计算机安全与保密技术幻灯片.ppt

* 2．防火墙的基本功能（补充） （1）防火墙能够强化安全策略 （2）防火墙能有效地记录因特网上的活动 （3）防火墙限制暴露用户点 （4）防火墙是一个安全策略的检查站 3．防火墙的不足之处（补充） （1）不能防范恶意的知情者 （2）防火墙不能防范不通过它的连接 （3）防火墙不能防备全部的威胁 （4）防火墙不能防范病毒 8.1.2 数据包过滤 防火墙通常是一个具备包过滤功能的简单路由器，支持因特网安全。这是使因特网联接更加安全的一种简单方法，因为包过滤是路由器的固有属性。 包是网络上信息流动的单位。在网上传输的文件一般在发出端被划分成一串数据包，经过网上的中间站点，最终传到目的地，然后这些包中的数据又重新组成原来的文件。 每个包有两个部分：数据部分和包头。包头中含有源地址和目标地址等信息。 包过滤一直是一种简单而有效的方法。通过拦截数据包，读出并拒绝那些不符合标准的包头，过滤掉不应入站的信息。 每个数据包都包含有特定信息的一组报头，其主要信息是： （1）IP协议类型（TCP、UDP，ICMP等）； （2）IP源地址； （3）IP目标地址； （4）IP选择域的内容； （5）TCP或UDP源端口号； （6）TCP或UDP目标端口号； （7）ICMP消息类型。 路由器也会得到一些在数据包头部信息种没有得到的关于数据包得其他信息。 * 过滤路由器放置在内部网络与因特网之间，作用为： （l）过滤路由器将担负更大的责任，它不但需要执行转发及确定转发的任务，而且它是唯一的保护系统； （2）如果安全保护失败（或在侵袭下失败），内部的网络将被暴露； （3）简单的过滤路由器不能修改任务； （4）过滤路由器能容许或否认服务，但它不能保护在 一个服务之内的单独操作。如果一个服务没有提供安全的操作要求，或者这个服务由不安全的服务器提供，数据包过滤路由器则不能保护它。 8.1.3 代理服务 代理服务是运行在防火墙主机上的一些特定的应用程序或者服务程序。防火墙主机可以是有一个内部网络接口和一个外部网络接口的双重宿主主机，也可以是一些可以访问因特网并可被内部主机访问的堡垒主机。这些程序接受用户对因特网服务的请求（诸如文件传输FTP和远程登录Telnet等），并按照安全策略转发它们到实际的服务。所谓代理就是一个提供替代连接并且充当服务的网关。代理也称之为应用级网关。 代理服务位于内部用户（在内部的网络上）和外部服务（在因特网上）之间。代理在幕后处理所有用户和因特网服务之间的通信以代替相互间的直接交谈。 8.1.4 防火墙体系结构 1．双重宿主主机体系结构 双重宿主主机体系结构是围绕具有双重宿主的主体计算机而构筑的。该计算机至少有两个网络接口，这样的主机可以充当与这些接口相连的网络之间的路由器，并能够从一个网络到另一个网络发送IP数据包。 防火墙内部的网络系统能与双重宿主主机通信，同时防火墙外部的网络系统（在因特网上）也能与双重宿主主机通信。通过双重宿主主机，防火墙内外的计算机便可进行通信了，但是这些系统不能直接互相通信，它们之间的IP通信被完全阻止。 * 1 双重宿主主机的防火墙体系结构是相当简单的，双重宿主主机位于两者之间，并且被连接到因特网和内部的网络。上图显示这种体系结构。 * 1 2．主机过滤体系结构 在主机过滤体系结构中提供安全保护的主机仅仅与内部网相连。另外，主机过滤结构还有一台单独的路由器（过滤路由器）。在这种体系结构中，主要的安全由数据包过滤提供，其结构如上图所示。 3．子网过滤体系结构 子网过滤体系结构添加了额外的安全层到主机过滤体系结构中，即通过添加参数网络，更进一步地把内部网络与因特网隔离开。 子网过滤体系结构的最简单的形式为两个过滤路由器，每一个都连接到参数网，一个位于参数网与内部的网络之间，另一个位于参数网与外部网络之间。 * 1 （1）参数网络 参数网络是在内外部网之间另加的一层安全保护网络层。如果入侵者成功地闯过外层保护网到达防火墙，参数网络就能在入侵者与内部网之间再提供一层保护。 如果入侵者仅仅侵入到参数网络的堡垒主机，他只能偷看到这层网络（参数网络）的信息流（看不到内部网的信息），而这层网络的信息流仅从参数网络往来于外部网或者从参数网络往来于堡垒主机。因为没有纯粹的内部信息流（内部主机间互传的重要和敏感的信息）在参数网络中流动，所以即使堡垒