邊界安全防護——防火墻

• 控制：在網絡連接點上建立一個安全控制點，對進出數據進行限制
• 隔離：將需要保護的網絡與不可信任網絡進行隔離，隱藏信息并進行安全防護
• 記錄：對進出數據進行檢查，記錄相關信息

防火墻的主要技術

靜態包過濾

• 依據數據包的基本標記來控制數據包
• 技術邏輯簡單、易于實現，處理速度快
• 無法實現對應用層信息過濾處理，配置較復雜

應用代理

• 連接都要通過防火墻進行轉發
• 提供NAT，隱藏內部網絡地址

狀態檢測

• 創建狀態表用于維護連接，安全性高
• 安全性高但對性能要求也高
• 適應性好，對用戶、應用程序透明

防火墻的部署

防火墻的部署位置

• 可信網絡(比如內網)與不可信網絡(比如外網)之間
• 不同安全級別網絡之間
• 兩個需要隔離的區域之間

防火墻的部署方式

• 單防火墻（無DMZ) 部署方式
• 單防火墻(DMZ) 部署方式
• 雙防火墻部署方式

---

邊界安全防護一網閘等

·物理隔離與交換系統（網閘）

• 外部處理單元、內部處理單元、中間處理單元
• 斷開內外網之間的會話（物理隔離、協議隔離）
• 同時集合了其他安全防護技術

·其他網絡安全防護技術

• IPS
• 防病毒網關
• UTM

---

檢測與審計一入侵檢測

·入侵檢測系統的作用

• 主動防御，防火墻的重要補充
• 構建網絡安全防御體系重要環節

·入侵檢測系統功能

• 發現并報告系統中未授權或違反安全策略行為
• 為網絡安全策略的制定提供指導

入侵檢測系統

分類

• 網絡入侵檢測
• 主機入侵檢測

檢測技術

• 誤用檢測(建立特征庫，將事件進行匹配)
• 異常檢測(將用戶行為與正常行為比對)

部署

網絡入侵檢測部署

?主機入侵檢測部署

局限性

對用戶來講技術要求高

---

接入管理-VPN

虛擬專用網絡(Virtual Private Network,VPN)

·利用隧道技術，在公共網絡中建立一個虛擬的、專用的安全網絡通道

VPN實現技術

·隧道技術

• 二層隧道：PPTP、L2F、L2TP (工作于數據鏈路層)
• IPSEC (工作于網絡層)
• SSL (介于傳輸層和應用層之間，http+ssl=https)

·密碼技術

---

習題

在網絡信息系統建設中部署防火墻，往往用于提高內部網絡的安全防護能力。某公司準備部署一臺防火墻保護內網主機，下圖部署位置正確的是()。

A、內網主機一交換機一防火墻一外網

B、防火墻一內網主機一交換機一外網防火墻

C、內網主機一交換機一外網防火墻

D、內網主機一交換機一外網

答案:A

異常入侵檢測是入侵檢測系統常用的一種技術，他是識別系統或用戶的非正常行為或者對于計算機資源的非正常使用，從而檢測出入侵行為。下面說法錯誤的是()。

A、在異常入侵檢測中，觀察到的不是已知的入侵行為，而是系統運行過程中的異常現象

B、實施異常入侵檢測，是將當前獲取行為數據和已知入侵攻擊行為特征相比較，若匹配則認為有攻擊發生

C、異常入侵檢測可以通過獲得的網絡運行狀態數據，判斷其中是否含有攻擊的企圖，并通過多種手段向管理員報警

D、異常入侵檢測不但可以發現從外部的攻擊，也可以發現內部的惡意行為

答案:B