信息系统安全等级保护概述课件

,85,华东理工大学计算机科学与工程系,第3章 网络防御技术,指导教师:杨建国,2013年8月10日,3,.1,安全架构,3,.2,密码技术,3,.3,防火墙技术,3,.4,杀毒技术,3.5 入侵检测技术,3.6 身份认证技术,3.7 VPN技术,3.8 反侦查技术,3.9 蜜罐技术,第3章 网络防御技术,3,.,10,可信计算,3,.,11,访问控制机制,3,.,12,计算机取证,3,.,13,数据备份与恢复,3.14 服务器安全防御,3.15 内网安全管理,3.16 PKI网络安全协议,3.17 信息安全评估,3.18 网络安全方案设计,3,.,3,防火墙技术,2024/10/4,网络入侵与防范讲义,4,11.3,防火墙,11.3.1,防火墙的基本原理,11.3.2,防火墙的技术,11.3.3,防火墙的配置方案,11.3.4,典型防火墙产品介绍,2024/10/4,网络入侵与防范讲义,5,11.3.1,防火墙的基本原理,防火墙是位于两个,(,或多个,),网络间实施网间访问控制的一组组件的集合，,它满足以下条件,内部和外部之间的所有网络数据流必须经过防火墙,只有符合安全政策的数据流才能通过防火墙,防火墙自身对渗透,(penetration),是免疫的,2024/10/4,网络入侵与防范讲义,6,例如，在企业网络与,Internet,之间加一道防护。,11.3.1,防火墙的基本原理,2024/10/4,网络入侵与防范讲义,7,11.3.1,防火墙的基本原理,再例如，如果用户不希望来自,206.246.131.227,的人访问自己的站点，那么就可以在防火墙上配置过滤规则阻止,206.246.131.227,的连接请求，禁止他们的访问。,在这些人的终端上，他们可以见到,“,Connection Refused,”,(,连接被拒绝,),的消息或其他相似的内容,(,或者他们什么也接收不到，连接就中断了,),。,2024/10/4,网络入侵与防范讲义,8,11.3.1,防火墙的基本原理,防火墙通常是单独的计算机、路由器或防火墙盒（专有硬件设备），他们充当访问网络的唯一入口点，并且判断是否接受某个连接请求。,只有来自授权主机的连接请求才会被处理，而剩下的连接请求被丢弃。,2024/10/4,网络入侵与防范讲义,9,防火墙主要用于保护内部安全网络免受外部网不安全网络的侵害。,典型情况：安全网络为企业内部网络，不安全网络为因特网。,但防火墙不只用于因特网，也可用于,Intranet,各部门网络之间（内部防火墙）。例：财务部与市场部之间。,11.3.1,防火墙的基本原理,2024/10/4,网络入侵与防范讲义,10,Internet,1.,企业内联网,2.,部门子网,3.,分公司网络,防火墙示意图,2024/10/4,网络入侵与防范讲义,11,一个典型的防火墙使用形态,进行访问规则检查,发起访问请求,将访问记录写进日志文件,合法请求则允许对外访问,发起访问请求,Internet,区域,Internet,边界路由器,内部工作子网,管理子网,一般子网,内部,WWW,重点子网,防火墙在此处的功能：,1,、工作子网与外部子网的物理 隔离,2,、访问控制,3,、对工作子网做,NAT,地址转换,4,、日志记录,2024/10/4,网络入侵与防范讲义,12,11.3.1,防火墙的基本原理,防火墙能分析任何协议的报文。基于它的分析，防火墙可以采取各种行动。,防火墙实现数据流控制的功能是通过预先设定安全规则来实现的。安全,规则,由,匹配条件,和,处理方式,两个部分组成：如果满足这个条件，将执行这种动作。,通常，这些规则由系统管理员根据自己组织中的访问策略镜像来制订和装备。,2024/10/4,网络入侵与防范讲义,13,11.3.1,防火墙的基本原理,大多数商业防火墙允许监视报文的内容。,用户可以使用这一功能来禁止,JavaScript,、,VBScript,、,ActiveX scripts,和,Cookies,在防火墙后的执行。,用户甚至能用防火墙创建的规则来禁止包含特定攻击性签名的报文通过。,2024/10/4,网络入侵与防范讲义,14,防火墙的基本策略,大多数防火墙规则中的处理方式包括：,Accept,：允许数据包或信息通过,Reject,：拒绝数据包或信息通过，并且通知信息源该信息被禁止,Drop,：直接将数据包或信息丢弃，并且不通知信息源,所有的防火墙在规则匹配的基础上都会采用以下两种基本策略中的一种：,没有明确禁止的行为都是允许的,没有明确允许的行为都是禁止的,2024/10/4,网络入侵与防范讲义,15,防火墙的基本策略,没有明确禁止的行为都是允许的,“,默认拒绝,”,原则,当防火墙采用这条基本策略时，规则库主要由处理方式为,Accept,的规则构成,通过防火墙的信息逐条与规则进行匹配，只要与其中任何一条匹配，则允许通过，如果不能与任何一条规则匹配则认为该信息不能通过防火墙。,没有明确允许的行为都是禁止的,“,默认允许,”,原则,基于该策略时，防火墙中的规则主要由处理手段为,Reject,或,Drop,的规则组成,通过防火墙的信息逐条与规则进行匹配，一旦与规则匹配就会被防火墙丢弃或禁止，如果信息不能与任何规则匹配，则可以通过防火墙。,前者比较严格，后者则相对宽容。可以灵活结合这两者进行规则制订。,2024/10/4,网络入侵与防范讲义,16,防火墙的分类,防火墙按照使用对象可分为：,个人防火墙和企业防火墙。,个人防火墙,一般以,软件服务,的形式实现，它为个人计算机提供简单的防火墙功能。个人防火墙可能会随操作系统附带，价格较低。,企业防火墙,指的是隔离在本地网络与外界网络之间的一道,防御系统,。企业防火墙可以使企业内部局域网（,LAN,）网络与,Internet,之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。实现形式：软件、硬件。,2024/10/4,网络入侵与防范讲义,17,防火墙的分类,(2),从使用的技术上划分，防火墙可以分为：,包过滤防火墙,静态包过滤防火墙,动态包过滤防火墙,代理服务器型防火墙,电路级网关,混和型防火墙,2024/10/4,网络入侵与防范讲义,18,11.3.2,防火墙的技术,包过滤防火墙,代理型防火墙,电路级网关,混和型防火墙,2024/10/4,网络入侵与防范讲义,19,包过滤防火墙,在基于,TCP/IP,协议的网络上，所有往来的信息都是以一定格式的信息包的形式传送，包中包含发送者的,IP,地址和接受者的,IP,地址信息。,当这些信息包被送上因特网时，路由器会读取接受者的,IP,并选择一条合适的物理线路发送出去，信息包可能经由不同的线路抵达目的地，当所有的包抵达目的地后会重新组装还原。,2024/10/4,网络入侵与防范讲义,20,包过滤防火墙（,2,）,包过滤式防火墙会在系统进行,IP,数据包转发时设定访问控制列表，检查,所有通过的数据包信息,，并按照给定的规则进行访问控制和过滤。,如果对防火墙设定某一,IP,地址的站点为不适宜访问的话，那么，从这个地址来的所有信息都会被防火墙屏蔽掉。,2024/10/4,网络入侵与防范讲义,21,包过滤防火墙（,3,）,包过滤防火墙可以在,一台路由器,中实现，路由器采用包过滤功能以增强网络的安全性。,许多商业路由器产品都可以通过编程实现包过滤功能，如,Cisco,、,Bay Networks,、,3COM,、,DEC,、,IBM,等路由器产品。,2024/10/4,网络入侵与防范讲义,22,包过滤防火墙（,4,）,当前，几乎所有的包过滤装置（过滤路由器或包过滤网关）都是按如下,6,种方式操作：,(1).,对于包过滤装置的有关端口必须设置包过滤准则，也称为过滤规则。,(2).,当一个数据包到达过滤端口时，将对该数据包的头部进行分析。大多数包过滤装置只检查,IP,、,TCP,或,UDP,头部内的字段。,(3).,包过滤规则按一定的顺序存储。当一个包到达时，将按过滤规则的存储顺序依次运用每条规则对包进行检查。,2024/10/4,网络入侵与防范讲义,23,包过滤防火墙（,5,）,(4).,如果一条规则禁止传递或接收一个包，则不允许该数据包通过。,(5).,如果一条规则允许传递或接收一个包，则允许该数据包通过。,(6).,如果一个数据包不满足任何规则，则该包被阻塞。,2024/10/4,网络入侵与防范讲义,24,应注意的问题,注意一：将规则按适当顺序排列非常重要,否则有可能将本要拒绝的数据包通过。,注意二：过滤规则还要按,“,未被明确允许的就将被禁止,”,原则进行,设计安全可靠网络时应遵循的,“,失效安全原则,”,。,2024/10/4,网络入侵与防范讲义,25,包过滤技术发展阶段（,1,）,第一代：静态包过滤,这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。,过滤规则基于数据包的报头信息进行制定。,包过滤类型的防火墙要遵循的一条基本原则是,“,最小特权原则,”,，即明确允许那些管理员希望通过的数据包，禁止其他的数据包,2024/10/4,网络入侵与防范讲义,26,静态包过滤原理,安全网域,Host C,Host D,UDP,Block,Host C,Host B,TCP,Pass,Host C,Host A,Destination,Protocol,Permit,Source,数据包,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,控制策略,数据包,过滤依据主要是,TCP/IP,报头里面的信息，不能对应用层数据进行处理,数据,TCP,报头,IP,报头,分组过滤判断信息,2024/10/4,网络入侵与防范讲义,27,包过滤技术发展阶段（,2,）,第二代：动态包过滤,该类防火墙避免了静态包过滤所具有的问题，采用动态设置包过滤规则的方法，后来发展成为所谓,包状态检测技术,。,它采用了一个在网关上执行网络安全策略的软件引擎，称之为,检测模块,。,检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施检测，建立状态连接表，并将进出网络的数据当成一个个会话，通过状态表跟踪会话状态，动态更新状态连接表。,它不仅根据规则表，更考虑了数据包是否符合会话所处的状态，提供了完整的对传输层的控制能力。,2024/10/4,网络入侵与防范讲义,28,包过滤技术发展阶段（,3,）,第二代：动态包过滤（续）,此技术对网络通信的各层实施监测分析，提取相关的通信和状态信息，并在动态连接表中进行状态及上下文信息的存储和更新，这些表被持续更新，为下一个通信检查提供累积的数据。,能够提供对基于无连接的协议（,UDP,）的应用（,DNS,、,WAIS,、,etc,）及基于端口动态分配的协议（,RPC,）的应用（如,NFS,、,NIS,）的安全支持，静态的包过滤和代理网关都不支持此类应用。,2024/10/4,网络入侵与防范讲义,29,状态检测原理,安全网域,Host C,Host D,数据包,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,数据包,状态检测可以结合前后数据包里的数据信息进行综合分析决定是否允许该包通过,控制策略,数据,3,TCP,报头,IP,报头,分组过滤判断信息,数据,2,TCP,报头,IP,报头,数据,1,TCP,报头,IP,报头,数据,1,TCP,报头,IP,报头,数据,状态检测,2024/10/4,网络入侵与防范讲义,30,攻破包过滤式防火墙的方法（,1,）,IP,攻击欺骗,通过向包过滤式防火墙发出一系列信息包，这些包中的,IP,地址已经被替换为一串顺序的,IP,地址，一旦有一个包通过了防火墙，黑客便可以用这个,IP,地址来伪装它们发出的信息。,路由攻击程序,黑客使用自己编制的路由攻击程序，这种程序使用动态路由协议来发送伪造的路由信息，这样，所有的信息包都会被重新路由到一个入侵者所指定的特别地址。,2024/10/4,网络入侵与防范讲义,31,攻破包过滤式防火墙的方法（,2,）,SYN,风暴攻击,攻击者,向被攻击的计算机发出许许多多个,虚假的请求信息包,，目标计算机响应了这种信息包后会等待请求发出者的应答，而攻击者却不做任何的响应。,如果服务器在一定时间里没有收到响应信号的话就会结束这次请求连接，但是当,服务器在遇到成千上万的虚假请求,时，它便没有能力来处理正常的用户服务请求，处于这种攻击下的服务器表现为,性能下降,，服务响应时间变长，严重时服务完全停止甚至死机。,2024/10/4,网络入侵与防范讲义,32,包过滤防火墙的优缺点,优点,逻辑简单，价格便宜，对网络性能的影响较小，有较强的透明性。,与应用层无关，无需改动任何客户机和主机上的应用程序，易于安装和使用。,2024/10/4,网络入侵与防范讲义,33,包过滤防火墙的优缺点,缺点,配置基于包过滤方式的防火墙，需要对,IP,、,TCP,、,UDP,和,ICMP,等各种协议有深入的了解，否则容易出现因配置不当带来的问题；,由于过滤判别的只有网络层和传输层的有限信息，所以各种安全要求难以得到充分的满足；,由于数据包的地址及端口号都在数据包的头部，因而不能彻底防止地址欺骗，及外部客户与内部主机直接连接，不提供用户的鉴别机制。,2024/10/4,网络入侵与防范讲义,34,代理型防火墙,代理服务器型防火墙通过在主机上运行代理的服务程序，直接对特定的应用层进行服务，因此，也称为,应用型防火墙,。,其,核心,是运行于防火墙主机上的,代理服务器程序,。,针对不同的应用程序，代理服务型防火墙需要不同的代理模块。,2024/10/4,网络入侵与防范讲义,35,代理服务器型防火墙,(2),代理服务,可以实现用户认证、详细日志、审计跟踪和数据加密等功能，并实现对具体协议及应用的,过滤,。,这种防火墙能完全,控制网络信息的交换,，,控制会话过程,，具有灵活性和安全性，但可能影响网络的性能，对用户不透明，且对每一种服务都要设计一个代理模块，建立对应的网关层，实现起来比较复杂。,2024/10/4,网络入侵与防范讲义,36,代理服务器型防火墙（,3,）,代理防火墙也叫应用级网关,。它适用于特定的互联网服务，如超文本传输（,HTTP,），远程文件传输（,FTP,）等等。,代理服务器通常运行在两个网络之间，它对于客户来说像是一台真的服务器，而对于外界的服务器来说，它又是一台客户机。,当代理服务器接收到用户对某站点的访问请求后会检查该请求是否符合规定，如果规则允许用户访问该站点的话，代理服务器会像一个客户一样去那个站点取回所需信息再转发给客户。,2024/10/4,网络入侵与防范讲义,37,代理服务器型防火墙（,4,）,代理服务器通常都有一个,高速缓存,，这个缓存,存储着用户经常访问的站点内容,，在下一个用户要访问同一站点时，服务器就不用重复的获取相同的内容，直接将缓存内容发出即可，既节约了时间也节约了网络资源。,代理服务器会像一堵墙一样挡在内部用户与外界之间，,从外部只能看到该代理服务器而无法获知任何的内部资源,，诸如用户的,IP,地址等。应用级网关比单一的包过滤更为可靠，而且会详细的记录所有的访问状态信息。,2024/10/4,网络入侵与防范讲义,38,应用代理原理,安全网域,Host C,Host D,数据包,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,数据包,应用代理可以对数据包的数据区进行分析，并以此判断数据是否允许通过,控制策略,数据,TCP,报头,IP,报头,分组过滤判断信息,应用代理判断信息,2024/10/4,网络入侵与防范讲义,39,代理防火墙的优点,易于配置，界面友好；,不允许内外网主机的直接连接；,可以提供比包过滤更详细的日志记录，例如在一个,HTTP,连接中，包过滤只能记录单个的数据包，而应用网关还可以记录文件名，,URL,等信息；,可以隐藏用户内部,IP,地址；,可以给单个用户授权；,可以为用户提供透明的加密机制；,可以与认证、授权等安全手段方便的集成。,2024/10/4,网络入侵与防范讲义,40,自适应代理防火墙,自适应代理防火墙是近几年才在商业应用防火墙中广泛应用的一种新型防火墙。它结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高,10,倍以上。,组成这种类型防火墙的基本要素有两个：自适应代理服务器（,Adaptive Proxy Server,）与动态包过滤器（,Dynamic Packet Filter,）。,2024/10/4,网络入侵与防范讲义,41,自适应代理防火墙,在自适应代理服务器与动态包过滤之间存在一个控制通道。在对防火墙进行配置时，用户仅仅将所需要的服务类型、安全级别等信息通过相应代理服务器的管理界面进行设置就可以了。然后，自适应代理就可以根据用户的配置信息，决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。,2024/10/4,网络入侵与防范讲义,42,代理防火墙优缺点,代理型防火墙的最突出的优点就是安全，很好地隐藏了内部用户的信息，可以方便地实现用户的认证和授权。,代理防火墙最大缺点的是速度相对比较慢，当用户对内外部网络网关的吞吐量要求比较高时，代理防火墙就会成为内外部网络之间的瓶颈。而且，代理防火墙需要为不同的网络服务建立专门的代理服务，用户不能使用代理防火墙不支持的服务。,2024/10/4,网络入侵与防范讲义,43,电路级网关,电路级网关,用来,监控受信任的客户或服务器与不受信任的主机间的,TCP,握手信息,，这样来决定该会话是否合法。,我们知道，要使用,TCP,协议，首先必须通过三次握手建立,TCP,连接，然后，才开始发送数据。,电路级网关通过在,TCP,握手过程中，检查双方的,SYN,、,ACK,和序列数据是否为合理逻辑，来判断该请求的会话是否合法。一旦网关认为会话合法，就会为双方建立连接,网关仅复制、传递数据，而不进行过滤。,2024/10/4,网络入侵与防范讲义,44,电路级网关是一个通用代理服务器，它工作于,OSI,互联模型的会话层或是,TCP/IP,协议的,TCP,层。,它适用于多个协议，但它不能识别在同一个协议栈上运行的不同的应用，当然也就不需要对不同的应用设置不同的代理模块。,它接受客户端的连接请求，代理客户端完成网络连接，建立起一个回路，对数据包起转发作用，数据包被提交给用户的应用层来处理。,电路级网关,2024/10/4,网络入侵与防范讲义,45,电路级网关,电路级网关还提供一个重要的安全功能：网络地址转换（,NAT,）将所有内部,IP,地址映射到防火墙使用的一个,“,安全,”,的,IP,地址，使得传递的数据似乎起源于防火墙，从而隐藏了被保护网络的信息。,实际上，电路级网关并非作为一个独立的产品存在，它通常与其他的应用级网关结合在一起，所以有人也把电路级网关归为应用级网关，但它在会话层上过滤数据包，无法检查应用层级的数据包。,2024/10/4,网络入侵与防范讲义,46,网络地址转换,网络地址转换,(NAT),是一种用于把内部,IP,地址转换成临时的、外部的、注册的,IP,地址的标准。,目的,解决,IP,地址空间不足问题,向外界隐藏内部网结构,它允许具有私有,IP,地址的内部网络访问因特网。它还意味着用户不需要为其网络中每台机器取得注册的,IP,地址。,2024/10/4,网络入侵与防范讲义,47,网络地址转换,(2),在内部网络访问外部网络时，将产生一个映射记录。,系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口与外部网络连接，这样对外就隐藏了真实的内部网络地址。,外部网络访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的,IP,地址和端口来请求访问。,2024/10/4,网络入侵与防范讲义,48,网络地址转换,(3),防火墙根据预先定义好的映射规则来判断访问是否安全。,当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。,当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。,2024/10/4,网络入侵与防范讲义,49,网络地址转换,(4),网络地址转换的过程对于用户来说是透明的。,2024/10/4,网络入侵与防范讲义,50,网络地址转换,(5),问题：,所有返回数据包目的,IP,都是,200.200.200.200,，防火墙如何识别并送回真正主机？,方法：,防火墙记住所有发送包的目的端口；,防火墙记住所有发送包的,TCP,序列号。,2024/10/4,网络入侵与防范讲义,51,混合型防火墙,当前的防火墙产品已不是单一的包过滤型或代理服务器型防火墙，而是将各种安全技术结合起来，综合各类型防火墙的优点，形成一个混合的多级防火墙。,不同的防火墙侧重点不同。从某种意义上来说，防火墙实际上代表了一个网络的访问原则。如果某个网络决定设立防火墙，那么首先需要决定本网络的安全策略，即确定哪些类型的信息允许通过防火墙，哪些类型的信息不允许通过防火墙。防火墙的职责就是根据本单位的安全策略，对外部网络与内部网络交流的数据进行检查，对符合安全策略的数据予以放行，将不符合的拒之门外。,在设计防火墙时，还要确定防火墙的类型和拓扑结构。一般来说，防火墙被设置在可信赖的内部网络和不可信赖的外部网络之间。,2024/10/4,网络入侵与防范讲义,52,11.3.3,防火墙的配置方案,最简单的防火墙配置，就是直接在内部网和外部网之间加装一个包过滤路由器或者应用网关。为更好地实现网络安全，有时还要将几种防火墙技术组合起来构建防火墙系统。,目前比较流行的有以下三种防火墙配置方案。,双宿主机模式,屏蔽主机模式,屏蔽子网模式,2024/10/4,网络入侵与防范讲义,53,双宿主机模式,双宿主机结构采用主机替代路由器执行安全控制功能，故类似于包过滤防火墙，它是外部网络用户进入内部网络的唯一通道。,这种配置是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络，又称,堡垒主机,。,2024/10/4,网络入侵与防范讲义,54,双宿主机模式,(cont.),堡垒主机上运行着防火墙软件，可以转发数据，提供服务等。,2024/10/4,网络入侵与防范讲义,55,双宿主机模式,(cont.),双宿主机即一台配有多个网络接口的主机，它可以用来在内部网络和外部网络之间进行寻径，与它相连的内部和外部网络都可以执行由它所提供的网络应用，如果这个应用允许的话，它们就可以共享数据。,如果在一台双宿主机中寻径功能被禁止了，则这个主机可以隔离与它相连的内部网络和外部网络之间的通信。,2024/10/4,网络入侵与防范讲义,56,双宿主机模式,(cont.),这样就保证内部网络和外部网络的某些节点之间可以通过双宿主机上的共享数据传递信息，但内部网络与外部网络之间却不能传递信息，从而达到保护内部网络的作用。,这种防火墙的特点是主机的路由功能是被禁止的，两个网络之间的通信通过双宿主机来完成。,双宿主机有一个致命弱点，一旦入侵者侵入堡垒主机并使该主机只具有路由器功能，则任何网上用户均可以随便访问有保护的内部网络。,2024/10/4,网络入侵与防范讲义,57,双宿主机模式,内部网络,外部网络,禁止内外网络之间直接通信,双宿主机,通过应用代理,通过登陆到双宿主主机上获得服务,缺点：如何保护双宿主机本身的安全,所有的通信必须经过双宿主主机,2024/10/4,网络入侵与防范讲义,58,屏蔽主机模式,在这种模式下，一个包过滤路由器连接外部网络，堡垒主机安装在内部网络上。,2024/10/4,网络入侵与防范讲义,59,屏蔽主机模式,(2),通常在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络唯一可直接到达的主机，这确保了内部网络不受未被授权的外部用户的攻击。屏蔽主机防火墙实现了网络层和应用层的安全，因而比单独的包过滤或应用网关代理更安全。,在这一方式下，过滤路由器是否配置正确是这种防火墙安全与否的关键，如果路由表遭到破坏，堡垒主机就可能被越过，使内部网完全暴露。,2024/10/4,网络入侵与防范讲义,60,屏蔽主机模式,堡垒主机,进行规则配置，只允许外部主机与堡垒主机通讯,互联网,对内部其他主机的访问必须经过堡垒主机,缺点：,堡垒主机与其他主机在同一个子网,一旦堡垒主机被攻破或被越过，整个内网和 堡垒主机之间就再也没有任何阻挡。,不允许外部主机直接访问除堡垒主机之外的其他主机,过滤器,2024/10/4,网络入侵与防范讲义,61,屏蔽子网模式,屏蔽子网防火墙是目前较流行的一种结构，采用了两个包过滤路由器和一个堡垒主机，在内外网络之间建立了一个被隔离的子网，定义为,DMZ,（非军事区、隔离区）。,2024/10/4,网络入侵与防范讲义,62,屏蔽子网模式,(cont.),DMZ,：,demilitarized zone,的缩写，中文名称为,“,隔离区,”,，也称,“,非军事区,”,。,它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业,Web,服务器、,FTP,服务器和论坛等。,另一方面，通过这样一个,DMZ,区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。,2024/10/4,网络入侵与防范讲义,63,屏蔽子网模式,(cont.),这种屏蔽子网模式是在,Intranet,和,Internet,之间建立一个被隔离的子网，用两个包过滤路由器将这一子网分别与,Intranet,和,Internet,分开。,两个包过滤路由器放在子网的两端，在子网内构成一个,“,缓冲地带,”,，两个路由器一个控制,Intranet,数据流，另一个控制,Internet,数据流，,Intranet,和,Internet,均可访问屏蔽子网，但禁止它们穿过屏蔽子网通信。,2024/10/4,网络入侵与防范讲义,64,屏蔽子网模式,(cont.),可根据需要在屏蔽子网中安装堡垒主机，为内部网络和外部网络的互相访问提供代理服务，但是来自两网络的访问都必须通过两个包过滤路由器的检查。,对于向,Internet,公开的服务器，像,WWW,、,FTP,、,Mail,等,Internet,服务器也可安装在屏蔽子网内，这样无论是外部用户，还是内部用户都可访问。,2024/10/4,网络入侵与防范讲义,65,屏蔽子网模式,(cont.),在这一配置中，即使堡垒主机被入侵者控制，内部网仍受到内部包过滤路由器的保护。,这种结构的防火墙安全性能高，具有很强的抗攻击能力，但需要的设备多，造价高。,2024/10/4,网络入侵与防范讲义,66,屏蔽子网模式,内部网络,外部网络,堡垒主机,内部筛选路由器,外部筛选路由器,禁止内外网络直接进行通讯,内外部网络之间的通信都经过堡垒主机,2024/10/4,网络入侵与防范讲义,67,防火墙的主要功能,防火墙的主要功能有,网络安全的屏障,强化网络安全策略,对网络存取和访问进行监控审计,防止内部信息的外泄,2024/10/4,网络入侵与防范讲义,68,安全内核,访问控制,内容安全,IP,与,MAC,绑定,安全远程管理,多种管理方式,灵活接入,授权认证,双机热备,安全审计,加密,端口映射,流量控制,规则模拟测试,入侵检测,本地,&,远程管理,NAT,转换,& IP,复用,多端口结构,安全联动,双系统,网络管理,基于源地址、目的地址,基于源端口、目的端口,基于用户,基于时间,基于流量,基于时间的控制,用户级权限控制,防火墙,2024/10/4,网络入侵与防范讲义,69,灵活的访问控制,Host C,Host D,数据包,数据包,数据包,数据包,数据包,查找对应的控制策略,拆开数据包,进行分析,根据策略决定如何处理该数据包,数据包,控制策略,基于,MAC,基于源,IP,地址,基于目的,IP,地址,基于源端口,基于目的端口,基于时间,基于用户,基于流量,可以灵活的制定,的控制策略,2024/10/4,网络入侵与防范讲义,70,基于时间的控制,Host C,Host D,在防火墙上制定基于时间的访问控制策略,上班时间不允许访问,Internet,上班时间可以访问公司的网络,Internet,2024/10/4,网络入侵与防范讲义,71,内容安全,应用控制可以对常用的高层应用做更细的控制,如,HTTP,的,GET,、,POST,、,HEAD,如,FTP,的,GET,、,PUT,等,物理层,链路层,网络层,传输层,会话层,表示层,应用层,物理层,链路层,网络层,传输层,会话层,表示层,应用层,内部网络,外部网络,防火墙,内部接口,外部接口,根据策略检查应用层的数据,符合策略,应用层,应用层,应用层,2024/10/4,网络入侵与防范讲义,72,IP,与,MAC,绑定,Internet,Host A,199.168.1.2,Host B,199.168.1.3,Host C,199.168.1.4,Host D,199.168.1.5,00-50-04-BB-71-A6,00-50-04-BB-71-BC,BIND 199.168.1.2 To 00-50-04-BB-71-A6,BIND 199.168.1.2 To 00-50-04-BB-71-BC,IP,与,MAC,地址绑定后，不允许,Host B,假冒,Host A,的,IP,地址上网,防火墙允许,Host A,上网,2024/10/4,网络入侵与防范讲义,73,安全远程管理,安全网域,Host C,Host D,Internet,202.102.14.5,Superman,*,管理员,黑客,如何实现,安全管理呢,可以采用一次性口令认证来实现安全管理,用户名，口令,用户名，口令,2024/10/4,网络入侵与防范讲义,74,身份认证,Host C,Host D,Host B,Host A,受保护网络,Internet,Permit,Password,Username,预先可在防火墙上设定用户,Chenaf,123,验证通过则允许访问,Chenaf,123,Yes,Liwy,883,No,用户身份认证,根据用户控制访问,2024/10/4,网络入侵与防范讲义,75,信息审计,&,日志,Host A,199.168.1.2,Host B,199.168.1.3,Host C,199.168.1.4,Host D,199.168.1.5,Internet,安全网域,Host G,Host H,TCP,202.102.1.2,199.168.1.2,8,：,30,2001-02-07,202.102.1.2,202.102.1.3,TCP,202.102.1.3,199.168.1.5,9,：,10,2001-02-07,写入日志,写入日志,一旦出现安全事故,可以查询此日志,2024/10/4,网络入侵与防范讲义,76,端口映射,Internet,公开服务器可以使用私有地址,隐藏内部网络的结构,WWW,199.168.1.2,FTP,199.168.1.3,MAIL,199.168.1.4,DNS,199.168.1.5,199.168.1.6,12.4.1.5,202.102.1.3,MAP 199.168.1.2,：,80 TO,202.102.1.3,：,80,MAP 199.168.1.3,：,21 TO,202.102.1.3,：,21,MAP 199.168.1.4,：,25 TO,202.102.1.3,：,25,MAP 199.168.1.5,：,53 TO,202.102.1.3,：,53,http:/202.102.1.3,2024/10/4,网络入侵与防范讲义,77,流量控制,Host C,Host D,Host B,Host A,受保护网络,Host A,的流量已达到,10M,Host A,的流量已达到 极限值,30M,阻断,Host A,的连接,Internet,2024/10/4,网络入侵与防范讲义,78,Host C,Host D,Host B,Host A,入侵检测,受保护网络,Internet,同一台主机对受保护网络内的主机频繁扫描,同一主机对受保护网内的主机建立多个连接,其他对网内主机的攻击行为,将根据用户策略采取措施,执行用户自定义的策略,2024/10/4,网络入侵与防范讲义,79,NAT,转换,& IP,复用,Internet,202.102.93.54,Host A,受保护网络,Host C,Host D,192.168.1.21,192.168.1.25,防火墙,Eth2,：,192.168.1.23,Eth0,：,101.211.23.1,数据,IP,报头,数据,IP,报头,源地址：,192.168.1.21,目地址：,202.102.93.54,源地址：,101.211.23.1,目地址：,202.102.93.54,101.211.23.2,隐藏了内部网络的结构,内部网络可以使用私有,IP,地址,公开地址不足的网络可以使用这种方式提供,IP,复用功能,2024/10/4,网络入侵与防范讲义,80,多端口结构使多个域相互隔离,安全网域,2,安全网域,3,Eth0,Eth1,Eth2,安全网域,1,多个接口可将受控网络从物理上分开，提高安全保护同时方便网络连接,2024/10/4,网络入侵与防范讲义,81,11.3.4,典型防火墙产品介绍,Net Screen,Checkpoint Fire Wall,东大阿尔派网眼,天融信网络卫士,2024/10/4,网络入侵与防范讲义,82,Net Screen,Net Screen,公司的,Net Screen,防火墙产品是一种新型的网络安全硬件产品。,Net Screen,的产品完全基于硬件,ASIC,芯片，它就像个盒子一样安装使用起来很简单。同时它还是一种集防火墙、,VPN,、流量控制三种功能于一体的网络产品。,2024/10/4,网络入侵与防范讲义,83,Checkpoint Fire Wall,Checkpoint FireWall-1,是一个老牌的软件防火墙产品，它是软件防火墙领域中名声很好的一款产品，在世界范围内的软件防火墙中销售量排名第一。,目前国内主要依靠代理商，如清华得实、东方趋势等公司来进行中国市场的拓展。,2024/10/4,网络入侵与防范讲义,84,东大阿尔派网眼,网眼防火墙,NetEye,是一种软件防火墙产品。,集网络数据的监控和管理于一体，可以随时对网络数据的流动情况进行分析、监控和管理，以便及时制定保护内部网络数据的相应措施。,该系统具有可靠性高、不易遭到攻击破坏等特点。,网眼防火墙,NetEye2.0,系统的管理主机和监控主机建立在一种独立安全的局域网络之内，而且通信数据经过了加密处理，提高了系统的安全性。,2024/10/4,网络入侵与防范讲义,85,天融信网络卫士,天融信公司的网络卫士是我国第一套自主版权的防火墙系列，是一种基于硬件的防火墙；,网络卫士防火墙由多个模块组成，包括包过滤、应用代理、,NAT,、,VPN,、防攻击等功能模块，各模块可分离、裁剪和升级，以满足不同用户的要求。,