教案(第11、12次课4学时)一、授课题目第5章网络安全技术与应用二、教学目的和要求1.了解网络安全体系结构2.掌握网络安全中的防火墙、虚拟专用网、入侵检测技术的应用三、教学重点1.防火墙技术、虚拟专用网技术具体应用2.入侵检测技术、上网行为管理技术四、教学难点1.虚拟专用网技术的隧道技术2.入侵检测技术IDS的应用部署五、教学方法及形式课堂讲授多媒体教学+板书六、专用网术语应用代理网关(ApplicationGateway)DMZ(DemilitarizedZone)称为“非军事区”VRRP(VirtualRouterRedundancyProtocol)虚拟路由穴余协议七、主要参考资料《计算机网络工程实用教程》第3版主编:石炎生电子工业出版社《网络工程设计与系统集成》第2版主编:杨威人民邮电出版社《计算机网络教程》第2版主编:谢希仁人民邮电出版社八、作业九、课后记1
1 教 案 (第 11、12 次课 4 学时) 一、授课题目 第 5 章 网络安全技术与应用 二、教学目的和要求 1.了解网络安全体系结构 2.掌握网络安全中的防火墙、虚拟专用网、入侵检测技术的应用 三、教学重点 1.防火墙技术、虚拟专用网技术具体应用 2.入侵检测技术、上网行为管理技术 四、教学难点 1.虚拟专用网技术的隧道技术 2.入侵检测技术 IDS 的应用部署 五、教学方法及形式 课堂讲授 多媒体教学 + 板书 六、专用网术语 应用代理网关(Application Gateway) DMZ(Demilitarized Zone)称为“非军事区” VRRP (Virtual Router Redundancy Protocol)虚拟路由冗余协议 七、主要参考资料 《计算机网络工程实用教程》第 3 版 主编:石炎生 电子工业出版社 《网络工程设计与系统集成》第 2 版 主编:杨威 人民邮电出版社 《计算机网络教程》第 2 版 主编:谢希仁 人民邮电出版社 八、作 业 九、课后记
教学过程第5章网络安全技术与应用一、网络安全体系与技术1、网络安全体系网络安全体系是采用系统工程过程的结果,包括网络安全基础理论、网络安全应用技术、网络安全平台部署、网络安全管理和网络安全目标等五个方面。安全平台:安全目标安全管网络基础建设安全、网络传输建设安全、网络应用建设安全、网络安全设备部署。理:运营安全涉密安全战略安全:安全标准安全策略安全测安全技术:防火墙、入侵检测、入侵防御、虚拟专用网、上网行为管理、病毒清除、漏洞扫描、安全审计、身份认证、访问控制。安全理论:数据加密、数字签名、数字证书、信息摘要、密钥评管理、病毒原理、安全协议、访问控制模型。2、网络面临的安全威肋计算机网络所面临的威胁有三种:硬件安全、软件安全和数据安全。硬件:包括网络中的各种设备及线缆等:软件:包括网络操作系统、通信软件及应用软件:数据:包括系统的配置文件、日志文件、用户资料与数据、各种重要的数据库、以及其机密的通信内容等信息。3、网络安全技术(1)防火墙与防水墙技术(2)入侵检测与入侵防御技术2
2 教学过程 第 5 章 网络安全技术与应用 一、网络安全体系与技术 1、网络安全体系 网络安全体系是采用系统工程过程的结果,包括网络安全基础理论、网络安全应用 技术、网络安全平台部署、网络安全管理和网络安全目标等五个方面。 2、网络面临的安全威胁 计算机网络所面临的威胁有三种:硬件安全、软件安全和数据安全。 硬件:包括网络中的各种设备及线缆等; 软件:包括网络操作系统、通信软件及应用软件; 数据:包括系统的配置文件、日志文件、用户资料与数据、各种重要的数据库、 以及其机密的通信内容等信息。 3、网络安全技术 (1)防火墙与防水墙技术 (2)入侵检测与入侵防御技术
(3)虚拟专网技术(4)漏洞扫描技术(5)防病毒技术(6)上网行为管理技术(7)负载均衡技术(8)安全审计技术(9)流量监控技术二、防火墙技术1、防火墙及其功能(1)防火墙(Firewall)实际上是一种隔离技术,它将内部网和公众访问网(Internet)分开,在两者之间设置一道屏障,防止来自不明入侵者的所有通信。目前,应用于网络系统的防火墙是一台集成了防火墙功能、路由器功能、VPN功能、入侵检测功能等多功能的专用网络安全设备,它自身具有较强的抗攻击能力。(2)防火墙的功能过滤进出网络的数据包;管理进出网络的访问行为;封堵某些禁止的访问行为;记录通过防火墙的信息内容和活动对网络攻击进行检测和告警。2、防火墙的技术(1)包过滤技术包过滤(PacketFilter)技术是在网络层中对数据包实施有选择的通过。(2)代理服务器技术代理服务技术实际上是通过代理服务器(ProxyServer)来完成的,所以也称为代理服务器技术。(3)应用代理网关技术应用代理网关(ApplicationGateway)技术也称应用代理技术,是建立在网3
3 (3)虚拟专网技术 (4)漏洞扫描技术 (5)防病毒技术 (6)上网行为管理技术 (7)负载均衡技术 (8)安全审计技术 (9)流量监控技术 二、防火墙技术 1、防火墙及其功能 (1)防火墙(Firewall)实际上是一种隔离技术,它将内部网和公众访问网(Internet) 分开,在两者之间设置一道屏障,防止来自不明入侵者的所有通信。 目前,应用于网络系统的防火墙是一台集成了防火墙功能、路由器功能、VPN 功 能、入侵检测功能等多功能的专用网络安全设备,它自身具有较强的抗攻击能力。 (2)防火墙的功能 过滤进出网络的数据包; 管理进出网络的访问行为; 封堵某些禁止的访问行为; 记录通过防火墙的信息内容和活动; 对网络攻击进行检测和告警。 2、防火墙的技术 (1)包过滤技术 包过滤(Packet Filter)技术是在网络层中对数据包实施有选择的通过。 (2)代理服务器技术 代理服务技术实际上是通过代理服务器(Proxy Server)来完成的,所以也称 为代理服务器技术。 (3)应用代理网关技术 应用代理网关(Application Gateway)技术也称应用代理技术,是建立在网
络应用层上的协议过滤,它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。(4)状态检测技术状态检测技术在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。3、防火墙的分类(1)按照防火墙的实现技术分:包过滤型防火墙、应用代理型防火墙、基于状态检测的包过滤防火墙。(2)按照防火墙的组成结构分:软件级、硬件级和芯片级。(3)按照防火墙所处位置分:单一主机式、路由器集成式和分布式。(4)按防火墙的应用部署位置分:边界防火墙、个人防火墙和混合防火墙。(5)按照防火墙的带宽为:百兆级防火墙、千兆级防火墙以及万兆级防火墙。4、防火墙的部署方式(1)路由模式如果防火墙以第三层对外连接,则认为防火墙工作在路由(Route)模式下,此时所有接口都要配置IP地址。(2)透明模式若防火墙通过第二层(数据链路层)对外连接,则防火墙工作在透明模式(也可以称为桥模式)下,此时不需要对其接口配置IP地址。用户也不知道防火墙的IP地址,意识不到防火墙的存在,即对用户是完全透明的(Transparent)。(3)混合模式若防火墙同时具有工作在路由模式和透明模式的接口,即某些接口具有IP地址,某些接口无IP地址,则防火墙工作在混合模式下。4
4 络应用层上的协议过滤,它针对特别的网络应用服务协议即数据过滤协议,并且能 够对数据包分析并形成相关的报告。 (4)状态检测技术 状态检测技术在防火墙的核心部分建立状态连接表,并将进出网络的数据当成 一个个的会话,利用状态表跟踪每一个会话状态。 3、防火墙的分类 (1)按照防火墙的实现技术分: 包过滤型防火墙、应用代理型防火墙、基于状态检测的包过滤防火墙。 (2)按照防火墙的组成结构分: 软件级、硬件级和芯片级。 (3)按照防火墙所处位置分: 单一主机式、路由器集成式和分布式。 (4)按防火墙的应用部署位置分: 边界防火墙、个人防火墙和混合防火墙。 (5)按照防火墙的带宽为: 百兆级防火墙、千兆级防火墙以及万兆级防火墙。 4、防火墙的部署方式 (1)路由模式 如果防火墙以第三层对外连接,则认为防火墙工作在路由(Route)模式下, 此时所有接口都要配置 IP 地址。 (2)透明模式 若防火墙通过第二层(数据链路层)对外连接,则防火墙工作在透明模式(也 可以称为桥模式)下,此时不需要对其接口配置 IP 地址。用户也不知道防火墙 的 IP 地址,意识不到防火墙的存在,即对用户是完全透明的(Transparent)。 (3)混合模式 若防火墙同时具有工作在路由模式和透明模式的接口,即某些接口具有 IP 地址,某些接口无 IP 地址,则防火墙工作在混合模式下
配置IP地址的接口所在的安全区域是三层区域,接口上启动VRRP(VirtualRouterRedundancyProtocol,虚拟路由余协议)功能,用于双机热备份:而未配置IP地址的接口所在的安全区域是二层区域,和二层区域相关接口连接的外部用户同属一个子网。三、虚拟专用网技术1、VPN的作用原理虚拟专用网络(VirtualPrivateNetwork,VPN)是指将物理上分布在不同地点的局域网,通过公共网络(Internet)构建成一个逻辑上的专用网络,实现安全可靠、方便快捷的通信。局域网局域网Internet隧道健VPN服务器VPN服务器2、VPN安全技术(1)隧道技术。即在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,主要有:点到点隧道协议PPTP第二层转发协议L2F第二层隧道协议L2TP网络层隧道协议IPSecGRE会话层隧道协议SOCKSv5和SSL。(2)加密技术。包括加密、解密和密钥管理技术(3)认证技术。最常用的是使用者名称与密码或卡片式认证方式。(4)QoS技术。QoS表示数据流通过网络时的性能,它的目的在于向用户提供端到端的服务质量保证。3、VPN技术的应用5
5 配置 IP 地址的接口所在的安全区域是三层区域,接口上启动 VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)功能,用于双机热备份;而未 配置 IP 地址的接口所在的安全区域是二层区域,和二层区域相关接口连接的外部 用户同属一个子网。 三、虚拟专用网技术 1、VPN 的作用原理 虚拟专用网络(Virtual Private Network,VPN)是指将物理上分布在不同地点的 局域网,通过公共网络(Internet)构建成一个逻辑上的专用网络,实现安全可靠、 方便快捷的通信。 2、VPN 安全技术 (1)隧道技术。即在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。 隧道是由隧道协议形成的,主要有: 点到点隧道协议 PPTP 第二层转发协议 L2F 第二层隧道协议 L2TP 网络层隧道协议 IPSec GRE 会话层隧道协议 SOCKS v5 和 SSL。 (2)加密技术。包括加密、解密和密钥管理技术 (3)认证技术。最常用的是使用者名称与密码或卡片式认证方式。 (4)QoS 技术。QoS 表示数据流通过网络时的性能,它的目的在于向用户提供端到端 的服务质量保证。 3、VPN 技术的应用