防火墙与反病毒技术

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,知识回顾,上一章中介绍了哪两种网络安全协议？,SSL,的体系结构中包含了哪些协议？,IPSec,架构中包含了哪两个重要的协议？,IPSec,协议的两种工作模式是什么？,已经学习了哪些保障信息安全的技术？,ESP,协议,，实现保密性、完整性、抗重放攻击,AH,协议,，实现完整性、抗重放攻击,传输模式，隧道模式,三只小猪的故事,现代信息安全技术,防火墙,核心防护,病毒检测,入侵检测,第七章 防火墙与反病毒技术,防火墙的概述,什么是防火墙,防火墙的发展历史,防火墙的几种类型,Internet,不可信网络和服务器,什么是防火墙,可信网络,Intranet,可信用户,不可信用户,DMZ,？,什么是防火墙,定义,防火墙是位于两个,(,或多个,),网络间，实施网间访问控制的一组,组件,的集合。,它满足以下条件：,内部和外部之间的所有网络数据流必须经过防火墙,只有符合安全政策的数据流才能通过防火墙,防火墙自身应对渗透,(peneration),免疫（不受各种攻击的影响）,核心思想,在不安全的网际网环境中构造一个相对安全的子网环境,什么是防火墙,功能,网络安全的屏障,过滤不安全的服务：（两层含义）,内部提供的不安全服务,内部访问外部的不安全服务,集中式安全保护,阻断特定的网络攻击；（联动技术的产生）,是监视局域网安全和预警的方便端点,提供包括安全和统计数据在内的审计数据，好的防火墙还能灵活设置各种报警方式。,防火墙的发展历史,1986,年，美国,digital,公司在,Internet,上安装了全球,第一个,商用防火墙系统，提出了防火墙概念。,防火墙的发展大致可划分为,4,个阶段,防火墙的发展历史,第一代防火墙,基于路由器的防火墙,网络访问控制功能通过路由控制来实现,特点,以访问控制表方式实现对分组的过滤,过滤判决的依据可以是地址、端口号、,IP,标志等,只有分组过滤功能,缺点,路由协议本身就具有安全漏洞，外部网络要探测内部网络十分容易,路由器上分组过滤规则的设置和配置存在安全隐患,只是一种应急措施,防火墙的发展历史,第二代防火墙,用户化防火墙工具套,特点,将过滤功能从路由器中独立出来，并加上审计和告警功能,针对用户需求，提供模块化的软件包,软件可通过网络发送，用户可自己动手构造防火墙,存在的问题,配置和维护过程复杂、费时,对用户的技术要求高,全软件实现，安全性和处理速度均有局限,实践表明，使用中出现差错的情况很多,防火墙的发展历史,第三代防火墙,建立在通用操作系统上的商用防火墙产品,特点,批量上市的专用防火墙,包括分组过滤或者借用路由器的分组过滤功能,装有专用的代理系统，监控所有协议的数据和指令,保护用户编程空间和用户配置内核参数的设置,安全性和速度大为提高,防火墙的发展历史,第三代防火墙,存在的问题,作为基础的操作系统及其内核往往不为防火墙管理者所知。由于源码的保密，其安全性无从保证,由于大多数防火墙厂商并非是通用操作系统的厂商，通用操作系统厂商不会对防火墙中使用的操作系统的安全性负责,用户必须依赖两方面的安全支持；一是防火墙厂商；二是操作系统厂商,防火墙的发展历史,第四代防火墙,具有安全操作系统的防火墙,特点,防火墙厂商具有操作系统的源代码，并可实现安全内核,对安全内核实现加固定处理。即去掉不必要的系统特性，加上内核特性，强化安全保护,对每个服务器、子系统都作安全处理，一旦黑客攻破了一个服务器，它将会被隔离在此服务器内，不会对网络的其他部分构成威胁,在功能上包括分组过滤、应用网关、电路级网关，且具有加密与认证功能,透明性好，易使用,防火墙的几种类型,分组过滤防火墙,又称,包过滤防火墙,或,屏蔽路由器,通过检查经过路由器的,数据包源地址、目的地,址、,TCP,端口、,UDP,端口,等参数，并由策略决定,是否允许该数据包通过，,并对其进行路由选择转,发。,屏蔽路由器,内部网络,防火墙的几种类型,分组过滤防火墙,特点,屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。,实现,IP,层的安全,缺点,在主机上实现，是网络中的“单失效点”,不支持有效的用户认证，不提供有用的日志，安全性低,存在难以调和的矛盾,防火墙的几种类型,双宿主机防火墙,这种配置是用一台装有两块网卡的,堡垒主机,做防火墙。两块网卡分别与内部网和外部网相连。堡垒主机运行着防火墙软件，可以转发应用程序，提供服务等,采用,代理服务,的方法,堡垒主机上运行着防火墙软件，可以转发应用程序和提供服务等,双宿主机防火墙,堡垒主机的作用,阻止,IP,层通信,实现应用层安全,中间转接作用,防火墙的几种类型,内部网络,堡垒主机,防火墙的几种类型,双宿主机防火墙,优缺点,堡垒主机的系统软件可用于身份认证和维护系统日志，有利于进行安全审计,仍然是“单失效点”,隔离了一切内部网域,Inernet,的直接连接,代表产品：,ISA,防火墙,Microsoft Internet Security and Acceleration Server(,简称为,ISA),，目前最新版为,2006,不适合于一些高灵活性要求,防火墙的几种类型,屏蔽主机防火墙,分组过滤路由器连接外部网络,运行网关软件的堡垒主机安装,在内部网路,提供了较高的安全等级,过滤路由器是否正确,配置，是防火墙,安全与否的关键,路由表应受到严,格保护,IP,层安全,应用层安全,防火墙的几种类型,屏蔽子网,最安全的防火墙系统,DMZ,区,小结,防火墙是位于两个,(,或多个,),网络间，实施网间访问控制的一组组件的集合。,防火墙经历了四个发展阶段,防火墙常见的四种类型,思考题,防火墙有哪些局限性？,