课件：防火墙与反病毒技术.ppt

* 组件：带有特殊功能的网络互连设备（硬件、软件皆可） 在可信网与不安全网之间，可以通过防火墙设置一个唯一通道，要求所有进出内部网的数据流都必须在防火墙的位置进行检查（能不能实现，是另外一个问题） * 屏障：保护内部网络的安全，屏蔽掉外部的恶意信息流。而且网络管理员可以针对不同的用户开放不同的服务，也就是能自由地设置各个用户的不同访问权限。 过滤：可以在双向上提供对数据流的控制 集中式安全保护：非军事化区 阻断攻击：防火墙是一种被动防御的保护装置，需要通过预先设置一定的策略，来阻止网络的攻击，还无法实现自动添加防御策略的功能。 联动技术：防火墙与其它的网络安全设备共同作用，来对特定的网络攻击实现阻断功能，使防火墙具有一定的主动性。如防火墙+IDS 监控和审计：防火墙是内部网与外部网之间的唯一通道，如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的洋细信息，以便于管理员对网络进行整体的查看和部署。 * 由于大多数路由器本身就包含有分组过滤的功能，故网络访问控制功能就可通过路由控制来实现。 安全漏洞：例如，在使用FTP协议时，外部服务器很容易就可以从20号端口与内部网络相连。即使在路由器上设置了过滤规则，内部网络的20号端口仍可由外部探寻到。 安全隐患：规则是由管理员设置的，一旦出现新的协议和攻击，就必须增加更多的规则，往往会带来很多错误。 * 由于是纯软件产品，第二代防火墙产品无论在实现还是在维护上都对系统管理员提出了相当复杂的要求，并带来以下问题 * 其危险性分布在：路由器本身、被保护网络的全部主机以及允许访问的各种服务类型上。那么，随着内部主机的增多、允许访问的服务类型的增多，其安全性将有所降低 * 单失效点：防火墙一旦被攻击，就完全丧失了保护作用 攻击者可以假冒地址：由于信息在网络上是以明文转送的，黑客可以在网络上伪造假的路由信息欺骗防火墙。 而且，经过的数据包都有被用作数据驱动攻击的潜在危险：屏蔽路由器只对源地址、目的地址、端口进行检查，而并不对内部的数据进行检查。 矛盾：路由器的主要功能是为网络访问提供动态的、灵活的路由，而防火墙则对访问行为实施静态、固定的控制，这是一对难以调和的矛盾，防火墙的规则设置会大大降低路由器的性能。 * 它用来提供应用服务级的控制，起到外部网络向被保护的内部网申请服务的中间转接作用 内部网只接受代理服务器提出的服务请求，拒绝外部网络其他节点的直接请求 内部主机要访问Internet，必须先经过双宿主机的认证。 作用：阻止IP层通信，不使用分组过滤规则，而是使内部网络与外部网络之间的通信通过应用层数据来实现 * 单失效点：一旦入侵者侵入堡垒主机并使其只具有路由功能，则网上任何用户均可以自由访问内网 因为隔离了一切内部网与Internet的直接连接，所以不适合于一些高灵活性要求。（看你要什么？安全性？还是灵活性、开放性？） * 我们可以在路由器上设置一些路由规则，使得堡垒主机是外部网络可以唯一到达的主机 可在堡垒主机上安装各类代理软件 过滤路由器的路由表应当受到严格的保护，如果路由表遭到破坏，则数据包就不会被路由到堡垒主机上，使堡垒主机被越过。 * * * * 知识回顾 上一章中介绍了哪两种网络安全协议？ SSL的体系结构中包含了哪些协议？ IPSec架构中包含了哪两个重要的协议？ IPSec协议的两种工作模式是什么？ 已经学习了哪些保障信息安全的技术？ ESP协议，实现保密性、完整性、抗重放攻击 AH协议，实现完整性、抗重放攻击 传输模式，隧道模式 三只小猪的故事 现代信息安全技术 防火墙 核心防护 病毒检测 入侵检测 第七章 防火墙与反病毒技术 防火墙的概述 什么是防火墙 防火墙的发展历史 防火墙的几种类型 Internet 不可信网络和服务器 什么是防火墙 可信网络 Intranet 可信用户 不可信用户 DMZ 什么是防火墙 定义 防火墙是位于两个(或多个)网络间，实施网间访问控制的一组组件的集合。 它满足以下条件： 内部和外部之间的所有网络数据流必须经过防火墙 只有符合安全政策的数据流才能通过防火墙 防火墙自身应对渗透(peneration)免疫（不受各种攻击的影响） 核心思想 在不安全的网际网环境中构造一个相对安全的子网环境 什么是防火墙 功能 网络安全的屏障 过滤不安全的服务：（两层含义） 内部提供的不安全服务 内部访问外部的不安全服务 集中式安全保护 阻断特定的网络攻击；（联动技术的产生） 是监视局域网安全和预警的方便端点 提供包括安全和统计数据在内的审计数据，好的防火墙还能灵活设置各种报警方式。 防火墙的发展历史 1986年，美国digi