边界安全防护——防火墙

• 控制：在网络连接点上建立一个安全控制点，对进出数据进行限制
• 隔离：将需要保护的网络与不可信任网络进行隔离，隐藏信息并进行安全防护
• 记录：对进出数据进行检查，记录相关信息

防火墙的主要技术

静态包过滤

• 依据数据包的基本标记来控制数据包
• 技术逻辑简单、易于实现，处理速度快
• 无法实现对应用层信息过滤处理，配置较复杂

应用代理

• 连接都要通过防火墙进行转发
• 提供NAT，隐藏内部网络地址

状态检测

• 创建状态表用于维护连接，安全性高
• 安全性高但对性能要求也高
• 适应性好，对用户、应用程序透明

防火墙的部署

防火墙的部署位置

• 可信网络(比如内网)与不可信网络(比如外网)之间
• 不同安全级别网络之间
• 两个需要隔离的区域之间

防火墙的部署方式

• 单防火墙（无DMZ) 部署方式
• 单防火墙(DMZ) 部署方式
• 双防火墙部署方式

---

边界安全防护一网闸等

·物理隔离与交换系统（网闸）

• 外部处理单元、内部处理单元、中间处理单元
• 断开内外网之间的会话（物理隔离、协议隔离）
• 同时集合了其他安全防护技术

·其他网络安全防护技术

• IPS
• 防病毒网关
• UTM

---

检测与审计一入侵检测

·入侵检测系统的作用

• 主动防御，防火墙的重要补充
• 构建网络安全防御体系重要环节

·入侵检测系统功能

• 发现并报告系统中未授权或违反安全策略行为
• 为网络安全策略的制定提供指导

入侵检测系统

分类

• 网络入侵检测
• 主机入侵检测

检测技术

• 误用检测(建立特征库，将事件进行匹配)
• 异常检测(将用户行为与正常行为比对)

部署

网络入侵检测部署

 主机入侵检测部署

局限性

对用户来讲技术要求高

---

接入管理-VPN

虚拟专用网络(Virtual Private Network,VPN)

·利用隧道技术，在公共网络中建立一个虚拟的、专用的安全网络通道

VPN实现技术

·隧道技术

• 二层隧道：PPTP、L2F、L2TP (工作于数据链路层)
• IPSEC (工作于网络层)
• SSL (介于传输层和应用层之间，http+ssl=https)

·密码技术

---

习题

在网络信息系统建设中部署防火墙，往往用于提高内部网络的安全防护能力。某公司准备部署一台防火墙保护内网主机，下图部署位置正确的是()。

A、内网主机一交换机一防火墙一外网

B、防火墙一内网主机一交换机一外网防火墙

C、内网主机一交换机一外网防火墙

D、内网主机一交换机一外网

答案:A

异常入侵检测是入侵检测系统常用的一种技术，他是识别系统或用户的非正常行为或者对于计算机资源的非正常使用，从而检测出入侵行为。下面说法错误的是()。

A、在异常入侵检测中，观察到的不是已知的入侵行为，而是系统运行过程中的异常现象

B、实施异常入侵检测，是将当前获取行为数据和已知入侵攻击行为特征相比较，若匹配则认为有攻击发生

C、异常入侵检测可以通过获得的网络运行状态数据，判断其中是否含有攻击的企图，并通过多种手段向管理员报警

D、异常入侵检测不但可以发现从外部的攻击，也可以发现内部的恶意行为

答案:B