网络安全与网络编程.pptVIP

学习情境六 网络安全与网络编程 项目13 防火墙的配置 项目1 双机互连对等网络的组建 13.1 项目提出 在目前网络受攻击案件数量直线上升的情况下，用户随时都可能遭到各种恶意攻击。 张飞近期备受计算机病毒的骚扰，虽然了安装了反病毒软件，但还是存在很多安全隐患，如上网账号被窃取、冒用、银行账号被盗用、电子邮件密码被修改、财务数据被利用、机密档案丢失、隐私曝光等。 为了进一步提高计算机及网络的安全性，张飞请诸葛亮帮助安装一款防火墙软件，并合理设置一些安全规则，拦截一些来历不明、有害敌意访问或攻击行为，消除安全隐患。 13.2 项目分析 网络的发展虽然为人们带来了许多方便，可也带来了很多隐患。随着网络的普及，病毒、木马、网络攻击等安全事故层出不穷，安装一款好的防火墙软件必不可少。 Windows系统自带了防火墙，能满足一般用户的需要。用Internet Explorer、Outlook Express等Windows系统自带的程序进行网络连接，Windows防火墙是默认不干预的。 Windows 防火墙能限制从其他计算机发送来的信息，使用户可以更好地控制自己计算机上的数据，并针对那些未经邀请而尝试连接的用户或程序(包括病毒和蠕虫)提供了一条安全防线。 在微软管理控制台(MMC)中，添加“IP安全策略管理”后，通过“IP筛选器表”和“IP筛选器操作”，创建IP安全策略，阻止或许可特定的网络连接，完成自建简易的防火墙。 用得较多的还是第三方防火墙软件，如天网防火墙软件等。天网防火墙软件是一款网络安全程序，根据用户设定的安全规则把守网络，提供强大的访问控制、信息过滤等功能，从而抵御网络入侵和攻击，防止信息泄露。 天网防火墙把网络分为本地网和互联网，可针对来自不同网络的信息，来设置不同的安全方案，适合于任何方式上网的用户。 13.3 相关知识点 13.3.1 防火墙概述 传统情况下，当构筑和使用木结构房屋的时候，为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物被称为防火墙(FireWall)。 如今，人们借助这个概念，使用“防火墙”来保护敏感的数据不被窃取和篡改。不过，这种防火墙是由先进的计算机系统构成的。 防火墙犹如一道护栏隔在被保护的内部网与不安全的非信任网络之间，用来保护计算机网络免受非授权人员的骚扰与黑客的入侵。 防火墙可以是非常简单的过滤器，也可能是精心配置的网关，但它们的原理是一样的，都是监测并过滤所有内部网和外部网之间的信息交换。 防火墙通常是运行在一台单独计算机之上的一个特别的服务软件，它可以识别并屏蔽非法的请求，保护内部网络敏感的数据不被偷窃和破坏，并记录内外网通信的有关状态信息日志，如通信发生的时间和进行的操作等。 防火墙技术是一种有效的网络安全机制，它主要用于确定哪些内部服务允许外部访问，以及允许哪些外部服务访问内部服务。其基本准则就是：一切未被允许的就是禁止的；一切未被禁止的就是允许的。 防火墙应该是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力，是提供信息安全服务，实现网络和信息安全的基础设施。 在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，它能有效监控内部网和外部网之间的任何活动，保证了内部网络的安全。其结构如图13-1所示。 防火墙具有如下作用： ① 防火墙是网络安全的屏障。由于只有经过精心选择的应用协议才能通过防火墙，所以防火墙(作为阻塞点、控制点)能极大地提高内部网络的安全性，并通过过滤不安全的服务而降低风险，使网络环境变得更安全。 ② 防火墙可以强化网络安全策略。通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。 ③ 对网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到探测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。 ④ 防止内部信息的外泄。通过利用防火墙对内部网络的划分，可实现对内部网络重点网段的隔离，从而限制局部重点或敏感网络安全问题对全局网络造成的影响。 再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节的服务。 防火墙也有局限性，存在着一些防火墙不能防范的安全威胁， 如防火墙不能防范不经过防火墙的攻击(例如，如果允许从受保护的