本文详细探讨了边界安全中的防火墙功能,包括静态包过滤、应用代理、状态检测以及不同部署方式。同时涉及物理隔离、入侵检测系统、误用检测和异常检测,以及虚拟专用网络(VPN)的实现技术如IPSEC和SSL。
边界安全防护-防火墙
控制:在网络连接点上建立一个安全控制点,对进出数据进行限制。
隔离:将需要保护的网络与不可信任网络进行隔离,隐藏信息并进行安全防护
记录:对进出数据进行检查,记录相关信息
静态包过滤
- 依据数据包的基本标记来控制数据包
- 技术逻辑简单、易于实现,处理速度快
- 无法实现对应用层信息过滤处理,配置较复杂
应用代理
- 连接都要通过防火墙进行转发
- 提供NAT,隐藏内部网络地址
状态检测
- 创建状态表用于维护连接,安全性高
- 安全性高但对性能要求也高
- 适应性好,对用户、应用程序透明
防火墙的部署
防火墙的部署位置
- 可信网络与不可信网络之间
- 不同安全级别网络之间
- 两个需要隔离的区域之间
防火墙的部署方式
- 单防火墙(无DMZ)部署方式
- 单防火墙(DMZ)部署方式
- 双防火墙部署方式
其他边界安全防护
物理隔离与交换系统(网闸)
- 外部处理单元、内部处理单元、中间处理单元
- 断开内外网之间的会话(物理隔离、协议隔离)
- 同时集合了其他安全防护技术
其他网络安全防护技术
- IPS
- 防病毒网关
- UTM
- ......
检测与审计-入侵检测
入侵检测系统的作用
- 主动防御,防火墙的重要补充
- 构建网络安全防御体系重要环节
入侵检测系统功能
- 发现并报告系统中未授权或违反安全策略行为
- 为网络安全策略的制定提供指导
入侵检测系统
分类
- 网络入侵检测
- 主机入侵检测
检测技术
- 误用检测
- 异常检测
部署
局限性
安全审计系统
概念:按照一定的安全策略,对系统日志、网络数据、用户活动、环境状况进行检查,以发现系统漏洞、违规操作等行为的安全设备。
分类
- 网络安全审计
- 主机安全审计
接入管理-VPN
虚拟专用网络
利用隧道技术,-在公共网络中建立了一个虚拟的、专用的安全网络通道
VPN实现技术
- 隧道技术
- 二层隧道:PPTP、L2F、L2TP
- IPSEC
- SSL
- 密码技术
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
