要改變服務器等主機的配置NIDS發(fā)生故障不會影響業(yè)務的正常運行風險小近年內(nèi)有向?qū)iT的設備發(fā)展的趨勢37NIDS的弱點只檢查他直接連接網(wǎng)段的通信很難實現(xiàn)一些需要大量計算與分析時間的攻擊檢測處理

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論