信息安全与保密技术讲义.ppt

防火墙 防火墙是一台用于信息安全管理与服务的计算机系统。它可以加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内网的设备工作状态不被破坏，数据不被窃取 防火墙的基本功能与特性 基本功能 过滤进出网络的数据包。 管理进出网络的访问。 封堵某些禁止的访问。 记录通过防火墙的信息内容和活动情况。 对攻击进行检测与告警。 特性 所有通过内网与外网之间传输的数据必须通过防火墙。 只有被授的合法数据才可能通过防火墙。 防火墙本身不受各种攻击。 使用了新的信息安全技术，例如现代密码技术、一次口令、智能卡等技术。 人机界面良好。 防火墙的发展过程 基于路由器的防火墙。路由器本身包含有包过滤等基本功能。 用户化的防火墙工具套。属软件实现，模块化的软件包、安全性和处理速度受限。 建立在通用操作系统上的防火墙。 具有安全操作系统的防火墙。 防火墙操作系统具有安全内核，并对内核进行了加固处理，即去掉不必要的系统特性，强化了安全保护。 对每个服务器，子系统都作了安全处理，一旦黑客攻破了一个服务器，黑客被隔离在一个服务器内，不会对网络的其他部分构成威胁。 比以往的防火墙扩展了功能。其中包括了分组过滤，应用网关、电路级网关、并且有加密与鉴别功能。 透明性好，易于使用。 防火墙的优点与缺陷 利用防火墙保护内网的主要优点 简化了网络安全管理； 保护了网络中脆弱的服务； 防火墙可以方便地监视网络安全并产生报警； 内网所有或大部分需要改动的以及附加的安全程序都集中地放在防火墙系统中； 增强了保密，强化了私有权。 防火墙是审计和记录Internet使用情况的最佳地方。 防火墙也可成为向客户发布信息的地点，作为布置WWW服务器和FTP服务器的地点是非常理想的。还可以对防火墙进行配置，允许Internet用户访问上述服务器，而禁止外网对内网中其他系统的访问。 防火墙的优点与缺陷 防火墙的优点很多，但也有一些缺陷与不足，主要缺陷如下： 限制了网络服务，特别是限制或关闭了很多有用但存有安全缺陷的网络服务； 无法防止内部网络用户的攻击； 无法防范绕过防火墙的攻击，需要附加认证的代理服务器； 不能完全防止感染和传送病毒。不能期望防火墙对每一个文件扫描，查出潜在的病毒； 无法防范数据驱动型的攻击。数据驱动型的攻击从表面上看是无害的数据，被拷贝到Internet的主机上，一旦被执行，就发起了攻击。 不能防范新的网络安全问题。防火墙是一种被动式的防护手段，它只能对现在已知的网络威胁起作用。 防火墙的体系结构 包过滤 双宿网关 屏蔽主机 屏蔽子网 包过滤型防火墙 可以用一台过滤路由器来实现，对所接收的每个数据包做允许或拒绝的决定。此时，路由器审查每个数据包以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。 包过滤路由器型防火墙的优缺点 包过滤路由器型防火墙的优点 处理包的速度要比代理服务器快，过滤路由器为用户提供了一种透明的服务，用户不用改变客户端程序或改变自己的行为。 实现包过滤几乎不再需要费用(或极少的费用)， 包过滤路由器对用户和应用来讲是透明的，所以不必对用户进行特殊的培训和在每台主机上安装特定的软件。 包过滤路由器型防火墙的缺点 防火墙的维护比较困难； 只能阻止一种类型的IP欺骗，即外部主机伪装内部主机的IP，对于外部主机伪装其他可信任的外部主机的IP却不可能阻止； 任何直接经过路由器的数据包都有被用作数据驱动式攻击的潜在危险； 一些包过滤网关不支持有效的用户认证； 不可能提供有用的日志，或根本就不提供。 随着过滤器数目的增加，路由器的吞吐量会下降； IP包过滤器可能无法对网络上流动的信息提供全面的控制。 包过滤防火墙一般应用场合 机构是非集中化管理； 机构没有强大的集中安全策略； 网络的主机数非常少。； 主要依赖于主机安全来防止入侵； 没有使用DHCP这样的动态IP地址分配协议。 双宿网关防火墙 又称为双重宿主主机防火墙。 双宿网关是一种拥有两个连接到不同网络上的网络接口的防火墙。 这种防火墙的最大特点是IP层的通信是被阻止的，两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。 双重宿主主机是唯一的隔开内部网和外部因特网之间的屏障，如果入侵者得到了双重宿主主机的访问权，内部网络就会被入侵，所以为了保证内部网的安全，双重宿主主机应具有强大的身份认证系统，才可以阻挡来自外部不可信网络的非法登录。 屏蔽主机防火墙 强迫所有的外部主机与一个堡垒主机相连接，而不让它们直接与内部主机相连。 由包过滤路由器和堡垒主机组成。 实现了网络层安全(包过滤)和应用层安全(代理服务)。 堡垒主机配置在内部网络上，而包过滤路由器则放置在内部网络和因特网之间。 屏蔽子网防火墙 采用两个包过滤路由器和一个堡垒主机。 堡垒主机、信息