6.2网络安全防护技术一防火墙技术从计算机网络安全技术的角度看,防火墙是一个连接两个或更多物理网络,并把分组从一个网络转发到另一个网络的意义上的路由器,它将网络分成内部网络和外部网络。1.防火墙的定义6.2网络安全防护技术在被保护网络和外部网络之间建立一道屏障,通过相应的访问控制策略(允许、拒绝、监测、记录)控制进出网络的访问行为。2.防火墙的目的6.2网络安全防护技术6.2网络安全防护技术通常意义下的防火墙具有以下三个方面的特征:①所有的网络数据流都必须经过防火墙:不同安全级别的网络或安全域之间的唯一通道。②火墙是安全策略的检查站:只有被防火墙策略明确授权的通信才可以通过。3.防火墙的特征应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层允许外部报文报文允许通过6.2网络安全防护技术③防火墙具有非常强的抗攻击能力。防火墙系统自身具有高安全性和高可靠性。这是防火墙能担当企业内部网络安全防护重任的先决条件。一般采用Linux、UNIX或FreeBSD系统作为支撑其工作的操作系统。6.2网络安全防护技术4防火墙的功能限定内部用户访问特殊站点;防止未授权用户访问内部网络;1.过滤和管理允许内部网络中的用户访问外部网络的服务和资源;不泄漏内部网络的数据和资源;2.保护和隔离6.2网络安全防护技术5工作方式防火墙的工作方式主要分为包过滤型、应用代理型和状态检测型。包过滤(Packetfiltering)防火墙是最简单的防火墙,通常只包括对源和目的的IP地址及端口的检查。1.包过滤型6.2网络安全防护技术包过滤防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。包过滤防火墙的原理6.2网络安全防护技术包过滤 包解析上行出进包过滤型防火墙6.2网络安全防护技术包过滤防火墙逻辑简单、价格便宜、网络性能和透明性好。它的不足之处也显而易见,包过滤防火墙配置困难,且无法满足各种安全要求,缺少审计和报警机制。包过滤防火墙的优缺点6.2网络安全防护技术应用代理型防火墙(ApplicationProxy)工作在OSI的最高层,即应用层。其特点是完全阻隔了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。2.应用代理型6.2网络安全防护技术6.2网络安全防护技术•数据备份概述随着信息化建设的进展,各种应用系统的运行,必然会产生大量的数据,而这些数据作为企业和组织最重要的资源,越来越受到大家的重视。同样,由于数据量的增大和新业务的涌现,如何确保数据的一致性、安全性和可靠性;如何解决数据集中管理后的安全问题,建立一个强大的、高性能的、可靠的数据备份平台是当务之急。数据遭到破坏,有人为的因素,也有各种不可预测的因素。二数据备份与恢复6.2网络安全防护技术6.2网络安全防护技术•数据备份概述数据备份就是将数据以某种方式加以保留,以便在系统需要时重新恢复和利用。其作用主要体现在如下两个方面:1.在数据遭到意外事件破坏时,通过数据恢复还原数据。2.数据备份是历史数据保存归档的最佳方式。备份的最基本问题是:为保证能恢复全部系统,需要备份多少以及何时进行备份。目前常用的备份方法备份策略有:(1)全盘备份;(2)增量备份;(3)差异备份;(4)按需备份6.2网络安全防护技术数据备份必须要考虑到数据恢复的问题,包括采用双机热备、磁盘镜像或容错、备份磁带异地存放、关键部件冗余等多种灾难预防措施。这些措施能够在系统发生故障后进行系统恢复。但是这些措施一般只能处理计算机单点故障,对区域性、毁灭性灾难则束手无策,也不具备灾难恢复能力。对计算机系统进行全面的备份,并不只是简单地进行文件拷贝。一个完整的系统备份方案,应由备份硬件、备份软件、日常备份制度和灾难恢复措施四个部份组成。选择了备份硬件和软件后,还需要根据本单位的具体情况制定日常备份制度和灾难恢复措施,并由系统管理人员切实执行备份制度。6.2网络安全防护技术•系统还原卡系统还原卡可以在硬盘非物理损坏的情况下,让硬盘系统数据恢复到预先设置的状态。可以利用系统还原卡,在受到病毒、误删除、故意破坏硬盘的数据时,都可以轻易地还原系统。6.2网络安全防护技术10.5数据恢复数据恢复就是把遭到破坏、删除和修改的数据还原为可使用数据的过程。10.5.1数据恢复概述可以将数据恢复分为两种情况:(1)因为计算机病毒破坏、人为破坏和人为误操作造成当前的系统数据或用户数据丢失或损坏,但存储数据的物理介质没有遭到破坏,原始的备份数据也保存良好,这种情况下只要使用备份软件或应用程序的还原功能,就基本上可以恢复所损坏的数据;6.2网络安全防护技术(2)当前数据和原始的备份数据都遭到破坏,甚至存储数据的物理介质也出现逻辑或物理上的故障,这种情况将会引起灾难性后果。数据恢复比较困难的是后一种情况,如硬盘故障。为了提高数据的修复率,在发现硬盘数据丢失或遭到破坏时,最重要的就是注意“保护好现场”,要立即禁止对硬盘再进行新的写操作。6.2网络安全防护技术进行数据恢复之前,首要的一点就是认真、细致地制订恢复计划,对每一步操作都有一个明确的目的。在进行每一步操作之前就考虑好做完该步之后能达到什么目的,可能造成什么后果,能不能回退至上一状态。特别是对于一些破坏性操作,一定要考虑周到。只要条件允许,就一定要在操作之前对要恢复的数据进行镜像备份,以防止数据恢复失败和误操作。要注意的是,应该先抢救那些最有把握能恢复的数据,恢复一点,就备份一点。6.2网络安全防护技术•硬盘数据恢复对硬盘来说,如果整个系统瘫痪、系统无法启动,恢复数据可以先从硬盘的5个区域入手,首先恢复MBR(主引导记录区),然后恢复DBR(操作系统引导记录区),FAT(文件分配表),FDT(文件目录表),最后恢复数据文件。必要时,系统需要检测磁道,修复0磁道和其他坏磁道。6.2网络安全防护技术对信息进行加密可以防止攻击者窃取网络机密信息,可以使系统信息不被无关者识别,也可以检测出非法用户对数据的插入、删除、修改及滥用有效数据的各种行为。基于数据加密的数字签名和鉴别技术除具有保密功能外,还可以进行用户的身份验证和数据源及其内容的鉴别。数据加密概述6.2网络安全防护技术加密在网络上的作用就是防止有价值的信息在网上被窃取并识别;基于加密技术的鉴别的作用是用来确定用户身份的真实性和数据的真实性。6.2网络安全防护技术加密:把信息从一个可理解的明文形式变换成一个错乱的、不可理解的密文形式的过程明文(PlainText):原来的信息(报文)、消息,就是网络中所说的报文(Message)密文(CipherText):经过加密后得到的信息解密:将密文还原为明文的过程6.2网络安全防护技术密钥(Key):加密和解密时所使用的一种专门信息(工具)密码算法(Algorithm):加密和解密变换的规则(数学函数),有加密算法和解密算法加密系统:加密和解密的信息处理系统加密过程是通过某种算法并使用密钥来完成的信息变换6.2网络安全防护技术明文P解密密钥Kd解密(D)加密密钥Ke加密(E)明文P密文C攻击者简单的密码系统示意图6.2网络安全防护技术网络保密通信通信安全要保证系统的通信安全,就要充分认识到网络系统的脆弱性,特别是网络通信系统和通信协议的弱点,估计到系统可能遭受的各种威胁,采取相应的安全策略,尽可能地减少系统面临的各种风险,保证计算机网络系统具有高度的可靠性、信息的完整性和保密性。6.2网络安全防护技术网络通信系统可能面临各种各样的威胁,如来自各种自然灾害、恶劣的系统环境、人为破坏和误操作等。所以,要保护网络通信安全,不仅必须要克服各种自然和环境的影响,更重要的是要防止人为因素造成的威胁。