105_网络安全之防火墙和缓冲溢出要点分析.pptVIP

防火墙技术及缓冲区溢出攻击 1010322105 10网络1班 刘徐俊 内 容 防火墙的基本概念 防火墙的发展历程 防火墙的基本功能 防火墙的体系结构 防火墙的分类 防火墙的局限性 防火墙的基本概念 第一阶段 基于路由器的防火墙 特征 以访问控制表方式实现分组过滤； 过滤的依据是IP地址、端口号和其它网络特征； 只有分组过滤功能，且防火墙与路由器一体。 缺点 路由协议本身具有安全漏洞； 路由器上的分组过滤规则的设置和配置复杂； 攻击者可假冒地址； 防火墙的设置会大大降低路由器的性能。 第二阶段 用户化的防火墙工具套件 特征 将过滤功能从路由器中独立出来，并加上审计和告警功能； 针对用户需求提供模块化的软件包； 安全性提高，价格降低； 纯软件产品。 缺点 配置和维护过程复杂费时； 对用户技术要求高； 全软件实现，安全性和处理速度均有局限。 第三阶段 建立在通用操作系统上的防火墙 特征 包括分组过滤或借用路由器的分组过滤功能； 装有专用的代理系统，监控所有协议的数据和指令； 保护用户编程空间和用户可配置内核参数的设置； 安全性和速度大为提高。 缺点 作为基础的操作系统及其内核的安全性无从保证； 既要防止来自外部网络的攻击，还要防止来自操作系统漏洞的攻击； 用户必须同时依赖防火墙厂商和操作系统厂商的安全支持。 第四阶段 具有安全操作系统的防火墙 特征 防火墙厂商通过许可证方式可获得操作系统的源代码； 防火墙厂商可通过固化操作系统内核来加固安全保护； 对每个服务器、子系统都作了安全处理； 在功能上包括了分组过滤、代理服务，且具有加密与鉴别功能； 透明性好，易于使用。 缺点 不能克服防火墙 “防外不防内”的自身缺陷； 防火墙的技术类型 包过滤型 (Packet Filtering) 状态检测型(Stateful Inspection) 应用代理型(Proxy Services) 新一代网络防火墙 一种平台完成多种功能 实现对IP,TCP,Session,Application的全面检查(病毒/URL过滤) 多种记录和报警方式 开放平台可以和其他网络设备结合实现全面安全网络解决方案 网威防火墙保护层次 提供四个层次对网络的保护 网威防火墙功能介绍 代理服务（Proxy Services） 状态包过滤控制（Stateful Packet Filtering） 双向网络地址转换（NAT， Network Address Translation） DMZ服务器区（Demilitaried Zone） 流量统计和流量控制（Accounting and Traffic control） NAT池（NAT POOL） 审计和报警（Log Analysis and Alert） 防止攻击（Anti-Attack） 双机热备（Hot Backup） 网桥模式（Bridge Mode） 策略路由（rule routing） 专用安全操作系统（Secure System） 防火墙的集中式管理（Central Management） 网威防火墙的体系结构 常见防火墙应用之一（数据包内容过滤） 数据包内容过滤 常见防火墙应用之二(NAT) 网络地址转换 网络地址转换(NAT) 网威防火墙实现了双向网络地址转换，即源地址转换和目的地址转换。局域网主机通过防火墙地址转换后能够通过合法地址访问外部，从而实现对外的地址伪装。提供了多种转换方式，包括一对一、多对一和多对多的转换方式，能够更好地实现安全策略。 网络地址转换 应用之三(透明) 透明模式 透明模式 无须更改原先网络中任何路由器和主机配置,实现了双向TCP/IP协议存取控制、用户认证等功能，适用于已经存在的具有合法IP的网络连接. 应用之四(代理) 代理功能 代理功能 网威防火墙提供作用于应用层的tcp服务(包括ftp、telnet、http、smtp、 pop3等)和udp服务的代理，能够实现基于用户、主机地址和访问时间等不同方式的访问控制。应用层代理提供了强大的数据包内容过滤的功能，包括阻止恶意代码、阻塞URL地址和防止特洛伊木马的传输等。另外为用户提供包括一次性口令在内的完善的代理认证功能. 应用之五-I(网络地址绑定) 应用之五-II(网络地址绑定) 网络地址绑定 网络地址绑定 网威防火墙提供了网络地址绑定功能。通过主机IP地址和网卡MAC地址的绑定，能够有效地防止盗用IP现象的发生。 网络地址绑定 网络地址绑定 应用之六（日志管理） 应用之七（防止DoS攻击） 防止DoS攻击 集中管理 防火墙的集中管理 对于在网络中分布式的防火墙，网威防火墙提供了集中管理的模式，使管理员能够轻松实现对不同地点防火墙的统一管理和配置。网威防火墙为管理员提