- 1、本文档共79页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
6.1.2 网络系统面临的威胁 开放的网络环境:任何用户都可以通过互联网浏览网站上的信息,主要威胁是拒绝服务攻击和篡改网页内容。 专用网络环境:企业内部网、金融网络、证劵网络等。主要威胁是假冒合法用户获取信息、在传输过程中非法截获或者篡改信息。 私有网络环境:政务网络、军用网络等。主要威胁是内部用户的非授权访问、窃取机密信息、机密信息泄露和内部攻击等。 防火墙的用途: 1)作为“扼制点”,限制信息的进入或离开; 2)防止侵入者接近并破坏你的内部设施; 3)监视、记录、审查重要的业务流; 4)实施网络地址转换,缓解地址短缺矛盾。 防火墙只允许已授权的业务流通过,而且本身也应抵抗渗透攻击。 建立防火墙必须全面考虑安全策略,否则形同虚设。 防火墙安全策略 安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。 防火墙所使用的安全策略: 除非明确允许,否则禁止。即拒绝一切未予特许的东西。 除非明确禁止,否则允许。即是允许一切未被特别拒绝的东西。 防火墙优点: 1.防止易受攻击的服务 通过过滤不安全的服务来降低子网上主系统的风险。 可以禁止某些易受攻击的服务(如NFS)进入或离开受保护的子网。 可以防护基于路由选择的攻击,如源路由选择和企图通过ICMP改向把发送路径转向遭致损害的网点。 3.控制访问网点系统 可以提供对系统的访问控制。如允许从外部访问某些主机(Mail Server) ,同时禁止访问另外的主机。 4.有关网络使用、滥用的记录和统计 防火墙可以记录各次访问,并提供有关网络使用率等有价值的统计数字。 网络使用率统计数字可作为网络需求研究和风险分析的依据;收集有关网络试探的证据,可确定防火墙上的控制措施是否得当,能否抵御试探和攻击。 缺点: 1.防火墙防外不防内 如果入侵者已经在防火墙内部,防火墙是无能为力的。内部用户偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理,如主机安全和用户教育、管理、制度等 2.不能防范绕过防火墙的攻击 防火墙能够有效地防止通过它进行传输的信息,然而不能防止不通过它而传输的信息。 3.防火墙配置复杂,容易出现安全漏洞 4.防火墙往往只认机器(IP地址)不认人(用户身份),并且控制粒度较粗。 包过滤技术的原理 在路由器上加入IP Filtering 功能,这样的路由器就成为Screening Router 。 Router逐一审查每个数据包以判定它是否与其它包过滤规则相匹配(只检查包头,不理会包内的正文信息)。 如果找到一个匹配,如规则允许这包,这个包则根据路由表中的信息前行;如规则拒绝此包,这一包则被舍弃; 如果无匹配规则,一个用户配置的缺省参数将决定此包是前行还是被舍弃。 一个可靠的包过滤防火墙依赖于规则集的定义,下表列出了几条典型的规则集。 第一条规则:主机10.1.1.1任何端口访问任何主机的任何端口,基于TCP协议的数据包都允许通过。 第二条规则:任何主机的20端口访问主机10.1.1.1的小于1024的端口,基于TCP协议的数据包允许通过。 第三条规则:任何主机的20端口访问主机10.1.1.1任何端口,如果基于TCP协议的数据包都禁止通过。 包过滤的依据 IP 源地址 IP目的地址 封装协议(TCP、UDP、或IP Tunnel) TCP/UDP源端口 TCP/UDP目的端口 ICMP包类型 TCP报头的ACK位 包输入接口和包输出接口 1)无状态包过滤器 它是根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。 2)有状态包过滤器 在无状态包过滤的基础上,对数据包之间的关系进行检查,提取状态信息并结合安全策略对数据做出相应的处理。 2.代理服务(Proxy Service) 是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术。 特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“ 链接”, 由两个终止代理服务器上的“链接”来实现,外部计算机的网络链路只能到达代理服务器, 从而起到了隔离防火墙内外计算机系统的作用。此外,代理服务也对过往的数据包进行分析和登记,形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。 代理服务防火墙数据的控制及传输示意图 (4)连接Internet与Internet,充当防火墙:因为所有内部网的用户通过代理服务器访问外界时,只映射为一个IP地址,所以外界不能直接访问到内部网;
文档评论(0)