第6章互联网安全技术案例.ppt

6.1.2 网络系统面临的威胁 开放的网络环境：任何用户都可以通过互联网浏览网站上的信息，主要威胁是拒绝服务攻击和篡改网页内容。 专用网络环境：企业内部网、金融网络、证劵网络等。主要威胁是假冒合法用户获取信息、在传输过程中非法截获或者篡改信息。 私有网络环境：政务网络、军用网络等。主要威胁是内部用户的非授权访问、窃取机密信息、机密信息泄露和内部攻击等。 防火墙的用途: 1）作为“扼制点”，限制信息的进入或离开； 2）防止侵入者接近并破坏你的内部设施； 3）监视、记录、审查重要的业务流； 4）实施网络地址转换，缓解地址短缺矛盾。 防火墙只允许已授权的业务流通过，而且本身也应抵抗渗透攻击。 建立防火墙必须全面考虑安全策略，否则形同虚设。 防火墙安全策略 安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则。 防火墙所使用的安全策略: 除非明确允许,否则禁止。即拒绝一切未予特许的东西。 除非明确禁止,否则允许。即是允许一切未被特别拒绝的东西。 防火墙优点： 1.防止易受攻击的服务 通过过滤不安全的服务来降低子网上主系统的风险。 可以禁止某些易受攻击的服务(如NFS)进入或离开受保护的子网。 可以防护基于路由选择的攻击，如源路由选择和企图通过ICMP改向把发送路径转向遭致损害的网点。 3.控制访问网点系统 可以提供对系统的访问控制。如允许从外部访问某些主机(Mail Server) ，同时禁止访问另外的主机。 4.有关网络使用、滥用的记录和统计 防火墙可以记录各次访问，并提供有关网络使用率等有价值的统计数字。 网络使用率统计数字可作为网络需求研究和风险分析的依据；收集有关网络试探的证据，可确定防火墙上的控制措施是否得当，能否抵御试探和攻击。 缺点： 1.防火墙防外不防内 如果入侵者已经在防火墙内部，防火墙是无能为力的。内部用户偷窃数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理，如主机安全和用户教育、管理、制度等 2.不能防范绕过防火墙的攻击 防火墙能够有效地防止通过它进行传输的信息，然而不能防止不通过它而传输的信息。 3.防火墙配置复杂，容易出现安全漏洞 4.防火墙往往只认机器（IP地址）不认人（用户身份），并且控制粒度较粗。 包过滤技术的原理 在路由器上加入IP Filtering 功能，这样的路由器就成为Screening Router 。 Router逐一审查每个数据包以判定它是否与其它包过滤规则相匹配(只检查包头，不理会包内的正文信息)。 如果找到一个匹配，如规则允许这包，这个包则根据路由表中的信息前行；如规则拒绝此包，这一包则被舍弃； 如果无匹配规则，一个用户配置的缺省参数将决定此包是前行还是被舍弃。 一个可靠的包过滤防火墙依赖于规则集的定义，下表列出了几条典型的规则集。 第一条规则：主机10.1.1.1任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过。 第二条规则：任何主机的20端口访问主机10.1.1.1的小于1024的端口，基于TCP协议的数据包允许通过。 第三条规则：任何主机的20端口访问主机10.1.1.1任何端口，如果基于TCP协议的数据包都禁止通过。 包过滤的依据 IP 源地址 IP目的地址 封装协议(TCP、UDP、或IP Tunnel) TCP/UDP源端口 TCP/UDP目的端口 ICMP包类型 TCP报头的ACK位 包输入接口和包输出接口 1）无状态包过滤器 它是根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。 2）有状态包过滤器 在无状态包过滤的基础上，对数据包之间的关系进行检查，提取状态信息并结合安全策略对数据做出相应的处理。 2.代理服务(Proxy Service) 是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术。 特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“ 链接”， 由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器， 从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析和登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。 代理服务防火墙数据的控制及传输示意图 (4)连接Internet与Internet，充当防火墙:因为所有内部网的用户通过代理服务器访问外界时，只映射为一个IP地址，所以外界不能直接访问到内部网;