第七章网络安全与网络管理课件.ppt

* 7.6.2 防火墙的类型 * 包过滤规则 路由器按照系统内部设置的分组过滤规则（即访问控制表），检查每个分组的源IP地址、目的IP地址，决定该分组是否应该转发； 包过滤规则一般是基于部分或全部报头的内容。例如，对于TCP报头信息可以是： 源IP地址； 目的IP地址； 协议类型； IP选项内容； 源TCP端口号； 目的TCP端口号； TCP ACK标识。 7.6.2 防火墙的类型 * 包过滤的工作流程 7.6.2 防火墙的类型 * 实例 假设网络安全策略规定： 7.6.2 防火墙的类型 内部网络的E-mail服务器（IP地址为，TCP端口号为25）可以接收来自外部网络用户的所有电子邮件； 允许内部网络用户传送到与外部电子邮件服务器的电子邮件； 拒绝所有与外部网络中名字为TESTHOST主机的连接。 规则过滤号 方向 动作 源主机地址 TESTHOST 源端口号 目的主机地址 目的端口号 协议 描述 阻塞来自 TESTHOST的 所有数据包 阻塞所有到 TESTHOST的 数据包 允许外部用户 传送到内部网 络电子邮件服 务器的数据包 允许内部邮件 服务器传送到 外部网络的电 子邮件数据包 * * TCP TCP * * 25 1023 * TESTHOST * * * 1023 25 * * 阻塞 阻塞 允许 允许 进入 进入 输出 输出 1 2 3 4 * 2. 应用网关 或称应用级防火墙，通常指运行代理（Proxy）服务器软件的一部计算机主机。 采用应用级防火墙时，Intranet与Internet间是通过代理服务器连接的，二者不存在直接的物理连接，代理服务器的工作就是把一个独立的报文拷贝从一个网络传输到另一个网络。 这种方式的防火墙把Intranet与Internet物理隔开，能够满足高安全性的要求。但由于该软件必须分析网络数据包并作出访问控制决定，从而影响网络的性能。 优缺点： 7.6.2 防火墙的类型 系统软件可用于身份认证和维护系统日志。 仍是网络的“单失效点”，使访问速度变慢。 隔离了一切内部与Internet的直接连接，不灵活。 * * 7.7 网络病毒及防杀 Internet/Intranet的迅速发展和广泛应用给病毒增加了新的传播途径，网络将正逐渐成为病毒的第一传播途径。 Internet/Intranet带来了两种不同的安全威胁： 来自文件下载，这些被浏览的或是通过FTP下载的文件中可能存在病毒； 电子邮件。 * 7.7.1 网络病毒的特点 传染方式多。病毒入侵网络的主要途径是通过工作站传播到服务器硬盘，再由服务器的共享目录传播到其他工作站。 传染速度快。在单机上，病毒只能通过磁盘、光盘等从一台计算机传播到另一台计算机，而在网络中病毒则可通过网络通信机制迅速扩散。 清除难度大。尤其在网络中，只要一台工作站未消灭病毒就可能使整个网络全部被病毒重新感染。 在网络环境中，计算机病毒具有如下特点： * 破坏性强。网络上的病毒将直接影响网络的工作状况，轻则降低速度，影响工作效率，重则造成网络瘫痪，破坏服务系统的资源，使多年工作成果毁于一旦。 激发形式多样。可用于激发网络病毒的条件较多，可以是内部时钟，系统的日期和用户名，也可以是网络的一次通信等。一个病毒程序可以按照设计者的要求，在某个工作站上激活并发出攻击。 潜在性。网络一旦感染了病毒，即使病毒已被清除，其潜在的危险也是巨大的。有研究表明，在病毒被消除后，85%的网络在30天内会被再次感染。 7.7.1 网络病毒的特点 * 7.7.2 常见的网络病毒 电子邮件病毒。有毒的通常不是邮件本身，而是其附件。 Java程序病毒。Java是目前网页上最流行的程序设计语言，由于它可以跨平台执行，因此不论是Windows 9X/NT还是Unix工作站，甚至是CRAY超级电脑，都可被Java病毒感染。 ActiveX病毒。当使用者浏览含有病毒的网页时，就可能通过ActiveX控件将病毒下载至本地计算机上。 网页病毒。上面介绍过Java及ActiveX病毒，它们大部分都保存在网页中，所以网页当然也能传染病毒。 * 7.7.3 网络防病毒软件 实时扫描：连续不断地扫描从文件服务器读/写的文件是否带毒。 预置扫描：可以预先的日期和时间扫描服务器。 人工扫描：可以在任何时候要求扫描指定的卷、目录和文件。 对文件服务器和工作站进行查毒扫描、检查、隔离、报警，当发现病毒时，由网络管理员负责清除病毒。 网络防病毒软件一般允许用户设置三种扫描方式 ： * 7.8.1 网络管理 网络服务提供是