计算机信息安全教学课件-样章.pptVIP

计算机信息安全教学课件下载-样章.ppt4.5防火墙技术 4.5.1防火墙是什么 1基本概念：防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络安全或网络安全域之间信息的惟一出入口，能根据企业的安全政策控制出入网络的信息流，且本身具有较强的抗击能力 2防火墙的分类 防火墙从原理上可以分为两大类，包过滤型和代理服务型 1）包过滤型防火墙 包过滤型 防火墙是根据数据包的包头中某些标志性的字段，对数据包进行判断，决定接受还是丢弃数据包。 2）代理服务器防火墙 代理服务器防火墙可以解决包过滤防火墙的规则复杂性问题 3几种典型的防火墙体系结构 1）双穴网关 2）屏蔽主机型防火墙 3）屏蔽子网型防火墙 4.5.2防火墙的基本技术 1.网络级防火墙：一般是基于源地址和目的地址，应用或协议以及每个IP包的端口来作出通过与否的判断。通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，网络级防火墙简洁，速度快，费用低，并且对用户透明，但是对网络的保护有限，因为它只检查地址和端口，对网络更高协议层的信息无理解能力 2应用级网关 3电路级网关 4规则检查防火墙 5分组过滤型防火墙 6应用代理型防火墙 7复合型 防火墙 4.5.3防火墙的安全技术分析 防火墙对网络的安全起到了一定的保护作用，但并非万无一失，通过对防火墙的基本原理和实现进行分析和研究： 1正确选用，合理配置防火墙非常不容易 1）配置合理的防火墙应遵循： 风险分析，需求分析，确立安全政策，选择准确的防护手段，并使之与安全政策保持一致。 2）需要正确评估防火墙的失效状态，它的状态按级别来分： 未受伤害能够继续正常工作，关闭并重新启动，同时恢复到正常工作状态，关闭并禁止所有的数据通行；关闭并禁止所有的数据通行，关闭并允许所有的数据通行 3.防火墙必须进行动态维护 安装防火墙后，要想充分发挥它的发全防护作用，必须对它进行跟踪和维护 4.目前很难对防火墙进行测试验证 1）防火墙性能测试目前还是一种很新的技术，尚无正式出版刊物 2）防火墙测式技术不先进，与防火墙设计并非完全吻合，使得测式工作难以达到既定的效果 3）选择“谁”进行公正的测试也是一个问题。 5非法攻击防火墙的基本手段 1）IP欺骗：通常情况下，有效的攻击都是从相关的子网进行的，因为这些网址得到了防火墙的信赖 （1）IP欺骗的攻击过程。具的三个步骤 1主机A产生它的ISN，传给主机B，请求建立连接 2B接收到来自A的带有SYN标志的ISN后，将自己本身的ISN连同应答信息ACK一同返回给A A再将B传达室送来的ISN及应答信息ACK返回给B （2）对IP欺骗的防止 对IP欺骗的防止，可以用如下几种方法： 1抛弃基于地址的信任策略 进行包过滤 使用加密方法 使用随机化的初始序列号 2）攻击与干拢 3）内部攻击 * *