網(wǎng)絡安全防護技術

網(wǎng)絡安全防護技術第一頁，共四十二頁，2022年，8月28日1.防火墻的定義防火墻的最初得名是古時候為防止火災蔓延在房屋之間砌起的一道墻，而網(wǎng)絡系統(tǒng)中的防火墻是內部網(wǎng)絡與外部網(wǎng)絡之間的安全隔離系統(tǒng)，用來阻擋外部網(wǎng)絡對內部網(wǎng)絡的威脅與入侵。防火墻由計算機軟件和硬件組成，主要負責內部網(wǎng)絡和外部網(wǎng)絡之間的安全通信，可以限制外部網(wǎng)絡用戶對內部網(wǎng)絡的訪問，以及可以限制內部用戶訪問外部網(wǎng)絡的行為和權限。防火墻的實質是建立在內部網(wǎng)絡與外部網(wǎng)絡之間的安全防御系統(tǒng)，主要具有以下屬性：·進出網(wǎng)絡的數(shù)據(jù)必須經(jīng)過防火墻，防火墻設置在需要安全防護的網(wǎng)絡間和安全域間?！し戏阑饓Π踩雷o規(guī)則的數(shù)據(jù)才能通過防火墻?！し阑饓ο到y(tǒng)具有抵抗各種網(wǎng)絡攻擊的能力?！し阑饓ξ挥趦蓚€或多個網(wǎng)絡或安全域之間，是實施訪問控制策略的一組軟件和硬件集合。

4.1防火墻技術

4.1.1防火墻概述第二頁，共四十二頁，2022年，8月28日2.防火墻的位置4.1防火墻技術

4.1.1防火墻概述防火墻在網(wǎng)絡中的常見位置第三頁，共四十二頁，2022年，8月28日根據(jù)不同的分類標準，防火墻可以分為多種類型，其中主要包括：包過濾防火墻、代理服務防火墻、混合型防火墻、狀態(tài)檢測防火墻。4.1防火墻技術

4.1.2防火墻的基本類型第四頁，共四十二頁，2022年，8月28日1.包過濾防火墻包過濾是防火墻的核心功能之一，防火墻的包過濾標準依賴于防火墻的安全策略，通常防火墻的安全策略由網(wǎng)絡管理員預置在防火墻設備的ACL（AccessControlList，訪問控制列表）中，防火墻根據(jù)ACL規(guī)則對網(wǎng)絡數(shù)據(jù)流進行過濾，阻止不符合安全策略的通信。（1）包過濾原理網(wǎng)絡通信的數(shù)據(jù)包分為報頭和數(shù)據(jù)兩個部分。報頭的內容主要包括封裝協(xié)議、IP源地址、IP目標地址、ICMP消息類型、TCP和UDP目標端口、TCP報頭中的ACK位等。而數(shù)據(jù)的內容是各種網(wǎng)絡應用的通信數(shù)據(jù)。網(wǎng)絡通信系統(tǒng)中的路由器就是根據(jù)數(shù)據(jù)包的IP目標地址選擇合適的路由，將數(shù)據(jù)包發(fā)送給目標機器。4.1防火墻技術

4.1.2防火墻的基本類型第五頁，共四十二頁，2022年，8月28日（2）包過濾防火墻的優(yōu)點包過濾防火墻具有操作簡單、運行高效、易于安裝和使用等特點，通常包過濾防火墻內嵌在路由器中對通信數(shù)據(jù)包實施過濾。路由器是網(wǎng)絡互聯(lián)的關鍵節(jié)點設備，因此在路由器中內嵌包過濾功能幾乎不需要任何額外的費用。包過濾防火墻的優(yōu)點主要體現(xiàn)在下面幾個方面：·包過濾防火墻不會影響到應用程序的正常運行?！ぐ^濾防火墻可以保護整個內網(wǎng)安全?！ぐ^濾防火墻對于用戶是透明的?！ぐ^濾防火墻具有良好的網(wǎng)絡性能。4.1防火墻技術

4.1.2防火墻的基本類型第六頁，共四十二頁，2022年，8月28日（3）包過濾防火墻的缺點包過濾防火墻主要缺點是安全性較差、功能相對單一以及不能防止地址欺騙等?！ぐ^濾防火墻的安全性較差?！ぐ^濾防火墻對個別協(xié)議并不支持，例如UDP協(xié)議、RPC協(xié)議，并且包過濾防火墻缺乏審計和報警機制，另外，無法提供完整的安全策略服務，例如，數(shù)據(jù)包的報頭信息只能說明數(shù)據(jù)包的來源主機，而不能確定用戶、端口或應用程序?！ぐ^濾防火墻不能防止地址欺騙。4.1防火墻技術

4.1.2防火墻的基本類型第七頁，共四十二頁，2022年，8月28日2.代理服務型防火墻（1）代理服務型防火墻概述代理服務型防火墻是利用代理服務器將內部網(wǎng)絡和外部網(wǎng)絡分開，在數(shù)據(jù)通過代理服務器時利用防火墻對進出網(wǎng)絡的數(shù)據(jù)進行安全檢測，并阻止各類網(wǎng)絡攻擊。代理服務器基于應用層實現(xiàn)代理服務，訪問外網(wǎng)的用戶首先向代理服務器發(fā)出連接請求，代理服務器對其進行驗證，然后將驗證后的請求轉發(fā)給外網(wǎng)服務器，外網(wǎng)服務器將應答交給代理服務器，經(jīng)代理服務器檢測后發(fā)送給請求用戶。4.1防火墻技術

4.1.2防火墻的基本類型第八頁，共四十二頁，2022年，8月28日（2）應用層網(wǎng)關防火墻應用層網(wǎng)關防火墻是典型的代理服務型防火墻，運行于網(wǎng)絡協(xié)議的應用層，實現(xiàn)數(shù)據(jù)包的過濾和轉發(fā)功能。應用層網(wǎng)關防火墻針對于特定的網(wǎng)絡應用服務協(xié)議采用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時對數(shù)據(jù)包進行必要的分析、登記和統(tǒng)計，形成檢測報告。應用層網(wǎng)關防火墻的核心是代理服務器，其主要功能是基于網(wǎng)絡協(xié)議的應用層實現(xiàn)協(xié)議的過濾和轉發(fā)。外部網(wǎng)絡用戶訪問內部網(wǎng)絡時，應用層網(wǎng)關防火墻首先會對數(shù)據(jù)包進行過濾，同時對數(shù)據(jù)包進行必要的分析、登記和統(tǒng)計，并形成檢查報告。4.1防火墻技術

4.1.2防火墻的基本類型第九頁，共四十二頁，2022年，8月28日（3）電路級網(wǎng)關防火墻電路級網(wǎng)關防火墻，也稱TCP通道防火墻。在電路級網(wǎng)關防火墻中，數(shù)據(jù)包被提交給用戶的應用層進行處理，電路級網(wǎng)關用來在兩個通信終端之間轉換數(shù)據(jù)包。電路級網(wǎng)關防火墻與包過濾防火墻都是依靠特定的邏輯來判斷是否允許數(shù)據(jù)包通過，但是兩者之間存在明顯的區(qū)別，即包過濾防火墻允許內、外網(wǎng)之間的計算機直接建立連接，而電路級網(wǎng)關防火墻則禁止它們直接建立端到端的TCP連接，而是要以防火墻為中轉設備分別建立連接。4.1防火墻技術

4.1.2防火墻的基本類型第十頁，共四十二頁，2022年，8月28日（4）代理服務型防火墻的優(yōu)點·易于配置和管理?！つ苌筛黜椨涗洝！ぬ峁┢渌踩?。4.1防火墻技術

4.1.2防火墻的基本類型第十一頁，共四十二頁，2022年，8月28日（5）代理服務型防火墻的缺點·速度相對較低?！ば枰脩襞渲煤凸芾??！o法控制底層協(xié)議。4.1防火墻技術

4.1.2防火墻的基本類型第十二頁，共四十二頁，2022年，8月28日3.復合型防火墻復合型防火墻也稱自適應代理防火墻，是將包過濾防護墻的高效率和代理服務型防火墻的高安全性等優(yōu)點結合起來，在保證安全性的前提下，提高了防火墻系統(tǒng)的運行效率，主要由自適應代理服務器和包過濾器組成。目前，復合型防火墻還融合了入侵檢測技術、安全認證和評估技術以及虛擬專網(wǎng)等技術，使之成為真正復合型網(wǎng)絡安全防護系統(tǒng)。復合型防火墻的功能如下：·復合型防火墻以網(wǎng)絡安全防護為基本功能，同時融合入侵檢測、安全評估、虛擬專網(wǎng)等網(wǎng)絡安全通信模塊?！秃闲头阑饓Σ捎冒踩u估和識別技術實現(xiàn)網(wǎng)絡對象檢測、控制和管理，安全評估模塊可以自動地檢測內部網(wǎng)絡。·復合型防火墻可以提供系統(tǒng)入侵檢測功能，通過監(jiān)測網(wǎng)絡中的數(shù)據(jù)包來發(fā)現(xiàn)網(wǎng)絡入侵行為，作為網(wǎng)絡安全的重要環(huán)節(jié)，入侵檢測模塊與防火墻模塊可以形成安全防護聯(lián)動系統(tǒng)?！秃闲头阑饓梢蕴峁┨摂M專網(wǎng)功能，利用隧道技術、加/解密技術、密鑰管理技術以及身份認證技術在公共網(wǎng)絡上建立虛擬專網(wǎng)。4.1防火墻技術

4.1.2防火墻的基本類型第十三頁，共四十二頁，2022年，8月28日4.狀態(tài)檢測型防火墻（1）狀態(tài)檢測型防火墻的工作原理狀態(tài)檢測型防火墻是通過檢測網(wǎng)絡連接狀態(tài)來判斷網(wǎng)絡通信系統(tǒng)的安全性，基本保持了簡單包過濾防火墻的優(yōu)點，其基本特征是通過網(wǎng)絡連接的安全狀態(tài)來識別和判斷網(wǎng)絡通信的安全性。狀態(tài)檢測型防火墻的核心部分是狀態(tài)連接表，將安全連接的通信數(shù)據(jù)作為一個整體處理，直接放行安全連接的通信數(shù)據(jù)，可以提高數(shù)據(jù)包的檢測效率。狀態(tài)檢測型防火墻相對于包過濾防火墻增加了網(wǎng)絡通信狀態(tài)的檢測，主要功能是規(guī)范了網(wǎng)絡層和傳輸層的通信行為，而應用代理型防火墻的主要功能則是規(guī)范了特定的應用協(xié)議上的行為。4.1防火墻技術

4.1.2防火墻的基本類型第十四頁，共四十二頁，2022年，8月28日防火墻的配置原則首先要遵循安全、適用和高效的原則。因為防火墻是內部網(wǎng)絡與外部網(wǎng)絡通信的關鍵節(jié)點，所以在防火墻的配置過程中必須堅持以下三個基本原則：1.安全適用2.綜合檢測3.內外兼顧4.1防火墻技術

4.1.3防火墻配置的原則第十五頁，共四十二頁，2022年，8月28日防火墻的主要功能是保護內部網(wǎng)絡安全，防止外部的網(wǎng)絡攻擊和內部的網(wǎng)絡攻擊，限制內部網(wǎng)絡用戶的訪問權限和行為。防火墻的配置和使用過程中暴露出一些缺陷和局限性：（1）防火墻無法深度檢測通信數(shù)據(jù)的具體內容。（2）防火墻不能防御利用計算機系統(tǒng)漏洞和病毒對系統(tǒng)實施的攻擊。4.1防火墻技術

4.1.4防火墻的局限性第十六頁，共四十二頁，2022年，8月28日1.VPN的定義VPN是利用信息安全技術在Internet上建立一個虛擬的私有網(wǎng)絡，可以實現(xiàn)跨地域的網(wǎng)絡安全通信。VPN是企業(yè)內部網(wǎng)最經(jīng)濟、有效的擴展方式，企業(yè)用戶、分支機構及商業(yè)伙伴可以通過Internet與企業(yè)內部網(wǎng)建立可信的安全連接，可以利用隧道技術、加/解密技術、密鑰管理技術和使用者與設備身份認證技術實現(xiàn)網(wǎng)絡通信的保密性、身份可認證性和數(shù)據(jù)完整性。4.2VPN與網(wǎng)絡安全

4.2.1VPN概述第十七頁，共四十二頁，2022年，8月28日4.2VPN與網(wǎng)絡安全

4.2.1VPN概述VPN實現(xiàn)遠程安全通信的過程第十八頁，共四十二頁，2022年，8月28日根據(jù)不同的劃分標準，VPN可以按幾個標準進行分類。1.按接入方式劃分根據(jù)用戶接入Internet的方式不同可以將VPN劃分為專線接入方式和撥號接入方式。2.按協(xié)議實現(xiàn)類型劃分按照隧道協(xié)議所在的網(wǎng)絡層次可以將VPN劃分為第二層隧道協(xié)議VPN和第三層隧道協(xié)議VPN。

·第二層隧道協(xié)議VPN。·第三層隧道協(xié)議VPN。3.按VPN的服務類型劃分根據(jù)VPN的服務類型，可以將VPN業(yè)務大致分為三類：遠程接入VPN、內聯(lián)網(wǎng)VPN和外聯(lián)網(wǎng)VPN?！みh程接入VPN?！嚷?lián)網(wǎng)VPN?！ね饴?lián)網(wǎng)VPN。4.2VPN與網(wǎng)絡安全

4.2.2VPN的分類第十九頁，共四十二頁，2022年，8月28日（1）選擇【開始】—【管理工具】—【路由與遠程訪問】并打開，選擇主機并點擊右鍵顯示屬性對話框，并選擇【配置并啟用路由和遠程訪問】選項，配置界面如圖所示。4.2VPN與網(wǎng)絡安全

4.2.3WindowsServer2003VPN安裝第二十頁，共四十二頁，2022年，8月28日（2）選擇路由和遠程訪問服務器安裝向導中的選項【遠程訪問（撥號或VPN）】，如圖所示，并單擊【下一步】。4.2VPN與網(wǎng)絡安全

4.2.3WindowsServer2003VPN安裝第二十一頁，共四十二頁，2022年，8月28日（3）選擇路由和遠程訪問服務器安裝向導中的選項【VPN】，如圖4-10所示，并單擊【下一步】。4.2VPN與網(wǎng)絡安全

4.2.3WindowsServer2003VPN安裝第二十二頁，共四十二頁，2022年，8月28日（4）路由和遠程訪問服務器安裝向導對話框如圖所示，在【網(wǎng)絡接口】列表中有兩個網(wǎng)絡接口，分別用于連接外部網(wǎng)絡和內部網(wǎng)絡。取消選擇【通過設置靜態(tài)數(shù)據(jù)包篩選器來對選擇的接口進行保護】選項，然后單擊【下一步】。4.2VPN與網(wǎng)絡安全

4.2.3WindowsServer2003VPN安裝第二十三頁，共四十二頁，2022年，8月28日（5）選擇路由和遠程訪問服務器安裝向導中的選項【來自一個指定的地址范圍】，如圖所示，并單擊【下一步】。4.2VPN與網(wǎng)絡安全

4.2.3WindowsServer2003VPN安裝第二十四頁，共四十二頁，2022年，8月28日（6）選擇路由和遠程訪問服務器安裝向導中的選項【新建】，如圖4-13所示，在彈出的新建地址范圍對話框中輸入合法的IP地址范圍，例如—，如圖所示，即允許在地址范圍內的遠程用戶通過VPN服務器來訪問企業(yè)內部網(wǎng)絡，然后單擊【下一步】。4.2VPN與網(wǎng)絡安全

4.2.3WindowsServer2003VPN安裝第二十五頁，共四十二頁，2022年，8月28日（7）選擇路由和遠程訪問服務器安裝向導中的選項【否，使用路由和遠程訪問來對連接請求進行身份驗證】，如圖所示，并單擊【下一步】完成設置。4.2VPN與網(wǎng)絡安全

4.2.3WindowsServer2003VPN安裝第二十六頁，共四十二頁，2022年，8月28日（8）建立的VPN服務器如圖4-16所示，遠程用戶可以通過VPN服務器訪問企業(yè)內部網(wǎng)絡。4.2VPN與網(wǎng)絡安全

4.2.3WindowsServer2003VPN安裝第二十七頁，共四十二頁，2022年，8月28日數(shù)據(jù)庫系統(tǒng)的信息安全性是指數(shù)據(jù)獨立性、數(shù)據(jù)安全性、數(shù)據(jù)完整性、并發(fā)控制和故障恢復等幾個方面。下面分別對其進行介紹：1.數(shù)據(jù)獨立性2．數(shù)據(jù)安全性3．數(shù)據(jù)完整性4．并發(fā)控制5．故障恢復4.3數(shù)據(jù)庫安全

4.3.2數(shù)據(jù)庫的安全特性第二十八頁，共四十二頁，2022年，8月28日1.安全賬號管理2.數(shù)據(jù)庫審計3.數(shù)據(jù)庫加密4.安全訪問控制4.3數(shù)據(jù)庫安全

4.3.3數(shù)據(jù)庫的安全控制措施第二十九頁，共四十二頁，2022年，8月28日1.常用數(shù)據(jù)庫加密技術數(shù)據(jù)庫加密可以實現(xiàn)存儲數(shù)據(jù)的保密性、完整性、身份可認證性和可用性，可以增強普通關系型數(shù)據(jù)庫管理系統(tǒng)的安全性，可以達到有效地保護數(shù)據(jù)庫存儲內容的目的。數(shù)據(jù)庫加密系統(tǒng)的主要功能包括字段加密、密鑰動態(tài)管理、日常數(shù)據(jù)處理以及防止非法復制。4.3數(shù)據(jù)庫安全

4.3.4數(shù)據(jù)庫加密技術第三十頁，共四十二頁，2022年，8月28日2.數(shù)據(jù)庫加密的主要形式數(shù)據(jù)庫加密的主要形式有系統(tǒng)加密、服務器端（DBMS內核層）加密、客戶端（DBMS外層）加密。系統(tǒng)加密是利用軟件加密系統(tǒng)或硬件加密系統(tǒng)對明文信息進行加密，然后將密文信息存儲到數(shù)據(jù)庫系統(tǒng)。但是加密系統(tǒng)無法處理數(shù)據(jù)庫中數(shù)據(jù)表之間的關系，只能將數(shù)據(jù)先進行加密，然后將密文存儲于數(shù)據(jù)庫相應字段，讀取數(shù)據(jù)時再逆向進行解密。系統(tǒng)加密無法直接對數(shù)據(jù)庫中的密文進行插入、更新、查詢和刪除等基本操作，只能將查詢數(shù)據(jù)轉換為密文再進行相應的數(shù)據(jù)庫查詢和管理，因此效率相對較低。4.3數(shù)據(jù)庫安全

4.3.4數(shù)據(jù)庫加密技術第三十一頁，共四十二頁，2022年，8月28日入侵檢測系統(tǒng)利用檢測器對計算機和網(wǎng)絡資源的惡意使用行為進行識別和處理，并對異常事件進行報警和跟蹤。入侵檢測系統(tǒng)包括硬件系統(tǒng)和軟件系統(tǒng)。數(shù)據(jù)收集器：主要負責從目標系統(tǒng)采集特征數(shù)據(jù)，并將特征數(shù)據(jù)發(fā)送到檢測器進行處理，特征數(shù)據(jù)采集對象主要包括網(wǎng)絡數(shù)據(jù)包、日志文件等。檢測器：也稱分析器或檢測引擎，主要負責分析和檢測系統(tǒng)異常行為，并發(fā)出警報信號。知識庫：主要提供系統(tǒng)異常行為檢測規(guī)則和安全策略?？刂破鳎焊鶕?jù)知識庫中檢測規(guī)則處理警報信息，并對目標系統(tǒng)實施控制。4.4入侵檢測系統(tǒng)

4.4.1入侵檢測概述第三十二頁，共四十二頁，2022年，8月28日可將入侵檢測系統(tǒng)按照檢測對象劃分為基于主機的入侵檢測系統(tǒng)、基于網(wǎng)絡的入侵檢測系統(tǒng)和混合型入侵檢測系統(tǒng)。1.基于主機的入侵檢測系統(tǒng)2.基于網(wǎng)絡的入侵檢測系統(tǒng)4.4入侵檢測系統(tǒng)

4.4.2入侵檢測系統(tǒng)的分類第三十三頁，共四十二頁，2022年，8月28日1.入侵檢測技術分類按照入侵檢測系統(tǒng)所采用的檢測技術可以將入侵檢測分為特征檢測和異常檢測兩種。（1）特征檢測（2）異常檢測4.4入侵檢測系統(tǒng)

4.4.3入侵檢測的主要技術第三十四頁，共四十二頁，2022年，8月28日2.常用檢測方法入侵檢測系統(tǒng)常用的檢測方法有特征檢測、統(tǒng)計檢測。目前入侵檢測系統(tǒng)絕大多數(shù)使用特征檢測方法，因為統(tǒng)計檢測方法的檢測準確率較低，容易出現(xiàn)誤判。（1）特征檢測方法（2）統(tǒng)計檢測方法4.4入侵檢測系統(tǒng)

4.4.3入侵檢測的主要技術第三十五頁，共四十二頁，2022年，8月28日訪問控制是通過訪問控制策略對系統(tǒng)用戶的訪問權限和范圍進行約束的一種方法。通過限制系統(tǒng)用戶對網(wǎng)絡資源的訪問權限來防止非法用戶的入侵或合法用戶的越權使用，從而保證網(wǎng)絡資源在可控和合法的狀態(tài)下使用。系統(tǒng)用戶只能根據(jù)分配的訪問權限訪問和控制系統(tǒng)資源，無法越權訪問。訪問控制的基礎是身份認證技術，系統(tǒng)通過身份認證技術來識別系統(tǒng)用戶的真實身份并賦予相應的系統(tǒng)訪問權限，系統(tǒng)用戶只能依照訪問控制策略執(zhí)行各項操作4.5訪問控制技術

4.5.1訪問控制概述第三十六頁，共四十二頁，2022年，8月28日1.訪問控制策略的實施原則通常依照主體對客體的訪問權限來制定系統(tǒng)訪問控制策略，具體原則如下：（1）權力最小化原則。（