第六章 网络全专题.docVIP

第6章 网络安全专题 项目一 典型防范措施 ☆预备知识 1.防火墙知识； 2.常用杀毒软件知识； 3.数学知识。 ☆技能目标 1.学习防火墙、入侵检测、数据加密、一次性口令身份证认证技术的概念； 2.掌握防火墙操作； 3.掌握入侵检测操作； 4.会对数据进行加密。 ☆项目案例 随着互联网的不断发展，有很多中小企业网络瘫痪，信息交流完全中断；计算机无法使用，成为一堆高科技的废铁；日常办公回到手工时代，严重的甚至正常运作被迫中止……那么，如何解决以上问题呢？ 小孟想，如果能从互连网入口处来对网络进行监控，御敌于内网之外，岂不更好！ 于是他就请教张主任，张主任带领小孟参观了信息中心，小孟看到了好多先进的设备，大开眼界！于是张主任就防火墙、入侵检测系统、数据加密、一次性口令身份证认证技术等概念进行了进一步的阐述。 6.1 防火墙技术 随着互联网应用领域迅速扩大，应用人员不断增多，随之而来的安全问题日益突出。特别是越来越多的内部网与互联网互联，更为非法侵入他人系统、窃取他人机密、破坏他人系统等恶性行为提供了可能，如果不采取必要的安全措施，后果将不堪设想。为此人们研发了许多安全技术和设备，防火墙技术就是近年来提出并推广的一项网络安全技术。 6.1.1 防火墙基本知识 1. 防火墙概念 防火墙的本义原是指：当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生，这种墙被称之为防火墙。 防火墙是一种形象的说法，其实它是一种高级访问控制设备，是置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。 在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，它有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。如图6-1-1所示。 图6-1-1 防火墙逻辑位置结构示意图 2. 防火墙的主要功能 防火墙是内部网与外部网之间的一个保护屏障，是内、外网之间所有信息的必经之地，它通过检测、限制、更改所有流入流出的数据流，保护内部网络免受非法入侵。一般情况下，防火墙应具备以下功能。 (1)控制不安全的服务 防火墙可以过滤不安全服务，降低内网受到非法攻击的风险，只有经过授权的协议和服务才能通过防火墙访问内网，因此安装防火墙能够大大提高网络的安全程度。 (2)控制访问站点 防火墙可以提供对站点的访问控制，限定允许外部网络访问的主机。大部分内网仅允许外网访问电子邮件服务器、文件传输服务器和WWW服务器，其他主机则靠防火墙封闭。 (3)集中式安全保护 使用了防火墙后，所有或大多数需要修改的软件和附加的安全控制软件都可以放在防火墙上，对于一次性密码口令系统或其他身份验证的软件，放在防火墙上往往比放在主机系统上更好。 (4)增强私有资源的保密性 对私有信息资源加强保护十分必要，因为，越是被认为平常的信息越有可能被攻击者利用，成为攻击的线索。使用防火墙后，站点可以封锁控制某些显示用户信息的服务，防止服务信息泄露。 (5)网络记录功能 如果将防火墙配置为与内部网连接都需要经过安全系统，那么防火墙会记录每次的往返访问，网管人员就可以通过日志对一些可能的攻击行为进行分析。防火墙还能提供信息流量、网络使用率等有价值的统计数字。 3. 防火墙的分类 按产品形式防火墙大致可以分为两类：硬件防火墙和软件防火墙。硬件防火墙用途广泛，但价格偏高；软件防火墙功能单一，价格较低。 根据技术特征防火墙可分为：包过滤、网络地址转换、代理服务、状态监视技术防火墙和混合型防火墙。 从用户的角度看防火墙可以分为企业防火墙和个人防火墙两种。 一般情况下，企业防火墙以硬件防火墙为主，辅以软件防火墙进行检测，个人防火墙属于软件防火墙。 防火墙技术 1. 包过滤技术 包过滤技术是在网络层对数据包实施有选择的通过。根据流经防火墙的数据包头信息，决定是否允许该数据包通过。 创建包过滤规则时，应考虑以下问题： (1)打算提供何种网络服务，并以什么方向提供这些服务？ (2)需要限制任何内部主机与因特网连接的能力吗？ (3)因特网上是否有可信任的主机，可以某种形式访问内部网络吗？ 数据包过滤一般要检查网络层的IP头和传输层的头，具体包括以下内容： (1)IP源地址 (2)IP目标地址 (3)协议类型（TCP包、UDP包和ICMP包） (4)TCP或UDP包的目的端口 (5)TCP或UDP包的源端口 (6)ICMP消息类型 (7)TCP包头的ACK位 (8)TCP包的序列号、IP校验和等 包过滤技术的优点是： 速度快，性能高；对用户透明。缺点是：维护比较困难(需要对TCP/IP了解)；安全性低（IP欺骗等）；不提供有用的日志，或根