信息安全导论（5-2 网络安全－防火墙、入侵检测、反病毒）.pptVIP

网络安全——技术 ——防火墙、入侵检测、反病毒 网络安全技术 防火墙技术 入侵检测技术 反病毒技术 第一部分 防火墙技术 1 防火墙的作用 2 防火墙技术原理 3 防火墙的体系结构 4 基于防火墙的VPN技术 1 防火墙的作用 防火墙是一种由软件或硬件设备组合而成的装置，通常处于企业的内部局域网与Internet之间，限制Internet用户对内部网络的访问以及管理内部用户访问外界的权限 1 防火墙的作用 防火墙能有效地控制内部网络与外部网络之间的访问及数据传送，从而达到保护内部网络的信息不受外部非授权用户的访问，并过滤不良信息的目的。 1 防火墙的作用 一个好的防火墙系统应具备以下三方面的条件： 内部和外部之间的所有网络数据流必须经过防火墙。否则就失去了防火墙的主要意义了。 只有符合安全策略的数据流才能通过防火墙。这也是防火墙的主要功能－－－审计和过滤数据。 防火墙自身应对渗透(penetration)免疫。如果防火墙自身都不安全，就更不可能保护内部网络的安全了。 1 防火墙的作用 防火墙由四大要素组成： 安全策略是一个防火墙能否充分发挥其作用的关键。哪些数据可以（或不可以）通过防火墙；防火墙应该如何部署；应该采取哪些方式来处理紧急的安全事件；以及如何进行审计和取证的工作，等等，这些都属于安全策略 内部网：需要受保护的网。 外部网：需要防范的外部网络。 技术手段：具体的实施技术。 防火墙的优点 1．集中的安全管理，强化网络安全策略，经济易行。 2．防止非授权用户进入内部网络。 3．可以方便地监视网络的安全性并报警。 4．利用NAT技术，可以缓解地址空间的短缺，隐藏内部网的结构。 5．实现重点网段的分离，限制安全问题的扩散。 6．审计和记录网络的访问和使用的最佳地方。 防火墙存在的缺陷和不足 为了提高安全性，限制或关闭了一些有用但存在安全缺陷的网络服务，但这些服务也许正是用户所需要的服务，给用户带来使用的不便。 防火墙只对内外网之间的通信进行审计和“过滤”，但对于内部人员的恶意攻击，防火墙无能为力。 防火墙不能防范绕过防火墙的攻击，如内部网用户通过拨号上网直接进入Internet。 防火墙对用户不完全透明，可能带来传输延迟、瓶颈及单点失效。 防火墙也不能完全防止受病毒感染的文件或软件的传输，由于病毒的种类繁多，如果要在防火墙完成对所有病毒代码的检查，防火墙的效率就会降到不能忍受的程度。 防火墙不能有效地防范数据驱动式攻击。防火墙不可能对所有主机上运行的文件进行监控，无法预计文件执行后所带来的结果 作为一种被动的防护手段，防火墙不能防范因特网上不断出现的新的威胁和攻击。 2 防火墙技术原理 防火墙的技术主要有 包过滤技术 代理技术 状态检测技术 地址翻译技术 内容检查技术 其他技术 2.1 包过滤技术 包过滤型防火墙 在网络中适当的位置对数据包实施有选择的通过 选择依据：系统内设置过滤规则（通常称为访问控制列表），只有满足过滤规则的数据包才被转发到相应的网络接口，其余数据包则被丢弃。 包过滤的概念 包过滤一般要检查下面几项： IP源地址 IP目的地址 协议类型（TCP包、UDP包和ICMP包） TCP或UDP的源端口 TCP或UDP的目的端口 ICMP消息类型 TCP报头的ACK位 包过滤的设置 设置步骤 必须知道什么是应该和不应该被允许的，必须制订一个安全策略 必须正式规定允许的包类型、包字段的逻辑表达 必须用防火墙支持的语法重写表达式 按地址过滤 包过滤路由器检查包头的信息，与过滤规则进行匹配，决定是否转发该数据包 按服务过滤 根据安全策略决定是允许或者拒绝某一种服务，比如：禁止外部主机访问内部的Email服务器 包过滤的优点 处理包的速度比代理服务器快 只需要很小的开销，因此屏蔽设备的性能不会受很多影响 几乎不需要额外费用 一般的路由器都有配套的包过滤功能，不需要额外购买相应的包过滤软件，因而包过滤技术相当便宜甚至是免费的 对用户是透明的 用户基本上觉察不出包过滤的存在，它是在路由器上对进出数据包进行过滤。对于用户端来说是透明的 包过滤的缺点 防火墙维护比较困难，需要管理员具备一定的专业知识 只能阻止一种IP欺骗 即外部主机伪装成内部主机的IP，对于外部主机伪装成其他可信任主机的IP不可能阻止。 无法抵抗数据驱动式攻击 部分包过滤防火墙不支持有效的用户认证 不可能提供有用的日志 影响路由器的吞吐量 无法对网络上的信息提供全面的控制 2.2 代理技术 代理技术（应用层网关技术） 代理技术与包过滤技术完全不同，包过滤技术是在网络层拦截所有的信息流，代理技术是针对每一个特定应用都有一个程序 代理是企图在应用层实现防火墙的功能。代理能提供部分与传输有关的状态，能完全提供与应用相关的状态和部分传输方面的信息，代理也能处理和管理信