第十一章-四川大学.ppt

第十一章 防火墙;主要内容;防火墙;防火墙设计原则;防火墙的特征;防火墙的特征;防火墙的功能;防火墙的局限性;防火墙的类型;包过滤路由器;包过滤原理;报文过滤实例;优势: 简单性 对用户透明 处理速度快 不足: 不检查上层的数据 可用信息的有限性，日志记录功能非常有限 不支持认证 对利用TCP/IP规范和协议栈存在的问题进行的攻击是应用乏力的 只根据很少和的几个变量进行访问控制，很容易受到不正确配置而导致的安全漏洞的不利影响;可能的攻击方式及适当的应对措施 IP 地址假冒攻击 入侵者从外部发送包的时候，把源IP地址字段的值改成内部主机的地址。仅使用源地址过滤，攻击将会成功 措施：外部来的内部源地址，简单丢弃 源路由攻击 源站点指定在通过Internet传送包时的路由途径，绕开某些安全措施点 措施：丢弃使用这种源路由方式的所有包 分片攻击 使用IP分段选项产生小分段，避开依赖TCP头文件信息的过滤规则 措施：丢弃所有协议类型为TCP而IP分段偏移量为1的包;基于状态检测的包过滤防火墙;HTTP 例子;HTTP 例子;也称为代理服务器 起着应用层数据流的驿站的作用 ;;优势: 比包过滤更安全 只需要检查有限的几种允许的应用 记录和审记所有的入站流量相对比较简单 不足: 带来了对每个连接的额外的处理开销。;可以实现基于内容的安全;独立的系统 作为应用层网关的一部分以用于某些特定的应用 网关建立两个TCP连接 网关将作为连接的两端主机传送TCP数据段的驿站，而不需要检查其内容。 安全功能包括决定哪些连接是允许的 典型应用场景是系统管理员信任系统内部用户 SOCKS软件包提供了电路层网关实现的一个例子 ;23;三种防火墙的比较;在防火墙管理员看来， 堡垒主机在保障网络安全中起着重要的作用 堡垒主机可以充当应用层网关和电路层网关的平台 特性： 加固后的操作系统 必须的服务才安装在堡垒主机上 使用代理服务之前，通过堡垒主机进行认证 每个代理相互独立 ……….. ;防火墙配置;防火墙配置;防火墙配置;防火墙配置;防火墙配置;防火墙配置;可信系统;数据访问控制;数据访问控制;数据访问控制;数据访问控制;数据访问??制;可信系统的概念;可信系统的概念;可信系统的概念;可信系统的概念;特洛伊木马防范;特洛伊木马防范;特洛伊木马防范