网络安全技术教育课件

网络安全技术网络安全技术PPTPPT讲座讲座第第10章章 网络安全技术网络安全技术3 1网络安全的威胁网络安全的威胁网络安全的威胁网络安全的威胁3 23 33 4网络安全解决方案网络安全解决方案网络安全解决方案网络安全解决方案网络稳定性方案网络稳定性方案网络稳定性方案网络稳定性方案网络安全设备网络安全设备网络安全设备网络安全设备10.1 网络安全的威胁网络安全的威胁网络面临的威胁网络面临的威胁n n网络安全威胁根本源自于网络自身的脆弱性。网络的网络安全威胁根本源自于网络自身的脆弱性。网络的网络安全威胁根本源自于网络自身的脆弱性。网络的网络安全威胁根本源自于网络自身的脆弱性。网络的开放性和安全性本身即是一对固有矛盾，无法从根本开放性和安全性本身即是一对固有矛盾，无法从根本开放性和安全性本身即是一对固有矛盾，无法从根本开放性和安全性本身即是一对固有矛盾，无法从根本上予以调和。再加上基于网络的诸多已知和未知的人上予以调和。再加上基于网络的诸多已知和未知的人上予以调和。再加上基于网络的诸多已知和未知的人上予以调和。再加上基于网络的诸多已知和未知的人为与技术安全隐患，网络很难实现自身的根本安全为与技术安全隐患，网络很难实现自身的根本安全为与技术安全隐患，网络很难实现自身的根本安全为与技术安全隐患，网络很难实现自身的根本安全当网络不仅作为信息传递的平台和工具，而且担当当网络不仅作为信息传递的平台和工具，而且担当当网络不仅作为信息传递的平台和工具，而且担当当网络不仅作为信息传递的平台和工具，而且担当起控制系统的中枢时，运行于网络平台的各种应用和起控制系统的中枢时，运行于网络平台的各种应用和起控制系统的中枢时，运行于网络平台的各种应用和起控制系统的中枢时，运行于网络平台的各种应用和服务，也必然地处于相应的威胁中。服务，也必然地处于相应的威胁中。服务，也必然地处于相应的威胁中。服务，也必然地处于相应的威胁中。10.1 网络安全的威胁网络安全的威胁威胁网络安全的因素威胁网络安全的因素n n系统漏洞威胁系统漏洞威胁系统漏洞威胁系统漏洞威胁10.1 网络安全的威胁网络安全的威胁威胁网络安全的因素威胁网络安全的因素人为因素威胁人为因素威胁人为因素威胁人为因素威胁n n操作失误操作失误操作失误操作失误n n恶意攻击恶意攻击恶意攻击恶意攻击黑客入侵黑客入侵黑客入侵黑客入侵n n踩点、扫描、突破、获得管理权限、数据踩点、扫描、突破、获得管理权限、数据踩点、扫描、突破、获得管理权限、数据踩点、扫描、突破、获得管理权限、数据窃取、留取后门程序、清理痕迹。窃取、留取后门程序、清理痕迹。窃取、留取后门程序、清理痕迹。窃取、留取后门程序、清理痕迹。10.2 网络安全解决方案网络安全解决方案网络信息安全系统网络信息安全系统体系结构体系结构体系结构体系结构n n计算机安全计算机安全计算机安全计算机安全n n通信保密安全通信保密安全通信保密安全通信保密安全n n信息安全信息安全信息安全信息安全10.2 网络安全解决方案网络安全解决方案网络信息安全系统网络信息安全系统体系结构体系结构体系结构体系结构n n计算机安全计算机安全计算机安全计算机安全n n通信保密安全通信保密安全通信保密安全通信保密安全n n信息安全信息安全信息安全信息安全安全机制安全机制安全机制安全机制n n访问控制访问控制访问控制访问控制n n保密性保密性保密性保密性n n完整性完整性完整性完整性n n可用性可用性可用性可用性n n不可抵赖性不可抵赖性不可抵赖性不可抵赖性安全标准安全标准安全标准安全标准n n信息安全标准的产生信息安全标准的产生信息安全标准的产生信息安全标准的产生n n国际组织信息安全标准国际组织信息安全标准国际组织信息安全标准国际组织信息安全标准n n国内组织信息安全标准国内组织信息安全标准国内组织信息安全标准国内组织信息安全标准n n美国国防部安全计算机美国国防部安全计算机美国国防部安全计算机美国国防部安全计算机系统评估标准系统评估标准系统评估标准系统评估标准10.2 网络安全解决方案网络安全解决方案网络安全体系结构网络安全体系结构体系结构体系结构体系结构体系结构n n环境安全环境安全环境安全环境安全n n设备安全设备安全设备安全设备安全n n媒体安全媒体安全媒体安全媒体安全n n网络临界点安全网络临界点安全网络临界点安全网络临界点安全网络结构规划网络结构规划网络结构规划网络结构规划n n内部网不同网络安全域内部网不同网络安全域内部网不同网络安全域内部网不同网络安全域的隔离及访问控制的隔离及访问控制的隔离及访问控制的隔离及访问控制n n网络安全检测网络安全检测网络安全检测网络安全检测n n审计与监控审计与监控审计与监控审计与监控n n网络防病毒网络防病毒网络防病毒网络防病毒n n网络备份系统网络备份系统网络备份系统网络备份系统10.2 网络安全解决方案网络安全解决方案网络安全体系结构网络安全体系结构系统安全系统安全系统安全系统安全n n对操作系统进行安全配置，提高系统的安全性。对操作系统进行安全配置，提高系统的安全性。对操作系统进行安全配置，提高系统的安全性。对操作系统进行安全配置，提高系统的安全性。n n尽可能建立安全的系统平台，而且通过专业的安全工具尽可能建立安全的系统平台，而且通过专业的安全工具尽可能建立安全的系统平台，而且通过专业的安全工具尽可能建立安全的系统平台，而且通过专业的安全工具不断发现漏洞，修补漏洞，以提高系统的安全性。不断发现漏洞，修补漏洞，以提高系统的安全性。不断发现漏洞，修补漏洞，以提高系统的安全性。不断发现漏洞，修补漏洞，以提高系统的安全性。n n网络上的服务器和网络设备尽可能不采取同一家的产品。网络上的服务器和网络设备尽可能不采取同一家的产品。网络上的服务器和网络设备尽可能不采取同一家的产品。网络上的服务器和网络设备尽可能不采取同一家的产品。n n通过专业的安全工具（安全检测系统）定期对网络进行通过专业的安全工具（安全检测系统）定期对网络进行通过专业的安全工具（安全检测系统）定期对网络进行通过专业的安全工具（安全检测系统）定期对网络进行安全评估。安全评估。安全评估。安全评估。10.2 网络安全解决方案网络安全解决方案网络安全体系结构网络安全体系结构信息安全信息安全信息安全信息安全n n在局域网络内，对不同的信息进行区域规划，执行严格在局域网络内，对不同的信息进行区域规划，执行严格在局域网络内，对不同的信息进行区域规划，执行严格在局域网络内，对不同的信息进行区域规划，执行严格的授权访问机制。的授权访问机制。的授权访问机制。的授权访问机制。n n将所有敏感信息都集中保存在网络内的文件服务器中将所有敏感信息都集中保存在网络内的文件服务器中将所有敏感信息都集中保存在网络内的文件服务器中将所有敏感信息都集中保存在网络内的文件服务器中n n制定严格的文件访问权限制定严格的文件访问权限制定严格的文件访问权限制定严格的文件访问权限n n将不同类型的用户划分于不同的用户组或组织单位，并将不同类型的用户划分于不同的用户组或组织单位，并将不同类型的用户划分于不同的用户组或组织单位，并将不同类型的用户划分于不同的用户组或组织单位，并为用户组和组织单位指定相应的访问权限为用户组和组织单位指定相应的访问权限为用户组和组织单位指定相应的访问权限为用户组和组织单位指定相应的访问权限n n安装安装安装安装RMSRMS服务，严格限制对敏感文件的操作服务，严格限制对敏感文件的操作服务，严格限制对敏感文件的操作服务，严格限制对敏感文件的操作n n其他基于交换机和路由器的安全措施其他基于交换机和路由器的安全措施其他基于交换机和路由器的安全措施其他基于交换机和路由器的安全措施10.2 网络安全解决方案网络安全解决方案网络安全体系结构网络安全体系结构应用安全应用安全应用安全应用安全n n应用系统的安全跟具体的应用有关，并涉及到信息、应用系统的安全跟具体的应用有关，并涉及到信息、应用系统的安全跟具体的应用有关，并涉及到信息、应用系统的安全跟具体的应用有关，并涉及到信息、数据的安全性，主要考虑通信的授权，传输的加密和数据的安全性，主要考虑通信的授权，传输的加密和数据的安全性，主要考虑通信的授权，传输的加密和数据的安全性，主要考虑通信的授权，传输的加密和审计记录。审计记录。审计记录。审计记录。管理的安全管理的安全管理的安全管理的安全n n建立全新网络安全机制，必须深刻理解网络并能提供建立全新网络安全机制，必须深刻理解网络并能提供建立全新网络安全机制，必须深刻理解网络并能提供建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是制定健全的直接的解决方案，因此，最可行的做法是制定健全的直接的解决方案，因此，最可行的做法是制定健全的直接的解决方案，因此，最可行的做法是制定健全的管理制度和严格管理相结合。保障网络的安全运行，管理制度和严格管理相结合。保障网络的安全运行，管理制度和严格管理相结合。保障网络的安全运行，管理制度和严格管理相结合。保障网络的安全运行，使其成为一个具有良好的安全性、可扩充性和易管理使其成为一个具有良好的安全性、可扩充性和易管理使其成为一个具有良好的安全性、可扩充性和易管理使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。性的信息网络便成为了首要任务。性的信息网络便成为了首要任务。性的信息网络便成为了首要任务。10.2 网络安全解决方案网络安全解决方案网络安全关键技术网络安全关键技术网络设备的安全网络设备的安全网络设备的安全网络设备的安全n n地址和端口转换地址和端口转换地址和端口转换地址和端口转换n n控制虚拟终端访问控制虚拟终端访问控制虚拟终端访问控制虚拟终端访问n n端口安全端口安全端口安全端口安全n n设置访问列表设置访问列表设置访问列表设置访问列表n nMACMAC地址绑定地址绑定地址绑定地址绑定n nVLANVLAN安全安全安全安全n n控制控制控制控制HTTPHTTP访问访问访问访问n n阻止蠕虫病毒阻止蠕虫病毒阻止蠕虫病毒阻止蠕虫病毒服务器安全服务器安全服务器安全服务器安全n n网络连接策略网络连接策略网络连接策略网络连接策略n n账户安全策略账户安全策略账户安全策略账户安全策略n n本地安全策略本地安全策略本地安全策略本地安全策略客户端安全客户端安全客户端安全客户端安全n n系统自动更新系统自动更新系统自动更新系统自动更新n n安装防病毒软件安装防病毒软件安装防病毒软件安装防病毒软件n n使用代理服务器使用代理服务器使用代理服务器使用代理服务器n n安装个人防火墙安装个人防火墙安装个人防火墙安装个人防火墙10.2 网络安全解决方案网络安全解决方案网络安全关键技术网络安全关键技术无线网络安全无线网络安全无线网络安全无线网络安全n n加密传输加密传输加密传输加密传输n n身份验证身份验证身份验证身份验证n n修改修改修改修改SSIDSSID并禁止并禁止并禁止并禁止SSIDSSID广播广播广播广播n n禁用禁用禁用禁用DHCPDHCP服务服务服务服务n n禁用或修改禁用或修改禁用或修改禁用或修改SNMPSNMP设置设置设置设置n n使用访问列表使用访问列表使用访问列表使用访问列表n n放置无线放置无线放置无线放置无线APAP和天线和天线和天线和天线10.2 网络安全解决方案网络安全解决方案安全管理安全管理安全管理规范安全管理规范安全管理规范安全管理规范n n负责原则、有限原则、分离原则负责原则、有限原则、分离原则负责原则、有限原则、分离原则负责原则、有限原则、分离原则网络管理网络管理网络管理网络管理n n管理员可以在管理机器上对整个内部网络上的网络设备、管理员可以在管理机器上对整个内部网络上的网络设备、管理员可以在管理机器上对整个内部网络上的网络设备、管理员可以在管理机器上对整个内部网络上的网络设备、安全设备、网络上的防病毒软件、入侵检测探测器进行综安全设备、网络上的防病毒软件、入侵检测探测器进行综安全设备、网络上的防病毒软件、入侵检测探测器进行综安全设备、网络上的防病毒软件、入侵检测探测器进行综合管理，同时利用安全分析软件可以从不同角度对所有的合管理，同时利用安全分析软件可以从不同角度对所有的合管理，同时利用安全分析软件可以从不同角度对所有的合管理，同时利用安全分析软件可以从不同角度对所有的设备、服务器、工作站进行安全扫描，分析的安全漏洞，设备、服务器、工作站进行安全扫描，分析的安全漏洞，设备、服务器、工作站进行安全扫描，分析的安全漏洞，设备、服务器、工作站进行安全扫描，分析的安全漏洞，并采取相应的措施。并采取相应的措施。并采取相应的措施。并采取相应的措施。安全管理安全管理安全管理安全管理n n安全管理的主要功能指对安全设备的管理；监视网络危险安全管理的主要功能指对安全设备的管理；监视网络危险安全管理的主要功能指对安全设备的管理；监视网络危险安全管理的主要功能指对安全设备的管理；监视网络危险情况情况情况情况 ；身份认证；对资源或用户动态的或静态的审计；身份认证；对资源或用户动态的或静态的审计；身份认证；对资源或用户动态的或静态的审计；身份认证；对资源或用户动态的或静态的审计；对违规事件，自动生成报警或生成事件消息；口令管理；对违规事件，自动生成报警或生成事件消息；口令管理；对违规事件，自动生成报警或生成事件消息；口令管理；对违规事件，自动生成报警或生成事件消息；口令管理；密钥管理；冗余备份。密钥管理；冗余备份。密钥管理；冗余备份。密钥管理；冗余备份。10.3 网络稳定性方案网络稳定性方案数据备份数据备份网络服务的备份网络服务的备份网络服务的备份网络服务的备份10.3 网络稳定性方案网络稳定性方案数据备份数据备份数据库的备份数据库的备份数据库的备份数据库的备份n n数据库备份是指对数据库结构和数据进行拷贝，以便数据库备份是指对数据库结构和数据进行拷贝，以便数据库备份是指对数据库结构和数据进行拷贝，以便数据库备份是指对数据库结构和数据进行拷贝，以便在数据库出现故障的时候能够恢复数据库。数据库故在数据库出现故障的时候能够恢复数据库。数据库故在数据库出现故障的时候能够恢复数据库。数据库故在数据库出现故障的时候能够恢复数据库。数据库故障是难以预测的，因此必须采取安全措施尽量防止数障是难以预测的，因此必须采取安全措施尽量防止数障是难以预测的，因此必须采取安全措施尽量防止数障是难以预测的，因此必须采取安全措施尽量防止数据库出现故障。据库出现故障。据库出现故障。据库出现故障。n nAccessAccess数据库的备份数据库的备份数据库的备份数据库的备份n nSQL ServerSQL Server数据库备份数据库备份数据库备份数据库备份10.3 网络稳定性方案网络稳定性方案网络设备安全网络设备安全地址和端口转换地址和端口转换地址和端口转换地址和端口转换n n静态地址转换静态地址转换静态地址转换静态地址转换n n动态地址转换动态地址转换动态地址转换动态地址转换n n端口复用地址端口复用地址端口复用地址端口复用地址10.3 网络稳定性方案网络稳定性方案网络设备安全网络设备安全控制虚拟终端访问控制虚拟终端访问控制虚拟终端访问控制虚拟终端访问Switch#configure terminalSwitch#configure terminalSwitchSwitch（configconfig）#access-list access-lis-number#access-list access-lis-number permit ip-addresspermit ip-addressSwitchSwitch（configconfig）#line vty 0 4#line vty 0 4SwitchSwitch（config-lineconfig-line）#access-class access-class-#access-class access-class-number innumber inSwitchSwitch（config-lineconfig-line）#end#endSwitch#Switch#10.3 网络稳定性方案网络稳定性方案网络设备安全网络设备安全端口安全端口安全端口安全端口安全n nMACMAC地址的静态指定。当启用了端口安全功能时，网地址的静态指定。当启用了端口安全功能时，网地址的静态指定。当启用了端口安全功能时，网地址的静态指定。当启用了端口安全功能时，网站管理员可以将站管理员可以将站管理员可以将站管理员可以将MACMAC地址进行编码。这种方法虽然安地址进行编码。这种方法虽然安地址进行编码。这种方法虽然安地址进行编码。这种方法虽然安全，但在管理时比较麻烦。全，但在管理时比较麻烦。全，但在管理时比较麻烦。全，但在管理时比较麻烦。n nMACMAC地址的动态学习。如果没有指定地址的动态学习。如果没有指定地址的动态学习。如果没有指定地址的动态学习。如果没有指定MACMAC地址，端口地址，端口地址，端口地址，端口将为安全性打开学习功能，在端口上被发现的第一个源将为安全性打开学习功能，在端口上被发现的第一个源将为安全性打开学习功能，在端口上被发现的第一个源将为安全性打开学习功能，在端口上被发现的第一个源MACMAC地址将成为地址将成为地址将成为地址将成为“安全安全安全安全”MAC”MAC地址。地址。地址。地址。10.3 网络稳定性方案网络稳定性方案网络设备安全网络设备安全设置访问列表设置访问列表设置访问列表设置访问列表创建标准创建标准创建标准创建标准IPIP访问列表的命令格式是：访问列表的命令格式是：访问列表的命令格式是：访问列表的命令格式是：n nSwitchSwitch（config-ifconfig-if）#access-list#access-list access-list-numbe access-list-numbe deny|permit deny|permit 创建扩展创建扩展创建扩展创建扩展IPIP访问列表的命令格式是：访问列表的命令格式是：访问列表的命令格式是：访问列表的命令格式是：n nSwitchSwitch（config-ifconfig-if）#access-list access-list-numbe#access-list access-list-numbe deny|permit protocol source source-wildcard deny|permit protocol source source-wildcard destination destination-wildcarddestination destination-wildcard当利用访问列表阻止数据流进入或离开某端口时：当利用访问列表阻止数据流进入或离开某端口时：当利用访问列表阻止数据流进入或离开某端口时：当利用访问列表阻止数据流进入或离开某端口时：n nSwitchSwitch（config-ifconfig-if）#ip access-group#ip access-group access-list-access-list-number number in|outin|out10.3 网络稳定性方案网络稳定性方案网络设备安全网络设备安全MACMAC地址绑定地址绑定地址绑定地址绑定n n使用下述命令，可将使用下述命令，可将使用下述命令，可将使用下述命令，可将MACMAC地址与地址与地址与地址与IPIP地址绑定在一起：地址绑定在一起：地址绑定在一起：地址绑定在一起：SwitchSwitch（config-ifconfig-if）#arp ip-address mac-address arpa#arp ip-address mac-address arpan n使用下述命令，可将绑定在一起的使用下述命令，可将绑定在一起的使用下述命令，可将绑定在一起的使用下述命令，可将绑定在一起的MACMAC地址与地址与地址与地址与IPIP地址拆地址拆地址拆地址拆开：开：开：开：SwitchSwitch（config-ifconfig-if）#no arp ip-address mac-address#no arp ip-address mac-address arpaarpa10.3 网络稳定性方案网络稳定性方案网络设备安全网络设备安全VLANVLAN安全安全安全安全n n在集中式网络环境下，通常将敏感部门的所有主机系统在集中式网络环境下，通常将敏感部门的所有主机系统在集中式网络环境下，通常将敏感部门的所有主机系统在集中式网络环境下，通常将敏感部门的所有主机系统集中到一个集中到一个集中到一个集中到一个VLANVLAN里，在这个里，在这个里，在这个里，在这个VLANVLAN里不允许有其他任里不允许有其他任里不允许有其他任里不允许有其他任何用户节点，从而较好地保护这些主机中的资源。何用户节点，从而较好地保护这些主机中的资源。何用户节点，从而较好地保护这些主机中的资源。何用户节点，从而较好地保护这些主机中的资源。10.3 网络稳定性方案网络稳定性方案网络设备安全网络设备安全控制控制控制控制HTTPHTTP访问访问访问访问n nCisco IOSCisco IOS允许通过允许通过允许通过允许通过WebWeb浏览器管理网络设备，所需的浏览器管理网络设备，所需的浏览器管理网络设备，所需的浏览器管理网络设备，所需的HTTPHTTP服务器软件可在服务器软件可在服务器软件可在服务器软件可在IOS 11.0IOS 11.0及以后的版本中找到。及以后的版本中找到。及以后的版本中找到。及以后的版本中找到。若欲关闭若欲关闭若欲关闭若欲关闭HTTPHTTP远程管理服务，可使用下述命令：远程管理服务，可使用下述命令：远程管理服务，可使用下述命令：远程管理服务，可使用下述命令：SwitchSwitch（configconfig）#no ip http server#no ip http server10.3 网络稳定性方案网络稳定性方案网络设备安全网络设备安全阻止蠕虫病毒阻止蠕虫病毒阻止蠕虫病毒阻止蠕虫病毒n n创建扩展访问列表创建扩展访问列表n n将访问列表应用于将访问列表应用于VLANVLAN10.3 网络稳定性方案网络稳定性方案网络连接和设备冗余网络连接和设备冗余连接冗余连接冗余连接冗余连接冗余 EtherChannel EtherChannel10.3 网络稳定性方案网络稳定性方案网络连接和设备冗余网络连接和设备冗余中心设备冗余中心设备冗余中心设备冗余中心设备冗余 网关负载均衡协议网关负载均衡协议网关负载均衡协议网关负载均衡协议10.3 网络稳定性方案网络稳定性方案网络连接和设备冗余网络连接和设备冗余模块冗余模块冗余模块冗余模块冗余10.4 网络安全设备网络安全设备网络防火墙网络防火墙网络防火墙概述网络防火墙概述网络防火墙概述网络防火墙概述n n防火墙最基本的功能就是将内、外网络隔离开，防火墙最基本的功能就是将内、外网络隔离开，防火墙最基本的功能就是将内、外网络隔离开，防火墙最基本的功能就是将内、外网络隔离开，不仅确保不让非法用户入侵，更要保证防止内部不仅确保不让非法用户入侵，更要保证防止内部不仅确保不让非法用户入侵，更要保证防止内部不仅确保不让非法用户入侵，更要保证防止内部信息的外泄。防火墙处于两个网络通信之间的一信息的外泄。防火墙处于两个网络通信之间的一信息的外泄。防火墙处于两个网络通信之间的一信息的外泄。防火墙处于两个网络通信之间的一个检查点，所有数据包必须通过防火墙。防火墙个检查点，所有数据包必须通过防火墙。防火墙个检查点，所有数据包必须通过防火墙。防火墙个检查点，所有数据包必须通过防火墙。防火墙设备根据安全策略，对所经过的数据包进行监视、设备根据安全策略，对所经过的数据包进行监视、设备根据安全策略，对所经过的数据包进行监视、设备根据安全策略，对所经过的数据包进行监视、过滤和检查，达到保证网络安全的目的。过滤和检查，达到保证网络安全的目的。过滤和检查，达到保证网络安全的目的。过滤和检查，达到保证网络安全的目的。10.4 网络安全设备网络安全设备网络防火墙网络防火墙网络防火墙技术网络防火墙技术网络防火墙技术网络防火墙技术n n数据包过滤技术数据包过滤技术数据包过滤技术数据包过滤技术n n代理技术代理技术代理技术代理技术n n状态分析技术状态分析技术状态分析技术状态分析技术10.4 网络安全设备网络安全设备网络防火墙网络防火墙防火墙的局限性与脆弱性防火墙的局限性与脆弱性防火墙的局限性与脆弱性防火墙的局限性与脆弱性n n无法检测或拦截嵌入到普通流量中的恶意攻击代码。无法检测或拦截嵌入到普通流量中的恶意攻击代码。无法检测或拦截嵌入到普通流量中的恶意攻击代码。无法检测或拦截嵌入到普通流量中的恶意攻击代码。n n墙无法发现内部网络中的攻击行为。墙无法发现内部网络中的攻击行为。墙无法发现内部网络中的攻击行为。墙无法发现内部网络中的攻击行为。n n不经过防火墙的数据，防火墙无法检查。不经过防火墙的数据，防火墙无法检查。不经过防火墙的数据，防火墙无法检查。不经过防火墙的数据，防火墙无法检查。n n绝大多数单位因为不方便，不要求防火墙防内。绝大多数单位因为不方便，不要求防火墙防内。绝大多数单位因为不方便，不要求防火墙防内。绝大多数单位因为不方便，不要求防火墙防内。n n防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙不能防止策略配置不当或错误配置引起的安全威胁。n n防火墙不能防止人为或自然的破坏。防火墙不能防止人为或自然的破坏。防火墙不能防止人为或自然的破坏。防火墙不能防止人为或自然的破坏。n n当防火墙准许某些标准网络协议，防火墙不能防止利用该协当防火墙准许某些标准网络协议，防火墙不能防止利用该协当防火墙准许某些标准网络协议，防火墙不能防止利用该协当防火墙准许某些标准网络协议，防火墙不能防止利用该协议中的缺陷进行的攻击。议中的缺陷进行的攻击。议中的缺陷进行的攻击。议中的缺陷进行的攻击。10.4 网络安全设备网络安全设备网络防火墙网络防火墙防火墙的局限性与脆弱性防火墙的局限性与脆弱性防火墙的局限性与脆弱性防火墙的局限性与脆弱性n n黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击，黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击，黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击，黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击，防火墙不能防止其攻击的。防火墙不能防止其攻击的。防火墙不能防止其攻击的。防火墙不能防止其攻击的。n n防火墙并不具备查杀病毒的功能。防火墙并不具备查杀病毒的功能。防火墙并不具备查杀病毒的功能。防火墙并不具备查杀病毒的功能。n n防火墙不能防止数据驱动式的攻击。防火墙不能防止数据驱动式的攻击。防火墙不能防止数据驱动式的攻击。防火墙不能防止数据驱动式的攻击。n n防火墙内部的一个合法用户主动泄密，防火墙无能为力。防火墙内部的一个合法用户主动泄密，防火墙无能为力。防火墙内部的一个合法用户主动泄密，防火墙无能为力。防火墙内部的一个合法用户主动泄密，防火墙无能为力。n n防火墙保护别人有时却无法保护自己，目前还没有厂商保证防火墙保护别人有时却无法保护自己，目前还没有厂商保证防火墙保护别人有时却无法保护自己，目前还没有厂商保证防火墙保护别人有时却无法保护自己，目前还没有厂商保证防火墙不会存在安全漏洞。因此对防火墙也必须提供某种安防火墙不会存在安全漏洞。因此对防火墙也必须提供某种安防火墙不会存在安全漏洞。因此对防火墙也必须提供某种安防火墙不会存在安全漏洞。因此对防火墙也必须提供某种安全保护。全保护。全保护。全保护。10.4 网络安全设备网络安全设备网络防火墙网络防火墙防火墙在网络中的位置及连接防火墙在网络中的位置及连接防火墙在网络中的位置及连接防火墙在网络中的位置及连接n n常用连接方式常用连接方式常用连接方式常用连接方式10.4 网络安全设备网络安全设备网络防火墙网络防火墙防火墙在网络中的位置及连接防火墙在网络中的位置及连接防火墙在网络中的位置及连接防火墙在网络中的位置及连接n n连接局域网和广域网连接局域网和广域网连接局域网和广域网连接局域网和广域网10.4 网络安全设备网络安全设备网络防火墙网络防火墙防火墙在网络中的位置及连接防火墙在网络中的位置及连接防火墙在网络中的位置及连接防火墙在网络中的位置及连接n n连接内部和第三方网络连接内部和第三方网络连接内部和第三方网络连接内部和第三方网络10.4 网络安全设备网络安全设备网络防火墙网络防火墙防火墙在网络中的位置及连接防火墙在网络中的位置及连接防火墙在网络中的位置及连接防火墙在网络中的位置及连接n n连接同一部门的不同网络连接同一部门的不同网络连接同一部门的不同网络连接同一部门的不同网络10.4 网络安全设备网络安全设备入侵检测系统入侵检测系统IDSIDSn nIDSIDS概述概述概述概述10.4 网络安全设备网络安全设备入侵检测系统入侵检测系统IDSIDS的缺陷：的缺陷：的缺陷：的缺陷：n n检测范围不够广检测范围不够广检测范围不够广检测范围不够广n n检测效果不理想检测效果不理想检测效果不理想检测效果不理想n n无力防御无力防御无力防御无力防御UDPUDP攻击攻击攻击攻击n n只能检测，不能防御只能检测，不能防御只能检测，不能防御只能检测，不能防御n n过分依赖检测主机过分依赖检测主机过分依赖检测主机过分依赖检测主机n n难以突破百兆瓶颈难以突破百兆瓶颈难以突破百兆瓶颈难以突破百兆瓶颈n n性能有待提高性能有待提高性能有待提高性能有待提高n n伸缩性差伸缩性差伸缩性差伸缩性差n n部署难度大部署难度大部署难度大部署难度大n n安全策略不够丰富安全策略不够丰富安全策略不够丰富安全策略不够丰富10.4 网络安全设备网络安全设备入侵检测系统入侵检测系统IDSIDSIDSIDS的优势缺陷：的优势缺陷：的优势缺陷：的优势缺陷：n n整体部署，实时检测，对用户当前的操作进行判断，整体部署，实时检测，对用户当前的操作进行判断，整体部署，实时检测，对用户当前的操作进行判断，整体部署，实时检测，对用户当前的操作进行判断，可及时发现入侵事件。可及时发现入侵事件。可及时发现入侵事件。可及时发现入侵事件。n n对于入侵与异常不必做出阻断通信的决定，能够从容对于入侵与异常不必做出阻断通信的决定，能够从容对于入侵与异常不必做出阻断通信的决定，能够从容对于入侵与异常不必做出阻断通信的决定，能够从容提供大量的网络活动数据，有利于在事后入侵分析中提供大量的网络活动数据，有利于在事后入侵分析中提供大量的网络活动数据，有利于在事后入侵分析中提供大量的网络活动数据，有利于在事后入侵分析中评估系统关键资源和数据文件的完整性。评估系统关键资源和数据文件的完整性。评估系统关键资源和数据文件的完整性。评估系统关键资源和数据文件的完整性。n n独立于所检测的网络，使黑客难于消除入侵证据，便独立于所检测的网络，使黑客难于消除入侵证据，便独立于所检测的网络，使黑客难于消除入侵证据，便独立于所检测的网络，使黑客难于消除入侵证据，便于入侵追踪与网络犯罪取证。于入侵追踪与网络犯罪取证。于入侵追踪与网络犯罪取证。于入侵追踪与网络犯罪取证。n n同一网段或者一台主机上一般只需部署一个监测点就同一网段或者一台主机上一般只需部署一个监测点就同一网段或者一台主机上一般只需部署一个监测点就同一网段或者一台主机上一般只需部署一个监测点就近监测，即速度快、成本低。近监测，即速度快、成本低。近监测，即速度快、成本低。近监测，即速度快、成本低。10.4 网络安全设备网络安全设备入侵检测系统入侵检测系统IDSIDS与防火墙联动与防火墙联动与防火墙联动与防火墙联动10.4 网络安全设备网络安全设备入侵防御系统入侵防御系统IPSIPS10.4 网络安全设备网络安全设备入侵防御系统入侵防御系统IPSIPS的技术优势：的技术优势：的技术优势：的技术优势：n n在线安装在线安装在线安装在线安装n n实时阻断实时阻断实时阻断实时阻断n n先进的检测技术先进的检测技术先进的检测技术先进的检测技术n n特殊规则植入功能特殊规则植入功能特殊规则植入功能特殊规则植入功能n n自学习与自适应能力自学习与自适应能力自学习与自适应能力自学习与自适应能力10.4 网络安全设备网络安全设备入侵防御系统入侵防御系统IPSIPS的缺陷：的缺陷：的缺陷：的缺陷：n n单点故障单点故障单点故障单点故障n n性能瓶颈性能瓶颈性能瓶颈性能瓶颈n n误报与漏报误报与漏报误报与漏报误报与漏报n n总体拥有成本高总体拥有成本高总体拥有成本高总体拥有成本高10.4 网络安全设备网络安全设备入侵防御系统入侵防御系统IPSIPS部署部署部署部署n n路由防护路由防护路由防护路由防护10.4 网络安全设备网络安全设备入侵防御系统入侵防御系统IPSIPS部署部署部署部署n n交换防护交换防护交换防护交换防护10.4 网络安全设备网络安全设备入侵防御系统入侵防御系统IPSIPS部署部署部署部署n n多链路防护多链路防护多链路防护多链路防护10.4 网络安全设备网络安全设备入侵防御系统入侵防御系统IPSIPS部署部署部署部署n n混合防护混合防护混合防护混合防护10.4 网络安全设备网络安全设备漏洞扫描系统漏洞扫描系统X-ScanX-Scan