网络基础下_本讲涉及内容宽泛，领域众多，讲师根据学员情况做好课 时安排。 本讲总课时建议为4~6课时。

　　各类信息安全技术的概念、用途，部署方式 防火墙的分类、原理、结构和用途 入侵检测产品的工作原理和分类 VPN的分类和用途 漏洞评估的概念和意义

　　防火墙的基本概念 防火墙的主要技术 防火墙的用途 防火墙的弱点 防火墙的体系结构 防火墙的构筑原则 防火墙产品

　　防火墙是一种高级访问控制设备， 防火墙是一种高级访问控制设备，是置于不同网 络安全域之间的一系列部件的组合， 络安全域之间的一系列部件的组合，是不同网络安全 域间通信流的唯一通道， 域间通信流的唯一通道，能根据企业有关安全政策控 允许、 进出网络的访问行为。 制(允许、拒绝、监视、记录 进出网络的访问行为。 允许 拒绝、监视、记录)进出网络的访问行为

　　控制对网点的访问和封锁网点信息的泄露 能限制被保护子网的泄露 具有审计作用 能强制安全策略

　　防火墙不能防备病毒 防火墙对不通过它的连接无能为力 防火墙不能防备内部人员的攻击 限制有用的网络服务 防火墙不能防备新的网络安全问题

　　查找对应的 控制策略 根据策略决定如 何处理该数据包 数据包 拆开数据包

　　查找对应的 控制策略 根据策略决定如 何处理该数据包 数据包 拆开数据包

　　防火墙可以设置成不同的体系结构， 防火墙可以设置成不同的体系结构，提供不同级 别的安全。常见的体系结构有： 别的安全。常见的体系结构有： 筛选路由器 双网主机 屏蔽主机 屏蔽子网

　　内部网 双网主机 双网主机插有两块网卡，分别连接到内网和外网。 双网主机插有两块网卡，分别连接到内网和外网。 防火墙内、外的系统均可以与双网主机进行通信， 防火墙内、外的系统均可以与双网主机进行通信， 但防火墙两边的系统之间不能直接进行通信。 但防火墙两边的系统之间不能直接进行通信。 使用此结构， 使用此结构，必须关闭双网主机上的路由分配功 能。

　　构筑防火墙要从以下几方面考虑： 构筑防火墙要从以下几方面考虑： 体系结构的设计 安全策略的制定 安全策略的实施

　　VLAN的定义 的定义 VLAN（Virtual Local Area Network）又称虚拟局域网，是指在交换局 域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的 端到端的逻辑网络。一个VLAN组成一个逻辑子网，即一个逻辑广播域， 它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一 个逻辑子网中。 组建VLAN的条件 组建 的条件 VLAN是建立在物理网络基础上的一种逻辑子网，因此建立VLAN需要 相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通 信时，需要路由的支持，这时就需要增加路由设备——要实现路由功能， 既可采用路由器，也可采用三层交换机来完成。

　　从技术角度讲，VLAN的划分可依据不同原则，一般有以下三种划分方法： 1、基于端口的 基于端口的VLAN划分 基于端口的 划分 这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、 最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即 可，不用考虑该端口所连接的设备。 2、基于 基于MAC地址的 地址的VLAN划分 基于 地址的 划分 MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是惟一且固化 在网卡上的。MAC地址由12位16进制数表示，前8位为厂商标识，后4位为网卡标 识。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。 3、基于路由的VLAN划分 、基于路由的 划分 路由协议工作在网络层，相应的工作设备有路由器和路由交换机（即三层交换 机）。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。

　　一个VLAN就是一个逻辑广播域，通过对VLAN的创建，隔离了广播，缩小了广播 范围，可以控制广播风暴的产生。

　　通过路由访问列表和MAC地址分配等VLAN划分原则，可以控制用户访问权限和 逻辑网段大小，将不同用户群划分在不同VLAN，从而提高交换式网络的整体性 能和安全性。

　　对于交换式以太网，如果对某些用户重新进行网段分配，需要网络管理员对网络 系统的物理结构重新进行调整，甚至需要追加网络设备，增大网络管理的工作量。 而对于采用VLAN技术的网络来说，一个VLAN可以根据部门职能、对象组或者应 用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情 况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术，大大减 轻了网络管理和维护工作的负担，降低了网络维护费用。在一个交换网络中， VLAN提供了网段和机构的弹性组合机制。

　　三层交换（也称多层交换技术，或IP交换技术）是相对于传统交换概念而提出的。 众所周知，传统的交换技术是在OSI网络标准模型中的第二层——数据链路层进行操 作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说， 三层交换技术就是：二层交换技术＋三层转发技术。 三层交换技术的出现，解决了局域网中网段划分之后，网段中子网必须依赖路由器进 行管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题。

　　它是将路由技术与交换技术合二为一的技术。三层交换机在对第一个数据流进行路 由后，会产生一个MAC地址与IP地址的映射表，当同样的数据流再次通过时，将根据 此表直接从二层通过而不是再次路由，从而消除了路由器进行路由选择而造成网络的 延迟，提高了数据包转发的效率，消除了路由器可能产生的网络瓶颈问题。可见，三 层交换机集路由与交换于一身，在交换机内部实现了路由，提高了网络的整体性能。

　　IDS分类 分类 IDS作用 作用 IDS工作原理 工作原理 IDS部署方式 部署方式 IDS应用 应用 IDS技术的发展方向 技术的发展方向 IDS产品 产品 IDS资源 资源

　　入侵检测系统(Intrusion Detection System) 入侵检测系统(Intrusion 入侵检测技术是为了保证计算机系统安全面而设置和配置的一种能够及时发 现并报告系统中未授权或异常行为的技术，是一种检测计算机网络中违反安全 策略行为的技术。 入侵检测被视为防火墙之后的第二道安全阐门，主要用来监视和分析用户和 系统的活动，能够反映已知的攻击模式并报警，同时监控系统的异常模式，对 于异常行为模式，IDS采用报表的方式进行统计分析

　　假如说防火墙是一幢大楼的门锁，那入侵监测系统就是这 幢大楼里的监视系统。

　　-----在网络中的某个节点上装有探测器来监测整个网络 工作对象 在网络中的某个节点上装有探测器来监测整个网络(工作对象 在网络中的某个节点上装有探测器来监测整个网络 基于网络) 基于网络

　　特点： 特点： 1.拥有较低的成本 拥有较低的成本--在几个很少的监测点上进行配置就可以监控一个网络中所发 1.拥有较低的成本 生的入侵行为; 2.能监测主机IDS所不能监测到的某些攻击 能监测主机IDS所不能监测到的某些攻击(如DOS、Teardrop)—通过分析IP包的 2.能监测主机IDS所不能监测到的某些攻击 头可以捕捉这些须通过分析包头才能发现的攻击; 3.与操作系统无关性 与操作系统无关性--基于网络的IDS与所监测的主机所运行的操作系统无关，而 3.与操作系统无关性 主机IDS则必须在特定的操作系统下才能运行; 4.检测未成功能攻击和不良意图 检测未成功能攻击和不良意图-与之相比，主机IDS只能检测到成功的攻击，而 4.检测未成功能攻击和不良意图 很多未成功的攻击对系统的风险评估成到关键的作用; 5.实时检测和响应 实时检测和响应----网络IDS可以在攻击发生的同时将其检测出来，并进行实时 5.实时检测和响应 的报警和响应。

　　1.确定攻击是否成功 确定攻击是否成功---比网络IDS更准确的判定攻击是否成功; 确定攻击是否成功 2.系统行动监视的更好 系统行动监视的更好---对于每一个用户(尤其是系统管理员)上网下网的信息、连 系统行动监视的更好 入网络后的行为和所受到的入侵行为监测的更为详细，记录的更准确; 3.能够检测到网络 能够检测到网络IDS检测不到的特殊攻击 检测不到的特殊攻击----如某服务器上有人 直接对该机进行 能够检测到网络 检测不到的特殊攻击 非法操作; 4.适用于加密的环境 ----在某些特殊的加密网络环境中，由于网络IDS所需要的网 适用于加密的环境 络环境不能满足，所以在这种地方应用主机IDS就可以完成这一地方的监测任 务 5.不需要额外的硬件设备 不需要额外的硬件设备----与网络IDS相比，不需要专用的硬件检测系统，降低 不需要额外的硬件设备 的硬件成本

　　效率低---对每一条事件都要与事件库中的 特征事件进行对比，工作量大。 误报多---如果两个攻击事件具有极其相近的特征，在对比的过程中容易产生误报，而错过真实的问 题。

　　1.针对分布式攻击的检测方法 2.使用分布式的方法来检测分布式的攻击，关键技术为检测信息的协同处理 与入侵攻击的全局信息提取

　　使用智能化的手法也实现入侵检测，现阶段常用的有神经网络、模糊算法、 遗传算法、免疫原理等技术

　　采用安全工程风险管理的理论也来处理网络安全问题，将网络安全做为一个 整体工程来处理，从管理、网络结构、防火墙、防病毒、入侵检测、漏洞扫 描等多方面对网结进行安全分析 随着网络技术的发展，还会有更多新技术应用到入侵检测系统中来!

　　本节将分以下几部分介绍VPN网关： 网关： 本节将分以下几部分介绍 网关

　　VPN的基本概念 的基本概念 VPN的功能 的功能 VPN的分类及用途 的分类及用途 VPN常用协议 常用协议 基于IPSec协议的 协议的VPN体系结构 基于 协议的 体系结构

　　虚拟专用网VPN（Virtual Private Network）技术 （ 虚拟专用网 ） 是指在公共网络中建立专用网络，数据通过安全的“ 是指在公共网络中建立专用网络，数据通过安全的“加 密管道”在公共网络中传播。 密管道”在公共网络中传播。

　　保证数据的真实性，通信主机必须是经过授权的，要有抵 抗地址冒认（IP Spoofing）的能力。 保证数据的完整性，接收到的数据必须与发送时的一致， 要有抵抗不法分子纂改数据的能力。 保证通道的机密性，提供强有力的加密手段，必须使偷听 者不能破解拦截到的通道数据。 提供动态密钥交换功能，提供密钥中心管理服务器，必须 具备防止数据重演（Replay）的功能，保证通道不能被重 演。 提供安全防护措施和访问控制，要有抵抗黑客通过VPN通 道攻击企业网络的能力，并且可以对VPN通道进行访问控 制（Access Control）

　　连接公司总部和其分支机构. 内 部 网VPN——用VPN连接公司总部和其分支机构 用 连接公司总部和其分支机构 远程访问VPN——用VPN连接公司总部和远程用户 连接公司总部和远程用户. 远程访问 用 连接公司总部和远程用户 外 联 网VPN——用VPN连接公司和其业务伙伴 用 连接公司和其业务伙伴. 连接公司和其业务伙伴

　　一个安全的VPN服务，应该为子公 司的不同用户指定不同的访问权限。 VPN服务器 服务器 VPN Internet 路由器 加密 认证 总 部 L A N 子 公 司 L A N 路由器 加密信道 VPN服务器 服务器

　　VPN的功能： 1、访问控制管理。2、用户身份认证。 3、数据加密。4、智能监视和审计记录。 5、密钥和数字签名管理。 V P N 服 务 器 加密信道

　　1、VPN服务应有详细的访问控制。 2、与防火墙/协议兼容。 VPN服务器 服务器 VPN Internet 加密信道 VPN服务器 服务器

　　VPN常用的协议有 常用的协议有SOCK v5、IPSec、PPTP以及 常用的协议有 、 、 以及 L2TP等。这些协议对应的 层次结构如下： 等 这些协议对应的OSI层次结构如下： 层次结构如下

　　OSI七层模型 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 安全技术 应用代理 安全协议

　　本节将分以下几部分介绍漏洞评估产品： 本节将分以下几部分介绍漏洞评估产品：

　　漏洞评估的概念 漏洞评估的分类 漏洞评估产品选择原则 常见的漏洞评估产品

　　通过对系统进行动态的试探和扫描，找出系统中各类 潜在的弱点，给出相应的报告，建议采取相应的补救措 施或自动填补某些漏洞。

　　通过漏洞评估，网络管理人员能提前发现 网络系统的弱点和漏洞，防范于未然。

　　网络型安全漏洞评估产品 模拟黑客行为，扫描网络上的漏洞并进行评估 主机型安全漏洞评估产品 针对操作系统的漏洞作更深入的扫描 数据库安全漏洞评估产品 专门针对数据库的漏洞进行扫描

　　服务扫描侦测 后门程序扫描侦测 密码破解扫描侦测 应用程序扫描侦测 拒绝服务扫描侦测 系统安全扫描侦测 分析报表 安全知识库的更新

　　重要资料锁定 密码检测 系统日志文件和文字文件分析 动态式的警训 分析报表 加密 安全知识库的更新

　　不良的密码设定 过期密码设定 侦测登录攻击行为 关闭久未使用的账户 追踪登录期间的活动

　　是否具有针对网络、 是否具有针对网络、主机和数据库的漏洞 检测功能 产品扫描能力 产品的评估能力 产品的漏洞修复能力及报告格式

　　防火墙就是城堡的护城桥（ 防火墙就是城堡的护城桥（河）——只允许己 只允许己 方的队伍通过。 方的队伍通过。 入侵监测系统就是城堡中的了望哨——监视有 入侵监测系统就是城堡中的了望哨 监视有 无敌方或其他误入城堡的人出现。 无敌方或其他误入城堡的人出现。 VPN就是城褒外到城堡内的一个安全地道 就是城褒外到城堡内的一个安全地道—— 就是城褒外到城堡内的一个安全地道 有时城堡周围遍布敌军而内外需要联络。 有时城堡周围遍布敌军而内外需要联络。 漏洞评估就是巡锣——检测城堡是否坚固以及 漏洞评估就是巡锣 检测城堡是否坚固以及 是否存在潜在隐患。 是否存在潜在隐患。 防病毒产品就是城堡中的将士——想方设法把 防病毒产品就是城堡中的将士 想方设法把 发现的敌人消灭。 发现的敌人消灭。