网络安全-5资料.ppt

* 防病毒与防黑客 防火墙市场已经对拒绝服务攻击做出了反应。 虽然没有防火墙可以防止所有的拒绝服务攻击，但防火墙厂商一直在尽其可能阻止拒绝服务攻击。像对付序列号预测和IP欺骗这类简单攻击，这些年来已经成为了防火墙工具箱的一部分。像“SYN泛滥”这类更复杂的拒绝服务攻击需要厂商部署更先进的检测和避免方案来对付。 防火墙技术发展动态和趋势 * * 未来防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的安全、用户的安全以及数据的安全。此外，网络的防火墙产品还将把其他网络技术，如Web页面超高速缓存、虚拟网络和带宽管理等与其自身结合起来。 防火墙技术发展动态和趋势 * 第5章 防火墙技术 防火墙技术概述 防火墙的分类 新一代防火墙的主要技术 防火墙体系结构 防火墙技术发展动态和趋势 防火墙的选购和使用 防火墙产品介绍 * 防火墙的选购和使用 防火墙的选购：在选购防火墙的时候主要应该考虑防火墙的基本功能、安全性、高效性、可管理性和适用性等因素。 安全性：安全性是评价防火墙好坏最重要的因素，因为购买防火墙的主要目的是为了保护网络免受攻击。但是安全性不像速度、配置界面那样直观，便于估计，往往被用户所忽视。对于安全性的评估比较复杂，并且需要配合使用一些攻击手段进行，用户自己对防火墙进行测试和评估比较困难，一般应选用通过国家安全、公安等部门认证的产品。 * 性能 性能主要包括两个方面，最大并发连接数和数据包转发率。最大并发连接数是衡量防火墙可扩展性的一个重要指标。数据包转发率是指在所有安全规则配置正确的情况下，防火墙对数据流量的处理速度。购买防火墙的需求不同，对这两个参数要求也不同。 防火墙的选购和使用 * 例如一台用于保护电子商务Web站点的防火墙，支持越多的连接意味着能够接受越多的客户和交易，所以防火墙能够同时处理多个用户的请求是最重要的，哪怕每个连接的流量很小。但是对于那些需要经常传输内存大的文件，对实时性要求比较高的用户，高的包转发率则是关注的重点。 防火墙的选购和使用 * 管理：防火墙的管理简单是对安全性的一个补充。目前很多防火墙被攻破大多数不是因为程序编码的问题，而是管理和配置错误导致的。对管理的评估可以从以下三个方面进行。 远程管理允许网络管理员可以远程对防火墙进行干预，并且所有远程通信需要经过严格的认证和加密。例如管理员下班后出现入侵迹象，防火墙可以通过发送电子邮件的方式通知该管理员，管理员可以远程封锁防火墙的对外网卡接口或修改防火墙的配置。 防火墙的选购和使用 * 访问控制规则的配置界面应该直观，使用简单。大多数防火墙产品都提供了基于Web方式或GUI的配置界面。 日志文件不仅能够帮助用户追查攻击者的踪迹，还可以记录流量。防火墙的一些功能可以在日志文件中得到体现。防火墙提供灵活、可读性强的审计界面是很重要的，例如用户可以查询从某一固定IP地址发出的流量，访问的服务器列表等。因为攻击者可以采用不停地添写日志以覆盖原有日志的方法使追踪无法进行，所以防火墙应该提供设定日志大小的功能，同时在日志已满时给予提示。 防火墙的选购和使用 * 适用性：防火墙也有高低端之分、软件硬件之分，配置不同，价格不同，性能也不同。在购买防火墙的时候应挑选能够满足流量要求即可，并不需要盲目追求高性能。还有，有些防火墙功能非常强大，管理配置需要有网络和安全专业知识，在购买时应该考虑自己是否需要这些复杂的功能。 防火墙的选购和使用 * 售后服务：防火墙连接内外网络，一旦防火墙出现问题将影响整个内部网络对外部网络的访问，也将影响内部网络的安全性，在购买防火墙时应该考虑防火墙出现问题时能否及时地更换、维修设备，在出现安全漏洞时能否及时提供技术支持。 防火墙的选购和使用 * 防火墙的安装方法：在安装防火墙时，首先要了解用户的需求、网络的拓扑结构和采用的防火墙类型，对于不同的需求、不同的网络拓扑结构和不同类型的防火墙，安装的难易程度会有所不同。其次要制定详细的计划和方案。 防火墙的选购和使用 * 设置防火墙的策略：防火墙要实现其应有的功能，关键在于正确的配置，许多有防火墙的站点被攻破，往往不是防火墙本身的缺陷造成的，而是由于防火墙管理员配置不正确造成的。而要配置好一个防火墙，关键不在于对防火墙本身如何使用，而在于制定好安全策略。为确保网络系统的安全，在设置防火墙前要考虑以下策略。 防火墙的选购和使用 * 网络策略：网络策略可分为两级，高级的网络策略定义允许和禁止的服务以及如何使用服务，低级的网络策略描述防火墙如何限制和过滤在高级策略中定义的服务。 防火墙的选购和使用 * 服务访问策略：服务访问策略集中在Internet访问服务以及外部网络访问(如拨入策略、SLIP/PPP连接等)。服务访问策略必须是可行的和合理的。可行的策略必须在阻止已知的网络风险和