密码学与网络安全资料.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 5. 防火墙的IP安全性 防火墙可以提供必威体育官网网址性和完整性。一个协作网可能由两个或更多内部网通过Internet相互连接而成。这些网之间的数据必威体育官网网址性和完整性可以通过IP的安全机制实现。 * 第二节 防火墙的类型 包过滤防火墙 代理服务器防火墙 状态监视器防火墙 * 6.2.1 包过滤防火墙 1. 包过滤防火墙的工作原理 采用这种技术的防火墙产品，通过在网络中的适当位置对数据包进行过滤，根据检查数据流中每个数据包的源地址、目的地址、所有的TCP端口号和TCP链路状态等要素，然后依据一组预定义的规则，以允许合乎逻辑的数据包通过防火墙进入到内部网络，而将不合乎逻辑的数据包加以删除。 * 2. 包过滤防火墙的优缺点 包过滤防火墙最大的优点是：价格较低、对用户透明、对网络性能的影响很小、速度快、易于维护。 但它也有一些缺点：包过滤配置起来比较复杂、它对IP欺骗式攻击比较敏感、它没有用户的使用记录，这样就不能从访问记录中发现黑客的攻击记录。而攻击一个单纯的包过滤式的防火墙对黑客来说是比较容易的，他们在这一方面已经积累了大量的经验。 * 6.2.2代理服务器防火墙 1. 代理服务器防火墙的工作原理 代理服务器运行在两个网络之间，它对于客户来说像是一台真的服务器一样，而对于外界的服务器来说，它又是一台客户机。当代理服务器接收到用户的请求后，会检查用户请求的站点是否符合公司的要求，如果公司允许用户访问该站点的话，代理服务器会像一个客户一样，去那个站点取回所需信息再转发给客户。 * 2. 代理服务器防火墙的优缺点 代理服务器防火墙的优点：可以将被保护的网络内部结构屏蔽起来，增强网络的安全性；可用于实施较强的数据流监控、过滤、记录和报告等。 代理服务器防火墙的缺点：使访问速度变慢，因为它不允许用户直接访问网络；应用级网关需要针对每一个特定的Internet服务安装相应的代理服务器软件，用户不能使用未被服务器支持的服务，这就意味着用户可能会花费一定的时间等待新服务器软件的安装；并不是所有的Internet应用软件都可以使用代理服务器。 * 6.2.3状态监视器防火墙 1. 状态监视器防火墙的工作原理 这种防火墙安全特性非常好，它采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据，即状态信息，并动态地保存起来作为以后指定安全决策的参考。 * 2. 状态监视器防火墙的优缺点 状态监视器的优点： （1） 检测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。 （2）它会监测RPC和UDP之类的端口信息，而包过滤和代理网关都不支持此类端口。 （3） 性能坚固 状态监视器的缺点： （1）配置非常复杂。 （2） 会降低网络的速度。 * 第三节 防火墙配置 服务器置于防火墙之内 服务器置于防火墙之外 服务器置于防火墙之上 * 内部网 Web 服务器 防火墙 Internet 6.3.1 服务器置于防火墙之内 如图所示，将Web服务器装在防火墙内的好处是它得到了安全保护，不容易被黑客闯入。 * 内部网 Web 服务器 防火墙 Internet 如图所示，为保证内部网络的安全，将Web服务器完全置于防火墙之外是比较合适的。在这种模式中，Web服务器不受保护，但内部网则处于保护之下。 6.3.2 服务器置于防火墙之外 * 6.3.3 服务器置于防火墙之上 内部网 Web 防火墙和 服务器 Internet 如图所示，有些管理者试图在防火墙机器上运行Web服务器，以此增强Web站点的安全性。 * 第四节 防火墙系统 屏蔽主机（Screened Host）防火墙 屏蔽子网（Screened Subnet）防火墙 * 6.4.1 屏蔽主机（Screened Host）防火墙 屏蔽主机防火墙由包过滤路由器和堡垒主机（Bastion Host）组成，它所提供的安全性能要比包过滤防火墙系统要强，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）的结合。当入侵者在破坏内部网络的安全性之前，必须首先突破这两种不同的安全系统。 * 屏蔽主机防火墙的原理和实现过程 ： 堡垒主机位于内部网络上，而包过滤路由器则放置在内部网络和外部网络之间。在路由器上设置相应的