防火墙安全技术ppt84.pptVIP

8.2.8 个人防火墙 1.个人防火墙的基本功能 个人防火墙是一种能够保护个人计算机系统安全的软件，它可以直接在用户的计算机上运行，使用与状态/动态检测防火墙相同的方式来保护计算机免受攻击。个人防火墙是安装在计算机网络接口的较低级别上，用以监视传入传出网卡的所有网络通信。 一旦安装上个人防火墙，就可以把它设置成“学习模式”，这样的话，对遇到的每一种新的网络通信，个人防火墙都会提示用户一次，询问如何处理这种通信。然后个人防火墙便记住响应方式，并应用于以后遇到的相同网络通信。 例如，如果用户已经安装了一台个人Web服务器，个人防火墙可能将第一个传入的Web连接作上标志，并询问用户是否允许它通过。用户可能允许所有的Web连接、来自某些特定IP地址范围的连接等，个人防火墙然后把这条规则应用于所有传入的Web连接。 2.个人防火墙的优缺点 (1)优点 增加了保护级别，不需要额外的硬件资源。 个人防火墙除了可以抵挡外来攻击的同时，还可以抵挡内部的攻击。 (2)缺点 个人防火墙主要的缺点就是对公共网络只有一个物理接口。真正的防火墙应当监视并控制两个或更多的网络接口之间的通信。这样一来，个人防火墙本身容易受到威胁，或者说是具有这样一个弱点，网络通信可以绕过防火墙的规则进行。 8.2.9 智能防火墙 智能防火墙从技术特征上，是利用统计、记忆、概率和决策的智能方法来对数据进行识别，并达到访问控制的目的。 一个典型的例子可以说明智能防火墙对网络安全是很重要的。传统的防火墙对包的检查，就像对人的相貌的识别，采用图像识别一样。把一个人的相貌转换为图像，对图像的每一个像素进行记忆，然后进行匹配检查。通过检查上千万个像素之后，告诉你，这是谁。这就是智能识别。智能防火墙无须海量计算就可以轻松找到网络行为的特征值来识别网络行为，从而轻松的执行访问控制。 1.智能防火墙的关键技术 (1)防攻击技术 智能防火墙能智能识别恶意数据流量，并有效地阻断恶意数据攻击。智能防火墙可以有效地解决SYN Flooding，Land Attack，UDP Flooding，Fraggle Attack，Ping Flooding，Smurf，Ping of Death，Unreachable Host等攻击。防攻击技术还可以有效的切断恶意病毒或木马的流量攻击。 (2)防扫描技术 智能防火墙能智能识别黑客的恶意扫描，并有效地阻断或欺骗恶意扫描者。对目前已知的扫描工具如ISS，SSS，NMAP等扫描工具，智能防火墙可以防止被扫描。防扫描技术还可以有效地解决代表或恶意代码的恶意扫描攻击。 (3)防欺骗技术 智能防火墙提供基于MAC的访问控制机制，可以防止MAC欺骗和IP欺骗，支持MAC过滤，支持IP过滤。将防火墙的访问控制扩展到OSI的第二层。 (4)入侵防御技术 智能防火墙为了解决准许放行包的安全性，对准许放行的数据进行入侵检测，并提供入侵防御保护。入侵防御技术采用了多种检测技术，特征检测可以准确检测已知的攻击，特征库涵盖了目前流行的网络攻击；异常检测基于对监控网络的自学习能力，可以有效地检测新出现的攻击；检测引擎中还集成了针对缓冲区溢出等特定攻击的检测。智能防火墙完成了深层数据包监控，并能阻断应用层攻击。 (5)包擦洗和协议正常化技术 智能防火墙支持包擦洗技术，对IP，TCP，UDP，ICMP等协议的擦洗，实现协议的正常化，消除潜在的协议风险和攻击。这些方法对消除TCP/IP协议的缺陷和应用协议的漏洞所带来的威胁，效果显著。 2.智能防火墙的功能和特点 智能防火墙成功地解决了普遍存在的拒绝服务攻击的问题、病毒传播的问题和高级应用入侵的行为，代表着防火墙的主流发展方向。新一代的智能防火墙自身的安全性较传统的防火墙有很大的提高，在特权最小化、系统最小化、内核安全、系统加固、系统优化和网络性能最大化方面，与传统防火墙相比，有质的飞跃。 智能防火墙执行全访问的访问控制策略，而不是简单的过滤。基于对行为的识别，可以根据什么人、什么时间、什么地点、什么行为来执行访问控制，大大增强了防火墙的安全性，更聪明更智能。 智能防火墙具备集中网络管理平台，具备配置管理、性能管理、故障管理、安全管理、审计管理五大管理域。 智能防火墙提供网络实时监控功能。支持监控防火墙的性能如CPU、内存、网络和硬盘的使用率等信息。支持监控防火墙的状态，并实时报警。支持实时监控，包括性能监控、接口流量监控等。 智能防火墙提供对日志的监控，自动处理，人工或自动导出，数据库导入，查看，