cisp2-防火墙.ppt

Title 版本： 编号： 日期：2003年 中国信息安全产品测评认证中心（CNITSEC） 抗IP假冒攻击 IP假冒是指一个非法的主机假冒内部的主机地址，骗取服务器的“信任”，从而达到对网络的攻击目的。由于第四代防火墙知道网络内外的IP地址，它会丢弃所有来自网络外部但却有内部地址的分组，再之防火墙已将网内的实际地址隐蔽起来，外部用户很难知道内部的IP地址，因而难以攻击。 第四代防火墙的抗攻击能力(cont.) 抗特洛伊木马攻击 特洛伊木马能将病毒或破坏性程序传入计算机网络，且通常是将这些恶意程序隐蔽在正常的程序，尤其是热门程序或游戏之中，一些用户下载并执行这一程序，其中的病毒便会发作。第四代防火墙是建立在安全的操作系统之上的，其安全内核中不能执行下载的程序，故而可防止特洛伊木马的发生。必须指出的是，防火墙能抗特洛伊木马的攻击并不表明受其保护的某个主机也能防止这类攻击。事实上，内部用户可通过防火墙下载程序，并执行下载的程序。 第四代防火墙的抗攻击能力(cont.) 抗口令字探寻攻击 在网络中探寻口令字的方法很多，最常见的是口令字嗅探和口令字解密。嗅探是通过监测网络通信，截获用户传给服务器的口令字，记录下来，以便使用；解密是指采用强力攻击、猜测或截获含有加密口令字的文件，并设法解密。此外，攻击者还常常利用一些常用口令字直接登录。 第四代防火墙采用了一次性口令字和禁止直接登录防火墙的措施，能有效防止对口令字的攻击。 第四代防火墙的抗攻击能力(cont.) 抗网络安全性分析 网络安全性分析工具本是供管理人员分析网络安全性之用的，一旦这类工具用作攻击网络的手段，则能较方便地探测到内部网络的安全缺陷和弱点所在，目前，SATAN软件可以从网上免费获得，Internet Scanner 可从市面上购买，这些分析工具给网络安全构成了直接威胁。第四代防火墙采用了地址转换技术，将内部网络隐蔽起来，使网络安全分析工具无法从外部对内部网作分析。 第四代防火墙的抗攻击能力(cont.) 抗邮件诈骗攻击 邮件诈骗也是越来越突出的攻击方式，第四代防火墙不接收任何邮件，故难以采用这种方式对它攻击，同样值得一提的是，防火墙不接受邮件，并不表示它不让邮件通过，实际上用户仍可收发邮件，内部用户要防邮件诈骗，最终的解决办法是对邮件加密。 第四代防火墙的抗攻击能力(cont.) 对防火墙技术的展望： 几点趋势 防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展； 过滤深度不断加强,从目前的地址、服务过滤，发展到 URL（页面）过滤，关键字过滤和对Active X、Java等的过滤，并逐渐有病毒扫除功能。 单向防火墙（又叫网络二极管）将作为一种产品门类而出现； 利用防火墙建立专用网(VPN)是较长一段时间的用户使用的主流，IP的加密需求越来越强，安全协议的开发是一大热点； 对网络攻击的检测和告警将成为防火墙的重要功能； 安全管理工具不断完善，特别是可疑活动的日志分析工具等将成为防火墙产品中的一部分。 对防火墙技术的展望： 几点趋势(cont.) 对防火墙技术的展望：需求的变化 根据上述趋势，人们选择防火墙的标准将集 中在以下几个方面： 易于管理性； 应用透明性； 鉴别与加密功能； 操作环境和硬件要求； VPN的功能与CA的功能； 接口的数量； 成本。 Linux IP防火墙及其原理简介 常见防火墙的配置模式 常见防火墙的基本工作总结 Linux内核防火墙 Linux从1.1版本内核开始支持包过滤 从2.2内核开始使用ipchains 从2.4内核开始使用iptables Iptables支持包过滤 Iptables还支持NAT 在iptables中，执行包过滤的是netfilter iptables结构 netfilter table1 table2 table3 … … chains1 chains2 chains3 … … rule1 rule2 … … iptables工作流程 incoming 路由选择 本地进程 outcoming Input Output Forward 默认的三条防火链 iptables语法使用 显示链中规则 - L 添加一条规则 –A 删除一条规则 –D 插入一条规则 –I 替换一条规则 -R 改变默认链中的规则 –P 清除所有链中规则 –F 执行动作 –j 可引发 REJECT/ACCEPT/DROP/REDIRECT等 iptables –t 表–A(D) 链 –p 协议 –s 源地址 --sport 源端口 –d 目的地址 --dport 目的端口 –j 动作 iptables实例 实现NAT iptables -