信息安全导论（52 网络安全－防火墙、入侵检测、反病毒）.pptxVIP

网络安全技术防火墙技术入侵检测技术反病毒技术第一部分 防火墙技术1 防火墙的作用2 防火墙技术原理3 防火墙的体系结构4 基于防火墙的VPN技术1 防火墙的作用防火墙是一种由软件或硬件设备组合而成的装置，通常处于企业的内部局域网与Internet之间，限制Internet用户对内部网络的访问以及管理内部用户访问外界的权限1 防火墙的作用防火墙能有效地控制内部网络与外部网络之间的访问及数据传送，从而达到保护内部网络的信息不受外部非授权用户的访问，并过滤不良信息的目的。1 防火墙的作用一个好的防火墙系统应具备以下三方面的条件：内部和外部之间的所有网络数据流必须经过防火墙。否则就失去了防火墙的主要意义了。只有符合安全策略的数据流才能通过防火墙。这也是防火墙的主要功能－－－审计和过滤数据。防火墙自身应对渗透(penetration)免疫。如果防火墙自身都不安全，就更不可能保护内部网络的安全了。1 防火墙的作用防火墙由四大要素组成：安全策略是一个防火墙能否充分发挥其作用的关键。哪些数据可以（或不可以）通过防火墙；防火墙应该如何部署；应该采取哪些方式来处理紧急的安全事件；以及如何进行审计和取证的工作，等等，这些都属于安全策略内部网：需要受保护的网。外部网：需要防范的外部网络。技术手段：具体的实施技术。防火墙的优点1．集中的安全管理，强化网络安全策略，经济易行。2．防止非授权用户进入内部网络。3．可以方便地监视网络的安全性并报警。4．利用NAT技术，可以缓解地址空间的短缺，隐藏内部网的结构。5．实现重点网段的分离，限制安全问题的扩散。6．审计和记录网络的访问和使用的最佳地方。防火墙存在的缺陷和不足为了提高安全性，限制或关闭了一些有用但存在安全缺陷的网络服务，但这些服务也许正是用户所需要的服务，给用户带来使用的不便。防火墙只对内外网之间的通信进行审计和“过滤”，但对于内部人员的恶意攻击，防火墙无能为力。防火墙不能防范绕过防火墙的攻击，如内部网用户通过拨号上网直接进入Internet。防火墙对用户不完全透明，可能带来传输延迟、瓶颈及单点失效。防火墙也不能完全防止受病毒感染的文件或软件的传输，由于病毒的种类繁多，如果要在防火墙完成对所有病毒代码的检查，防火墙的效率就会降到不能忍受的程度。防火墙不能有效地防范数据驱动式攻击。防火墙不可能对所有主机上运行的文件进行监控，无法预计文件执行后所带来的结果作为一种被动的防护手段，防火墙不能防范因特网上不断出现的新的威胁和攻击。2 防火墙技术原理防火墙的技术主要有包过滤技术代理技术状态检测技术地址翻译技术内容检查技术其他技术2.1 包过滤技术包过滤型防火墙在网络中适当的位置对数据包实施有选择的通过选择依据：系统内设置过滤规则（通常称为访问控制列表），只有满足过滤规则的数据包才被转发到相应的网络接口，其余数据包则被丢弃。包过滤的概念包过滤一般要检查下面几项：IP源地址IP目的地址协议类型（TCP包、UDP包和ICMP包）TCP或UDP的源端口TCP或UDP的目的端口ICMP消息类型TCP报头的ACK位包过滤的设置设置步骤必须知道什么是应该和不应该被允许的，必须制订一个安全策略必须正式规定允许的包类型、包字段的逻辑表达必须用防火墙支持的语法重写表达式按地址过滤包过滤路由器检查包头的信息，与过滤规则进行匹配，决定是否转发该数据包按服务过滤根据安全策略决定是允许或者拒绝某一种服务，比如：禁止外部主机访问内部的Email服务器包过滤的优点处理包的速度比代理服务器快只需要很小的开销，因此屏蔽设备的性能不会受很多影响几乎不需要额外费用一般的路由器都有配套的包过滤功能，不需要额外购买相应的包过滤软件，因而包过滤技术相当便宜甚至是免费的对用户是透明的用户基本上觉察不出包过滤的存在，它是在路由器上对进出数据包进行过滤。对于用户端来说是透明的包过滤的缺点防火墙维护比较困难，需要管理员具备一定的专业知识只能阻止一种IP欺骗即外部主机伪装成内部主机的IP，对于外部主机伪装成其他可信任主机的IP不可能阻止。无法抵抗数据驱动式攻击部分包过滤防火墙不支持有效的用户认证不可能提供有用的日志影响路由器的吞吐量无法对网络上的信息提供全面的控制2.2 代理技术代理技术（应用层网关技术）代理技术与包过滤技术完全不同，包过滤技术是在网络层拦截所有的信息流，代理技术是针对每一个特定应用都有一个程序代理是企图在应用层实现防火墙的功能。代理能提供部分与传输有关的状态，能完全提供与应用相关的状态和部分传输方面的信息，代理也能处理和管理信息。 代理防火墙的优点易于配置，界面友好；不允许内外网主机的直接连接；可以提供比包过滤更详细的日志记录；可以隐藏内部IP地址；可以给单个用户授权；可以为用户提供透明的加密机制；可以与认证、授权等安全手段方便的集成代理防火墙的缺点