第五章 防火墙与反病毒技术.ppt

第五章 防火墙与反病毒技术 防火墙 概述 包过滤型和代理服务器型防火墙 防火墙的体系结构 局限性 病毒 一 防火墙－1 概述 1 概念 一 防火墙－1 概述 防火墙是一个位于被认为是安全和可信的内部网络与一个被认为是不那么安全和可信的外部网络(通常是Internet)之间的一个封锁工具，阻断来自外部通过网络对本网络的威胁和入侵，提供扼守本网络的安全和审计的唯一关卡。 简单的看成：过滤器＋安全策略 一 防火墙－1 概述 2 功能 （1）过滤不安全的服务 （2）过滤非法用户和站点访问控制 （3）集中式安全保护 （4）提供防御功能 （5）加密支持功能 （6）认证支持功能 （7）管理功能 （8）记录和报表功能 一 防火墙－1 概述 3 发展－四个阶段 基于路由器的防火墙 用户化防火墙工具套 建立在通用操作系统上的防火墙 具有安全操作系统的防火墙 一 防火墙－1 概述 防火墙采用的安全控制策略有两种： 一是没有被列为允许访问的服务都是禁止的； 二是没有被列为禁止的服务都是被允许的。 根据其在OSI参考模型中的位置不同，网络防火墙具有不同的类别 其中最常见的是工作在网络层的路由器级防火墙和工作在应用层的应用网关防火墙。 路由器级防火墙一般采用数据包过滤技术完成访问控制，也称包过滤防火墙或IP防火墙；应用网关级防火墙一般采用代理技术完成访问控制，也称应用代理防火墙。 按照访问控制所使用的技术分类，则可将防火墙分为三大类： 包过滤、 应用代理服务器（应用网关） 电路级网关防火墙。 电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息，这样来决定会话（Session）是否合法。 电路级网关通过在TCP握手过程中，检查双方的SYN，ACK和序列数据是否为合理逻辑，来判断该请求的会话是否合法。一旦该网关认为该会话是合法的，就为双方建立连接，自此，网关仅复制、传递数据，而不进行过滤。电路级网关通常需要依靠特殊的应用程序来进行复制传递数据的服务。 按照网络的拓扑结构分类， 双宿主主机结构防火墙 双宿主主机防火墙使用一个双宿主主机完成防火墙的功能 该主机至少有两个网络接口，一个连接内部网络，一个连接外部网络，故称为双宿主主机。 屏蔽主机结构防火墙 一个屏蔽路由器：采用包过滤的方式来实现访问控制 一个堡垒主机:内部网中能被因特网中的主机访问的唯一主机 屏蔽子网结构防火墙。 外部屏蔽路由器 内部屏蔽路由器 堡垒主机 在外部屏蔽路由器和内部屏蔽路由器之间形成一个非军事化区的子网，进一步将内部网络与外部Internet隔离开来，起屏蔽内部网络的作用，故称屏蔽子网防火墙。 堡垒主机 第一，使堡垒主机尽可能简单。第二，随时做好准备，修复受损害的堡垒主机。 堡垒主机并不需要一个速度很快的机器，处理速度中等就可以了 操作系统一般选用UNIX操作系统 堡垒主机上应保留尽可能少的用户帐号 在堡垒主机上还要尽量少的保留Internet服务 堡垒主机还需要关闭路由功能 一个安全缺口是IP包中的源路由选项 一 防火墙－2 包过滤型防火墙 1 概述 包过滤器是最原始的防火墙。 包过滤器根据每个包头部内的信息来决定是否要将包继续传输，从而增强安全性。理论上，包过滤器可以被配置为根据协议包头的任何部分进行判断，主要是： IP地址 协议类型 TCP/UDP头信息 分片字段 包过滤器通常可以使用路由器来实现 一 防火墙－2 包过滤型防火墙 2 包过滤技术的发展 (1)静态包过滤 这种类型的防火墙根据定义好的过滤规则审查每一个数据包，以便确定其是否与某一条过滤规则相匹配。 “最小特权原则” (2)动态包过滤 包状态监测技术:检测模块。 一 防火墙－2 包过滤型防火墙 3 包过滤规则 以表格的形式表示，又称访问控制列表，其中包括以某种次序排列的条件和动作序列。 一 防火墙－2 包过滤型防火墙 3 包过滤规则 包括以下信息： 接口和方向 包是流入还是离开网络，这些包通过哪种接口。 源和目的IP地址 检查包从何而来(源IP地址)、发往何处(目的IP地址)。 IP选项 检查所有选项字段，特别是要阻止源路由(source routing)。 高层协议 使用IP包的上层协议类型，例如TCP还是UDP。 TCP包的ACK位检查 这一字段可帮助确定是否有、及以何种方向建立连接。 ICMP的报文类型 可以阻止某些刺探网络信息的企图。 TCP和UDP包的源和目的端口 此信息帮助确定正在使用的是哪些服务。 一 防火墙－2 包过滤型防火墙 3 包过滤规则 包过滤的操作流程是： （1）对于包过滤的有关端口设置包过滤规则，并按一定的顺序存储； （2）当一个数据包到达过滤端口时，对其报头进行分析； （3）按