文档介绍:课程简介
授课形式
课程讲授+上机实****br/>成绩给定办法
期末考试成绩 70%
到课、课堂作业、上机实****30%
上课时间
2-16周周三5-6节
实验第十二、十三、十四、十五周
地点
授课 10J317
上机 12J214
授课班级
网络0901、0902、0903、09Q1
网络安全
网络安全是指网络系统的软件、硬件及其存储的数据处于保护状态,网络系统不会由于偶然的或者恶意的冲击而受到破坏,网络系统能够连续可靠地运行。
网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、信息论等多研究领域的综合性学科。
凡是涉及网络系统的保密性、完整性、可用性和可控性的相关技术和理论都是网络安全的研究内容。
防火墙
建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中。
特征:
网络位置特性
内部网络和外部网络之间的所有网络数据都必须经过防火墙
工作原理特性
只有符合安全策略的数据才能通过防火墙
先决条件
防火墙自身应具有非常强的扛攻击能力
入侵检测
80%以上的入侵来自于网络内部
由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于来自内部网络的攻击,防火墙形同虚设
入侵检测是对防火墙及其有益的补充
在入侵攻击对系统发生危害前检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击
在入侵攻击过程中,能减少入侵攻击所造成的损失
在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加到知识库中,增强防范能力,避免系统再次受到入侵。
防火墙基础知识
防火墙的定义-- 什么是防火墙
防火墙的位置--所处的逻辑位置和物理位置
防火墙的理论特性和实际功能
防火墙的规则--防火墙的灵魂--“过滤规则”
防火墙的分类--多种分类方法
防火墙的定义
从广泛、宏观的意义上说,防火墙是隔离在内部网络与外部网络之间的一个防御系统。
AT&T的工程师William Cheswick 和Steven Bellovin给出了防火墙的明确定义,他们认为防火墙是位于两个网络之间的一组构件或一个系统,具有以下属性:
防火墙是不同网络或者安全域之间信息流的唯一通道,所有双向数据流必须经过防火墙。
只有经过授权的合法数据,即防火墙安全策略允许的数据才可以通过防火墙。
防火墙系统应该具有很高的抗攻击能力,其自身可以不受各种攻击的影响。
简而言之,防火墙是位于两个(或多个)网络间,实施访问控制策略的一个或一组组件集合。
防火墙的物理位置
从设备部署位置上看,防火墙要部署在本地受保护区域与外部网络的交界点上。
从具体的实现上看,防火墙运行在任何要实现访问控制功能的设备上。
下图为防火墙在网络中的常见位置:
防火墙的逻辑位置
防火墙的逻辑位置指的是防火墙与网络协议相对应的逻辑层次关系。处于不同网络层次的防火墙实现不同级别的网络过滤功能,表现出来的特性也不同。
所有防火墙均依赖于对ISO OSI/RM网络七层模型中各层协议所产生的信息流进行检查。一般说来,防火墙越是工作在ISO OSI/RM模型的上层,能检查的信息就越多,其提供的安全保护等级就越高。
防火墙与网络层次关系如下表所示:
防火墙的理论特性
1 创建阻塞点
根据美国国家安全局制定的《信息保障技术框架》,work boundary),属于用户内部网络边界安全保护设备。所谓网络边界就是采用不同安全策略的两个网络连接位置。
防火墙就是在网络的外边界或周边,在内部网络和外部网络之间建立的唯一一个安全控制检查点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。从而实现防止非法用户进入内部网络,禁止存在安全脆弱性的服务进出网络,并抵抗来自各种路线的攻击,进而提高被保护网络的安全性,降低风险。这样一个检查点被称为阻塞点。这是防火墙所处网络位置特性,同时也是一个前提。如果没有这样一个供监视和控制信息的点,系统管理员要在大量的地方来进行监测。
在某些文献里,防火墙又被称为内部网络与外部网络之间的单联系点。需要注意的是,虽然存在着许多的多接入点网络,但是每个出口也都要有防火墙设备,因此从逻辑上看,防火墙还是内部网络与外部网络之间的唯一联系点。
防火墙的理论特性
2 强化网络安全策略,提供集成功能
防火墙设备所处的位置,正好为系统提供了一个多种安全技术的集成支撑平台。通过相应的配置,可以将多种安全软件,譬如口令检查、加密、身份认证、审计等,集中部署在防火墙上。与分散部署方案相比,防火墙的集中安全管理更经济、更加有效,简化了系统管理人员的操作,从而强化了网络安全策略的实行。