06病毒防范及防火墙.pptVIP

Source Destination Permit Protcocol Host A Host C Pass TCP Host B Host C Block UDP 包过滤判断依据 数据包协议类型：TCP,UDP,ICMP,IGMP等 源，目的IP地址 源、目的端口：FTP, HTTP, DNS等 TCP选项：SYN, ACK, FIN, RST等 数据包流向：in, out 数据包流经网络接口：eth0, eth1 例：http数据包的过滤 规则 包的方向 源地址 目的地址 协议 源端口 目的端口 ACK 是否通过 A 出 内部 Internet TCP 1023 80 Any 允许 B 入 Internet 内部 TCP 80 1023 1 允许 包过滤防火墙局限性： 包过滤器不会检查通过它的来自内部网的消息的合法性； 包过滤器只能根据数据报头中显示的源IP地址进行检查，容易受到IP欺骗攻击。 应用层网关 应用层网关（Application Layer Gateway）即代理服务器。它运行在应用层 。 应用层网关 代理服务器 不允许直接连接，而是强制检查及过滤所有的网络数据包 用户不直接及真正的服务器通信，而是及代理服务器通信 代理服务器的优缺点 优点 允许用户“直接”访问Internet 易于记录日志 缺点 新的服务不能及时地被代理 每个被代理的服务都要求专门的代理软件 客户软件需要修改，重新编译或者配置 有些服务要求建立直接连接，无法使用代理 比如聊天服务、或者即时消息服务 代理服务不能避免协议本身的缺陷或者限制 防火墙配置方案举例1 双宿主主机方案 所有的流量都通过包过滤路由器 优点：简单 防火墙配置方案举例2 屏蔽主机方案：单宿主堡垒主机 只允许堡垒主机可以及外界直接通讯 优点：两层保护：包过滤+应用层网关；灵活配置 缺点：一旦包过滤路由器被攻破，则内部网络被暴露 防火墙配置方案举例3 屏蔽主机方案：双宿主堡垒主机 从物理上把内部网络及Internet隔开，必须通过两层屏障 优点：两层保护：包过滤+应用层网关；配置灵活 防火墙配置方案举例4 屏蔽子网防火墙 优点： 三层防护，用来阻止入侵者 防火墙的发展方向 分布式防火墙 应用层网关的进一步发展 认证机制 智能代理 及其他技术的集成 比如NAT、VPN(IPSec)、IDS，以及一些认证及访问控制技术 防火墙自身的安全性及稳定性 病毒及木马防范 访问控制 防火墙技术 工具介绍 个人防火墙设置 在Windows XP SP2中有自带的防火墙。 天网个人防护墙的设置。 费尔防火墙（免费） 天网防火墙的安装 天网防火墙-自定义IP规则 天网防火墙-应用程序使用情况 天网防火墙应用-防范病毒 防范冲击波病毒 冲击波病毒，它是利用WINDOWS系统的RPC服务漏洞以及开放的69、135、139、445、4444端口入侵。 防范冲击波病毒的设置-封4444端口 天网防火墙应用-防范木马 防范冰河木马 冰河，它使用的是UDP协议，默认端口为7626 防范冰河木马的设置-封7626端口 其他病毒及木马的防范可参照进行设置 打开端口—BT的应用 课后实验 天网/费尔防火墙的配置 小结 本章讨论了3种不同的网络防御技术： 访问控制技术 防火墙技术 病毒木马防范技术等 思考题 什么是访问控制列表 防火墙的原理及体系结构 机密性举例（下读/上写） 强制访问控制的信息流 自主/强制访问控制的问题 自主式太弱 强制式太强 二者的工作量太大，不便管理 例：1000个主体访问10000个客体，需1000万次配置。如果每次配置需1秒，每天工作8小时，就需 10，000，000/(3600*8)=347.2天 基于角色的访问控制 角色：指一个或一群用户在组织内可执行的操作的集合。 角色充当主体（用户）及客体之间关联的桥梁。这是及其他访问控制的区别所在 主体 角色 客体 角色及组的区别 组：用户集 角色：用户集+权限集 基于角色的访问控制（应用） 当前流行的数据库管理系统DBMS采用基于角色的访问控制。 Linux的访问控制 root用户权限 可以分配普通用户的账号，添加及删除普通用户 Linux有两个非常重要的文件： passwd文件：包括系统中所有用户的信息 shadow文件：存放口令 普通用户权限 ：Linux的普通用户之间的地位是平等的，把几个用户编组在一起，这些用户能够按照一个组的意义共享资源。一般的普通用户都在USER这个组中 。 /etc/group文件 Windows XP的访问控制 Windows XP中有几个及用户管理及控制有关的名词： 用户 组 域 本地用户 管理员 在windows XP有三种帐户 管理员帐户：创建