网络安全实用教程 工业和信息化普通高等教育“十二五”规划教材立项项目 教学课件 作者 刘远生 ch8.pptVIP

第8章 网络的攻击与防护;本章有四小节： 8.1 防火墙安全 8.2 黑客的攻击与防范 8.3 网络扫描与监听 8.4 入侵检测与入侵防护系统;8．1 防火墙安全;;2. 防火墙的功能 (1) 扫描信息，过滤攻击。 (2) 关闭不需要的端口。 (3) 禁止特定端口的流出通信。 (4) 禁止特殊站点的访问。 (5) 限制特定用户的通信。;3. 防火墙的不足 (1) 网络瓶颈。 (2) 不能防范不经过防火墙的信息攻击。 (3) 不能防范病毒的传播。 (4) 不能防范内部人员的攻击。 4．防火墙的特征 (1) 内部网和外部网之间的所有网络数据流都必须经过防火墙 (2) 只有符合安全策略的数据才能通过防火墙 (3) 自身具有非常强的抗攻击力;8.1.2 防火墙技术 1. 防火墙的体系结构 (1) 过滤路由器结构 过滤路由器结构是指由具有过滤功能的路由器充当防火墙的结构，如图8.2所示。;(2) 双宿主机结构 双宿主机结构防火墙是指担任防火墙功能的是一台双重宿主（双网卡）主机，如图8.3所示。;(3) 屏蔽子网结构 屏蔽子网结构是指在内外部网之间新增加一个子网DMZ（非军事区），如图8.4所示。;2. 防火墙的技术分类 (1) 包过滤技术 包过滤技术是防火墙最为基本和传统的技术。所谓“包过滤”就是过滤数据包，使符合规则的数据包通过而不符合规则的数据包被拒绝或丢弃。 包过滤技术防火墙工作在第三层及三层以下。;静态包过滤技术是传统的包过滤技术，它是根据流过防火墙的数据包是否符合防火墙所制定的规则来决定是否允许数据包通过，它所制定的规则只检查数据的协议、源和目标IP地址、源和目标端口。 动态包过滤技术是静态包过滤技术的发展，它可以动态地根据实际应用请求自动生成和删除包过滤规则，从而解决静态包过滤制定规则难度大的问题。;①包过滤技术的优点： 实现简单，对设备要求较低。 ②包过滤技术的缺点： 随着规则的增加，规则库变得越来越大。无法防范外部的IP欺骗。;(2) 应用级网关 应用级网关也叫代理服务器，通过网关复制传输数据，防止在受信任的服务器或客户机与不受信任的主机间建立直接的联系。 应用级网关防火墙建立在应用层。 (3) 电路级网关 电路级网关防火墙通过检查握手信息来判断是否合法从而判断是否对信息放行。 电路级网关又称为线路级网关，工作在会话层。;(4) 状态检测技术 状态检测防火墙，顾名思义就是要检查数据包的状态变化，它在每一层都会对数据包进行检查，集成了以上几种防火墙的特点，安全性得到了很大的提高。 ;3. 防火墙的实现分类 (1) 基于网络主机的防火墙 基于网络主机的防火墙是指将网络中的一台主机安装防火墙软件用以保护受信任的网络（企业网）。 (2) 基于路由器的防火墙 基于路由器的防火墙是指利用路由器的过滤功能来实现防火墙的功能。;(3) 基于单个主机的防火墙 基于单个主机的防火墙是指安装在单一主机上的防火墙软件，它只适合保护单一主机的安全。 (4) 硬件防火墙 硬件防火墙是指用一台专门的硬件产品作为防火墙。在这种产品中，防火墙厂家是将防火墙软件固化在硬件芯片里，用硬件方式实现防火墙的功能。;8.1.3 防火墙应用实例 1．Cisco公司的PIX防火墙 Cisco公司成立于1984年，是全球互联网解决方案提供商。Cisco PIX（Private Internet eXchange）系列防火墙是业界领先的产品之一，具有很好的安全性和可靠性。;(1) Cisco PIX的主要特点 ① 嵌入式的操作系统。 ② 高安全性。 ③ 高可靠性。 ④ 强大的远程管理功能。 (2) Cisco PIX的基本应用和配置 ① PIX防火墙的配置连接 使用CONSOLE线连接PIX 的CONSOLE接口与PC的串口后，通过PC的“超级终端”来配置PIX的性能。根据实际情况选择与计算机相连的端口，如：COM1，再配置端口属性。在端口属性里，要选择“每秒位数”为“9600”，如图8.5所示。;;② PIX防火墙的配置模式 非特权模式。Cisco PIX防火墙开启以后进入的第一个工作模式，默认表示为“Pixfirewall”。在非特权模式下，用户只有很少的查看权限。 特权模式。特权模式是Cisco PIX防火墙的第二个工作模式，默认表示为“Pixfirewall#”。在特权模式下，用户可以进行很少的配置和查看。 配置模式。配置模式是Cisco PIX防火墙的主要工作模式，大多数的配置命令只有在此模式下才有效，其默认表示为“Pixfirewall(config)# ”。 ;③ Cisco PIX的一般配置步骤 连接好PIX 和PC，设置好PC的超级终端，开启PIX。 PIX进入非特权模式，显示 Pixfirewall 。 输入命令enable，PIX进入特权模式，