網(wǎng)絡(luò)訪問控制

網(wǎng)絡(luò)訪問控制第1頁，課件共84頁，創(chuàng)作于2023年2月一、防火墻基本知識1、防火墻的提出2、什么是防火墻3、防火墻發(fā)展回顧4、防火墻功能5、防火墻的局限性6、爭議及不足7、防火墻的設(shè)計原則8、防火墻的分類第2頁，課件共84頁，創(chuàng)作于2023年2月企業(yè)上網(wǎng)面臨的安全問題之一:

內(nèi)部網(wǎng)與互聯(lián)網(wǎng)的有效隔離解答:

防火墻網(wǎng)絡(luò)間的訪問----需隔離FIREWALL1、防火墻的提出第3頁，課件共84頁，創(chuàng)作于2023年2月2、什么是防火墻（1）在一個受保護的企業(yè)內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)間,用來強制執(zhí)行企業(yè)安全策略的一個或一組系統(tǒng).第4頁，課件共84頁，創(chuàng)作于2023年2月

最初含義：當房屋還處于木制結(jié)構(gòu)的時侯，人們將石塊堆砌在房屋周圍用來防止火災(zāi)的發(fā)生。這種墻被稱之為防火墻。

定義：防火墻是位于兩個信任程度不同的網(wǎng)絡(luò)之間（如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間）的軟件或硬件設(shè)備的組合，它對兩個網(wǎng)絡(luò)之間的通信進行控制，通過強制實施統(tǒng)一的安全策略，防止對重要信息資源的非法存取和訪問以達到保護系統(tǒng)安全的目的。2、什么是防火墻（2）第5頁，課件共84頁，創(chuàng)作于2023年2月2、什么是防火墻（3）不可信網(wǎng)絡(luò)和服務(wù)器可信網(wǎng)絡(luò)防火墻路由器InternetIntranet可信用戶不可信用戶

DMZ第6頁，課件共84頁，創(chuàng)作于2023年2月目的：都是為了在被保護的內(nèi)部網(wǎng)與不安全的非信任網(wǎng)絡(luò)之間設(shè)立唯一的通道，以按照事先制定的策略控制信息的流入和流出，監(jiān)督和控制使用者的操作。典型情況：安全網(wǎng)絡(luò)為企業(yè)內(nèi)部網(wǎng)絡(luò)，不安全網(wǎng)絡(luò)為因特網(wǎng)。注意：但防火墻不只用于因特網(wǎng)，也可用于Intranet各部門網(wǎng)絡(luò)之間（內(nèi)部防火墻）。例：財務(wù)部與市場部之間。2、什么是防火墻（4）第7頁，課件共84頁，創(chuàng)作于2023年2月2、什么是防火墻（5）防火墻可在鏈路層、網(wǎng)絡(luò)層和應(yīng)用層上實現(xiàn)；其功能的本質(zhì)特征是隔離內(nèi)外網(wǎng)絡(luò)和對進出信息流實施訪問控制。隔離方法可以是基于物理的，也可以是基于邏輯的；從網(wǎng)絡(luò)防御體系上看，防火墻是一種被動防御的保護裝置。第8頁，課件共84頁，創(chuàng)作于2023年2月4、防火墻功能（1）第9頁，課件共84頁，創(chuàng)作于2023年2月4、防火墻功能（2）應(yīng)用程序代理包過濾&狀態(tài)檢測用戶認證NATVPN日志IDS與報警內(nèi)容過濾基本功能模塊第10頁，課件共84頁，創(chuàng)作于2023年2月網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)服務(wù)的開放性和靈活性為代價的。防火墻的使用也會削弱網(wǎng)絡(luò)的功能：

①由于防火墻的隔離作用，在保護內(nèi)部網(wǎng)絡(luò)的同時使它與外部網(wǎng)絡(luò)的信息交流受到阻礙；②由于在防火墻上附加各種信息服務(wù)的代理軟件，增大了網(wǎng)絡(luò)管理開銷，還減慢了信息傳輸速率。5、防火墻的局限性（1）第11頁，課件共84頁，創(chuàng)作于2023年2月防火墻只是整個網(wǎng)絡(luò)安全防護體系的一部分，而且防火墻并非萬無一失：

只能防范經(jīng)過其本身的非法訪問和攻擊，對繞過防火墻的訪問和攻擊無能為力；不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問題；不能防止受病毒感染的文件的傳輸；不能防止策略配置不當或錯誤配置引起的安全威脅；不能防止自然或人為的故意破壞；不能防止本身安全漏洞的威脅。5、防火墻的局限性（2）第12頁，課件共84頁，創(chuàng)作于2023年2月6、爭議及不足使用不便，認為防火墻給人虛假的安全感對用戶不完全透明，可能帶來傳輸延遲、瓶頸及單點失效不能替代墻內(nèi)的安全措施不能防范惡意的知情者不能防范不通過它的連接不能防范全新的威脅不能有效地防范數(shù)據(jù)驅(qū)動式的攻擊當使用端-端加密時，其作用會受到很大的限制第13頁，課件共84頁，創(chuàng)作于2023年2月6、爭議及不足(2)內(nèi)部提供的撥號服務(wù)繞過了防火墻第14頁，課件共84頁，創(chuàng)作于2023年2月7、防火墻的設(shè)計原則（1）所有從內(nèi)到外和從外到內(nèi)的通信量都必須經(jīng)過防火墻。只有被認可的通信量通過本地安全策略進行定義后才允許傳遞防火墻對于滲透是免疫的第15頁，課件共84頁，創(chuàng)作于2023年2月7、防火墻的設(shè)計原則（2）Internet防火墻可能會扮演兩種截然相反的姿態(tài)拒絕沒有特別允許的任何事情允許沒有特別拒絕的任何事情第16頁，課件共84頁，創(chuàng)作于2023年2月8、防火墻的分類（1）根據(jù)防火墻組成組件的不同軟件防火墻一般硬件防火墻純硬件防火墻根據(jù)防火墻技術(shù)的實現(xiàn)平臺Windows防火墻Linux防火墻第17頁，課件共84頁，創(chuàng)作于2023年2月8、防火墻的分類（2）根據(jù)防火墻被保護的對象的不同主機防火墻（個人防火墻）網(wǎng)絡(luò)防火墻根據(jù)防火墻自身網(wǎng)絡(luò)性能和被保護網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)性能百兆防火墻千兆防火墻第18頁，課件共84頁，創(chuàng)作于2023年2月8、防火墻的分類（3）根據(jù)防火墻功能或技術(shù)特點的不同主機防火墻病毒防火墻智能防火墻根據(jù)防范方式和側(cè)重點的不同下一節(jié)重點講述第19頁，課件共84頁，創(chuàng)作于2023年2月二、防火墻技術(shù)根據(jù)防范方式和側(cè)重點的不同可分為幾類：包過濾防火墻狀態(tài)防火墻應(yīng)用網(wǎng)關(guān)NAT技術(shù)分布式防火墻病毒防火墻第20頁，課件共84頁，創(chuàng)作于2023年2月1、包過濾防火墻（1）第21頁，課件共84頁，創(chuàng)作于2023年2月1、包過濾防火墻（2）包過濾防火墻對所接收的每個數(shù)據(jù)包做允許拒絕的決定。包的進入接口和出接口如果有匹配并且規(guī)則允許該數(shù)據(jù)包，那么該數(shù)據(jù)包就會按照路由表中的信息被轉(zhuǎn)發(fā)。如果匹配并且規(guī)則拒絕該數(shù)據(jù)包，那么該數(shù)據(jù)包就會被丟棄。如果沒有匹配規(guī)則，用戶配置的缺省參數(shù)會決定是轉(zhuǎn)發(fā)還是丟棄數(shù)據(jù)包。包過濾防火墻使得防火墻能夠根據(jù)特定的服務(wù)允許或拒絕流動的數(shù)據(jù)，因為多數(shù)的服務(wù)收聽者都在已知的TCP/UDP端口號上。第22頁，課件共84頁，創(chuàng)作于2023年2月1、包過濾防火墻（3）數(shù)據(jù)包過濾一般要檢查網(wǎng)絡(luò)層的IP頭和傳輸層的頭：IP源地址IP目標地址協(xié)議類型（TCP包、UDP包和ICMP包）TCP或UDP包的目的端口TCP或UDP包的源端口TCP控制標記，如SYN,ACK,FIN,PSH,RST和其他標記第23頁，課件共84頁，創(chuàng)作于2023年2月第24頁，課件共84頁，創(chuàng)作于2023年2月優(yōu)點：

速度快，性能高,靈活對用戶透明實現(xiàn)包過濾幾乎不再需要費用\缺點：維護比較困難(需要對TCP/IP了解）安全性低（IP欺騙等）只對某些類型的TCP/IP攻擊比較敏感不支持用戶的連接認證只有有限的認證功能隨著過濾器數(shù)目的增加,路由器的吞吐量會下降。1、包過濾防火墻（4）互連的物理介質(zhì)應(yīng)用層表示層會話層傳輸層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層第25頁，課件共84頁，創(chuàng)作于2023年2月1、LAND攻擊（1）第26頁，課件共84頁，創(chuàng)作于2023年2月1、LAND攻擊（2）第27頁，課件共84頁，創(chuàng)作于2023年2月2、狀態(tài)防火墻（1）假設(shè)包過濾防火墻在Internet向內(nèi)的接口上設(shè)置了一個規(guī)則，規(guī)定任何發(fā)送到主機A的外部流量均被拒絕。有一臺外部主機B試圖訪問主機A時當主機A想要訪問外部設(shè)備B第28頁，課件共84頁，創(chuàng)作于2023年2月狀態(tài)檢測防火墻是在動態(tài)包過濾的基礎(chǔ)上，增加了狀態(tài)檢測機制而形成的；動態(tài)包過濾與普通包過濾相比，需要多做一項工作：對外出數(shù)據(jù)包的“身份”做一個標記，允許相同連接的數(shù)據(jù)包通過。利用狀態(tài)表跟蹤每一個網(wǎng)絡(luò)會話的狀態(tài)，對每一個數(shù)據(jù)包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會話所處的狀態(tài)；2、狀態(tài)防火墻（2）第29頁，課件共84頁，創(chuàng)作于2023年2月2、狀態(tài)防火墻（3）物理層引擎檢測動態(tài)狀態(tài)表應(yīng)用層表示層會話層傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層應(yīng)用層表示層會話層傳輸層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層應(yīng)用層表示層會話層傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層第30頁，課件共84頁，創(chuàng)作于2023年2月主要優(yōu)點：①高安全性（工作在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層之間；“狀態(tài)感知”能力）②高效性（對連接的后續(xù)數(shù)據(jù)包直接進行狀態(tài)檢查）③狀態(tài)防火墻具有更強的日志功能。主要缺點：①無狀態(tài)的協(xié)議，例如UPD、ICMP②狀態(tài)表的大小。2、狀態(tài)防火墻（4）第31頁，課件共84頁，創(chuàng)作于2023年2月3、應(yīng)用網(wǎng)關(guān)（1）代理服務(wù)是運行在防火墻主機上的專門的應(yīng)用程序或者服務(wù)器程序。不允許通信直接經(jīng)過外部網(wǎng)和內(nèi)部網(wǎng)。將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計算機系統(tǒng)間應(yīng)用層的“鏈接”，由兩個終止代理服務(wù)器上的“鏈接”來實現(xiàn)，外部計算機的網(wǎng)絡(luò)鏈路只能到達代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計算機系統(tǒng)的作用。第32頁，課件共84頁，創(chuàng)作于2023年2月代理服務(wù)器示意圖3、應(yīng)用網(wǎng)關(guān)（2）第33頁，課件共84頁，創(chuàng)作于2023年2月3、應(yīng)用網(wǎng)關(guān)（3）第34頁，課件共84頁，創(chuàng)作于2023年2月3、應(yīng)用網(wǎng)關(guān)（4）應(yīng)用層表示層會話層傳輸層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會話層傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層TelnetHTTPFTP應(yīng)用層表示層會話層傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層網(wǎng)絡(luò)層第35頁，課件共84頁，創(chuàng)作于2023年2月3、應(yīng)用網(wǎng)關(guān)（5）第36頁，課件共84頁，創(chuàng)作于2023年2月為何能對連接請求進行認證？認證方式用戶名和口令令牌卡信息網(wǎng)絡(luò)層源地址生物信息3、應(yīng)用網(wǎng)關(guān)（6）第37頁，課件共84頁，創(chuàng)作于2023年2月主要優(yōu)點：認證個人而非設(shè)備；使黑客進行欺騙和實施Dos攻擊比較困難;能夠監(jiān)控和過濾應(yīng)用層信息；能夠提供詳細的日志；內(nèi)部網(wǎng)絡(luò)拓撲結(jié)構(gòu)等重要信息不易外泄；可以實施用戶認證、詳細日志、審計跟蹤和數(shù)據(jù)加密等功能和對具體協(xié)議及應(yīng)用的過濾，安全性較高。3、應(yīng)用網(wǎng)關(guān)（7）第38頁，課件共84頁，創(chuàng)作于2023年2月主要缺點：針對不同的應(yīng)用層協(xié)議必須有單獨的應(yīng)用代理，也不能自動支持新的網(wǎng)絡(luò)應(yīng)用；有些代理還需要相應(yīng)的支持代理的客戶和服務(wù)器軟件；用戶可能還需要專門學習程序的使用方法才能通過代理訪問Internet；詳盡的日志功能性能下降。改進：詳盡的日志功能性能下降？將應(yīng)用網(wǎng)關(guān)設(shè)置成只監(jiān)控關(guān)鍵應(yīng)用3、應(yīng)用網(wǎng)關(guān)（8）第39頁，課件共84頁，創(chuàng)作于2023年2月4、NAT技術(shù)（1）

網(wǎng)絡(luò)地址轉(zhuǎn)換/翻譯（NAT，NetworkAddressTranslation）就是將一個IP地址用另一個IP地址代替。NAT的主要作用：隱藏內(nèi)部網(wǎng)絡(luò)的IP地址；解決地址緊缺問題。

注意：NAT本身并不是一種有安全保證的方案，它僅僅在包的最外層改變IP地址。所以通常要把NAT集成在防火墻系統(tǒng)中。第40頁，課件共84頁，創(chuàng)作于2023年2月4、NAT技術(shù)（2）

NAT有3種類型：靜態(tài)NAT〈staticNAT)、NAT池(pooledNAT)和端口NAT(PAT)

靜態(tài)NAT：內(nèi)部網(wǎng)絡(luò)中的每個主機都被永久映射成外部網(wǎng)絡(luò)中的某個合法的地址；

NAT池：可用的合法IP地址是一個范圍，而內(nèi)部網(wǎng)絡(luò)地址的范圍大于合法IP的范圍，在做地址轉(zhuǎn)換時，如果合法IP都被占用，此時從內(nèi)部網(wǎng)絡(luò)的新的請求會由于沒有合法地址可以分配而失敗。

PAT：把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個IP地址的不同端口上。第41頁，課件共84頁，創(chuàng)作于2023年2月4、NAT技術(shù)（3）

注意：進行地址翻譯時，優(yōu)先還是NAT，當合法IP地址分配完后，對于新發(fā)起的連接會重復使用已分配過的合法IP，要區(qū)別此次NAT與上次NAT的數(shù)據(jù)包，就要通過端口地址加以區(qū)分。比較：靜態(tài)地址翻譯：不需要維護地址轉(zhuǎn)換狀態(tài)表，功能簡單，性能較好；

NAT池和端口轉(zhuǎn)換：必須維護一個轉(zhuǎn)換表，以保證能夠?qū)Ψ祷氐臄?shù)據(jù)包進行正確的反向轉(zhuǎn)換，功能強大，但是需要的資源較多。第42頁，課件共84頁，創(chuàng)作于2023年2月源IP目的IP10.0.0.108202.112.108.50源IP目的IP202.112.108.30源IP目的IP202.112.108.50202.112.108.3源IP目的IP202.112.108.5010.0.0.108防火墻網(wǎng)關(guān)NAT技術(shù)中將不合法IP轉(zhuǎn)換為合法IP4、NAT技術(shù)（4）第43頁，課件共84頁，創(chuàng)作于2023年2月InternetIntranet防火墻路由器將內(nèi)部網(wǎng)地址轉(zhuǎn)換成網(wǎng)關(guān)地址問題：所有返回數(shù)據(jù)包目的IP都是，防火墻如何識別并送回真正主機？方法：1、防火墻記住所有發(fā)送包的目的端口；

2、防火墻記住所有發(fā)送包的TCP序列號4、NAT技術(shù)（5）第44頁，課件共84頁，創(chuàng)作于2023年2月5、分布式防火墻（1）前面提到的幾種防火墻都屬于邊界防火墻（PerimeterFirewall），它無法對內(nèi)部網(wǎng)絡(luò)實現(xiàn)有效地保護；隨著人們對網(wǎng)絡(luò)安全防護要求的提高，產(chǎn)生了一種新型的防火墻體系結(jié)構(gòu)——分布式防火墻。近幾年，分布式防火墻技術(shù)已逐漸興起，并在國外一些大的網(wǎng)絡(luò)設(shè)備開發(fā)商中得到實現(xiàn)，由于其優(yōu)越的安全防護體系，符合未來的發(fā)展趨勢，這一技術(shù)一出現(xiàn)就得到了許多用戶的認可和接受。第45頁，課件共84頁，創(chuàng)作于2023年2月5、分布式防火墻（2）

傳統(tǒng)防火墻：邊界防火墻缺陷：結(jié)構(gòu)性限制；內(nèi)部威脅；效率和故障

分布式防火墻（廣義）：一種新的防火墻體系結(jié)構(gòu)（包含網(wǎng)絡(luò)防火墻、主機防火墻和管理中心）優(yōu)勢：在網(wǎng)絡(luò)內(nèi)部增加了另一層安全，有效抵御來自內(nèi)部的攻擊，消除網(wǎng)絡(luò)邊界上的通信瓶頸和單一故障點，支持基于加密和認證的網(wǎng)絡(luò)應(yīng)用，與拓撲無關(guān)，支持移動計算。第46頁，課件共84頁，創(chuàng)作于2023年2月6、病毒防火墻（1）防火墻技術(shù)本身應(yīng)該說不適合于反病毒，由于商業(yè)上的需求，相關(guān)專家和研發(fā)單位對此還是進行了很多研究，并給出了較為有效的相關(guān)技術(shù)產(chǎn)品。

病毒防火墻有時也稱為防病毒型網(wǎng)關(guān)(NAVGateway)，綜合了防火墻、虛擬專網(wǎng)和內(nèi)容過濾等安全功能，構(gòu)成了網(wǎng)絡(luò)安全新理念。第47頁，課件共84頁，創(chuàng)作于2023年2月6、病毒防火墻（2）病毒防火墻系統(tǒng)具有以下一些功能特點：系統(tǒng)在網(wǎng)絡(luò)邊緣阻擋病毒；系統(tǒng)提供了一道安全防線，使得在它后面的所有主機都受到保護；系統(tǒng)減輕了郵件服務(wù)器的負荷；系統(tǒng)利用專用的平臺，而不是標準主機。第48頁，課件共84頁，創(chuàng)作于2023年2月三、防火墻體系結(jié)構(gòu)防火墻的體系結(jié)構(gòu)：防火墻系統(tǒng)實現(xiàn)所采用的架構(gòu)及其實現(xiàn)所采用的方法，它決定著防火墻的功能、性能以及使用范圍。防火墻可以被設(shè)置成許多不同的結(jié)構(gòu)，并提供不同級別的安全，而維護運行的費用也各不相同。雙重宿主主機體系結(jié)構(gòu)屏蔽主機體系結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)第49頁，課件共84頁，創(chuàng)作于2023年2月1、雙重宿主主機體系結(jié)構(gòu)（1）雙重宿主主機體系結(jié)構(gòu)是圍繞雙重宿主主機構(gòu)筑的。雙重宿主主機至少有兩個網(wǎng)絡(luò)接口，它位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。這種防火墻的最大特點是IP層的通信是被阻止的，兩個網(wǎng)絡(luò)之間的通信可通過應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理服務(wù)來完成。第50頁，課件共84頁，創(chuàng)作于2023年2月Internet防火墻雙重宿主主機內(nèi)部網(wǎng)絡(luò)……雙重宿主主機體系結(jié)構(gòu)1、雙重宿主主機體系結(jié)構(gòu)（2）第51頁，課件共84頁，創(chuàng)作于2023年2月1、雙重宿主主機體系結(jié)構(gòu)（3）雙重宿主主機的特性：安全至關(guān)重要（唯一通道），其用戶口令控制安全是關(guān)鍵。必須支持很多用戶的訪問（中轉(zhuǎn)站），其性能非常重要。缺點：雙重宿主主機是隔開內(nèi)外網(wǎng)絡(luò)的唯一屏障，一旦它被入侵，內(nèi)部網(wǎng)絡(luò)便向入侵者敞開大門。第52頁，課件共84頁，創(chuàng)作于2023年2月2、屏蔽主機體系結(jié)構(gòu)（1）典型構(gòu)成：包過濾路由器＋堡壘主機。包過濾路由器配置在內(nèi)部網(wǎng)和外部網(wǎng)之間，保證外部系統(tǒng)對內(nèi)部網(wǎng)絡(luò)的操作只能經(jīng)過堡壘主機。堡壘主機配置在內(nèi)部網(wǎng)絡(luò)上，是外部網(wǎng)絡(luò)主機連接到內(nèi)部網(wǎng)絡(luò)主機的橋梁，它需要擁有高等級的安全。第53頁，課件共84頁，創(chuàng)作于2023年2月2、屏蔽主機體系結(jié)構(gòu)（2）第54頁，課件共84頁，創(chuàng)作于2023年2月2、屏蔽主機體系結(jié)構(gòu)（3）屏蔽路由器可按如下規(guī)則之一進行配置：允許內(nèi)部主機為了某些服務(wù)請求與外部網(wǎng)上的主機建立直接連接（即允許那些經(jīng)過過濾的服務(wù)）。不允許所有來自外部主機的直接連接。安全性更高，雙重保護：實現(xiàn)了網(wǎng)絡(luò)層安全（包過濾）和應(yīng)用層安全（代理服務(wù)）。缺點：過濾路由器能否正確配置是安全與否的關(guān)鍵。如果路由器被損害，堡壘主機將被穿過，整個網(wǎng)絡(luò)對侵襲者是開放的。第55頁，課件共84頁，創(chuàng)作于2023年2月3、屏蔽子網(wǎng)體系結(jié)構(gòu)（1）屏蔽子網(wǎng)體系結(jié)構(gòu)在本質(zhì)上與屏蔽主機體系結(jié)構(gòu)一樣，但添加了額外的一層保護體系——周邊網(wǎng)絡(luò)。堡壘主機位于周邊網(wǎng)絡(luò)上，周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)被內(nèi)部路由器分開。原因：堡壘主機是用戶網(wǎng)絡(luò)上最容易受侵襲的機器。通過在周邊網(wǎng)絡(luò)上隔離堡壘主機，能減少在堡壘主機被侵入的影響。第56頁，課件共84頁，創(chuàng)作于2023年2月Internet周邊網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)……外部路由器堡壘主機內(nèi)部路由器屏蔽子網(wǎng)體系結(jié)構(gòu)3、屏蔽子網(wǎng)體系結(jié)構(gòu)（2）第57頁，課件共84頁，創(chuàng)作于2023年2月3、屏蔽子網(wǎng)體系結(jié)構(gòu)（3）周邊網(wǎng)絡(luò)是一個防護層，在其上可放置一些信息服務(wù)器，它們是犧牲主機，可能會受到攻擊，因此又被稱為非軍事區(qū)（DMZ）。周邊網(wǎng)絡(luò)的作用：即使堡壘主機被入侵者控制，它仍可消除對內(nèi)部網(wǎng)的偵聽。第58頁，課件共84頁，創(chuàng)作于2023年2月3、屏蔽子網(wǎng)體系結(jié)構(gòu)（4）堡壘主機堡壘主機位于周邊網(wǎng)絡(luò)，是整個防御體系的核心。堡壘主機可被認為是應(yīng)用層網(wǎng)關(guān)，可以運行各種代理服務(wù)程序。對于出站服務(wù)不一定要求所有的服務(wù)經(jīng)過堡壘主機代理，但對于入站服務(wù)應(yīng)要求所有服務(wù)都通過堡壘主機。第59頁，課件共84頁，創(chuàng)作于2023年2月3、屏蔽子網(wǎng)體系結(jié)構(gòu)（5）外部路由器（訪問路由器）作用：保護周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的侵犯。它把入站的數(shù)據(jù)包路由到堡壘主機。防止部分IP欺騙，它可分辨出數(shù)據(jù)包是否真正來自周邊網(wǎng)絡(luò)，而內(nèi)部路由器不可。內(nèi)部路由器（阻塞路由器）作用：保護內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)和周邊網(wǎng)絡(luò)的侵害，它執(zhí)行大部分過濾工作。外部路由器一般與內(nèi)部路由器應(yīng)用相同的規(guī)則。第60頁，課件共84頁，創(chuàng)作于2023年2月三、物理隔離物理隔離技術(shù)背景物理隔離技術(shù)定義物理隔離技術(shù)原理第61頁，課件共84頁，創(chuàng)作于2023年2月1、物理隔離與防火墻技術(shù)（1）根據(jù)安全等級不同將網(wǎng)絡(luò)劃分不同的部分各個部分之間采用物理、邏輯隔離或受限訪問方式互連物理隔離網(wǎng)絡(luò)間禁止有物理通信線路連接邏輯隔離協(xié)議轉(zhuǎn)換受限訪問防火墻第62頁，課件共84頁，創(chuàng)作于2023年2月1、網(wǎng)絡(luò)隔離與防火墻技術(shù)（2）解決目前防火墻存在的根本問題：防火墻對操作系統(tǒng)的依賴，因為操作系統(tǒng)也有漏洞；

TCP/IP的協(xié)議漏洞；防火墻、內(nèi)網(wǎng)和DMZ同時直接連接；應(yīng)用協(xié)議的漏洞，因為命令和指令可能是非法的；文件帶有病毒和惡意代碼第63頁，課件共84頁，創(chuàng)作于2023年2月1、網(wǎng)絡(luò)隔離與防火墻技術(shù)（3）物理隔離的指導思想與防火墻絕然不同：防火墻的思路是在保障互聯(lián)互通的前提下，盡可能安全，而物理隔離的思路是在保證必須安全的前提下，盡可能互聯(lián)互通。一個典型的物理隔離方案（處于完全隔離狀態(tài)）第64頁，課件共84頁，創(chuàng)作于2023年2月2、物理隔離的定義（1）物理隔離技術(shù)的基本思想是:如果不存在與網(wǎng)絡(luò)的物理連接，網(wǎng)絡(luò)安全威脅便可大大降低。物理隔離技術(shù)實質(zhì)就是一種將內(nèi)外網(wǎng)絡(luò)從物理上斷開，但保持邏輯連接的信息安全技術(shù)。第65頁，課件共84頁，創(chuàng)作于2023年2月案例：政府網(wǎng)絡(luò)一般劃分為3個安全等級不同的部分內(nèi)部保密專用網(wǎng)絡(luò)，傳送保密信息業(yè)務(wù)網(wǎng)絡(luò)，傳送政府業(yè)務(wù)管理信息Internet連接網(wǎng)絡(luò)，建設(shè)網(wǎng)站或?qū)ν庠L問保密網(wǎng)絡(luò)要求跟其它部分物理隔離其它部分可以在保證安全性情況下互連第66頁，課件共84頁，創(chuàng)作于2023年2月案例：證券交易網(wǎng)一般劃分為3個安全等級不同的部分證券交易業(yè)務(wù)專用網(wǎng)絡(luò)，傳送證券業(yè)務(wù)信息企業(yè)內(nèi)綜合管理網(wǎng)絡(luò)，傳送辦公、財務(wù)、VoIP等企業(yè)內(nèi)部管理信息Internet連接網(wǎng)絡(luò)，建設(shè)網(wǎng)站或?qū)ν庠L問交易網(wǎng)絡(luò)首先要保證可靠性和安全性，跟其它部分物理隔離，必要時可以采用邏輯隔離方式連接其它可以在保證安全性情況下互連第67頁，課件共84頁，創(chuàng)作于2023年2月2、物理隔離的定義（2）物理隔離從廣義上分為網(wǎng)絡(luò)隔離和數(shù)據(jù)隔離，它們都稱為物理隔離。網(wǎng)絡(luò)隔離數(shù)據(jù)隔離第68頁，課件共84頁，創(chuàng)作于2023年2月3、物理隔離技術(shù)原理－數(shù)據(jù)二極管第69頁，課件共84頁，創(chuàng)作于2023年2月3、物理隔離技術(shù)原理－存儲池（1）存儲池交換技術(shù)是一種隔離網(wǎng)絡(luò)之間連接的專用安全技術(shù)第70頁，課件共84頁，創(chuàng)作于2023年2月3、物理隔離技術(shù)原理－存儲池（2）第71頁，課件共84頁，創(chuàng)作于2023年2月3、物理隔離技術(shù)原理－存儲池（3）第72頁，課件共84頁，創(chuàng)作于2023年2月3、物理隔離技術(shù)原理－存儲池（4）第73頁，課件共84頁，創(chuàng)作于2023年2月3、物理隔離技術(shù)原理－存儲池（5）第74頁，課件共84頁，創(chuàng)作于2023年2月3、物理隔離技術(shù)原理－存儲池（6）第75頁，課件共84頁，創(chuàng)作于2023年2月3、物理隔離技術(shù)原理－存儲池（7）第76頁，課件共84頁，創(chuàng)作于2023年2月3、物理隔離技術(shù)原理－存儲池（8）存儲池交換技術(shù)是一種隔離網(wǎng)絡(luò)之間連接的專用安全技術(shù)。這種技術(shù)使用一