CIWSecurity_第二部分_网络安全技术与实践.pptVIP

* Theme: The superiority of integrated VPN/firewalls Points: The only safe approach to VPNs is to integrate them with a firewall. Because the firewall is already inspecting each packet, it can provide your VPN with granular access control and protection against attack. At the same time, it simplifies the management by enabling you to secure your VPN traffic with the same policy that secures the rest of your traffic – a unified enterprise security policy. * * * * * * * * * * * * * * * * * * * * * * * * * 实践考虑 时间 $$$ t 0 业务成效 解决方案成本 t 1 $ 1 t 1 = 恢复时间目标(RTO) 实践考虑 自建灾难恢复中心： 模式1：本地站点生产，远程站点开发和测试 模式2：在远程站点进行磁带备份，无需运送磁带 模式3：在各站点间平衡应用负荷 模式4：在远程站点设置数据仓库并提供决策支持 等等…… 服务外包 专业规划、能力维护、测试演练、…… 《重要信息系统灾难恢复指南》 用 户 灾 难 恢 复 系 统组成 数据备份系统 灾难恢复预案 备用网络系统 备用数据处理系统 备用基础设施 技术支持能力 运行维护管理能力 激发个人潜能 燃点企业动力 * * * * * * * / * * * * * * * * * 堡垒主机是一种被强化的可以防御进攻的计算机，被暴露于因特网之上，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的。 屏蔽路由器是一个多端口的IP路由器，它通过对每一个到来的IP包依据组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息，例如协议号、收发报文的IP地址和端口号、连接标志以至另外一些IP选项，对IP包进行过滤。 被屏蔽主机网关：一个堡垒主机安装在内部网络上，通常在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络惟一可直接到达的主机，这确保了内部网络不受未被授权的外部用户的攻击。 被屏蔽子网就是在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中，两个分组过滤路由器放在子网的两端，在子网内构成一个DNS，内部网络和外部网络均可访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信。有的屏蔽子网中还设有一堡垒主机作为惟一可访问点，支持终端交互或作为应用网关代理。这种配置的危险仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。如果攻击者试图完全破坏防火墙，他必须重新配置连接三个网的路由器，既不切断连接又不要把自己锁在外面，同时又不使自己被发现，这样也还是可能的。但若禁止网络访问路由器或只允许内网中的某些主机访问它，则攻击会变得很困难。在这种情况下，攻击者得先侵入堡垒主机，然后进入内网主机，再返回来破坏屏蔽路由器，并且整个过程中不能引发警报。 代理服务器是防火墙中的一个服务器进程，它能够代替网络用户完成特定的TCP/IP功能。一个代理服务器本质上是一个应用层的网关，一个为特定网络应用而连接两个网络的网关。用户就一项TCP/IP应用，比如Telnet或者FTP，同代理服务器打交道，代理服务器要求用户提供其要访问的远程主机名。当用户答复并提供了正确的用户身份及认证信息后，代理服务器连通远程主机，为两个通信点充当中继。整个过程可以对用户完全透明。 * 1、屏蔽路由器（Screening Router）　　 　　 这是防火墙最基本的构件。它可以由厂家专门生产的路由器实现，也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。路由器上可以装基于IP层的报文过滤软件，实现报文过滤功能。许多路由器本身带有报文过滤配置选项，但一般比较简单。　　 　　 单纯由屏蔽路由器构成的防火墙的危险带包括路由器本身及路由器允许访问的主机。它的缺点是一旦被攻陷后很难发现，而且不能识别不同的用户。　　 　　 2、双穴主机网关（Dual Homed Gateway）　　 　　 这种配置是用一台装有两块网卡的堡垒主机做防火墙。