6防火墙技术.pptVIP

* * * * * * * * * 总结上面内容 防火墙尽管功能全面，怎么去应用它也是很重要的。 其实人们往往说最重要的设计和维护。 * * 1. Read the manual. 2. Sleep a night 3. Read the manual again 4. If you have any questions go back to point (1) 5. Install fw-1 on the system 5. Make your security-policy on paper 5. Sleep some nights 6. If you think your policy is NOT ok, go back to (5) 7. Install policy on FW-1 8. Sleep a night 9. Look on the policy again 10. If you think the policy is NOT ok, go back to (5) 11. Connect the internal and DMZ lines to the FW-1 system 12. Test the policy 13. (You know) If you think the policy is NOT ok, go back to (5) 14. ... : 50. Connect the untrusted interface to the system and hope you could pass point (4) * 1.领导重视 2.全体人员重视 3. * 安全是一个绝对的概念！ * * * CISCO的PIX做较好，首先是没有显示器。还有控制门锁。 * * * * * * * 防火墙好象是一睹围墙,也好象一个入口的哨兵 * 第一天的课程简单介绍 * 纷繁复杂的大千世界 网络结构复杂（各种硬件平台、软件OS、众多的子网） 用户层次复杂（政府，企业集团，高知识阶层，个人） 情况瞬息变化（每一分，每一秒，时时刻刻都在变化） 有资料表明:到九八年上网主机已经达到2900万台;预计在2000年将达到1亿台 1997，1---1997，12, the CERT/CC received 39,626 email messages and 1,058 hotline calls reporting computer security incidents or requesting information. We received 326 vulnerability reports and handled 2,134 computer security incidents during this period. More than 146,484 sites were affected by these incidents. TCP/IP协议的自身弱点没有基于安全的完整考虑,只是考虑网络的坚固. （不做重点讲，一带而过） 安全教育严重不足 厂商主要宣传自己产品,一般的系统集成商 国内根本没有这方面的规范的课程，书籍和教材也只是近期才出现。亚信积累了多年的系统集成和网络安全的研究经验.希望能够在弥补这方面空白上作一些工作 一个小故事(对ISP略)： 信息高速公路是一个危险的场所，路非常漂亮，街边有各色各样的霓虹灯和指示牌，但在这背后却孕育危险（小偷、强盗、甚至杀人犯）….。 * 我们来简单了解一下攻击者的攻击工具 寻找目标,寻找路径,攻击,扩大攻击范围,发现资源,消除痕迹,留下后门 * 由于网络的特点,信息共享需求使得在INTERNET上没有幸免者: 攻击者除了处于政治目的,一般没有特定的目标选择,一般只是攻击那些没有防御能力的主机,并不区分它属于那个范畴. 政府主页被涂改 企业信息(商业机密)被盗窃,资源被占用, 个人商业信息(个人信用),正常上网的权利,IRC被踢,被NUKE,个人隐私被盗用(email address) 作为ISP的网络资源被盗用,计费信息被涂改, ICP主页被涂改,黄色画面,反动标语.造成经济利益,名誉和形象的损失. 总之在网络上没有幸免者,只有那些具有比攻击者更高的网络安全技术,实践经验和充分利用技术经验和工具才能防范攻击者 * Incidents and Internet Growth摘自一份安全报告《Security of the Internet》 Published in The Froehlich/Kent Encyclopedia of Telecommunications vol. 15. Marcel Dekker, New York, 199