网络安全防范.ppt
《网络安全防范.ppt》由会员分享,可在线阅读,更多相关《网络安全防范.ppt(64页珍藏版)》请在优知文库上搜索。
1、2023-3-7网络安全防范网络安全防范网络安全防范网络安全防范主要内容主要内容 网络安全认识网络安全认识 网络安全防范技术分类网络安全防范技术分类 网络安全防范技术网络安全防范技术 网络安全防范体系网络安全防范体系网络安全防范俗语说俗语说 矛盾矛盾 亡羊补牢亡羊补牢 树欲静风不止树欲静风不止 明枪易躲暗箭难防明枪易躲暗箭难防 道高一尺魔高一丈道高一尺魔高一丈 千里之堤毁于蚁穴千里之堤毁于蚁穴 一朝被蛇咬十年怕井绳一朝被蛇咬十年怕井绳安全威安全威胁胁安全防安全防范范网络安全防范网络安全认识网络安全认识 网络安全防范十分必要并相当迫切网络安全防范十分必要并相当迫切 不存在绝对安全的网络和信息系统
2、不存在绝对安全的网络和信息系统 用发展的眼光看待网络安全用发展的眼光看待网络安全 注重网络安全体系的全面性注重网络安全体系的全面性 从需求特点出发部署网络安全设施从需求特点出发部署网络安全设施 把握网络安全与投入成本的平衡点把握网络安全与投入成本的平衡点网络安全防范【网络安全命题一网络安全命题一】从来就没有安全的网络,从来就没有安全的网络,今后也不会有。今后也不会有。网络安全防范【网络安全命题二网络安全命题二】不存在为安全而构筑的网络。不存在为安全而构筑的网络。网络安全防范【网络安全命题三网络安全命题三】网络安全无小事。网络安全无小事。网络安全防范网络安全防范技术分类网络安全防范技术分类 嵌入
3、式安全防范(嵌入式安全防范(Embedded Defence) 安全协议安全协议 安全设备安全设备 主动式安全防范(主动式安全防范(Active Defence) 安全措施安全措施 安全补丁安全补丁 被动式安全防范(被动式安全防范(Passive Defence) 安全侦查安全侦查 安全防御安全防御网络安全防范Subnet子网子网 Sub-network AutonomousDomain(自治域、自治网络)(自治域、自治网络)构造具备特定应用目标的网络体系,自成相对独立体系、可自我管理构造具备特定应用目标的网络体系,自成相对独立体系、可自我管理 Intranet和和Extranet把内部网络与
4、把内部网络与Internet隔离开,通常使用隔离开,通常使用NAT、Firewall等设备来完成等设备来完成 DMZ使用双防火墙机制,将内部网络分为内网和外网两个层次使用双防火墙机制,将内部网络分为内网和外网两个层次 VLAN把局域网划分为不同的虚拟子网,使用二层或三层局域网交换机或路由器完成把局域网划分为不同的虚拟子网,使用二层或三层局域网交换机或路由器完成 VPN使用安全协议和数据加密技术,构造安全的访问体系使用安全协议和数据加密技术,构造安全的访问体系 Interconnection Host采用特殊设计的业务互连主机,将业务网络与其它系统进行互连,只传输指定数据采用特殊设计的业务互连主
5、机,将业务网络与其它系统进行互连,只传输指定数据 Physical Isolation物理隔离子网物理隔离子网网络安全防范VLAN概要概要 VLAN的划分的划分 基于端口基于端口(Port) 基于基于MAC地址地址 基于基于IP地址地址 VLAN作用作用 把数据交换限制在各个虚拟网的范围内,提高了网把数据交换限制在各个虚拟网的范围内,提高了网络的传输效率;络的传输效率; 减少整个网络范围内广播包的传输,防止广播风暴减少整个网络范围内广播包的传输,防止广播风暴(Broadcast Storm)的产生;)的产生; 各虚拟网之间不能直接进行通信,而必须通过路由各虚拟网之间不能直接进行通信,而必须通过
6、路由器转发,起到了隔离端口的作用,为高级安全控制器转发,起到了隔离端口的作用,为高级安全控制提供了可能,增强了网络的安全性。提供了可能,增强了网络的安全性。网络安全防范VLAN的逻辑分组特性的逻辑分组特性传统的LAN子网(物理分隔的冲突域)网络安全防范基于端口的基于端口的VLAN 根据以太网交换机的端口来划分根据以太网交换机的端口来划分VLAN,可,可以跨交换机进行。优点是定义以跨交换机进行。优点是定义VLAN成员时成员时非常简单,只需将所有的端口都设定一遍;非常简单,只需将所有的端口都设定一遍;缺点是如果缺点是如果VLAN的某个用户离开了原来的的某个用户离开了原来的端口,连接到了一个新的端口
7、,那么就必须端口,连接到了一个新的端口,那么就必须重新定义重新定义网络安全防范基于基于MAC地址的地址的VLAN 根据每个主机的根据每个主机的MAC地址来划分地址来划分VLAN,所以也可称为基于用户的所以也可称为基于用户的VLAN。优点就是。优点就是当用户物理位置移动时,即使移动到另一个当用户物理位置移动时,即使移动到另一个交换机,交换机,VLAN也不用重新配置;缺点是初也不用重新配置;缺点是初始化时,所有的用户都必须进行配置,如果始化时,所有的用户都必须进行配置,如果用户很多,配置的工作量非常大。此外,这用户很多,配置的工作量非常大。此外,这种划分的方法也导致了交换机执行效率的降种划分的方法
8、也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在低,因为在每一个交换机的端口都可能存在很多个很多个VLAN组的成员,这样就无法有效限组的成员,这样就无法有效限制广播包。如果网卡可能经常更换,制广播包。如果网卡可能经常更换,VLAN就必须不停地更新就必须不停地更新网络安全防范基于协议的基于协议的VLAN 通过第二层报文中的协议字段,判断出上层通过第二层报文中的协议字段,判断出上层运行的网络层协议,如运行的网络层协议,如IP协议或者是协议或者是IPX协协议。当一个物理网络中存在多种第三层协议议。当一个物理网络中存在多种第三层协议运行的时候,可采用这种运行的时候,可采用这种VLAN的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 防范