信息安全概论 防火墙技术.pptVIP

信息安全概论 -防火墙技术 内容提要 本章介绍三部分的内容： 防火墙、VPN与反病毒技术。 介绍防火墙的基本概念，常见防火墙类型以及如何使用规则集实现防火墙。 介绍VPN技术的概念与特点 介绍病毒的原理与概念与反病毒的方法。 防火墙的定义 防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋，如图5-1所示。 防火墙的定义 这里所说的防火墙不是指为了防火而造的墙，而是指隔离在本地网络与外界网络之间的一道防御系统。 在互联网上，防火墙是一种非常有效的网络安全系统，通过它可以隔离风险区域（Internet或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问，网络防火墙结构如图5-2所示。 防火墙定义 防火墙是一种装置，它是由软件或硬件设备组合成，通常处于企业的内部网与internet之间，限制internet用户对内部网络的访问以及管理内部用户访问外界的权限。 从实现山看，防火墙实际上是一个独立的进程或一组紧密联系的进程，运行于路由器服务器上，控制经过它的网络应用服务与数据。 防火墙 防止易受攻击的服务 控制访问网点系统 集中安全性 增强保密，强化私有权 有利于对网络使用、滥用的纪录统计 防火墙的功能 根据不同的需要，防火墙的功能有比较大差异，但是一般都包含以下三种基本功能。 可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户 防止入侵者接近网络防御设施 限制内部用户访问特殊站点 实施防火墙的基本方针 由于防火墙假设了网络边界和服务，因此适合于相对独立的网络，例如Intranet等种类相对集中的网络。Internet上的Web网站中，超过三分之一的站点都是有某种防火墙保护的，任何关键性的服务器，都应该放在防火墙之后。 实施防火墙的基本方针 只允许访问特定的服务 只拒绝访问特定的服务 防火墙的必要性 随着世界各国信息基础设施的逐渐形成，国与国之间变得“近在咫尺”。Internet已经成为信息化社会发展的重要保证。已深入到国家的政治、军事、经济、文教等诸多领域。许多重要的政府宏观调控决策、商业经济信息、银行资金转帐、股票证券、能源资源数据、科研数据等重要信息都通过网络存贮、传输和处理。因此，难免会遭遇各种主动或被动的攻击。例如信息泄漏、信息窃取、数据篡改、数据删除和计算机病毒等。 网络安全已经成为迫在眉睫的重要问题，没有网络安全就没有社会信息化 网络有攻击就需要有防御，防火墙是很主要的网络防御手段。 防火墙特征 网络通信必须通过防火墙 合法数据可以通过防火墙 防火墙本身不受攻击的影响 使用最新安全技术 人机界面良好，易于配置管理 防火墙的局限性 没有万能的网络安全技术，防火墙也不例外。防火墙有以下三方面的局限： 防火墙不能防范网络内部的攻击。比如：防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。 防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予其临时的网络访问权限。 防火墙不能防止传送己感染病毒的软件或文件，不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。 另外对于未知的威胁，防火墙很难防护。 防火墙体系结构 双宿主主机防火墙 被屏蔽主机防火墙 被屏蔽子网防火墙 其它形式防火墙 防火墙体系中的堡垒主机 双宿主主机防火墙 双宿主主机模型（屏蔽防火墙系统）可以构造更加安全的防火墙系统。双宿主主机有两种网络接口但是主机在两个端口之间直接转发信息的功能被关掉了。在物理结构上强行将所有去往内部网络的信息经过堡垒主机。双宿主主机模型如图所示。 双宿主主机 双宿主主机特性 双宿主主机的安全至关重要。 双宿主主机的性能很重要。 双宿主主机的缺陷 账号问题 双宿网关防火墙 存储转发 特定服务适合于代理转发 拒绝所有的网络服务 Telnet双宿主机实例 建立监听端口，等待客户端连接 收到连接请求，建立连接。 进行身份验证 如果用户合法，系统与服务器建立连接，开始通讯，并纪录用户的信息。 系统进行数据转接。 被屏蔽主机防火墙 单宿主堡垒主机（屏蔽主机防火墙）模型由包过滤路由器和堡垒主机组成。该防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。所以入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。单宿主堡垒主机的模型如图5-24所示。 被屏蔽主机防火墙优缺点 相比双宿主主机具有更好的安全性和可用性 如果堡垒主机被入侵，则系统就不具有任何保密设施。 路由器也是同样。 屏蔽子网模型 屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最安全的防火墙系统之一，因为在定义了“中立区”DMZ，Demilitarized Zone网络后，它支持网