网络安全技术基础(下)ppt课件.ppt
《网络安全技术基础(下)ppt课件.ppt》由会员分享,可在线阅读,更多相关《网络安全技术基础(下)ppt课件.ppt(75页珍藏版)》请在三一办公上搜索。
1、网络安全技术基础(下),2,本讲概要,本讲主要阐述目前最常用的信息安全技术和信息安全产品,内容包括了:防火墙入侵检测VPN漏洞评估,本讲涉及内容宽泛,领域众多,讲师根据学员情况做好课时安排。 本讲总课时建议为46课时。,3,本讲学习目标,通过本讲学习,学员应该掌握:各类信息安全技术的概念、用途,部署方式防火墙的分类、原理、结构和用途入侵检测产品的工作原理和分类VPN的分类和用途漏洞评估的概念和意义,(一)防火墙技术,5,防火墙产品,防火墙的基本概念防火墙的主要技术防火墙的用途防火墙的弱点防火墙的体系结构防火墙的构筑原则防火墙产品,本节将分以下几部分介绍网络防火墙:,6,防火墙的基本概念,防火墙
2、是一种高级访问控制设备,是置于不同网络安全域之间的一系列部件的组合,是不同网络安全域间通信流的唯一通道,能根据企业有关安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。,7,防火墙的用途,控制对网点的访问和封锁网点信息的泄露能限制被保护子网的泄露具有审计作用能强制安全策略,8,防火墙不能防备病毒防火墙对不通过它的连接无能为力防火墙不能防备内部人员的攻击限制有用的网络服务防火墙不能防备新的网络安全问题,防火墙的弱点,9,形形色色的防火墙,10,防火墙的分类方法,11,单机防火墙VS网络防火墙,12,软件防火墙VS硬件防火墙,13,防火墙设备外观与结构,14,防火墙的主要技术,应用层代理技
3、术 (Application Proxy)包过滤技术 (Packet Filtering)状态包过滤技术 (Stateful Packet Filtering),防火墙的主要技术种类,15,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,分组过滤判断信息,数据包,防火墙的主要技术,包过滤技术的基本原理,数据包,16,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,数据包,防火墙的主要技术,状态检测包过滤技术的基本原理,数据包,分组过滤判断信息,状态检测,控制策略,17,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处
4、理该数据包,数据包,防火墙的主要技术,应用层代理技术的基本原理,数据包,分组过滤判断信息,应用代理判断信息,控制策略,18,防火墙的体系结构,筛选路由器 双网主机 屏蔽主机 屏蔽子网,防火墙可以设置成不同的体系结构,提供不同级别的安全。常见的体系结构有:,19,防火墙的体系结构,内部网,外部网,筛选路由器式体系结构,包过滤,筛选路由器,20,防火墙的体系结构,双网主机式体系结构,双网主机插有两块网卡,分别连接到内网和外网。防火墙内、外的系统均可以与双网主机进行通信,但防火墙两边的系统之间不能直接进行通信。使用此结构,必须关闭双网主机上的路由分配功能。,21,防火墙的体系结构,屏蔽主机式体系结构
5、,Internet,堡垒主机,防火墙,屏蔽路由器,22,防火墙的体系结构,屏蔽子网式体系结构,Internet,堡垒主机,屏蔽路由器,屏蔽路由器,周边网络,23,防火墙的构筑原则,构筑防火墙要从以下几方面考虑:,体系结构的设计安全策略的制定安全策略的实施,24,防火墙的性能指标,25,主流防火墙产品,(二)虚拟局域网(VLAN),27,VLAN的定义 VLAN(Virtual Local Area Network)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允
6、许处于不同地理位置的网络用户加入到一个逻辑子网中。 组建VLAN的条件 VLAN是建立在物理网络基础上的一种逻辑子网,因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时,需要路由的支持,这时就需要增加路由设备要实现路由功能,既可采用路由器,也可采用三层交换机来完成。,什么是VLAN,28,从技术角度讲,VLAN的划分可依据不同原则,一般有以下三种划分方法:1、基于端口的VLAN划分 这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。
7、 2、基于MAC地址的VLAN划分 MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是惟一且固化在网卡上的。MAC地址由12位16进制数表示,前8位为厂商标识,后4位为网卡标识。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。 3、基于路由的VLAN划分 路由协议工作在网络层,相应的工作设备有路由器和路由交换机(即三层交换机)。该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。,划分VLAN的基本策略,29,1、控制广播风暴 一个VLAN就是一个逻辑广播域,通过对VLAN的创建,隔离了广播,缩小了广播范围,可以控制广播风暴的产生。 2、提高网络整体安全性 通过
8、路由访问列表和MAC地址分配等VLAN划分原则,可以控制用户访问权限和逻辑网段大小,将不同用户群划分在不同VLAN,从而提高交换式网络的整体性能和安全性。 3、网络管理简单、直观 对于交换式以太网,如果对某些用户重新进行网段分配,需要网络管理员对网络系统的物理结构重新进行调整,甚至需要追加网络设备,增大网络管理的工作量。而对于采用VLAN技术的网络来说,一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低了网络维护费用。在一个交换网
9、络中,VLAN提供了网段和机构的弹性组合机制。,VLAN的作用,30,三层交换(也称多层交换技术,或IP交换技术)是相对于传统交换概念而提出的。众所周知,传统的交换技术是在OSI网络标准模型中的第二层数据链路层进行操作的,而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说,三层交换技术就是:二层交换技术三层转发技术。 三层交换技术的出现,解决了局域网中网段划分之后,网段中子网必须依赖路由器进行管理的局面,解决了传统路由器低速、复杂所造成的网络瓶颈问题。三层交换原理 它是将路由技术与交换技术合二为一的技术。三层交换机在对第一个数据流进行路由后,会产生一个MAC地址与IP地址的映
10、射表,当同样的数据流再次通过时,将根据此表直接从二层通过而不是再次路由,从而消除了路由器进行路由选择而造成网络的延迟,提高了数据包转发的效率,消除了路由器可能产生的网络瓶颈问题。可见,三层交换机集路由与交换于一身,在交换机内部实现了路由,提高了网络的整体性能。 三层交换机分类 1.基于纯硬件(ASIC) 2.基于软件的,什么是三层交换?,31,VLAN环境示意,(三)入侵检测系统(IDS),33,入侵检测系统(IDS),关于入侵检测系统,我们将就以下部分进行学习: IDS简介 IDS分类 IDS作用 IDS工作原理 IDS部署方式 IDS应用 IDS技术的发展方向 IDS产品 IDS资源,34
11、,什么是IDS?,IDS是什么? 入侵检测系统(Intrusion Detection System) 入侵检测技术是为了保证计算机系统安全面而设置和配置的一种能够及时发现并报告系统中未授权或异常行为的技术,是一种检测计算机网络中违反安全策略行为的技术。 入侵检测被视为防火墙之后的第二道安全阐门,主要用来监视和分析用户和系统的活动,能够反映已知的攻击模式并报警,同时监控系统的异常模式,对于异常行为模式,IDS采用报表的方式进行统计分析,假如说防火墙是一幢大楼的门锁,那入侵监测系统就是这幢大楼里的监视系统。,35,IDS的主要类型,应用软件入侵监测系统Application Intrusion
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 技术 基础 ppt 课件
![提示](https://www.31ppt.com/images/bang_tan.gif)
链接地址:https://www.31ppt.com/p-1433443.html