网络安全第2讲幻灯片.ppt

屏蔽子网 是最安全的防火墙系统，它在内部网络和外部网络之间建立一个被隔离的子网（非军事区，DMZ（Demilitarized Zone）） 在很多实现中，两个分组过滤路由器放在子网的两端，内部网络和外部网络均可访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信 通常将堡垒主机、各种信息服务器等公用服务器放于DMZ中 堡垒主机通常是黑客集中攻击的目标，如果没有DMZ，入侵者控制堡垒主机后就可以监听整个内部网络的会话 防火墙的实现技术 2.4 1 代理服务（Proxy Service） 2 状态检测（Stateful Inspection） 3 网络地址转换（Network Address Translation ） 4 数据包过滤（Packet Filtering） 数据包过滤（1/6） 应用层 表示层 会话层 传输层 数据链路层 物理层 路由器 应用层 表示层 会话层 传输层 数据链路层 物理层 网络层 网络层 数据链路层 物理层 数据包过滤（2/6） 数据包过滤技术是一种简单、高效的安全控制技术，是防火墙发展初期普遍采用的技术。 工作原理： 系统在网络层检查数据包，与应用层无关。 依据在系统内设置的过滤规则（通常称为访问控制表——Access Control List）对数据流中每个数据包包头中的参数或它们的组合进行检查，以确定是否允许该数据包进出内部网络。 数据包过滤（3/6） 包过滤一般要检查（网络层的IP头和传输层的头）： IP源地址 IP目的地址 协议类型（TCP包/UDP包/ICMP包） TCP或UDP的源端口 TCP或UDP的目的端口 ICMP消息类型 TCP报头中的ACK位 数据包过滤（4/6） 举例： 某条过滤规则为：禁止地址1的任意端口到地址2的80端口的TCP包。 含义？ 表示禁止地址1的计算机连接地址2的计算机的WWW服务。 包过滤器的工作流程：P122 图4-15 数据包过滤（5/6） 优点： 逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好。 主要缺点： 安全控制的力度只限于源地址、目的地址和端口号等，不能保存与传输或与应用相关的状态信息，因而只能进行较为初步的安全控制，安全性较低； 数据包的源地址、目的地址以及端口号等都在数据包的头部，很有可能被窃听或假冒。 注意： ① 创建规则比较困难； ② 规则过于复杂并难以测试，必须要用手工或用仪器才能彻底检测规则的正确性； ③ 对特定协议包的过滤： FTP协议：使用两个端口，因此要作特殊的考虑； UDP协议：要对UDP数据包进行过滤，防火墙应有动态数据包过滤的特点；（P122） ICMP协议：应根据ICMP的类型进行过滤。 数据包过滤（6/6） 代理服务（1/4） 应用层 表示层 会话层 传输层 数据链路层 物理层 应用层 表示层 会话层 传输层 数据链路层 物理层 网络层 Telnet HTTP FTP 应用层 表示层 会话层 传输层 数据链路层 物理层 网络层 网络层 代理服务（2/4） 是运行于连接内部网络与外部网络的主机（堡垒主机）上的一种应用，是一种比较高级的防火墙技术。 工作过程：（举例：P125） 当用户需要访问代理服务器另一侧的主机时，对符合安全规则的连接，代理服务器会代替主机响应，并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后，内部主机同外部主机之间的通信将通过代理程序把相应连接进行映射来实现。对于用户而言，似乎是直接与外部网络相连。 代理服务（3/4） 主要优点： 内部网络拓扑结构等重要信息不易外泄，从而减少了黑客攻击时所必需的必要信息； 可以实施用户认证、详细日志、审计跟踪和数据加密等功能和对具体协议及应用的过滤，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹，安全性较高。 代理服务（4/4） 主要缺点： ① 针对不同的应用层协议必须有单独的应用代理，也不能自动支持新的网络应用； ② 有些代理还需要相应的支持代理的客户和服务器软件；用户可能还需要专门学习程序的使用方法才能通过代理访问Internet； ③ 性能下降。 思考：该技术主要应用于什么场合？ 状态检测（1/5） 物理层 引擎 检测 动态状态表 应用层 表示层 会话层 传输层 数据链路层 物理层 网络层 应用层 表示层 会话层 传输层 数据链路层 网络层 应用层 表示层 会话层 传输层 数据链路层 物理层 网络层 状态检测（2/5） 状态检测防火墙是在动态包过滤的基础上，增加了状态检测机制而形成的； 动态包过滤与普通包过滤相比，需要多做一项工作：对外出数据包的“身份”做一个标记，允许相同连接的进入数据包通过。（例：P123