信息系统安全等级保护教案.ppt

* 网络入侵与防范讲义 * 攻破包过滤式防火墙的方法（2） SYN风暴攻击 攻击者向被攻击的计算机发出许许多多个虚假的请求信息包，目标计算机响应了这种信息包后会等待请求发出者的应答，而攻击者却不做任何的响应。 如果服务器在一定时间里没有收到响应信号的话就会结束这次请求连接，但是当服务器在遇到成千上万的虚假请求时，它便没有能力来处理正常的用户服务请求，处于这种攻击下的服务器表现为性能下降，服务响应时间变长，严重时服务完全停止甚至死机。 * 网络入侵与防范讲义 * 包过滤防火墙的优缺点 优点 逻辑简单，价格便宜，对网络性能的影响较小，有较强的透明性。 与应用层无关，无需改动任何客户机和主机上的应用程序，易于安装和使用。 * 网络入侵与防范讲义 * 包过滤防火墙的优缺点 缺点 配置基于包过滤方式的防火墙，需要对IP、TCP、UDP和ICMP等各种协议有深入的了解，否则容易出现因配置不当带来的问题； 由于过滤判别的只有网络层和传输层的有限信息，所以各种安全要求难以得到充分的满足； 由于数据包的地址及端口号都在数据包的头部，因而不能彻底防止地址欺骗，及外部客户与内部主机直接连接，不提供用户的鉴别机制。 * 网络入侵与防范讲义 * 代理型防火墙 代理服务器型防火墙通过在主机上运行代理的服务程序，直接对特定的应用层进行服务，因此，也称为应用型防火墙。 其核心是运行于防火墙主机上的代理服务器程序。 针对不同的应用程序，代理服务型防火墙需要不同的代理模块。 * 网络入侵与防范讲义 * 代理服务器型防火墙(2) 代理服务可以实现用户认证、详细日志、审计跟踪和数据加密等功能，并实现对具体协议及应用的过滤。 这种防火墙能完全控制网络信息的交换，控制会话过程，具有灵活性和安全性，但可能影响网络的性能，对用户不透明，且对每一种服务都要设计一个代理模块，建立对应的网关层，实现起来比较复杂。 * 网络入侵与防范讲义 * 代理服务器型防火墙（3） 代理防火墙也叫应用级网关。它适用于特定的互联网服务，如超文本传输（HTTP），远程文件传输（FTP）等等。 代理服务器通常运行在两个网络之间，它对于客户来说像是一台真的服务器，而对于外界的服务器来说，它又是一台客户机。 当代理服务器接收到用户对某站点的访问请求后会检查该请求是否符合规定，如果规则允许用户访问该站点的话，代理服务器会像一个客户一样去那个站点取回所需信息再转发给客户。 * 网络入侵与防范讲义 * 代理服务器型防火墙（4） 代理服务器通常都有一个高速缓存，这个缓存存储着用户经常访问的站点内容，在下一个用户要访问同一站点时，服务器就不用重复的获取相同的内容，直接将缓存内容发出即可，既节约了时间也节约了网络资源。 代理服务器会像一堵墙一样挡在内部用户与外界之间，从外部只能看到该代理服务器而无法获知任何的内部资源，诸如用户的IP地址等。应用级网关比单一的包过滤更为可靠，而且会详细的记录所有的访问状态信息。 * 网络入侵与防范讲义 * 应用代理原理 安全网域 Host C Host D 数据包 数据包 数据包 查找对应的控制策略 拆开数据包 根据策略决定如何处理该数据包 数据包 应用代理可以对数据包的数据区进行分析，并以此判断数据是否允许通过 控制策略 数据 TCP报头 IP报头 分组过滤判断信息 应用代理判断信息 * 网络入侵与防范讲义 * 代理防火墙的优点 易于配置，界面友好； 不允许内外网主机的直接连接； 可以提供比包过滤更详细的日志记录，例如在一个HTTP连接中，包过滤只能记录单个的数据包，而应用网关还可以记录文件名，URL等信息； 可以隐藏用户内部IP地址； 可以给单个用户授权； 可以为用户提供透明的加密机制； 可以与认证、授权等安全手段方便的集成。 * 网络入侵与防范讲义 * 自适应代理防火墙 自适应代理防火墙是近几年才在商业应用防火墙中广泛应用的一种新型防火墙。它结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。 组成这种类型防火墙的基本要素有两个：自适应代理服务器（Adaptive Proxy Server）与动态包过滤器（Dynamic Packet Filter）。 * 网络入侵与防范讲义 * 自适应代理防火墙 在自适应代理服务器与动态包过滤之间存在一个控制通道。在对防火墙进行配置时，用户仅仅将所需要的服务类型、安全级别等信息通过相应代理服务器的管理界面进行设置就可以了。然后，自适应代理就可以根据用户的配置信息，决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。 * 网络入侵与防范讲义 * 代理防火墙优缺点 代理型防火墙的最突出的