- 1、本文档共108页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
第8章 网络的攻击与防护本章有四小节:8.1 防火墙安全8.2 黑客的攻击与防范8.3 网络扫描与监听8.4 入侵检测与入侵防护系统8.1 防火墙安全8.1.1 防火墙概述1. 防火墙的基本概念在网络安全领域,防火墙是设置在不同网络(如可信任的企业内部网和不可信的公共网)之间的一组由软、硬件构成的安全设施,如图8.1所示。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制出入网络的信息流,从而有效地控制内部网和外部网之间的信息传输。图8.1 防火墙基本功能示意图2. 防火墙的功能(1) 扫描信息,过滤攻击。(2) 关闭不需要的端口。(3) 禁止特定端口的流出通信。(4) 禁止特殊站点的访问。(5) 限制特定用户的通信。3. 防火墙的不足(1) 网络瓶颈。(2) 不能防范不经过防火墙的信息攻击。(3) 不能防范病毒的传播。(4) 不能防范内部人员的攻击。4.防火墙的特征(1) 内部网和外部网之间的所有网络数据流都必须经过防火墙(2) 只有符合安全策略的数据才能通过防火墙(3) 自身具有非常强的抗攻击力8.1.2 防火墙技术1. 防火墙的体系结构(1) 过滤路由器结构过滤路由器结构是指由具有过滤功能的路由器充当防火墙的结构,如图8.2所示。(2) 双宿主机结构双宿主机结构防火墙是指担任防火墙功能的是一台双重宿主(双网卡)主机,如图8.3所示。图8.3 双宿主机结构防火墙(3) 屏蔽子网结构屏蔽子网结构是指在内外部网之间新增加一个子网DMZ(非军事区),如图8.4所示。图8.4 屏蔽子网结构防火墙2. 防火墙的技术分类(1) 包过滤技术包过滤技术是防火墙最为基本和传统的技术。所谓“包过滤”就是过滤数据包,使符合规则的数据包通过而不符合规则的数据包被拒绝或丢弃。包过滤技术防火墙工作在第三层及三层以下。静态包过滤技术是传统的包过滤技术,它是根据流过防火墙的数据包是否符合防火墙所制定的规则来决定是否允许数据包通过,它所制定的规则只检查数据的协议、源和目标IP地址、源和目标端口。动态包过滤技术是静态包过滤技术的发展,它可以动态地根据实际应用请求自动生成和删除包过滤规则,从而解决静态包过滤制定规则难度大的问题。①包过滤技术的优点:实现简单,对设备要求较低。②包过滤技术的缺点:随着规则的增加,规则库变得越来越大。无法防范外部的IP欺骗。(2) 应用级网关应用级网关也叫代理服务器,通过网关复制传输数据,防止在受信任的服务器或客户机与不受信任的主机间建立直接的联系。应用级网关防火墙建立在应用层。(3) 电路级网关电路级网关防火墙通过检查握手信息来判断是否合法从而判断是否对信息放行。电路级网关又称为线路级网关,工作在会话层。(4) 状态检测技术状态检测防火墙,顾名思义就是要检查数据包的状态变化,它在每一层都会对数据包进行检查,集成了以上几种防火墙的特点,安全性得到了很大的提高。3. 防火墙的实现分类(1) 基于网络主机的防火墙基于网络主机的防火墙是指将网络中的一台主机安装防火墙软件用以保护受信任的网络(企业网)。(2) 基于路由器的防火墙基于路由器的防火墙是指利用路由器的过滤功能来实现防火墙的功能。(3) 基于单个主机的防火墙基于单个主机的防火墙是指安装在单一主机上的防火墙软件,它只适合保护单一主机的安全。(4) 硬件防火墙硬件防火墙是指用一台专门的硬件产品作为防火墙。在这种产品中,防火墙厂家是将防火墙软件固化在硬件芯片里,用硬件方式实现防火墙的功能。8.1.3 防火墙应用实例1.Cisco公司的PIX防火墙Cisco公司成立于1984年,是全球互联网解决方案提供商。Cisco PIX(Private Internet eXchange)系列防火墙是业界领先的产品之一,具有很好的安全性和可靠性。(1) Cisco PIX的主要特点① 嵌入式的操作系统。② 高安全性。③ 高可靠性。 ④ 强大的远程管理功能。(2) Cisco PIX的基本应用和配置① PIX防火墙的配置连接使用CONSOLE线连接PIX 的CONSOLE接口与PC的串口后,通过PC的“超级终端”来配置PIX的性能。根据实际情况选择与计算机相连的端口,如:COM1,再配置端口属性。在端口属性里,要选择“每秒位数”为“9600”,如图8.5所示。图8.5 超级终端端口属性配置② PIX防火墙的配置模式非特权模式。Cisco PIX防火墙开启以后进入的第一个工作模式,默认表示为“Pixfirewall”。在非特权模式下,用户只有很少的查看权限。特权模式。特权模式是Cisco PIX防火墙的第二个工作模式,默认表示为“Pixfirewall#”。在特权模式下,用户可以进行很少的配置和查看。配置模式。配置模式是Cisco PIX防火墙的主要工作模式,大多数的配置命令
文档评论(0)