网络安全技术（PPT65页).pptx

第12章网络安全技术 主要内容防火墙技术漏洞扫描技术入侵检测技术虚拟专用网VPN技术 防火墙技术 定义为：“设置在两个或多个网络之间的安全阻隔，用于保证本地网络资源的安全，通常是包含软件部分和硬件部分的一个系统或多个系统的组合”。 基本工作原理是在可信任网络的边界（即常说的在内部网络和外部网络之间，我们认为内部网络是可信任的，而外部网络是不可信的）建立起网络控制系统，隔离内部和外部网络，执行访问控制策略，防止外部的未授权节点访问内部网络和非法向外传递内部信息，同时也防止非法和恶意的网络行为导致内部网络的运行被破坏。 基本思想不是对每台主机系统进行保护，而是让所有对系统的访问通过某一点，并且保护这一点，并尽可能地对外界屏蔽被保护网络的信息和结构。 防火墙在网络中的位置 防火墙的基本需求保证内部网的安全性。保证内部网同外部网间的连通性。 设计实现的重点为：安全性能；处理速度。防火墙的功能实施网间访问控制，强化安全策略。 有效地纪录因特网上的活动。 隔离网段，限制安全问题扩散。 防火墙自身有一定的抗攻击能力。 综合运用各种安全措施，使用先进健壮的信息安全技术。 人机界面良好，用户配置方便，易管理。 防火墙的不足它能保护网络系统的可用性和系统安全，但由于无法理解数据内容，不能提供数据安全。对用户不透明，可能带来传输延迟、瓶颈和单点失效等问题。 不能防范不经过它的连接。 当使用端到端加密时，其作用会受到很大限制。 过于依赖于拓扑结构。 防火墙不能防范病毒。 是一种静态防御技术。防火墙的分类按网络体系结构分类工作在OSI参考模型中的不同位置。按应用技术分类包过滤防火墙；代理服务器；电路级网关。。 按拓扑结构分类双宿主主机防火墙； 屏蔽主机防火墙； 屏蔽子网防火墙。 网络防火墙位置模型 包过滤防火墙工作在网络层（IP 层）根据过滤规则，逐个检查 IP 包，确定是否允许通过。对应用透明，合法建立的连接不被中断。速度快、效率高。安全性级别低：不能识别高层信息、容易受到欺骗。包过滤防火墙的工作原理 代理服务器型防火墙工作在应用层，将客户与服务的连接隔离成两段。根据规则为客户请求建立新的服务连接。从网络层切断了内外网络之间的连通性，安全性大大提高。能够识别高层协议信息，进行高层协议过滤。对应用不透明，客户端需要重新配置。速度较慢、效率低。代理服务器防火墙的工作原理 电路级网关 工作在传输层。 它在两个主机首次建立TCP连接时创立一个电子屏障，建立两个TCP连接。 一旦两个连接建立起来，网关从一个连接向另一个连接转发数据包，而不检查内容。 也称为通用代理，统一的代理应用程序，各协议可透明地通过通用代理防火墙。 电路级网关实现的典型例子是SOCKS软件包，是David Koblas在1990年开发的。 SOCKS系统 三种防火墙技术安全功能比较 ?源地址目的地址用户身份数据内容包过滤YYNN应用代理YYYP电路级网关YYYN规则一般包含以下各项：源地址、源端口 、目的地址、目的端口、协议类型、协议标志、服务类型、动作。规则原则按地址过滤；按服务过滤。防火墙的规则动作 有以下几种类型：通过（accept） 允许IP包通过防火墙传输。放弃（deny） 不允许IP包通过防火墙传输，但仅仅丢弃，不做任何响应。拒绝（reject） 不允许IP包通过防火墙传输，并向源端发送目的主机不可达的ICMP报文。返回（return） 没有发现匹配的规则，省缺动作。规则举例（包过滤）只允许Telet出站的服务规则号方向源地址目的地址协议源端口目的端口ACK设置动作1出内部任意TCP〉102323任意通过2入任意内部TCP23〉1023是通过3双向任意任意任意任意任意任意拒绝 双宿主主机结构防火墙 核心是具有双宿主功能的主机。至少有两个网络接口，充当路由器。不允许两网之间的直接发送功能。仅仅能通过代理，或让用户直接登陆到双宿主主机来提供服务。提供高级别的安全控制。问题：用户账号本身会带来明显的安全问题，会允许某种不安全的服务；通过登陆来使用因特网太麻烦。 双宿主主机结构防火墙 屏蔽主机防火墙 主要的安全机制由屏蔽路由器来提供。堡垒主机位于内部网络上，是外部能访问的惟一的内部网络主机。堡垒主机需要保持更高的安全等级。问题：如果路由器被破坏，整个网络对侵袭者是开放的。如堡垒主机被侵，内部网络的主机失去任何的安全保护。屏蔽主机防火墙 堡垒主机设计与构筑堡垒主机的原则：使堡垒主机尽量简单；随时做好堡垒主机可能被损害的准备。堡垒主机提供的服务：同因特网相关的一些服务；删除所有不需要的服务；不要在堡垒主机上保留用户账号。屏蔽子网防火墙 添加额外的安全层：周边网，将内部网与因特网进一 步隔开。周边网即：非军事化区，提供附加的保护层，入侵者如侵入周边网，可防止监听（sniffer）内部网的通