防火墙的作原理与布置.pptVIP

安全连入Internet：防火墙 防火墙的工作原理与布置 背景 Internet的设计就是为资源共享为目标的 用户数量的增加，恶劣的用户也在增加 许多TCP/IP的服务有漏洞，特别网管服务 窃听和假冒比较容易 服务策略的缺乏导致许多不需要的服务开放 存取控制设置复杂导致安全漏洞 防火墙：一个经济的解决方案 本节内容 Internet及其安全 防火墙的基本知识 防火墙的功能分类 防火墙的布置与环境 Internet及其安全 Internet的基本协议 Internet的基本服务 与安全相关的问题 Internet 以TCP/IP协议为基础 初始目标是在研究人员之间进行通信（原型系统为ARPANET，DARPA资助） 1980后迅速推广到教育、政府、商业与国际机构 目前一般用户为商业用户 成为了国家信息基础设施（NII） Internet提供的基本服务 SMTP：简单邮件传送协议 Simple Mail Transfer Protocol TELNET：对远地主机的基本的终端仿真 FTP：文件传送协议 File Transfer Protocol DNS：域名系统 Domain Name Service 信息提供服务 Gopher、WAIS、WWW/http 进程调用服务 Internet主机 操作系统的特点就是并行和共享 Unix系统 Sun, IBM, Linux Windows系统 NT, XP, 2000 VMS、AS400、其他系统 OS/2，Macintosh 网络分层的思路 书信邮件的例子 应用：信的内容与将来如何投递没有关系 网络：加信封，信封及地址与如何投递没有关系 物理：加邮包，运邮件的车跟具体信封地址没有关系 两个人的合同谈判 翻译 秘书传真 邮件示意 合同谈判 合同谈判 网络的视角-系统互连(OSI) 网络中的数据传送 TCP/IP协议层次结构 ARP：Address Resolution Protocol地址解析协议 IP数据包发送前 查找对应IP地址主机的物理地址 在网络上广播ARP请求 缓存已经找到的硬件地址 参见RFC826 ICMP互连网控制报文协议Internet Control Message Protocol 用于传送错误和控制报文，控制IP协议 主机关闭/网关阻塞或不通/其他故障 PING是一个著名的应用 RFC792 IP (Internet Protocol)协议 接收物理层（Ethernet）发来的数据 将数据传送到高层协议，如TCP、UDP 不可靠的数据报协议 不保障报文顺序，不检查错误，不保证对方收到 包含源IP地址和目的IP地址 Source Address Destination Address 上层协议（TCP、UDP）认为这些地址都是正确的，不对原IP地址进行认证。 RFC760 TCP协议Transmission Control Protocol IP数据报包含了封装的TCP报文 通过连接建立和报文序号以及检错编码保证数据完整性 TCP协议将数据送往应用层处理 TELNET，FTP，X Window，SMTP等都是基于有连接的TCP协议 UDP协议User Datagram Protocol 与TCP在同一个层次，直接为应用服务 不检错，不重发，不排序 无连接的协议 NTP, DNS使用UDP TCP/UDP的地址结构 源IP地址（32bits） 源端口(16bits) 目的IP地址 目的端口 一个连接的例子 Telnet服务器运行在上，在端口23上听是否有连接请求 Telnet客户端在中申请了一个未用的端口，如3987，然后向服务器发连接请求 当连接成功后，双方都记下自己以及对方的地址和端口。 :3987 ??:23 Internet上安全事件不断 服务安全问题/协议安全问题 Sendmail、Free FTP发现漏洞 Telnet/FTP/X window易于窃听 蠕虫病毒泛滥 主机配置错误导致的安全问题 弱口令、口令破解程序、NFS协议不能认证用户 管理人员的变动和水平 一些安全问题：窃听、假冒 IP假冒，同一网段内，改就行 原路径问题（source route） 改变IP 设计原路径 发送请求 获得回应 Email假冒，不仅是地址，而且还从正确的服务器来。 Internet及其安全总结 Internet是以TCP/IP协议为基础的 ARP, IP, TCP, UDP, ICMP ISO的七层开放系统模型与Internet的5层模型 数据传送方法 Internet很不安全 协议本身，服务，配置以及系统本身 防火墙的基本知识 防火墙的主要目标是控制对一个受保护网络的访问，强迫所有连接都接受防火墙的检查和评估。 可以是路由器、计算机或一群计算机。 防火墙