[互联网]网络安全技术.ppt

* SSL的握手过程 * 8.6.3 基于SSL的Web安全访问 目前，大多数Web服务器（比如Apache、IIS）和浏览器（比如Navigator、IE）都支持SSL功能。 当浏览器和Web服务器之间建立SSL连接时，必须具备以下条件： 从可信任的证书颁发机构获取Web服务器证书。 Web服务器必须安装服务器证书。 在Web服务器上设置SSL选项。 客户端必须同Web服务器信任同一证书颁发机构。 * 8.7 防火墙 8.7.1 防火墙的基本概念和功能 8.7.2 防火墙的主要技术 8.7.3 防火墙的体系结构 8.7.4 防火墙的发展方向 * 8.7.1 防火墙的基本概念和功能 防火墙是由软件、硬件构成的系统，用来在两个网络之间实施访问控制策略。访问控制策略由使用防火墙的单位自行制订来适合本单位的需要。 防火墙内的网络称为“可信赖的网络”，而外部的因特网称为“不可信赖的网络”。 防火墙可用来解决内联网和外联网的安全问题。 * 防火墙在网络中的位置 * 防火墙的安全特性 所有的通信，无论是从内部到外部还是从外部到内部的，都必须经过防火墙。 只有被授权的通信才能通过防火墙，这些授权将在本地安全策略中规定。不同类型的防火墙实现不同的安全策略。 防火墙自身具有高可靠性，能对“渗透”免疫。这意味着防火墙应该是具有安全操作系统特性的可信系统，自身能够抵抗各种攻击。 * 防火墙的主要功能 通过强制实施统一的安全策略，简化安全管理的复杂程度。 记录和统计网络上的非法活动，根据统计数据来判断可能的攻击和探测，实现审计和报警功能。 可部署网络地址转换技术，缓解地址空间短缺或隐藏内部网络结构。 可增强网络的保密性，使用防火墙来禁止易受攻击的服务。 隔离网段，限制安全问题的扩散。 * 防火墙的不足 对绕过它的攻击无能为力。 不能防范内部网络的攻击。 不能防范全新的网络威胁，无法阻止数据驱动式攻击，不能完全防止感染病毒的软件或文件。 防火墙无法有效地解决自身的安全问题。 防火墙无法做到安全与速度的同步提高。 防火墙是静态的安全技术, 需要人工来实施和维护, 不能提供实时的入侵检测能力。 * 8.7.2 防火墙的主要技术 根据防火墙在网络协议栈中过滤的层次不同，防火墙系统可以分成不同的类型。 一般来说，防火墙工作的层次越高，检查数据报的信息越多，消耗的处理时间越多，提供的安全保护的等级就越高。 常见的防火墙有: 路由器级防火墙：工作在网络层，一般采用包过滤（Packet Filtering）技术。 网关级防火墙：工作在应用层，一般采用代理服务（Proxy Service）技术。 * 包过滤技术和代理服务技术 包过滤技术——依据系统事先设定的过滤逻辑（通常称为访问控制表，即Access Control List），通过检查包地址、协议、端口等信息来决定是否允许通过网络。 代理服务技术——从应用程序来进行访问控制，允许或拒绝特定的应用程序或某个特定功能。通常使用应用网关或代理服务器来区分各种应用。例如，可以只允许通过访问万维网的应用，而阻止 FTP 应用的通过。 * 包过滤技术 使用包过滤技术的防火墙也称为包过滤防火墙，由于其工作在网络层，又称为网络层防火墙。 一般在一个多端口的IP层路由器上实现，通过制定一套过滤规则，在转发分组之前对每个IP数据报，根据过滤规则实现分组过滤，丢弃一切不符合过滤规则的分组。 检查内容：IP源地址和目标地址、协议类型（TCP包、UDP包和ICMP包） 、 TCP或UDP包的源和目的端口、 ICMP消息类型、 TCP包头的ACK位、 TCP包的序列号等。 * 包过滤规则例子 规则号 方向 源地址 目的 地址 协议 源端口 目的 端口 ACK 动作 1 出 内部 任意 TCP 1023 23 任意 允许 2 入 任意 内部 TCP 23 1023 1 允许 3 双向 任意 任意 任意 任意 任意 任意 禁止 * 包过滤技术的优缺点 优点:结构和实现比较简单。 缺点: 包过滤规则不容易维护和配置； 只检查地址和端口，容易造成数据驱动式攻击的潜在危险，不能理解特定服务的上下文环境； 没有记录功能，无法了解过滤规则存在的漏洞； 有些协议使用包过滤方式的效果不明显； 对于包中所含的文件内容无法过滤； 无法做到用户级别的身份认证和访问控制。 * 代理服务技术 是安全性较高的一种技术。它从应用程序级来进行访问控制。使用这种技术的防火墙又称为应用代理防火墙。 一般针对某一特定应用，由用户端的代理客户和防火墙端的代理服务两部分组成，代理客户对原应用客户改造，使其与防火墙交互，代理服务代用户向应用服务器提交请求，并将结果返回给用户，用户和服务器之间不会由直接的IP分组交换。 代理服务器工作在应用层，能理解应