第5章 防火墙和VPN.pptx

电子商务安全第五章防火墙和VPN第5章 防火墙和VPN5.1 防火墙的概念与作用什么是防火墙？防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。 它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况， 以此来实现网络的安全保护。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，可有效地监控内部网和Internet之间的任何活动， 保证内部网络的安全。2. 部门子网3. 分公司网络Internet1. 企业内联网防火墙示意图防火墙的基本功能模块内容过滤用户认证VPN应用程序代理包过滤状态检测IDS与报警日志NAT内容过滤模块内容过滤是目前各种防火墙所具备的基本功能。内容过滤主要是针对TCP、UDP协议的上层协议的内容信息来处理的，针对明文进行，对加密或者是压缩的内容是不能进行内容过滤的。内容过滤的实质是关键字过滤，就看是检测哪种类型的关键字 HTTP是应用最为广泛的协议，相对来说针对HTTP的内容过滤模式也最多。 VPNVPN可以在防火墙与防火墙或移动的客户端之间对所有网络传输的内容加密，建立一个虚拟通道，让两者感觉是在同一个网络上，可以安全且不受拘束地互相存取。应用程序代理充当 Web 客户机与 Web 服务器之间的媒介。用于接收来自客户机的请求，当接收到客户机请求时，由应用程序代理代表客户机完成转换地址，执行附加访问控制检查，登录（如果需要的话）并连接至服务器。 应用程序代理应用程序代理不允许内外网络之间的直接通信。网络内部的用户不直接与外部的服务器通信，所以服务器不能直接访问内部网的任何一部分。 如果不为特定的应用程序安装代理程序代码，这种服务是不会被支持的，不能建立任何连接。 应用程序代理 HTTP 　TTPS/SSL 　SMTP 　POP3 　IMAP 　NNTP 　TELNET 　FTP 　IRC 应用代理通常支持的一些常见的应用程序有：包过滤模块数据包过滤（Packet Filtering）是在网络层对数据包进行选择，选择的依据是系统内设置的过滤规则， 被称为访问控制表（Access Control Table）。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、 协议类型，或它们的组合等来确定是否允许该数据包通过。 状态检测传统的包过滤只是通过检测IP包头的相关信息来决定数据流的通过还是拒绝，而状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。这里动态连接状态表中的记录可以是以前的通信信息，也可以是其他相关应用程序的信息，因此，与传统包过滤防火墙的静态过滤规则表相比，它具有更好的灵活性和安全性。 NATNAT：网络地址转换(NAT)协议将内部网络的多个IP地址转换到一个公共地址并建立与Internet的连接。允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。 进行地址转换有两个好处：其一是隐藏内部网络真正的IP，这可以使黑客无法直接攻击内部网络；另一个好处是可以让内部使用保留的IP，这对许多IP不足的企业是有益的。 日志可以使管理员及早发现潜在的威胁并预防攻击的发生。日志功能还可以管理员有效地发现系统中存的安全漏洞，及时地调整安全策略等各方面管理具有非常大的帮助。防火墙的评价 --防火墙不可以防范什么防火墙不是解决所有网络安全问题的万能药方，只是网络安全政策和策略中的一个组成部分。防火墙不能防范绕过防火墙的攻击，例：内部提供拨号服务。防火墙不能防范来自内部人员恶意的攻击。防火墙不能阻止被病毒感染的程序或文件的传递 。防火墙不能防止数据驱动式攻击。例：特洛伊木马。 内部提供拨号服务绕过防火墙防火墙的设计准则1．防火墙的规则 拒绝每件未被特别许可的事情（限制政策）只支持那些仔细选择的服务，建立一个非常安全的环境。其缺点是安全性的考虑优于使用性的考虑，限制了提供给用户的服务范围。允许未被特别据绝的每—件事情（宽松政策）建立一个非常灵活的使用环境，能为用户提供更多的服务。缺点是使用性的考虑优于安全性的考虑 。多数防火墙都在两种之间采取折衷。 防火墙的设计准则2．机构的安全策略为确保网络的安全性，机构应明确保护什么，而安全策略的制订则必须建立在安全分析、风险评估、商务需求等分析的基础之上.如果一个组织没有详细的安全策略，任何仔细构建的防火墙都能被绕过，从而使整个内部网络都暴露在敌手的攻击之中。 安全＝3分技术＋7分管理防火墙的设计准则3.防火墙的费用其费用取决于它的复杂程度