计算机安全与必威体育官网网址9.ppt

9 Internet 安全技术 9.1 防火墙技术 9.2 虚拟专用网 (VPN)技术 9.3 安全扫描技术和风险评估 9.4 入侵检测技术 9.5 网络陷阱技术 9.6 Web安全 9.1 防火墙技术 9.1.1 防火墙的设计和建立 9.1.2 基于分组过滤的防火墙设计 9.1.3 基于代理服务的防火墙设计 9.1 防火墙技术 防火墙技术用于解决网络边界的安全问题 位于两个网络之间，网间的所有数据流都必须经过防火墙 只有符合安全策略的数据流才能通过防火墙 目的：隔离内外网，防止来自外部网络的攻击和非法访问 防火墙的功能通常是由独立计算机、路由器或专用硬件设备来完成 有效的纪录网络上的活动 隔离网段，限制安全问题扩散 防火墙自身应有一定的抗攻击能力 理想的防御体系 防火墙技术的应用 9.1.1 防火墙的设计和建立 防火墙的核心思想和作用 核心思想：在开放的网络环境中构造一个相对封闭的逻辑网络环境来满足人们对内部网络的安全需求。 作用：按照本机构的安全策略来控制内外网络之间的交通，从而保证通过防火墙的信息都是被内部网络安全要求所能够接受的。 防火墙的基本概念 Internet防火墙 堡垒主机 多宿主机 外围网络 分组过滤 代理服务器 防火墙的优点 限制了内部网络对Internet的暴露程度； 可以作为内部网络安全防范的一个焦点； 是设置网络地址翻译器的最佳位置。 防火墙体系结构 多宿主机结构 多宿主机位于内、外网络中间，一端连在Internet，另一端连到内部网络。 配置简单、成本低。 单点失效问题 有屏蔽主机结构 有屏蔽路由器和堡垒主机 比多宿主机结构安全 但有屏蔽路由器和堡垒主机任一个出现安全问题，整个内部网络都会暴露出来 有屏蔽子网结构 通过一个外围网络进一步将内部网络与Internet隔离开：外围网络、内部路由器、外部路由器 有更高的安全保障。 成本高 建立防火墙的主要途径 基于分组过滤的防火墙 工作在网络层（IP 层） 工作原理： 首先基于分组的头部信息根据内部网络的安全策略制定出分组过滤规则， 然后按照分组过滤规则对所经由的分组进行检查，按照分组过滤规则的规定采取动作，允许该分组通过或将其阻塞。 优缺点： 优点：对应用透明，合法建立的连接不被中断；速度快、效率高。 缺点：安全性级别低，不能识别高层信息，容易受到欺骗。 与其他技术结合：NAT、流量控制、状态监控、VPN、…… 代理服务 工作在应用层，将客户与服务的连接隔离成两段。 工作原理：在防火墙主机上运行的专门的应用程序或服务器程序，接收用户的Internet服务请求，根据安全策略将它们传送给真正的服务器，代理提供真正的连接并且充当服务网关。 优缺点： 优点：提供较高的安全性和较强的身份验证功能。 缺点：透明性差，离不开用户的合作；对网络的性能的影响较大。 复合型防火墙 防火墙的局限 不能防范内部人员 不能防范不通过它的连接 不能防范全新的网络威胁 不能防范病毒的入侵 不能防范数据驱动式进攻 防火墙的未来 9.1.2 基于分组过滤的防火墙设计 IP网络概念的简要回顾 筛选路由器和一般的路由器之间的区别 分组过滤的优点 分组过滤的局限性 配置分组过滤规则时应注意的问题 分组过滤路由器的工作步骤 分组过滤的种类 分组过滤的规则 如何选择分组过滤路由器 基于分组过滤的防火墙设计举例 IP网络概念的简要回顾 在IP网络中，数据以分组的形式传送。 分组从一个路由器到另一个路由器被传送，穿越网际，一直到达其目的地。 路由器根据分组的IP目的地址，根据内存中的路由表来决定如何传送分组。 它将分组的目的地址和路由表中的全部地址进行比较，将分组发往路由表指定的方向。 如果在路由表中没有适用于该分组的目的的路由，路由器就使用“缺省路由”。 筛选路由器和一般的路由器的区别 主要区别：对所收到的分组的处理不同。 一般路由器：简单地查看一下分组的目的地址，然后根据路由表确定它的最佳路由来指定此分组的流动方向。 筛选路由器：首先根据分组过滤规则确定该分组是否允许通过，若允许通过再对其进行路由选择。 分组过滤的优点 分组过滤系统价格便宜 分组过滤不要求用户的知识和合作 分组过滤的局限性 分组过滤规则本身有局限性 定义分组过滤规则是一项复杂的工作； 分组过滤规则被配置后，难以测试和维护； 有一些协议不适合对其进行分组过滤。 分组过滤失效时给内部网络带来的危害较大。 配置分组过滤规则时应注意的问题 协议通常是双向的； 注意采用的是服务术语还是分组术语； 注意采用的是“缺省允许”原则还是“缺省拒绝”原则。 分组过滤路由器的工作步骤 根据内部网络的安全策略制定分组过滤规则； 分组过滤路由器对分组的头部进行分析，按照分组过滤规则的存储顺序依次对分组进行检查； 如果在分组过滤规则表中找到一个适用于此分组的