《电子商务安全技术》PPT课件.ppt

防火墙的构造与选择,5.1 防火墙概述5.2 防火墙的原理5.3 防火墙的选择和使用5.4 分布式防火墙技术,5.1防火墙概述,5.1.1 防火墙的概念 5.1.2 防火墙设计的基本原则,一个典型的防火墙使用形态,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,合法请求则允许对外访问,发起访问请求,Internet 区域,Internet,边界路由器,防火墙在此处的功能：1、工作子网与外部子网的物理 隔离2、访问控制3、对工作子网做NAT地址转换4、日志记录,防火墙是什么,在一个受保护的内部网络与互联网间,用来强制执行企业安全策略的一个或一组系统.,防火墙主要用于保护内部安全网络免受外部网不安全网络的侵害。典型情况：安全网络为企业内部网络，不安全网络为因特网。但防火墙不只用于因特网，也可用于Intranet各部门网络之间（内部防火墙）。例：财务部与市场部之间。,防火墙概念（1）,最初含义：当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙。Rich Kosinski(Internet Security公司总裁）：防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问。换句话说，防火墙是一道门槛，控制进/出两个方向的通信。,William Cheswick和Steve Beilovin（1994）：防火墙是放置在两个网络之间的一组组件，这组组件共同具有下列性质：只允许本地安全策略授权的通信信息通过双向通信信息必须通过防火墙防火墙本身不会影响信息的流通,防火墙概念（2）,防火墙概念（3）,简单的说，网络安全的第一道防线 防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。,防火墙的概念（4）,在逻辑上，防火墙是分离器，限制器，也是一个分析器，有效地监控了内部网和外部网之间的任何活动，保证了内部网络的安全。在物理上，防火墙通常是一组硬件设备路由器、主计算机，或者是路由器、计算机和配有软件的网络的组合。防火墙一般可分为多个部分，某些部分除了执行防火墙功能外还执行其它功能。如：加密和解密VPN。,防火墙概念（5）,防火墙的实质是一对矛盾（或称机制)：限制数据流通允许数据流通两种极端的表现形式：除了非允许不可的都被禁止，安全但不好用。（限制政策）除了非禁止不可的都被允许，好用但不安全。（宽松政策）多数防火墙都在两种之间采取折衷。,5.1.1 防火墙的概念 防火墙是指隔离在本地网络与外界网络之间的一道或一组执行控制策略的防御系统。它对网络之间传输的数据包依照一定的安全策略进行检查，以决定通信是否被允许，对外屏蔽内部网的信息、结构和运行状况，并提供单一的安全和审计的安装控制点，从而达到保护内部网络的信息不被外部非授权用户访问和过滤不良信息目的。,5.1 防火墙概述,5.1 防火墙概述,5.1.2 防火墙的主要功能(1)防火墙是保护内部网安全的屏障，它限制人们进入一个被严格控制的站点。(2)可对可疑操作进行审计跟踪，它防止进攻者更接近其他的防御设备。(3)防止内部网信息泄漏，它限制人们离开一个被严格控制的站点。防火墙的局限性(1)防火墙无法防范内部用户的攻击（2）防火墙无法防范不通过它的连接（3）限制了有用的网络访问（4）防火墙很难防范病毒（5）防火墙不能防备新的网络安全问题（6）防火墙不能防止数据驱动式攻击,防火墙的基本功能模块,应用程序代理,包过滤&状态检测,用户认证,NAT,VPN,日志,IDS与报警,内容过滤,Internet防火墙的作用,Internet防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户，如黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。Internet防火墙能够简化安全管理，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。在防火墙上可以很方便的监视网络的安全性，并产生报警。应该注意的是：对一个内部网络已经连接到Internet上的机构来说，重要的问题并不是网络是否会受到攻击，而是何时会受到攻击。网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录，防火墙就形同虚设。在这种情况下，网络管理员永远不会知道防火墙是否受到攻击。,Internet防火墙的作用,Internet防火墙可以作为部署NAT(Network Address Translator，网络地址变换）的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题，并消除机构在变换ISP时带来的重新编址的麻烦。Internet防火墙是审计和记录Internet使用量的一个最佳地方。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈的位置，并能够根据机构的核算模式提供部门级的记费。Internet防火墙也可以成为向客户发布信息的地点。Internet防火墙作为部署WWW服务器和FTP服务器的地点非常理想。还可以对防火墙进行配置，允许Internet访问上述服务，而禁止外部对受保护的内部网络上其它系统的访问。,防火墙的作用示意图,防火墙的主要功能,防火墙的功能,过滤进出网络的数据,管理进出网络的访问行为,封堵某些禁止的业务,记录进出网络的信息和活动,对网络攻击进行检测和告警,防火墙的相关定义1、防火墙：限制被保护的网络与互联网络之间，或者与其他网络之间相互进行信息存取、传递操作的部件或部件集。2、主机：与网络系统相连的计算机系统3、保垒主机：是指一个计算机系统，它对外部网络（互联网络）暴露，同时又是内部网络用户的主要连接点，所以非常容易被侵入，因此这个系统需要严加保护。4、双宿主主机：具有至少两个网络接口的通用计算机系统5、包：在互联网络上进行通信时的基本信息单位6、路由：为转为的包分组选择正确的接口和下一个路径片段的过程。,7、包过滤：设备对进出网络的数据流进行有选择的控制与操作。包过滤操作通常在选择路由的同时对数据包进行过滤操作。8、参数网络：为了增加一层安全控制，而在外部网络与内部网络之间增加一个网络，参数网络有时也被称为停火带。9、代理服务：代表内部网络用户与外部网络服务器进行信息交换的程序。它将内部用户的请求送达外部服务器，同时将外部服务器的响应再回送给用户。,5.2 防火墙的原理,5.2.1 防火墙设计的基本准则5.2.2 防火墙的组成5.2.3 防火墙不能对付的安全威胁5.2.4 防火墙的分类,5.2.1 防火墙设计的基本准则一切未被允许的就是禁止的。如果防火墙采取第一个准则，那么需要确定所有可以被提供的服务以及它们的安全性，然后，开放这些服务，并将所有其他未被列入的服务排除在外，禁止访问。优点是可以造成一种十分安全的环境，其缺点在于用户所能使用的服务范围受到很大限制。一切未被禁止的就是允许的。如果防火墙采取第二个准则，需要确定那些被认为是不安全的服务，禁止其访问；而其他服务则被认为是安全的，允许访问。这种方法构成了一种更为灵活的应用环境，可以为用户提供更多的服务，其缺点在于很难提供可靠的安全防护。,5.2 防火墙的原理,5.2.2 防火墙的组成,5.2 防火墙的原理,防火墙主要包括五部分:安全操作系统、过滤器、网关、域名服务和E-mail处理。,1 安全操作系统 防火墙本身必须建立在安全操作系统所提供的安全环境中,安全操作系统可以保护防火墙的代码和文件免遭入侵者攻击。这些防火墙的代码只允许在给定的主机系统上执行，这种限制可以减少非法穿越防火墙的可能性。2 过滤器 防火墙的主要目的是控制数据包,只允许合法流通过，它要对专用网和Internet之间传送的每一数据组进行干预。过滤器则执行由防火墙管理机构制定的一组规则，检验各数据组，决定是否允许放行。这些规则按IP地址、端口号码和各类应用等参数确定。,5.2 防火墙的原理,5.2 防火墙的原理,3 网关 应用网关(Application Gateway)可以在TCP/IP应用级上控制信息流和认证用户。应用网关的功能常常由代理服务器提供。在专用网中的一个用户联机到一个代理服务器，代理服务器对用户认证，而后使用户和Internet中远端服务器联机。SOCKS（套接层）服务器也对通过防火墙提供网关支持，代理服务器和SOCKS服务器之间的主要差别是前者要求改变用户接入Internet服务器的方式，但不需要修正客户机的软件；而后者则相反。4 域名服务和函件处理 防火墙还可能包括有域名服务和函件处理。域名服务使专用网的域名与Internet相隔离，专用网中主机的内部IP地址不至于暴露给Internet中的用户。函件处理能力保证专用网中用户和Internet用户之间的任何函件交换都必须经过防火墙处理。,5.2 防火墙的原理,5.2.3 防火墙不能对付的安全威胁1 防火墙不能防范来自内部的攻击2 防火墙不能防范不经由防火墙的攻击3 防火墙不能防止受到病毒感染的软件或文件的传输4 防火墙不能防止数据驱动式攻击,5.2 防火墙的原理,5.2.4 防火墙的分类1 包过滤型防火墙是最简单的防火墙。它的处理对象IP包,其功能是处理通过网络的IP包的信息,实现进出网络的安全控制。应用数据包过滤（packet filtering）技术在网络层对数据包进行选择，只有通过检查的IP包才能正常转发出去。其选择的依据是访问控制表ACL（Access Control List），通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或通过检查它们的组合来决定是否允许该数据包通过。实现原理如图所示。,包过滤防火墙,包过滤防火墙,包过滤防火墙对所接收的每个数据包做允许拒绝的决定。防火墙审查每个数据报以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。包头信息中包括IP源地址、IP目标端地址、内装协（TCP、UDP、ICMP、或IPTunnel）、TCP/UDP目标端口、ICMP消息类型、TCP包头中的ACK位包的进入接口和出接口如果有匹配并且规则允许该数据包，那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包，那么该数据包就会被丢弃。如果没有匹配规则，用户配置的缺省参数会决定是转发还是丢弃数据包。,包过滤防火墙,包过滤防火墙使得防火墙能够根据特定的服务允许或拒绝流动的数据，因为多数的服务收听者都在已知的TCP/UDP端口号上。例如，Telnet服务器在TCP的23号端口上监听远地连接，而SMTP服务器在TCP的25号端口上监听人连接。为了阻塞所有进入的Telnet连接，防火墙只需简单的丢弃所有TCP端口号等于23的数据包。为了将进来的Telnet连接限制到内部的数台机器上，防火墙必须拒绝所有TCP端口号等于23并且目标IP地址不等于允许主机的IP地址的数据包。,包过滤检查内容,数据包过滤一般要检查网络层的IP头和传输层的头：IP源地址IP目标地址协议类型（TCP包、UDP包和ICMP包）TCP或UDP包的目的端口TCP或UDP包的源端口ICMP消息类型TCP包头的ACK位TCP包的序列号、IP校验和等,5.2 防火墙的原理,包过滤型防火墙的优缺点优点：逻辑简单，价格便宜，易于安装和使用网络性能和透明性好。缺点：数据包的源地址、目的地址以及IP的端口号都在数据包的头部，易被窃听或假冒，形成各种安全漏洞。大多过滤器中过滤规则的数目有限制，且随着规则数目的增加，性能受影响。包过滤的规则可能比较复杂，且不易验证其正确性。由于缺少上下文关联信息，不能有效过滤某些协议。大多不能对用户身份进行验证，很容易受到“地址欺骗型”攻击。大多对安全管理人员素质要求高,5.2 防火墙的原理,2 应用网关型防火墙应用级网关（Application Level Gateways）是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常装在专用工作站系统上，其实现原理如图所示。,5.2 防火墙的原理,3 代理服务型防火墙代理服务型防火墙是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信线路分为两段。,5.2 防火墙的原理,代理服务型防火墙的优缺点优点：最突出的优点就是安全。由于它工作于最高层，所以它可以对网络中任何一层数据通信进行筛选保护，而不是像包过滤那样，只是对网络层的数据进行过滤。缺点：最大缺点就是速度相对比较慢，当用户对内外部网络网关的吞吐量要求比较高时，代理防火墙就会成为内外部网络之间的瓶颈。大多是基于主机的，价格比较贵，安装和使用比数据包过滤的防火墙复杂。,5.3 防火墙的选择和使用,5.3.1 防火墙的选择原则 5.3.2 防火墙产品的分类 5.3.3 防火墙产品的介绍,5.3.1 防火墙的选择原则 网络的安全性主要是指网络信息的安全性和网络路由的安全性。网络路由的安全性保障了网络信息的安全性，而网络路由的安全性通常可由防火墙实现。所以选择防火墙首先要确定网络信息的保护策略，然后对防火墙进行评价、分析，最后决定采用什么样的防火墙。1 要考虑网络结构2 要考虑到业务应用系统需求 3 要考虑用户及通信流量规模方面的需求4 要考虑到可靠性、可用性、易用性等方面的需求,5.3 防火墙的选择和使用,5.3.2 防火墙产品的分类 按组成结构而言，将防火墙产品分为以下三种：软件防火墙 软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。硬件防火墙 硬件防火墙是指所谓的硬件防火墙。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于PC架构。芯片级防火墙 基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。,5.3 防火墙的选择和使用,5.3.3 防火墙产品的介绍1 Checkpoint Firewall-1 防火墙2 SonicWALL系列防火墙3 NetScreen防火墙4 Alkatel Internet Devices 系列防火墙5 北京天融信公司网络卫士防火墙6 NAI Gauntlet防火墙7 Cisco PIX防火墙,5.3 防火墙的选择和使用,Checkpoint Firewall-1 防火墙是一个综合的、模块化的安全套件，它是一个基于策略的解决方案。CP Firewall-1套件提供单一的、集中的分布式安全策略，跨越Unix、NT、路由器、交换机和其他外围设备，提供大量的API，有100多个解决方案和OEM厂商的支持。由3个交互操作的组件构成：控制组件、加强组件和可选组件。这些组件既可以运行在单机上，也可以部署在跨平台系统上。操作在操作系统的核心层进行，而不是在应用程序层，这样可以使系统达到最高性能的扩展和升级。支持基于Web的多媒体和基于UDP的应用程序，并采用多重验证模板和方法。支持几乎所有平台，但价格偏高。,5.3 防火墙的选择和使用,SonicWALL系列防火墙SonicWALL系列防火墙是在NASDAQ上市的美国SONICWALL公司的著名网络安全产品，是目前全球销量最大的硬件防火墙和市场占有率最高的硬件VPN产品。SonicWALL采用软硬件一体化设计，在高性能硬件平台上，利用先进的防火墙技术和SonicWALL专有的安全高效的实时操作系统。采用世界领先的加密算法、身份认证技术以及网络防病毒技术，是一个强大的，集应用级防火墙、入侵报警、内容过滤、VPN、网络防病毒等多种安全策略为一体的，稳定可靠的高性能网络安全系统。具有优秀的性价比。,5.3 防火墙的选择和使用,NetScreen 防火墙是NetScreen科技公司推出的一种新型的网络安全硬件产品，具有Trusted（可信端口）、Untrusted（非信任端口）、Optional（可选端口）三个J-45网络接口，配有PCMCIA插槽，支持10MB、20MB、40MB和150MB快闪存储器。优势之一是采用了新的体系结构，可以有效地消除传统防火墙实现数据加盟时的性能瓶颈，能实现最高级别的IP安全保护。在执行效率和带宽处理的能力上性能优越。Alkatel Internet Devices 系列防火墙采用独有的ASIC 设计和基于Intel的FreeBSD Unix 平台，使用简单易行，配置简单。率先提供了100MB的吞吐能力和无用户数限制，并支持64000个并发会话，有效地消除了软件防火墙的性能瓶颈，达到了安全和性能的统一。,5.3 防火墙的选择和使用,北京天融信公司网络卫士防火墙是我国第一套自主版权的防火墙系统，目前在我国电信、电子、教育、科研等单位广泛使用。它由防火墙和管理器组成。其中，防火墙由多个模块组成，包括包过滤、应用代理、NAT、VPN、防攻击等功能模块，各模块可分离、裁剪和升级，以满足不同用户的需求。在体系结构上，网络卫士采用了集中控制下的分布式客户机/服务器结构，性能好、配置灵活。采用了领先一步的SSN（安全服务器网络）技术，安全性高于其他防火墙普遍采用的DMZ（隔离区）技术。NAI Gauntlet防火墙使用完全的代理服务方式提供广泛的协议支持以及高速的吞吐能力，很好地解决了安全、性能及灵活性之间的协调问题。Gauntlet防火墙的新型自适应代理技术还允许单个安全产品，如安全脆弱性扫描器、病毒安全扫描器和入侵防护传感器之间实现更加灵活的集成。,5.3 防火墙的选择和使用,Cisco PIX防火墙是最具代表性的硬件防火墙，属状态检测型。由于它采用了自有的实时嵌入式操作系统，因此减少了黑客利用操作系统BUG攻击的可能性。就性能而言，Cisco PIX是同类硬件防火墙产品中最好的，对100BaseT可达线速。但是，其优势在软件防火墙面前便不呈现不明显了。其缺陷主要有三：其一价格昂贵，其二升级困难，其三是管理烦琐复杂。,5.3 防火墙的选择和使用,防火墙的体系结构,防火墙的主要体系结构：双重宿主主机体系结构屏蔽主机体系结构屏蔽子网体系结构其它的防火墙结构,双重宿主主机体系结构（1）,双重宿主主机体系结构是围绕双重宿主主机构筑的。双重宿主主机至少有两个网络接口，它位于内部网络和外部网络之间，这样的主机可以充当与这些接口相连的网络之间的路由器，它能从一个网络接收IP数据包并将之发往另一网络。然而实现双重宿主主机的防火墙体系结构禁止这种发送功能，完全阻止了内外网络之间的IP通信。两个网络之间的通信可通过应用层数据共享和应用层代理服务的方法实现。一般情况下采用代理服务的方法。,防火墙,双重宿主主机,内部网络,双重宿主主机体系结构,双重宿主主机体系结构（2）,双重宿主主机的特性：安全至关重要（唯一通道），其用户口令控制安全是关键。必须支持很多用户的访问（中转站），其性能非常重要。缺点：双重宿主主机是隔开内外网络的唯一屏障，一旦它被入侵，内部网络便向入侵者敞开大门。,屏蔽主机体系结构（1）,屏蔽主机体系结构由防火墙和内部网络的堡垒主机承担安全责任。一般这种防火墙较简单，可能就是简单的路由器。典型构成：包过滤路由器堡垒主机。包过滤路由器配置在内部网和外部网之间，保证外部系统对内部网络的操作只能经过堡垒主机。堡垒主机配置在内部网络上，是外部网络主机连接到内部网络主机的桥梁，它需要拥有高等级的安全。,屏蔽主机体系结构（2）,屏蔽路由器可按如下规则之一进行配置：允许内部主机为了某些服务请求与外部网上的主机建立直接连接（即允许那些经过过滤的服务）。不允许所有来自外部主机的直接连接。安全性更高，双重保护：实现了网络层安全（包过滤）和应用层安全（代理服务）。缺点：过滤路由器能否正确配置是安全与否的关键。如果路由器被损害，堡垒主机将被穿过，整个网络对侵袭者是开放的。,屏蔽主机体系结构,因特网,屏蔽子网体系结构（1）,屏蔽子网体系结构在本质上与屏蔽主机体系结构一样，但添加了额外的一层保护体系周边网络。堡垒主机位于周边网络上，周边网络和内部网络被内部路由器分开。原因：堡垒主机是用户网络上最容易受侵袭的机器。通过在周边网络上隔离堡垒主机，能减少在堡垒主机被侵入的影响。,周边网络,内部网络,外部路由器,堡垒主机,内部路由器,屏蔽子网体系结构,屏蔽子网体系结构（2）,周边网络是一个防护层，在其上可放置一些信息服务器，它们是牺牲主机，可能会受到攻击，因此又被称为非军事区（DMZ）。周边网络的作用：即使堡垒主机被入侵者控制，它仍可消除对内部网的侦听。例:netxray等的工作原理。,屏蔽子网体系结构（3）,堡垒主机堡垒主机位于周边网络，是整个防御体系的核心。堡垒主机可被认为是应用层网关，可以运行各种代理服务程序。对于出站服务不一定要求所有的服务经过堡垒主机代理，但对于入站服务应要求所有服务都通过堡垒主机。,屏蔽子网体系结构（4）,外部路由器（访问路由器）作用：保护周边网络和内部网络不受外部网络的侵犯。它把入站的数据包路由到堡垒主机。防止部分IP欺骗，它可分辨出数据包是否真正来自周边网络，而内部路由器不可。内部路由器（阻塞路由器）作用：保护内部网络不受外部网络和周边网络的侵害，它执行大部分过滤工作。外部路由器一般与内部路由器应用相同的规则。,其它的防火墙结构（1）,Outside,DemilitarizedZones(DMZs),Public Access Server,Public Access Server,其它的防火墙结构（2）,一个堡垒主机和一个非军事区示意图,其它的防火墙结构（3）,两个堡垒主机和两个非军事区,外部DMZ,外部堡垒主机,内部网,外部路由器,内部堡垒主机,内部DMZ,防火墙的关键技术,包过滤技术代理技术状态检查技术地址转换技术（NAT）虚拟专网技术（VPN）内容检查技术：提供对高层服务协议数据的监控能力。包括计算机病毒、恶意的Java Applet或ActiveX控件的攻击、恶意的电子邮件及不健康网页内容等的过滤防护。,防火墙的安全标准（1）,防火墙技术发展很快，但是现在标准尚不健全，导致不同的防火墙产品兼容性差，给不同厂商的防火墙产品的互联带来了困难。为了解决这个问题目前已提出了2个标准：1、RSA数据安全公司与一些防火墙的生产厂商（如Checkpoint公司、TIS公司等）以及一些TCP/IP协议开发商（如FTP公司等）提出了SecureWAN（SWAN）标准，它能使在IP层上由支持数据加密技术的不同厂家生产的防火墙和TCPIP协议具有互操作性，从而解决了建立虚拟专用网（VPN）的一个主要障碍。,防火墙的安全标准（2）,此标准包含两个部分：防火墙中采用的信息加密技术一致，即加密算法、安全协议一致，使得遵循此标准生产的防火墙产品能够实现无缝互联，但又不失去加密功能；安全控制策略的规范性、逻辑上的正确合理性，避免了各大防火墙厂商推出的防火墙产品由于安全策略上的漏洞而对整个内部保护网络产生危害。,防火墙的安全标准（3）,2、美国国家计算机安全协会NCSA（National Computer Security Association）成立的防火墙开发商FWPD（Firewall Product Developer）联盟制订的防火墙测试标准。3、我国质量技术监督局发布，开始实施：包过滤防火墙安全技术要求应用级防火墙安全技术要求网络代理服务器的安全技术要求,防火墙技术的回顾与展望,防火墙技术与产品回顾第四代防火墙的主要技术与功能防火墙发展现状防火墙技术展望,防火墙技术与产品发展回顾,防火墙产品目前已形成一个产业，年增长率达173。五大基本功能：过滤进、出网络的数据;管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击检测和告警。,防火墙产品发展的四个阶段,基于路由器的防火墙用户化的防火墙工具套件建立在通用操作系统上的防火墙具有安全操作系统的防火墙,第一代：基于路由器的防火墙,称为包过滤防火墙特征：以访问控制表方式实现分组过滤过滤的依据是IP地址、端口号和其它网络特征只有分组过滤功能，且防火墙与路由器一体,第一代：基于路由器的防火墙(二),缺点：路由协议本身具有安全漏洞路由器上的分组过滤规则的设置和配置复杂攻击者可假冒地址本质缺陷：一对矛盾，防火墙的设置会大大降低路由器的性能。路由器：为网络访问提供动态灵活的路由防火墙：对访问行为实施静态固定的控制,包过滤型防火墙,第二代:用户化的防火墙工具套件,特征：将过滤功能从路由器中独立出来，并加上审计和告警功能；针对用户需求提供模块化的软件包；安全性提高，价格降低；纯软件产品，实现维护复杂。缺点：配置和维护过程复杂费时；对用户技术要求高；全软件实现，安全性和处理速度均有局限；,Internet客户通过代理服务访问内部网主机,第三代：建立在通用操作系统上的防火墙,是近年来在市场上广泛可用的一代产品。特征包括分组过滤或借用路由器的分组过滤功能；装有专用的代理系统，监控所有协议的数据和指令；保护用户编程空间和用户可配置内核参数的设置；安全性和速度大为提高。,实现方式：软件、硬件、软硬结合。问题：作为基础的操作系统及其内核的安全性无从保证。通用操作系统厂商不会对防火墙的安全性负责；从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统漏洞的攻击。用户必须依赖两方面的安全支持：防火墙厂商和操作系统厂商。上述问题在基于Windows NT开发的防火墙产品中表现得十分明显。,第四代：具有安全操作系统的防火墙,1997年初，此类产品面市。安全性有质的提高。获得安全操作系统的方法：通过许可证方式获得操作系统的源码；通过固化操作系统内核来提高可靠性。,特点：防火墙厂商具有操作系统的源代码，并可实现安全内核；对安全内核实现加固处理：即去掉不必要的系统特性，强化安全保护；对每个服务器、子系统都作了安全处理；在功能上包括了分组过滤、代理服务，且具有加密与鉴别功能；透明性好，易于使用。,第四代防火墙的主要技术与功能：灵活的代理系统：两种代理机制，一种用于从内部网到外部网的连接，另一种用于此外部网到内部网的连接；双端口或三端口结构；网络地址转换技术（NAT）虚拟专网技术（VPN）,安全服务器网络（SSN）：对外服务器既是内部网的一部分，又与内部网完全隔离。第四代防火墙采用分别保护的策略对向外提供服务的网络提供保护，它利用一张网卡将对外服务器作为一个独立网络处理。用户鉴别与加密用户定制服务审计和告警,防火墙发展现状,防火墙是网络安全工具中最早成熟、最早产品化的。防火墙产品是当前网络安全产品线中最为琳琅满目的一种。The 1999 Information Security Industry Survey 统计对象：745个公司,表 1:产品购买趋势,5.4 分布式防火墙技术 5.4.1 分布式防火墙的产生 5.4.2 传统边界式防火墙的固有欠缺 5.4.3 分布式防火墙的主要特点 5.4.4 分布式防火墙的主要优势 5.4.5 分布式防火墙的基本原理 5.4.6 分布式防火墙的主要功能,5.4.1 分布式防火墙的产生 传统意义上的边界防火墙用于限制被保护企业内部网络与外部网络（通常是互联网）之间相互进行信息存取、传递操作。分布式防火墙是一种主机驻留式的安全系统，用以保护企业网络中的关键结点服务器、数据及工作站免受非法入侵的破坏。分布式防火墙把Internet和内部网络均视为“不友好的”。分布式防火墙克服了操作系统所具有的已知及未知的安全漏洞，如DoS(拒绝服务)、应用及口令攻击。从而使操作系统得到强化。分布式防火墙对每个服务器都能进行专门的保护。,5.4 分布式防火墙技术,传统边界式防火墙的固有欠缺 网络应用受到结构性限制内部安全隐患仍在效率较低和故障率高,5.4 分布式防火墙技术,5.4 分布式防火墙技术,5.4.3 分布式防火墙的主要特点主机驻留 嵌入操作系统内核 类似于个人防火墙 适用于服务器托管,5.4.4 分布式防火墙的主要优势 更强的系统安全性提高了系统性能 系统的扩展性好 实施了主机策略应用更为广泛，支持VPN通信,5.4 分布式防火墙技术,5.4.5 分布式防火墙的基本原理首先由制定防火墙接入控制策略的中心通过 编译器将策略语言诉描述转换成内部格式，形成策略文件；然后中心采用系统管理工具把策略文件分发给各台“内部”主机；“内部”主机将从两方面来判定是否接受收到的包，一是根据IP安全协议，二是根据服务器端的策略文件。,5.4 分布式防火墙技术,5.4.6 分布式防火墙的主要功能 Internet访问控制应用访问控制网络状态监控 黑客攻击的防御日志管理系统工具,5.4 分布式防火墙技术,本章小结,本章介绍了防火墙的构造与选择方法。防火墙是指隔离在本地网络与外界网络之间的一道或一组执行控制策略的防御系统。防火墙的设计都要遵照两个基本原则，即：未被允许的必禁止，未被禁止的均允许。选择防火墙时考虑的原则包括：网络结构，业务应用系统需求，用户及通信流量规模方面的需求，以及可靠性、可用性、易用性等方面的需求。防火墙产品的分类因标准不同而异，按照产品可以分为软件防火墙、硬件防火墙和软硬一体化的防火墙；按照适用对象可以分为企业级防火墙与个人防火墙；按照产品等级可以分为包过滤型、应用网关型和服务代理型防火墙；按照发展过程则可以分为传统边界防火墙、分布式防火墙、嵌入式防火墙等。,Thanks！,计算机病毒及其防治,6.1 计算机病毒的概念 6.2 计算机病毒的分析6.3 计算机病毒的防范6.4 网络病毒的防治6.5 常用的防杀毒软件,6.1 计算机病毒的概念,6.1.1 计算机病毒的产生 6.1.2 计算机病毒的特征6.1.3 计算机病毒的分类,6.1 计算机病毒的概念,计算机病毒：编制或者在计算机程度中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。中华人民共和国计算机信息系统安全保护条例,6.1.1 计算机病毒的产生计算机病毒最早大约出现在世纪年代末计算机病毒存在的理论依据来自于冯诺依曼结构及信息共享计算机病毒产生的来源多种多样归根结底，计算机病毒来源于计算机系统本身所具有的动态修改和自我复制的能力,6.1 计算机病毒的概念,6.1.2 计算机病毒的特征破坏性大感染性强传播性强隐藏性好可激活性有针对性非授权性难于控制不可预见性,6.1 计算机病毒的概念,6.1.3 计算机病毒的分类按攻击的对象分类可以分为攻击微机型、攻击小型机、攻击大型机、攻击工作站、攻击便携式电子设备、攻击计算机网络6种 按攻击的操作系统分类可以分为攻击DOS系统、攻击Windows 系统、攻击UNIX系统、攻击OS/2系统、攻击嵌入式操作系统5种 按表现性质分类可以分为良性病毒、恶性病毒、中性病毒3种,6.1 计算机病毒的概念,6.1.3 计算机病毒的分类按寄生的方式分类可以分为覆盖式寄生病毒、代替式寄生病毒、链接式寄生病毒、填充式寄生病毒和转储式寄生病毒5种按感染的方式分类可以分为引导扇区病毒、文件感染病毒、综合型感染病毒3种按侵入途径分类可以分为源码病毒、操作系统病毒、入侵病毒和外壳病毒4种,6.1 计算机病毒的概念,6.2 计算机病毒的分析,6.2.1 计算机病毒的传播途径6.2.2 计算机病毒的破坏行为6.2.3 常见计算机病毒的发作症状,6.2.1 计算机病毒的传播途径常见的计算机病毒的传播途径有以下4种：通过不可移动的计算机硬件设备进行传播通过移动存储设备来传播通过计算机网络进行传播通过点对点通信系统和无线通道传播,6.2 计算机病毒的分析,6.2.2 计算机病毒的破坏行为攻击系统数据区攻击文件 攻击内存干扰系统运行速度下降攻击磁盘扰乱屏幕显示键盘喇叭攻击CMOS干扰打印机,6.2 计算机病毒的分析,6.2.3 常见计算机病毒的发作症状电脑运行比平常迟钝程序载入时间比平常久对一个简单的工作，磁盘似乎花了比预期长的时间不寻常的错误信息出现硬盘的指示灯无缘无故的亮了系统内存容量忽然大量减少磁盘可利用的空间突然减少可执行程序的大小改变了坏轨增加程序同时存取多部磁盘内存内增加来路不明的常驻程序文件奇怪的消失文件的内容被加上一些奇怪的资料文件名称、扩展名、日期、属性被更改过,6.2 计算机病毒的分析,6.3 计算机病毒的防范,6.3.1 提高计算机病毒的防范意识6.3.2 加强计算机病毒的防范管理6.3.3 规范计算机的使用方法 6.3.4 清除计算机病毒的原则,6.3.1 提高计算机病毒的防范意识6.3.2 加强计算机病毒的防范管理尊重知识产权采取必要的病毒检测、监控措施，制定完善的管理规则建立计算机系统使用登记制度,及时追查、清除病毒加强教育和宣传工作建立有效的计算机病毒防护体系建立、完善各种法律制度，保障计算机系统的安全性,6.3 计算机病毒的防范,6.3.3 规范计算机的使用方法新购置的计算机的安全使用方法计算机启动的安全使用方法防止或减少数据丢失的方法网络管理员需要注意的问题,6.3 计算机病毒的防范,6.3.4 清除计算机病毒的原则在清除计算机病毒前后，一般应遵循的3条原则在发现计算机病毒后，一般应遵循的5条杀毒原则在清除病毒的过程中，一般应遵循的7条原则,6.3 计算机病毒的防范,6.4 网络病毒的防治,6.4.1 计算机病毒的发展趋势6.4.2 网络病毒的特征6.4.3 黑客的行为特征 6.4.4 基于网络安全体系的防毒管理措施 基于工作站与服务器的防毒技术6.4.6 网络病毒清除方法,6.4.1 计算机病毒的发展趋势网络成为计算机病毒传播的主要载体网络蠕虫成为最主要和破坏力最大的病毒类型恶意网页成为破坏的新类型出现带有明显病毒特征的木马或木马特征的病毒,6.4 网络病毒的防治,6.4.1 计算机病毒的发展趋势技术的遗传与结合传播方式多样化跨操作系统的病毒出现手机病毒、信息家电病毒,6.4 网络病毒的防治,6.4.2 网络病毒的特征传染方式多传染速度快清除难度大破坏性更强,6.4 网络病毒的防治,特洛伊木马什么是特洛伊木马：特洛伊木马是一个程序，它驻留在目标计算机里。在目标计算机系统启动时候特洛伊木马自动启动。然后在某一端口进行侦听。如果在该端口收到数据，对这些数据进行识别，然后按识别后的命令，在目标计算机上执行一些操作。比如窃取口令，拷贝或删除文件或重新启动计算机。攻击者一般在入侵某个系统后，想办法将特洛伊拷贝到目标计算机中，并设法运行这个程序，从而留下后门，以后，通过运行该特洛伊的客户端程序，对远程计算机进行操作。因此木马应该符合三个条件：1、木马需要一种启动方式，一般在注册表启动项中 2、木马需要在内存中才能发挥作用。3、木马会占用一个端口，以便黑客从这个端口和木马进行联系。,木马的特点木马的特点具有隐蔽性、顽固性、潜伏性木马的隐蔽性主要表现在：木马的启动方式、木马在硬盘上存储的位置、木马的文件名、木马的文件属性、木马的图标、木马的使用端口、木马运行时的隐蔽、木马在内存的隐蔽。木马一旦被发现在电脑中，用户很难删除。高级的木马具有潜伏的能力，表面上的木马被发现删除后，后备的木马在一定的条件下会跳出来。,黑客的行为特征1、恶作剧者2、隐蔽攻击者3、定时炸弹4、矛盾制造者5、职业杀手6、窃密高手7、业余爱好者,6.4.3 基于网络安全体系的防毒管理措施 有以下几点加以注意：尽量多用无盘工作站尽量少用有盘工作站尽量少用超级用户登录严格控制用户的网络使用权限2个不允许对某些频繁使用或非常重要的文件属性加以控制，以免被病毒传染对远程工作站的登录权限严格限制,6.4 网络病毒的防治,6.4.4 基于工作站与服务器的防毒技术基于工作站的DOS防毒技术工作站防毒主要有以下几种方法：使用防毒杀毒软件安装防毒卡安装防毒芯片,6.4 网络病毒的防治,6.4.4 基于工作站与服务器的防毒