信息安全技术摘要.ppt

防火墙的两条基本规则 一切未被允许的就是禁止的。 基于该规则，防火墙应封锁所有信息流，然后对希望提供的服务逐项开放，即只允许符合开放规则的信息进出。这种方法非常实用，可以造成一种十分安全的环境，因为所能使用的服务范围受到了严格的限制，只有特定的被选中的服务才被允许使用。这就使得用户使用的方便性受到了影响。 一切未被禁止的就是允许的。 基于该规则，防火墙逐项屏蔽被禁止的服务，而转发所有其它信息流。这种方法可以提供一种更为灵活的应用环境，可为用户提供更多的服务。但却很难提供可靠的安全防护，特别是当网络服务日益增多或受保护的网络范围增大时。 典型的防火墙具有的基本特性 内部网络和外部网络之间的所有网络数据流都必须经过防火墙。 只有符合安全策略的数据流才能通过防火墙。 防火墙自身应具有非常强的抗攻击免疫力。 8.1.2 防火墙的作用及局限性 防火墙的作用 集中的安全管理 安全警报 重新部署网络地址转换（NAT) 审计和记录网络的访问及使用情况 向外发布信息 防火墙的局限性 防火墙不能防范不经由防火墙的攻击和威胁 不能防御已经授权的访问，以及存在于网络内部系统间的攻击，不能防御合法用户恶意的攻击以及社交攻击等非预期的威胁 防火墙不能防止感染了病毒的软件或文件的传输 防火墙不能防止数据驱动式攻击 不能修复脆弱的管理措施和存在问题的安全策略 8.1.3 防火墙的分类 根据物理特性分类 软件防火墙 硬件防火墙 从结构上分类 单一主机防火墙 路由集成式防火墙 分布式防火墙 按工作位置分类 边界防火墙 个人防火墙 混合防火墙 按防火墙性能分类 百兆级防火墙 千兆级防火墙 从实现技术上分类 数据包过滤技术 代理服务 8.2 防火墙技术 数据包过滤技术 静态包过滤 动态包过滤 代理服务 应用级网关 电路级网关 8.2.1 数据包过滤 Internet 包过滤路由器 工作站 服务器 内部网络 工作站 工作站 8.2.2应用级网关（代理服务器） 应用级网关（代理服务器） 应用级网关提供两个网络间传输的高水平的控制，即能进行特定服务内容的监控和提供基于网络安全策略的过滤。 服务器代理 客户代理 客户代理 服务器代理 应用级网关 服务器 客户机 客户机 服务器 安全网络 不安全网络 例：FTP代理服务器 FTP 代理 FTP客户 FTP服务器 FTP代理规则 安全数据库 TCP/UDP IP/ICMP Interfaces IP过滤规则 端口2021 不安全网络 安全网络 9.2.3 电路级网关 电路级网关是一个通用代理服务器，工作在TCP/IP协议的TCP层，仅仅提供TCP连接的转发而不提供任何其它的报文处理和过滤。 客户 服务器 TCP层 IP层 Interfaces 不安全网络 安全网络 8.3 防火墙的体系结构 双宿主机防火墙结构 屏蔽主机防火墙结构 屏蔽子网防火墙结构 8.3.1 双宿主机防火墙 Internet 堡垒主机 工作站 服务器 内部网络 工作站 工作站 SSL记录协议中发送方执行的操作步骤： ①从上层接受传输的应用报文； ②分片：将数据分片成可管理的块，每个上层报文被分成16KB或更小的数据块； ③进行数据压缩(可选)：压缩是可选的，压缩的前提是不能丢失信息，并且增加的内容长度不能超过1024字节，缺省的压缩算法为空； ④应用MAC：加入信息认证码（MAC），这一步需要用到共享的密钥； ⑤加密：利用IDEA、DES、3DES或其他加密算法对压缩报文和MAC码进行数据加密； ⑥增加SSL首部：增加由内容类型、主要版本、次要版本和压缩长度组成的首部。 ⑦将结果传输到下层。 SSL记录协议中接收方接收数据的工作过程 ①从低层接受报文； ②解密； ③用事先商定的MAC码校验数据； ④如果是压缩的数据，则解压缩； ⑤重装配数据； ⑥传输信息到上层。 7.2.3 SSL修改密文规约协议 SSL修改密文规约协议用来发送修改密文规约协议信息。任何时候客户都能请求修改密码参数，比如握手密钥交换。在修改密文规约的通告发出以后，客户方就发出一个握手密钥交换信息（如果可得到的话），鉴定认证信息，服务器则在处理了密钥交换信息之后发送一个修改密文规约信息。此后，新的双方约定的密钥就将一直使用到下次提出修改密钥规约请求为止。 7.2.4 SSL告警协议 SSL告警协议是用来将SSL有关的告警传送给对方实体的。和其他使用SSL的情况一样，告警报文按照当前状态说明被压缩和加密。 SSL告警协议的每个报文由两个字节组成。第一个字节的值用来表明警告的的级别，第二个字节表示特定告警的代码。如果在通信