返回
Internet安全体系结构

Internet安全体系结构

ID:38565770

大小:622.50 KB

页数:72页

时间:2019-06-15

Internet安全体系结构_第1页
Internet安全体系结构_第2页
Internet安全体系结构_第3页
Internet安全体系结构_第4页
Internet安全体系结构_第5页
Internet安全体系结构_第6页
Internet安全体系结构_第7页
Internet安全体系结构_第8页
Internet安全体系结构_第9页
Internet安全体系结构_第10页
资源描述:

《Internet安全体系结构》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第5章Internet安全体系结构5.1Internet安全结构布局5.2网络安全层次模型5.3OSI安全体系到TCP/IP安全体系的映射5.4本章小结习题Internet的广泛应用对组织的系统和信息增加了潜在的不安全风险,采用合适的安全结构,可降低风险。7.1Internet安全结构布局Internet提供何种服务,选择哪些主机提供服务,以及哪些用户可访问这些服务,都会影响整个网络结构。Internet提供的服务通常有邮件服务、Web服务、内部访问Internet、外部访问内部系统。还有一类属于控制的服务,包括域名服务DNS、Internet控制报文协议ICMP。7.1.1In

2、ternet提供的服务1.邮件服务邮件服务通常用来为内部员工提供收发信件。这种服务至少需要建立一个服务器以接收进来的邮件。一个组织也可选择建立公共邮件网关,用作电子邮件讨论组。它允许外部人员将邮件首先发到该系统,系统按照预先确定的用户列表转送邮件。2.Web服务Web服务用来为员工、合作伙伴发布信息。这种服务需要建立一个Web服务器,以及生成需要发布的信息内容。假如Web站点的某些内容是限制的或敏感的,就应使用HTTPS,HTTPS工作在443端口,而不是通常的80端口,后者用于普通的Web通信。HTTPS是HTTP的加密版,HTTP用于标准的Web通信,而HTTPS用于含有敏感

3、信息或需要身份鉴别的Web页面。3.内部访问Internet内部员工如何访问Internet是由该组织制定的Internet使用策略确定的。某些组织允许员工访问Internet使用一些服务,如浏览web、聊天、视频或音频流。而有些组织只允许某些员工使用浏览器访问限定的Web站点。表7-1列出了通常允许员工获得的Internet服务。表7-1允许员工获得的Internet服务服务说明HTTP(端口80)和HTTPS(端口443)允许员工访问WebFTP(端口21和22)允许员工传送文件Telnet(端口23)和SSH(端口22)允许员工在远程系统上生成交互式会话POP-3(端口11

4、0)和IMAP(端口143)允许员工访问远程邮件账户NNTP(端口119)允许员工访问远程网络新闻服务器4.外部访问内部系统从外部访问内部系统,对安全和网络管理人员来说是经常要触及的问题。这种情况是指主要用于内部人员在外部需要访问或处理的内部系统事务,而不是为外部访问而设置的Web和邮件服务器。来自外部的访问主要有两类,一类是从远程访问内部系统的本组织员工,另一类是非本组织员工的访问。员工从远程访问内部系统通常使用在Internet上的虚拟专网VPN。另外一种情况是外部组织需访问内部系统。即提供给那些可信的合作伙伴的访问,但必须提出解决方案来管理风险。这时,外部访问并不直接进入内

5、部系统,而是进入某些受控的网络,在后面讲到非军事区时会进一步阐明。1.域名服务域名服务(DNS)用来解决系统名字和IP地址的转换。通常内部系统查询一个内部DNS来解决所有的地址。2.Internet控制报文协议Internet控制报文协议(ICMP)提供诸如ping这样的服务,用来发现一个系统是否在工作。Internet体系结构应设计成提供需要的服务,也就考虑一些涉及到法律、规范、道德、安全方面的问题的内容不应在internet上发布。7.1.2Internet不应提供的服务为了组织的Internet连接,开发通信结构时,最主要的问题是吞吐率需求和可用性。ISP应提供合适的通信线

6、以满足所需的吞吐率。Internet接入的方案有单线接入、多线接入至单个ISP、多线接入至多个ISP等。7.1.3通信结构非军事区(DMZ)是一个非真正可信的网络部分,它提供一个同内部网分开的区域,可供组织的员工通过Internet访问它,也可供商业伙伴和其他的实体访问。7.1.4非军事区1.DMZ的定义DMZ是一个非保护的网络区域,通常用网络访问控制来划定,诸如用防火墙或过滤路由器。网络访问控制设定策略,以决定哪些通信允许进入DMZ,哪些通信不允许进入DMZ,如图7.7所示。一般来说,任何能直接被外部用户接触的系统放置在DMZ中。图7.7通用的DMZ策略规则能被外部系统或用户直

7、接访问的系统也是最先受到攻击和可能被破坏的系统。这些系统不可能是安全可信的,因为在任何时间都有可能被破坏。因此必须在DMZ与内部网络严格的隔离,一般通过访问控制来实现。DMZ的一般访问规则是允许外部用户访问DMZ系统上合适的服务,限制访问内部系统的服务。内部系统应初始化DMZ系统的连接,使内部系统能访问DMZ,但不允许外部用户访问内部系统。2.在DMZ中放置的系统(1)邮件系统邮件系统有外部邮件服务器和内部邮件服务器两种。外部邮件服务器用来接收进入的邮件,也用来发送输出的邮件。新

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。