信息安全基础配套资源（徐振华）5 网络设备安全技术.pptVIP

信息安全基础 第5章 网络设备安全技术 【学习目标】 了解防火墙、入侵检测、虚拟专用网、网络隔离和统一威胁管理系统的概念，知道相关产品的作用； 掌握防火墙、入侵检测、虚拟专用网等的关键技术； 了解相关网络安全的常见产品。 5.1防火墙技术 5.1.1防火墙概述 1防火墙的基本概念 在现代计算机网络中，防火墙则是指一种协助确保信息安全的设施，其会依照特定的规则，允许或是禁止传输的数据通过。防火墙通常位于一个可信任的内部网络与一个不可信任的外界网络之间，用于保护内部网络免受非法用户的入侵。 防火墙的逻辑部署 图5-1防火墙的逻辑部署 5.1防火墙技术 2防火墙的功能 防火墙最基本的功能就是控制在计算机网络中，不同信任程度区域间传送的数据流。例如互联网是不可信任的区域，而内部网络是高度信任的区域。具体包括以下四个方面。 （1）防火墙是网络安全的屏障 （2）防火墙可以强化网络安全策略 （3）对网络存取和访问进行监控审计 （4）防止内部信息的外泄 5.1防火墙技术 3防火墙的局限性 虽然防火墙在网络安全部署中起到非常重要的作用，但它并不是万能的。下面总结了它的十个方面的缺陷。 （1）防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据，防火墙无法检查。 （2）防火墙不能解决来自内部网络的攻击和安全问题。防火墙可以设计为既防外也防内，谁都不可信，但绝大多数单位因为不方便，不要求防火墙防内。 （3）防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备，就像门卫一样，要根据政策规定来执行安全，而不能自作主张。 （4）防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备，但防火墙本身必须存在于一个安全的地方。 （5）防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络协议，防火墙不能防止利用该协议中的缺陷进行的攻击。 5.1防火墙技术 （5）防火墙不能防止利用服务器系统漏洞所进行的攻击。黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击，防火墙不能防止。 （7）防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能，即使集成了第三方的防病毒的软件，也没有一种软件可以查杀所有的病毒。 （8）防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动式的攻击。 （9）防火墙不能防止内部的泄密行为。防火墙内部的一个合法用户主动泄密，防火墙是无能为力的。 （10）防火墙不能防止本身的安全漏洞的威胁。防火墙保护别人有时却无法保护自己，目前还没有厂商绝对保证防火墙不会存在安全漏洞。因此对防火墙也必须提供某种安全保护。 5.1防火墙技术 5.1.2防火墙技术概述 1包过滤技术 包过滤技术是防火墙最基本的实现技术，具有包过滤技术的装置是用来控制内、外网络数据流入和流出，包过滤技术的数据包大部分是基于TCP/IP协议平台的，对数据流的每个包进行检查，根据数据报的源地址、目的地址、TCP和IP的端口号，以及TCP的其他状态来确定是否允许数据包通过。 包过滤技术及其工作原理 包过滤技术及其工作原理 包过滤技术 包过滤技术的基础是ACL（Access List Control，访问控制列表），其作用是定义报文匹配规则。ACL可以限制网络流量、提高网络性能。在实施ACL的过程中，应遵循两个基本原则：最小特权原则：只给受控对象完成任务所必须的最小的权限；最靠近受控对象原则：所有的网络层访问权限控制。 5.1防火墙技术 5.1.2防火墙技术概述 2应用网关技术 应用网关（Application Gateway）技术又被称为代理技术。它的逻辑位置在OSI七层协议的应用层上，所以主要采用协议代理服务（Proxy Services）。 应用网关（Application Gateway）技术 代理服务器可以解决诸如IP地址耗尽、网络资源争用和网络安全等问题。下面从代理服务器的功能和代理服务器的原理两个方面介绍代理技术。 （1）代理服务器的功能 （2）代理服务器的原理 代理服务器的原理 图5-4 Web代理的原理 代理服务器 代理服务器是接收和解释客户端连接并发起到服务器的新连接的网络节点，这意味着代理服务器必须满足以下条件： 第一：能够接收和解释客户端的请求； 第二：能够创建到服务器的新连接； 第三：能够接收服务器发来的响应； 第四：能够发出或解释服务器的响应并将该响应传回给客户端。 因此实现代理服务器必须同时要实现服务器和客户端两端的功能。 5.1防火墙技术 5.1.2防火墙技术概述 3状态检测技术 状态检测包过滤和应用代理这两种技术目前仍然是防火墙市场中普遍采用的主流技术，但两种技术正在形成一种融合的趋势，演变的结果也许会导致一种新的结构