[电脑基础知识]第五章 防火墙与反病毒技术.ppt

第五章 防火墙与反病毒技术 防火墙 概述 包过滤型和代理服务器型防火墙 防火墙的体系结构 局限性 病毒 一 防火墙－1 概述 1 概念 一 防火墙－1 概述 防火墙是一个位于被认为是安全和可信的内部网络与一个被认为是不那么安全和可信的外部网络(通常是Internet)之间的一个封锁工具，阻断来自外部通过网络对本网络的威胁和入侵，提供扼守本网络的安全和审计的唯一关卡。 简单的看成：过滤器＋安全策略 一 防火墙－1 概述 2 功能 （1）过滤不安全的服务 （2）过滤非法用户和站点访问控制 （3）集中式安全保护 （4）提供防御功能 （5）加密支持功能 （6）认证支持功能 （7）管理功能 （8）记录和报表功能 一 防火墙－1 概述 3 发展－四个阶段 基于路由器的防火墙 用户化防火墙工具套 建立在通用操作系统上的防火墙 具有安全操作系统的防火墙 一 防火墙－1 概述 防火墙采用的安全控制策略有两种： 一是没有被列为允许访问的服务都是禁止的； 二是没有被列为禁止的服务都是被允许的。 根据其在OSI参考模型中的位置不同，网络防火墙具有不同的类别 其中最常见的是工作在网络层的路由器级防火墙和工作在应用层的应用网关防火墙。 按照访问控制所使用的技术分类，则可将防火墙分为三大类： 包过滤、 应用代理服务器（应用网关） 电路级网关防火墙。 电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息，这样来决定会话（Session）是否合法。 电路级网关通过在TCP握手过程中，检查双方的SYN，ACK和序列数据是否为合理逻辑，来判断该请求的会话是否合法。一旦该网关认为该会话是合法的，就为双方建立连接，自此，网关仅复制、传递数据，而不进行过滤。电路级网关通常需要依靠特殊的应用程序来进行复制传递数据的服务。 按照网络的拓扑结构分类， 双宿主主机结构防火墙 屏蔽主机结构防火墙 屏蔽子网结构防火墙。 一 防火墙－2 包过滤型防火墙 1 概述 包过滤器是最原始的防火墙。 包过滤器根据每个包头部内的信息来决定是否要将包继续传输，从而增强安全性。理论上，包过滤器可以被配置为根据协议包头的任何部分进行判断，主要是： IP地址 协议类型 TCP/UDP头信息 分片字段 包过滤器通常可以使用路由器来实现 一 防火墙－2 包过滤型防火墙 2 包过滤技术的发展 (1)静态包过滤 这种类型的防火墙根据定义好的过滤规则审查每一个数据包，以便确定其是否与某一条过滤规则相匹配。 “最小特权原则” (2)动态包过滤 包状态监测技术:检测模块。 一 防火墙－2 包过滤型防火墙 3 包过滤规则 以表格的形式表示，又称访问控制列表，其中包括以某种次序排列的条件和动作序列。 一 防火墙－2 包过滤型防火墙 3 包过滤规则 包括以下信息： 接口和方向 包是流入还是离开网络，这些包通过哪种接口。 源和目的IP地址 检查包从何而来(源IP地址)、发往何处(目的IP地址)。 IP选项 检查所有选项字段，特别是要阻止源路由(source routing)。 高层协议 使用IP包的上层协议类型，例如TCP还是UDP。 TCP包的ACK位检查 这一字段可帮助确定是否有、及以何种方向建立连接。 ICMP的报文类型 可以阻止某些刺探网络信息的企图。 TCP和UDP包的源和目的端口 此信息帮助确定正在使用的是哪些服务。 一 防火墙－2 包过滤型防火墙 3 包过滤规则 包过滤的操作流程是： （1）对于包过滤的有关端口设置包过滤规则，并按一定的顺序存储； （2）当一个数据包到达过滤端口时，对其报头进行分析； （3）按规则存储顺序依次取出每条规则对数据包进行检查； （4）如果一条规则阻塞传送或接收一个数据包，则不允许这个包通过； （5）如果一条规则允许传送或接收一个数据包，则允许这个包通过； （6）?如果一条包不符合任何一条规则，则这个包被阻塞。 上述操作流程的顺序很重要， 上述规则（6）所遵守的原则是：未被明确允许的将被禁止，也即“最小特权原则”。 一 防火墙－2 包过滤型防火墙 4包过滤的设置 配置包过滤有三步： （1）必须知道什么是应该和不应该被允许的，即必须制定一个安全策略。 （2）必须正式规定允许的包类型、包字段的逻辑表达。 （3）必须用防火墙支持的语法重写表达式。 4包过滤的设置 按地址过滤 下面是一个最简单的数据包过滤方式，它按照源地址进行过滤。 如认为网络是一个危险的网络，那么就可以用源地址过滤,禁止内部主机和该网络进行通信。 4包过滤的设置 按服务过滤 例如，假设安全策略是禁止外部主机访问内部的E-mail服务器(SMTP，端口25)，允许内部主机访问外部主机。 无疑按服务过滤的安