第5讲 防火墙与入侵检测.ppt

第5讲 防火墙与入侵检测 主要内容 防火墙 防火墙的基本概念 常见防火墙类型 如何使用规则集实现防火墙。 入侵检测技术 入侵检测系统的基本概念 入侵检测的常用方法 防火墙的定义 防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋 防火墙的定义 网络安全中的防火墙不是指为了防火而造的墙，而是指隔离在本地网络与外界网络之间的一道防御系统。 在互联网上，防火墙是一种非常有效的网络安全系统，通过它可以隔离风险区域（Internet或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问， 防火墙的功能 根据不同的需要，防火墙的功能有比较大差异，但是一般都包含以下三种基本功能。 可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户 防止入侵者接近网络防御设施 限制内部用户访问特殊站点 由于防火墙假设了网络边界和服务，因此适合于相对独立的网络，例如Intranet等种类相对集中的网络。Internet上的Web网站中，超过三分之一的站点都是有某种防火墙保护的，任何关键性的服务器，都应该放在防火墙之后。 防火墙的必要性 随着世界各国信息基础设施的逐渐形成，国与国之间变得“近在咫尺”。 Internet已经成为信息化社会发展的重要保证。已深入到国家的政治、军事、经济、文教等诸多领域。许多重要的政府宏观调控决策、商业经济信息、银行资金转帐、股票证券、能源资源数据、科研数据等重要信息都通过网络存贮、传输和处理。 因此，难免会遭遇各种主动或被动的攻击。例如信息泄漏、信息窃取、数据篡改、数据删除和计算机病毒等。因此，网络安全已经成为迫在眉睫的重要问题，没有网络安全就没有社会信息化 防火墙的局限性 防火墙不能防范网络内部的攻击 如防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。 防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予其临时的网络访问权限。 防火墙不能防止传送己感染病毒的软件或文件，不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。 防火墙的分类 分组过滤防火墙 分组过滤（Packet Filtering）：作用在协议组的网络层和传输层，根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余的数据包则从数据流中丢弃。 应用代理防火墙 应用代理（Application Proxy）：也叫应用网关（Application Gateway），它作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。 分组过滤防火墙 数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃数据包。 通常情况下，如果规则中没有明确允许指定数据包的出入，那么数据包将被丢弃 一个可靠的分组过滤防火墙依赖于规则集，下表列出了几条典型的规则集。 第一条规则：主机任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过。 第二条规则：任何主机的20端口访问主机的任何端口，基于TCP协议的数据包允许通过。 第三条规则：任何主机的20端口访问主机小于1024的端口，如果基于TCP协议的数据包都禁止通过。 应用代理防火墙 应用代理（Application Proxy）是运行在防火墙上的一种服务器程序，防火墙主机可以是一个具有两个网络接口的双重宿主主机，也可以是一个堡垒主机。 代理服务器被放置在内部服务器和外部服务器之间，用于转接内外主机之间的通信，它可以根据安全策略来决定是否为用户进行代理服务。 代理服务器运行在应用层，因此又被称为“应用网关”。 常见防火墙系统模型 包过滤防火墙模型 单宿主堡垒主机（屏蔽主机防火墙）模型 双宿主堡垒主机模型（屏蔽防火墙系统模型） 屏蔽子网模型 包过滤防火墙模型 包过滤防火墙模型是网络的第一道防线，功能是实施包过滤。 创建相应的过滤策略时对工作人员的TCP/IP的知识有相当的要求，如果筛选路由器被黑客攻破那么内部网络将变的十分的危险。该防火墙不能够隐藏你的内部网络的信息、不具备监视和日志记录功能。 内部网络的所有出入都必须通过过滤路由器，路由器审查每个数据包，根据过滤规则决定允许或拒绝流动的数据 典型的包过滤防火墙模型如图 包过滤防火墙的优点 容易实现 如果在内部网络与外界之间已有一台路由器，那么只需简单地加一个包过滤软件进去，就可以实现网络保护。事实上，现在标准的路由器软件中都包含有包过滤功能。 采用