信息安全与保密技术总汇.pptVIP

防火墙的基本功能与特性 基本功能 过滤进出网络的数据包。 管理进出网络的访问。 封堵某些禁止的访问。 记录通过防火墙的信息内容和活动情况。 对攻击进行检测与告警。 特性 所有通过内网与外网之间传输的数据必须通过防火墙。 只有被授的合法数据才可能通过防火墙。 防火墙本身不受各种攻击。 使用了新的信息安全技术，例如现代密码技术、一次口令、智能卡等技术。 防火墙的优点与缺陷 利用防火墙保护内网的主要优点 简化了网络安全管理； 保护了网络中脆弱的服务； 防火墙可以方便地监视网络安全并产生报警； 内网所有或大部分需要改动的以及附加的安全程序都集中地放在防火墙系统中； 增强了保密，强化了私有权； 防火墙是审计和记录Internet使用情况的最佳地方； 防火墙也可成为向客户发布信息的地点，作为布置WWW服务器和FTP服务器的地点是非常理想的。还可以对防火墙进行配置，允许Internet用户访问上述服务器，而禁止外网对内网中其他系统的访问。 防火墙的优点与缺陷 防火墙的优点很多，但也有一些缺陷与不足，主要缺陷如下： 限制了网络服务，特别是限制或关闭了很多有用但存有安全缺陷的网络服务； 无法防止内部网络用户的攻击； 无法防范绕过防火墙的攻击，需要附加认证的代理服务器； 不能完全防止感染和传送病毒。不能期望防火墙对每一个文件扫描，查出潜在的病毒； 无法防范数据驱动型的攻击。数据驱动型的攻击从表面上看是无害的数据，被拷贝到Internet的主机上，一旦被执行，就发起了攻击。 不能防范新的网络安全问题。防火墙是一种被动式的防护手段，它只能对现在已知的网络威胁起作用。 防火墙的体系结构 包过滤 双宿网关 屏蔽主机 屏蔽子网 包过滤型防火墙-1 可以用一台过滤路由器来实现，对所接收的每个数据包做允许或拒绝的决定。此时，路由器审查每个数据包以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。 包过滤型防火墙-2 包过滤路由器型防火墙的优缺点 包过滤路由器型防火墙的优点 处理包的速度要比代理服务器快，过滤路由器为用户提供了一种透明的服务，用户不用改变客户端程序或改变自己的行为。 实现包过滤几乎不再需要费用(或极少的费用)， 包过滤路由器对用户和应用来讲是透明的，所以不必对用户进行特殊的培训和在每台主机上安装特定的软件。 包过滤路由器型防火墙的缺点 防火墙的维护比较困难； 只能阻止一种类型的IP欺骗，即外部主机伪装内部主机的IP，对于外部主机伪装其他可信任的外部主机的IP却不可能阻止； 任何直接经过路由器的数据包都有被用作数据驱动式攻击的潜在危险； 一些包过滤网关不支持有效的用户认证； 不可能提供有用的日志，或根本就不提供。 随着过滤器数目的增加，路由器的吞吐量会下降； IP包过滤器可能无法对网络上流动的信息提供全面的控制。 双宿网关防火墙-1 又称为双重宿主主机防火墙。 双宿网关是一种拥有两个连接到不同网络上的网络接口的防火墙。 这种防火墙的最大特点是IP层的通信是被阻止的，两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。 双重宿主主机是唯一的隔开内部网和外部因特网之间的屏障，如果入侵者得到了双重宿主主机的访问权，内部网络就会被入侵，所以为了保证内部网的安全，双重宿主主机应具有强大的身份认证系统，才可以阻挡来自外部不可信网络的非法登录。 双宿网关防火墙-2 屏蔽主机防火墙-1 强迫所有的外部主机与一个堡垒主机相连接，而不让它们直接与内部主机相连。 由包过滤路由器和堡垒主机组成。 堡垒主机是一台完全暴露给外网攻击的主机。它没有任何防火墙或者包过虑路由器设备保护。堡垒主机执行的任务对于整个网络安全系统至关重要。 实现了网络层安全(包过滤)和应用层安全(代理服务)。 堡垒主机配置在内部网络上，而包过滤路由器则放置在内部网络和因特网之间。 屏蔽主机防火墙-2 屏蔽子网防火墙-1 采用两个包过滤路由器和一个堡垒主机。 堡垒主机、信息服务器以及其他公用服务器放在“非军事区”网络中。“非军事区”网络处于因特网和内部网络之间。 内部路由器(阻塞路由器)位于内部网和“非军事区”之间，用于保护内部网不受“非军事区”和因特网的侵害，它执行了大部分的过滤工作。 外部路由器的一个主要功能是保护“非军事区”上的主机。 这种保护不是很必要，因为主要是通过堡垒主机来进行安全保护的。 外部路由器还可以防止部分IP欺骗，因为内部路由器分辨不出一个声称从“非军事区”来的数据包是否真的从“非军事区”来，而外部路由器很容易分辨出真伪。 屏蔽子网防火墙-2 屏蔽子网防火墙-3 对于进来的信息 只允许外部系统访问堡垒主机(还可能有信息服务器)。 内部路由器只接收源于堡垒主机的数据包，负责的是管理“非军事区”到内部网络的访问。 对于去往因特网的数