信息安全需求

＞PMP職業道德需求

＞IS09001:2008要求

＞實際風險帶來的需求

PMP職業道德需求

PMI項目管理行業職業道德規范

?條款一：項目管理專業人員應保持較高的個人和職業行為標準并且:

-G:遵守工作所在國家的法律（注：很多法律涉及信息安全）。

?條款三：在與雇主和客戶的關系中,項目管理專業人員應：

-B:無論是在在聘期間或離職之后，對雇主和客戶沒有被正式公開的業務和

技術工藝信息應予以保密。

IS09001:2008要求

1509001:2008第7.5.4條款“顧客信息”中“若顧客財產發生丟失、損壞

或發現不適用的情況時，應報告顧客，并保持記錄?！?/p>

注解：顧客財產包括知識產權和個人信息

實際風險帶來的需求

某著名公司為某運營商提供系統集成某項服務，由于管理不善，該公司某員

工離職后將客戶信息出賣給敵對國家和組織，給國家帶來了很大危害，導致該公

司幾乎退出通信行業，出賣信息者也受到了嚴厲懲罰。

信息安全技術體系的各種技術

物理安全環境安全、設備安全、媒體安全

＞系統安全操作系統安全、數據庫系統安全

＞網絡安全入侵檢測、VPN、網絡隔離、訪問控制、掃描評估

＞應用安全Email安全、Web訪問安全、內容過濾、應用系統安全

＞數據加密硬件加密、軟件加密

＞認證授權口令認證、證書認證

＞訪問控制防火墻、訪問控制列表

A審計跟蹤入侵檢測、日志審計、辨析取證

＞網絡防病毒：單機防病毒監測、網絡整體防病毒體系

＞災難恢復與備份：數據存儲和備份技術、數據備份計劃、災難恢復計劃

項目中涉及的信息、系統及設備

＞項目計劃、技術資料、客戶系統及配置

＞項目管理系統、電子郵件系統、OA系統、及時消息系統、視頻會議系統

＞服務器、數據庫、桌面機及筆記本、網絡設備、移動通信設備如手機等

什么是信息

＞對現代各種組織來說，信息是一種資產，除了傳統上的專利、標準、商業機

密、文件、圖紙、管理規章、關鍵人員等，還包括計算機和網絡中的數據。

＞信息本身是無形的，但借助于各種信息媒體，可以以多種形式存在或傳播，

如存儲在紙張、磁帶、磁盤、光盤和計算機中，也可以記憶在人的大腦里，

還可以通過網絡、打印機、傳真機等方式進行傳播。

＞信息資產一旦受到破壞，如非法曝光、篡改或者無法使用則會給組織帶來一

系列的損失。如“冰山原理”，能直接感知到的損失，只是全部損失的冰山

一角，潛藏在水面下的部分，可能會是直接損失的6~53倍，這包括：損失

了時間、替代的成本、可能的法律風險、聲譽下降、丟失潛在的業務、競爭

力和生產力降低等。這些損失是我們不愿意面對的，因此信息安全越來越成

為我們關注的熱點問題。

信息安全事件案例

＞美國媒體報道，名列《財富》全球1000強的大公司，平均每年發生2.45次

的商業間諜事件，損失總數高達450億美元。商業機密關系到企業的生死存

亡。在競爭激烈的商場上，將自己生產、管理、銷售的信息拱手讓人，無異

于置己于絕境。商業間諜案件的頻發警示中國企業與國際接軌時一定要提高

保密意識，為自己構筑起防護墻。

＞力拓“間諜門”事件近期引發廣泛關注，力拓有關人員通過不正當手段竊取

中國的國家秘密，直接經濟損失4000億~7000憶！嚴重危害中國的經濟安全

和利益，目前此案正在審理中。在經濟全球化的今天，無孔不入的商業間諜

讓一些跨國企業又愛又恨，也讓各國政府頭疼不已。

＞澳大利亞力拓公司駐上海辦事處四人被上海市國家安全局以涉嫌竊取中國

國家秘密拘捕。至少已有22人在這次風暴中受到處理。

＞據保密系統內部人士透露，以往處理泄密人員只是輕描淡寫，“一個人有的

就泄密兒百份上千份，只給了行政處分甚至處分不了"，這次，不排除追究

刑責的可能。

＞國家保密局局長夏勇此次向人大常委會所作報告中，稱保密法是因應''新情

況和新問題”而改，其中最主要的挑戰來自互聯網：內司委的調研報告稱，

計算機泄密案發數已占70%。

什么是信息安全

＞按照27001術語定義

?信息安全是指保持信息的保密性、完整性、可用性，另外也可包括例如

真實性、可核查性、不可否認性和可靠性等。

＞在商業領域，信息安全是

?保護信息免受各種威脅的損害，以確保業務連續性，使業務風險最小化,

使投資回報和商業機遇最大化。

?現代社會，信息的產生、使用等已經離不開信息系統，因此信息安全也

需要更加關注信息系統的安全。

?保護信息系統的硬件、軟件及相關數據，使之不因為偶然或者惡意侵犯

而遭受破壞、更改及泄露，保證信息系統能夠連續、可靠、正常地運行。

什么是信息安全管理體系

＞要做好信息安全工作，除了采用技術措施如部署各種信息安全產品而直接、

高效地解決問題外，還需要采用技術之外的管理措施來彌補技術的不足并提

升技術和產品的價值。

＞信息安全管理體系(InformationSecurityManagementSystem,ISMS)是

一個組織的整體管理體系的有機部分，是組織在整體或特定范圍內建立信息

安全方針和目標，以及完成這些目標所用方法的系統。

建立信息安全體系的益處

＞增加競爭力

一降低信息安全風險，進一步提高風險管理能力

—實現私有信息的最佳化管理

一維護良好的公眾形象、有利爭取訂單

＞實現合規性

一滿足政府、行業主管機構的監管、審計要求

一完善內部信息保障架構

一加固商業機密保護與隱私保護

＞達到客戶要求

—服務質量達標：不中斷客戶服務

一滿足來自業務伙伴及客戶的安全審計要求

建立信息安全管理體系的過程：

＞制定政策-信息安全方針文檔

＞確定范圍91sMs范圍文檔

＞資產識別分資產清單

＞風險評估分風險評估文檔

＞選擇控制-選擇控制目標和控制措施

＞體系運行分運行計劃和運行記錄

＞體系審核-審核計劃與審核記錄

＞管理評審-評審計劃與評審記錄

＞體系認證-認證申請及認證證書

控制目標和控制措施

11個域，39個控制目標，133個控制措施

----、安全方針(SecurityPolicy)

一二、信息安全組織(SecurityOrganization)

一三、資產管理(AssetManagement)

一四、人員安全(PersonnelSecurity)

一五、物理與環境安全(PhysicalandEnvironmentalSecurity)

一六、通信與運營管理(CommunicationsandOperationsManagement)

—匕、訪問控制(AccessControl)

一八、系統開發與維護(SystemsDevelopmentandMaintenance)

一九、信息安全事故管理(InformationIncidentManagement)

一十、業務持續性管理(BusinessContinuityManagement)

—I—、法律符合性(Compliance)

信息安全管理體系的實施過程

準備階段分實現階段分運行階段少認證階段分項目結束

準備階段：

＞項目啟動

＞前期培訓

＞預先審核

＞業務分析：通過采用訪談、調查方式了解核心與支持性業務，了解業務對資

源的需求，開展業務影響分析

＞風險評估

實現階段：

＞風險處理：針對風險問題做文件編寫規劃，做BCP規劃，做技術方案規劃

＞文件編寫：編寫ISMS各級文件，多次Review及修訂，管理層討論確認

＞發布實施：ISMS實施計劃，體系文件發布，控制措施實施

＞中期培訓：全員安全意識培訓，ISMS實施推廣培訓，必要的考核

運行階段：

＞認證申請：與認證機構磋商、準備材料申請認證、制定認證計劃、預審核

＞后期培訓

＞內部審核：制定審核計劃、制定Checklist、執行內部審核、不符合項整改

＞管理評審：信息安全管理委員會組織ISMS整體評審，糾正預防

認證階段：

＞認證準備：準備送審文件，安排部署審核事項

＞協助認證：內部審核小組陪同協助，應對審核問題

文件體系列表

＞一?級文件：全組織范圍內的信息安全方針，以及下屬各個方面的策略方針等,

至少包括：信息安全方針、風險評估報告、適用性聲明(SsA)0

＞二級文件：各類程序文件，至少包括：

一風險評估流程

一風險管理流程

一風險處理計劃

一管理評審程序

一信息設備管理程序

一信息安全組織建設規定

一新設施管理程序

一內部審核程序

一第三方和外包管理規定

一信息資產管理規定

一工作環境安全管理規定

一介質處理與安全規定

一系統開發與維護程序

一業務連續性管理程序

—法律符合性管理規定

一信息系統安全審計規定

一文件及材料控制程序

＞三級文件：具體的作業指導書，描述了某項任務具體的操作步驟和方法，是

對各個程序文件所規定的領域內工作的細化。

＞四級文件：各種記錄文件，包括實施各項流程的記錄成果。這些文件通常表

現為記錄表格，應該成為ISMS得以持續運行的有力證據，由各個相關部門

自行維護。

典型技術篇一信息安全技術

第三講數據加密

數據加密需求

現有解決方案的缺陷

統一數據加密解決方案的優勢

企業數據保護

用戶需求：眾多保護不能解決的問題

很多情況下，現有的防護網式的安個措施是不夠的

移動用戶經常到外部網絡

電腦丟失或被惡意竊取

服務器托管在外部

安全性

全盤加密一“關機安全”

“加密計算機所有數據”

“操作系統啟動前認證”

加密/解密“后臺運行”

文件加密-“開機安全”

加密本地/遠程文件/目錄

使用時認證

加密文件內容

密文傳輸

數據庫安全的驅動力

90%以上的企業數據郡保存在數據庫里，這些數據可能是遺留下來沒用的，可

能是新的，也很有可能足完個不同類別的數據。

每天都會發生敏感信息被破壞泄露的事件。

數據庫成為一些有組織的犯罪團伙的犯罪目標，以此獲取個人身份信息。

避免負債：

1.三年多的時間里，有2.17億美國人個人信息被盜或泄露。

2.每次數據被盜造成的平均損失630萬美元

具體來說，企業（數據庫和應用程序）用戶需要透明的處理各種數據來源和在操

作、管理和報告方面的簡化。

混合數據庫環境■傳統

WEB服

-多個數據庫單機的本地安全性

-單獨的管理控制臺，往往是單獨的命令行驅動

-多管理員驅動操作使成本上升

-數據庫服務器處理過程加密降低性能

-遵守法規的夢魘

當前數據庫環境的安全挑戰

安全性

?密鑰存放在本地數據庫服務器中，安全性很差

?多種模式需要不同廠家的補丁

?不提供職責分工

性能

?數據庫服務器執行加解密操作會嚴重影響服務器性能

?大批量處理文件更難

適應性

?每個數據庫需要它自己的安全管理

?不綁在特定的廠商上一Oracle,IBMDB2,SOL靜態部署

可管理性

?每個應用均會配備一個數據庫，帶有不同的管理控制臺

?需要多個管理員來管理不同數據庫

?安全策略管理分散在不同的數據庫里

可用性

?安全功能的分散導致更多系統漏洞

?安全功能缺少冗余

保護數據資產

法規規范

確保強有力的控制&安/

全審核跟蹤/

1/集中的密鑰&策略管理

降低成本&化域從窄

確?？晒芾硇院妥畲笙掊猷?/p>

備」」/確1

低運行成*1

DataSecure企業級加密和密鑰管理平臺

DataSecure企業級加密

DataCen

系統優勢

安全性

?基干硬件，中心密鑰和策略管理

?FIPS/CC認證

?認證和授權

高性能

?高性能加密處理，超過10000TPS

?批量處理海量數據

?有效的備份/恢復功能，可選本地加密

靈活性

?支持多種不同的環境（應用系統，數據庫，文件系統和大型機）

?支持公開標準和API

?廣泛的企業部署模型

可管理性

?直觀，易用的管理

?職責分離

?中心策略管理

可用性

?高可用性和集群

?負載均衡，運行狀況檢查和容錯機制

?地理位置分布式冗余備份

安全性

集中安全管控

?安全管理員控制數據保護策略

?在單一設備上集中創建并存儲密鑰，減少薄弱點

?多重管理控制

?職責分離，數據庫管理員僅僅管理數據，安全管理員僅僅管理密鑰

?日志、審計和報警。對所有的數據庫和應用程序進行全面、安全、集中記錄

和審計。

FlpS140-2Level2&CommonCriteria認證的解決方案

?密鑰與機密數據分開保存，數據庫任何的泄露也只能拿到加密的數據

身份認證和授權

?多因素系統與系統間身份認證和訪問控制

?細粒度、基于密鑰的加密策略

高性能

分擔加密負載

?優化的高性能硬件

?減輕數據庫和應用服務器負載，無需執行耗費大量CPU計算能力的加密運算,

使整體性能更高

?每個請求不到300微妙的延遲

批處理

?執行批量加解密以獲得高性能

?超過lOOkTPS

?易與現有應用系統集成

靈活性

適合異構環境

?綜合的企業級解決方案

?Web,應用系統，數據庫，大型機或者文件系統

?數據中心或者分布式環境

?開放的基于標準的APIs和加密協議

擴展性

?多種型號提供從2,500TPS到100,000TPS處理能力

?集群模式進一步提升處理能力和冗余能力

?模塊式許可架構提供高性價比擴展

可管理性

直觀的管理

?圖形和命令行界面

?鼠標點按式策略管理

加解密權限管理

密鑰管理

網絡和系統管理

?類似于交換機或者路由器那樣的簡單配置

職責分離

?安全管理員管理安全

?最大化生產效率，最小化責任風險

可擴展的管理平臺

?與企業中其他組成部分協調一致

?通用的管理協議和過程

?標難化實現和集成方式

可用性

集群

?密鑰和策略在集群中所有

?Datasecure設備之間共享和復制

負載均衡

?連接器軟件能夠在一組設備之間實現負載均衡

?多層次負載均衡能夠在多個可選設備之間實現透明容錯

集成DataSecure到應用系統

應用系統連接器

?Microsott.NET,CAPI

?JCE(JaVa)

?PKCS#11(C/C++)

?SafeNetlCAPI(CIC++)

?Z/OS(Cobol,ASSembler,etC.)

?XML

事實上支持所有的應用服務器和web服務器環境

Customer

Database

E-CommerceReporting

ApplicationApplication

SafeNet

DataSecure

使用DataSecure加密數據庫1

數據庫連接器

?oracle8i,9i,10g,llg

?IBMDB2versions8,9

?MicrosoftSQLSerVer2000,20052008

?Teradata

無需改動應用

數據批量處理以適應大量數據集

使用DataSecure加密數據庫2

文件系統連接器

?WindowsServer2003

?Linux

?WindowsXP,VISta

文件加密密鑰（FEKs）在文件服務器進行加密

FEKs保護密鑰（KEK）保存在Datasecure設備中

策略在Datasecure管理，推送到文件服務器

使用ProtectDrive-啟動

?后臺自動加密/解密，無需用戶操作

?開啟電腦，待BloS檢測通過之后，出現用戶認證畫面，這時候操作系統還

沒有啟動

?使用和windows登陸相同的用戶名/密碼

?這個畫而登陸后Windows不用再輸入登陸密碼

SafeNet

ProtectDrive

UwlO

全盤加密好處

?關機安全的靜態數據解決方案，主要用于移動筆記木電腦和有重要數據的服

務器的加密

?方便的安裝部署，支持A0集中管理

?啟動前身份認證，用戶與Windows用戶集成

?支持靜態密碼和USB令牌認證

?極其容易使用，用戶透明，移動媒體設備（U盤/移動硬盤）管理

?高效的加密引擎，用戶感覺不到的性能損失

企業數據保護

客戶數據

個人數據

災備設備

財務數據

應用服務器

Web服務器

文件服務整

移動和建的設

合作伙伴

CZ4^IFH什二--

在所有的系統關鍵八占八JzL

需要完整硼解施

單一解決方案=更安全

?單一FIPS認證的硬件設備減少薄弱點。

?數據和密鑰的單獨加密一文件和密鑰單獨存放，因此數據庫任何的泄露也只

能拿到加密的數據。

?中央身份驗證和授權可以使組織建立安全訪問策略，以管理用戶和應用程序

的訪問。

?職責分離一數據庫管理僅管理數據，當然他們需要密鑰登錄。安全管理員僅

僅管理密鑰，而不管理數據。

第四講身份認證

內容

?強身份認誡需求

?動態令牌原理

?動態令牌身份認證的應用

?USB令牌和PKI原理

?USB令牌身份認證的應用

信息安全技術：電子商務的發射器

?電子商務和企業安全需要實現信息安全的每個階段

?信息安全的最基本需求是身份認證和PKI

第四階段

7±\

數據的完整性和私密性

密碼可靠嗎

?密碼容易被竊取

■從您的身后窺視您正在鍵入的口令

■發現保留在紙上的口令

■猜測口令："password”、用戶名、生日

■口令破解："Crack"、"LOphtCrack"、CrackerJack”

?太多的密碼讓用戶難以管礎

?密碼維護成本很高

?最弱的驗證機制

跨越密碼的原因

?開通新商業途徑：讓客戶、伙伴及員工訪問增強的商務應用

?遵從法規：遵從相關行業法規(sox,HIPAA,FDApart11,BaselII,and

others)

?提高生產力：讓用戶利用更多時間在增值的活動上

?節減開支：減輕密碼和身份管理成本

?吸引客戶：解決需要安全客戶的需求

身份認證的選擇

PINPIN

++

動態令牌原理

OTP組件

令牌動態的只能成功使用次

時間同步令牌

認證服務器

令牌擁有自己的內服務器時鐘獨立-、

令牌種子

「■部時鐘’時鐘運行

使用.

組合當前的時間和種子,在服

經過散列運算以后運算

散列

恪輸出結果截取到

’所希望的長度

事件同步令牌

事件同步令牌認證服務器

@令牌擁有自己的按服務器計數獨立;

令牌種子

XTX鍵計數彳工按鍵計數

使用

組合當前的按鍵計數和.在服

子,經過散列運算以后運算

散列

恪輸出結果截取到

,所希望的長度

?.小：；：；「，力？

挑戰響應令牌

I從令牌上讀取響應碼

II并在登錄界面中輸入

硬件令牌

?eTokenPASS

■OATHCompliant

■事件和時間同步

?GOLD

■PIN保護，挑戰相應模式

?提供現有客戶Alpine和Platimulltokens令牌

軟件令牌

?讓您的移動設備實現雙因素身份認證

?工作在主流平臺上

■BlackBerry

■Palm

■WindowsMobile

■支持J2ME的移動設備

■Windows桌面

?SMS/SMIP文木方式發送0IP

?MobilePass工作間

■軟令牌管理，用戶自助部署，請求一個0Tp

?不需要部署、維護并且攜帶一個額外設備

?易于音部署、維護成木低并且快速部署

動態令牌身份認證的應用

應用：保護信息資產

?保護您最重要的信息資產和應用

■CitrixApplications

■MicrosoftOutlookWebAccess

■VPN:Cisco,CheckPoint,Juniper,Aventail,Nortel等

■網絡基礎架構設備:路由器、交換機、防火墻等

■MicrosoftIAS/ISA/IIS

■終端服務/遠程桌面

■Windows域登錄

Domain登陸

?使用動態令牌登陸微軟域環境

LogOntoWindows

F

StCU?ECOMPUIING,

Saf^Mord.?

—Zo^d7Z<?*，_M__a_y_k_*_?_-_____3

Username:[Administrator

Eassword:11

Logonto:|sWEDEMO

「Logonusing刎-upconnection

EhleryouPremierAccesspassworc

OK|Caned

YourPremierAccesspasswordisonlyrequret

PremierAccess-protecteddomains.

USB令牌技術和PKI介紹

對稱密鑰加密

?使用相同密鑰加密和解密信息

?雙方需要共享密鑰

?只用使用正確的密鑰才能解開密文

?關鍵點是如何分發或者發送共享密鑰給對方

?已知的同步加密算法：DES,3DES,DESX,AES,RC2,RC4,RC5,BLOWFISH,

AES,ETC..

?128位屬于強對稱密鑰

非對稱密鑰加密

?非對稱算法使用不同的密鑰進行加密和解密

?無法從加密密鑰推算出解密密鑰

?加密密鑰可以公開一一我們成為公鑰，允許任何人使用此密鑰加密

?只有合法的擁有解密密鑰的接收者一一文明稱為私鑰，可以解密消息

?安全性依賴于私鑰保存的安全性

基于證書的挑戰響應身份認證

h

GenerateServer

random

challenge

Sifted〃狂。

RcmdoinC為

RetrieveUser2Public

Kev

SenerDatabase

Certificate

Certificate

Certificate

eToken設備

?eTokenPRO

■USB接口，不需要讀卡器的智能卡令牌

■給強身份驗證和憑證存儲提供高度安全性

?eTokenPROSmartcard

■eTokenPRO是傳統智能卡款式的令牌

?eTokenNG-OTP

■提供OTP（一次性密碼）功能的USB接口智能卡令牌

?eTokenNG-FLASH

■含閃存提供便攜式大量數據存儲功能的USB接口智能卡令牌

后臺服務器必須提供的功能

?備份和恢復令牌中的證書、密鑰和登陸憑證

?安全地處理令牌丟失和損壞問題

?基于角色方式來訪問

?基于web方式的用戶自助服務，幫助臺和管理員管理工具

?通過電話遠程重置被鎖定的用戶PIN碼

?雇員在出差的時候丟失令牌的緊急處理

?完全的審計和報表功能

?使用密鑰來加密數據庫

USB令牌用于windows域登陸

?需要WindowsCA支持

?USB存儲智能卡用戶證書

?拔掉USB自動鎖定Windows

?提高系統安全性，用戶使用更加方便

USB令牌用于終端服務

?本地的智能卡/usb令牌就可以被映射到遠程服務器

?使用本地的智能卡/令牌登陸遠程服務器應用

USB令牌用于安全電子郵件

?Usb存儲電子郵件證書

?郵件客戶端支持S/MIME

USB令牌用于VPN訪問（IPSECVPN）

?需要CA支付

?USB存儲VPN登錄證書

?VPNI配置證書認證

?連接時候輸入USB密碼

?運用于大多數的IPSECVPN網關

USB令牌用于VPN訪問（SSLVPN）

?選擇使用USB中的證書登陸

?輸入USB密碼口令

?適用于大多數的SSLVPN網關

USB令牌用于網上銀行

?證書下載

?插入USB

?登陸到網上銀行安全站點

?選擇USB中存儲的證書

?輸入USB的保護口令，就可以開始交易了

數據安全

?eToken的數據安全解決方案包括：

?計算機啟動保護，文件和數據加密

?可以與全盤加密軟件相配合

?加強電子郵件的安全

?數字簽名實現不可否認性

單點登陸解決方案

?eTokenSimpleSign-On

■安全存儲并且自動地填寫CIS應用程序的登陸憑證

?eTokenWebSign-On

■安全存儲并且自動地填寫web應用程序的憑證和表單數據

?eTokenNetworkLogon(GINA)

■安全存儲并且自動地填寫windows網絡登陸憑證

■可以強制使用usb中的憑證登陸

?基于eToken的單點登陸解決方案，可以實現使用簡單但是更加安全地訪問

企業IT資源

第五講防火墻技術原理

主要內容

?防火墻技術原理

?訪問控制及訪問控制列表

防火墻技術原理

?防火墻概要介紹

?防火墻功能及原理

?防火墻典型應用

?防火墻存在的問題

防火墻的定義

一種高級訪問控制設備，置于不同網絡安全域之間，它通過相關的安全策略來控制(允許、

拒絕、監視、記錄)進出網絡的訪問行為

安全域1安全土

①HostAHostB

S■HostCI

S昌

Si

.兩個安全域之間通s

信流的唯一通道

SourceDestinationPermitProtocol

HostAHostCPassTCP

HostBHostCBlockUDP

根據訪問控制規則決

定進出網絡的行為

防火墻核心技術

傳輸層Segment

吟Packet

網絡接Frame

I」層

BitFlow

?1、包過濾(Packetfiltering):工作在網絡層，根據數據包頭中的IP、端口、協

議等確定是否允許數據包通過。

?2、應用代理(ApplicationProxy):工作在應用層，通過編寫應用代理程序，實

現對應用層數據的檢測和分析。

?3、狀態檢測(StatefulInspection):工作在2-4層，控制方式與1同，處理的對

象不是單個數據包，而是整個連接，通過規則表和連接狀態表，綜合判斷是

否允許數據包通過。

4、完全內容檢測(CompeleteContentInspection):工作在2-7層，不僅分析數

據包頭信息、狀態信息，而且對應用層協議進行還原和內容分析，有效防范

混合型安全威脅。

包過濾防火墻技術原理

包過濾防火力

am鏟網

應用代理防火墻技術原理

應用代理防火孑

狀態檢測防火墻技術原理

完全內容檢測防火墻技術原理

IP層開始攻擊主服務器硬盤數據

網絡層保護強▲

應用層保護強III

會話保護很強III還原會送

網絡接口層上下文相關

前后報文有聯系報文3X?TCP硬盤數據

I

報文2T?TCP主眼務海

報文1TPTCP開蛤攻擊

TTT?

III

防火墻體系結構

?過濾路由器

?多宿主主機

?被屏蔽主機

?被屏蔽子網

過濾路由器

?過濾路由器作為內外網連接的唯一通道，通過ACL策略要求所有的報文都

必須在此通過檢查，實現報文過濾功能。

?它的缺點是一旦被攻陷后很難發現且不能識別不同的用戶（沒有日志記錄〉。

進行包過濾

雙宿主主機

?雙宿主主機優于過濾路由器的地方是:堡壘主機的系統軟件可用于維護系統

日志。

?它的致命弱點是:一旦入侵者侵入堡壘主機，則無法保證內部網絡的安全。

進行過濾

被屏蔽主機

?通常在路由器上設立ACL過濾規則，并通過堡壘主機進行了數據轉發，來

確保內部網絡的安全。

?弱點:如果攻擊者進入屏敝主機內，內網中的就會受到很大威脅;這與雙宿主

主機受攻擊時的情形差不多。

雙宿主主機

被屏蔽子網

?這種結構是在內部網絡和外部網絡之間建立一個被隔離的了網，用兩臺過濾

路由器分別與內部網絡和外部網絡邊接，中間通過堡壘主機進行數據轉發。

?特點:如果攻擊者試圖進入內網或者子網，他必須攻破過濾路由器和雙宿主主

機，然后才可以進入子網主機，整個過程中將引發警報機制。

DMZ區

內外部網絡之間的通信

都經過堡至主機

包過城總包過就資

于網主機

防火墻基本功能

?訪問控制

?地址轉換

?網絡環境支持

?帶寬管理

?入侵檢測和攻擊防御

?用戶認證

?高可用性

基本訪問控制功能

基本訪問控制.

Accesslist192168.1

Accessnat192168^

Access202.12.3to1

Accessdefaultpass

規則匹配成4

時間控制策略

時間控制策m

liiteniet

地址轉換策略1

地址轉考

源地址：

目地址：4

源地址：1

目地址：4

HostCHostD

15

EthO：

101.211.

受保護網絡

Eth2：

3

?隱藏了內部網絡的結構

?內部網絡可以使用私有IP地址

?：?公開地址不足的網絡可以使用這種方式提供IP復;

地址轉換策略2

地址轉換

DNS

MAIL

?:?公開服務器可以使用私有:

?:?隱藏內部網絡的結構

文件

MAP：80TO：80

MAP：21TO：21於接

MAP：25TO：25地址（

MAP：53TO：53

太平遂0

中

?訪

Internet

MAP（地址/端口映射）

第五講防火墻技術原理

主要內容

?防火墻技術原理

?訪問控制及訪問控制列表

防火墻技術原理

?防火墻概要介紹

?防火墻功能及原理

?防火墻典型應用

?防火墻存在的問題

防火墻的定義

一種高級訪問控制設備，置于不同網絡安全域之間，它通過相關的安全策略來控制（允許、

拒絕、監視、記錄）進出網絡的訪問行為

安全域1安全土

①HostAHostB

S■HostCI

S昌

Si

.兩個安全域之間通s

信流的唯一通道

SourceDestinationPermitProtocol

HostAHostCPassTCP

HostBHostCBlockUDP

根據訪問控制規則決

定進出網絡的行為

防火墻核心技術

傳輸層Segment

吟Packet

網絡接Frame

I」層

BitFlow

?1、包過濾(Packetfiltering):工作在網絡層，根據數據包頭中的IP、端口、協

議等確定是否允許數據包通過。

?2、應用代理(ApplicationProxy):工作在應用層，通過編寫應用代理程序，實

現對應用層數據的檢測和分析。

?3、狀態檢測(StatefulInspection):工作在2-4層，控制方式與1同，處理的對

象不是單個數據包，而是整個連接，通過規則表和連接狀態表，綜合判斷是

否允許數據包通過。

4、完全內容檢測(CompeleteContentInspection):工作在2-7層，不僅分析數

據包頭信息、狀態信息，而且對應用層協議進行還原和內容分析，有效防范

混合型安全威脅。

包過濾防火墻技術原理

包過濾防火力

am鏟網

應用代理防火墻技術原理

應用代理防火孑

狀態檢測防火墻技術原理

完全內容檢測防火墻技術原理

IP層開始攻擊主服務器硬盤數據

網絡層保護強▲

應用層保護強III

會話保護很強III還原會送

網絡接口層上下文相關

前后報文有聯系報文3X?TCP硬盤數據

I

報文2T?TCP主眼務海

報文1TPTCP開蛤攻擊

TTT?

III

防火墻體系結構

?過濾路由器

?多宿主主機

?被屏蔽主機

?被屏蔽子網

過濾路由器

?過濾路由器作為內外網連接的唯一通道，通過ACL策略要求所有的報文都

必須在此通過檢查，實現報文過濾功能。

?它的缺點是一旦被攻陷后很難發現且不能識別不同的用戶（沒有日志記錄〉。

進行包過濾

雙宿主主機

?雙宿主主機優于過濾路由器的地方是:堡壘主機的系統軟件可用于維護系統

日志。

?它的致命弱點是:一旦入侵者侵入堡壘主機，則無法保證內部網絡的安全。

進行過濾

被屏蔽主機

?通常在路由器上設立ACL過濾規則，并通過堡壘主機進行了數據轉發，來

確保內部網絡的安全。

?弱點:如果攻擊者進入屏敝主機內，內網中的就會受到很大威脅;這與雙宿主

主機受攻擊時的情形差不多。

雙宿主主機

被屏蔽子網

?這種結構是在內部網絡和外部網絡之間建立一個被隔離的了網，用兩臺過濾

路由器分別與內部網絡和外部網絡邊接，中間通過堡壘主機進行數據轉發。

?特點:如果攻擊者試圖進入內網或者子網，他必須攻破過濾路由器和雙宿主主

機，然后才可以進入子網主機，整個過程中將引發警報機制。

DMZ區

內外部網絡之間的通信

都經過堡至主機

包過城總包過就資

于網主機

防火墻基本功能

?訪問控制

?地址轉換

?網絡環境支持

?帶寬管理

?入侵檢測和攻擊防御

?用戶認證

?高可用性

基本訪問控制功能

基本訪問控制.

Accesslist192168.1

Accessnat192168^

Access202.12.3to1

Accessdefaultpass

規則匹配成4

時間控制策略

時間控制策m

liiteniet

地址轉換策略1

地址轉考

源地址：

目地址：4

源地址：1

目地址：4

HostCHostD

15

EthO：

101.211.

受保護網絡

Eth2：

3

?隱藏了內部網絡的結構

?內部網絡可以使用私有IP地址

?：?公開地址不足的網絡可以使用這種方式提供IP復;

地址轉換策略2

地址轉換

InoiegI5

DNS

MAIL

?:?公開服務器可以使用私有:

?:?隱藏內部網絡的