当前位置:文档之家 › 沈鑫剡编著(网络安全)教材配套课件第11章

沈鑫剡编著(网络安全)教材配套课件第11章

  • 格式:pptx
  • 大小:1.60 MB
  • 文档页数:1

下载文档原格式

  / 1

合集下载

沈鑫剡编著(网络安全)教材配套课件第10章

沈鑫剡编著(网络安全)教材配套课件第10章

虚拟专用网络
三、 VPN分类
Web 服务器 HTTP HTTPS 终端 SSL VPN 网关 SMTP+POP3 FTP FTP 服务器 邮件服务器
SSL VPN
远程终端通过HTTPS访问SSL VPN网关。以此实现远程终端与SSL VPN网关之间 的双向身份鉴别,保证远程终端与SSL VPN网关之间传输的数据的保密性和完整性。 SSL VPN网关作为中继设备,可以将远程终端访问内部网络资源的请求消息转 发给内部网络中的服务器,也将内部网络服务器发送的响应消息,转发给远程终端。
缺点:互连子网的专用点 对点物理链路的低效率、 高费用和不方便。
计算机网络安全
虚拟专用网络
一、企业网和远程接入
Modem PSTN 终端
实现远程接入的网络结构
可以随时随地连接到PSTN ; 可以按需建立与路由器R之间的语音信 道。
R
内部网络

缺点:需要支付昂贵的长 途费用;语音信道利用率 不高;语音信道的数据传 输速率受到严格限制。
第一次交互过程双方约定安全传输通道使用的加密算法3DES和报文摘 要算法MD5,同时完成用于生成密钥种子KS的随机数YA和YB的交换过程。
第二次交互过程双方约定安全关联使用的安全协议ESP,ESP使用的加 密算法AES和MAC算法HMAC-MD5-96。同时通过证书和数字签名完成双方身 份鉴别过程。第二次交互过程双方传输的信息是用3DES加密算法和通过密 钥种子KS推导出的密钥K加密后的密文。
虚拟专用网络
三、 VPN分类
内部网络 Web 服务器
Internet 终端 SSL VPN 网关
邮件服务器
FTP 服务器
SSL VPN
SSLVPN也是一种实现远程终端访问内部网络资源的技术,SSL VPN的 核心设备是SSL VPN网关,SSL VPN网关一端连接互联网,另一端连接内 部网络。

沈鑫剡编著(网络安全)教材配套课件第11章

沈鑫剡编著(网络安全)教材配套课件第11章

计算机网络安全
防火墙
五、防火墙的局限性

无法防御网络内部终端发起的攻击; 无法阻止病毒传播; 无法防御利用防火墙安全策略允许的信息传输过 程实施的攻击行为。
计算机网络安全
防火墙
11.2 分组过滤器
本讲主要内容 无状态分组过滤器; 有状态分组过滤器。
计算机网络安全
防火墙
一、无状态分组过滤器
防火墙的作用是控制网络1与网络2之间传输的信息流, 所谓控制是指允许网络1与网络2之间传输某种类型的信息流, 阻断另一种类型的信息流网络1与网络2之间的传输过程。允 许和阻断操作的依据是为防火墙配置的安全策略。
计算机网络安全
防火墙
三、防火墙分类
防火墙
个人防火墙
网络防火墙
分组过滤器
分组过滤器电路层代理Biblioteka 计算机网络安全防火墙
一、引出防火墙的原因
数据交换过程 Internet 路由器 数据交 换过程 用户终端 黑客终端
内部网络
安全的网络系统既要能够保障正常的数据交换过程,又 要能够阻止用于实施攻击的数据交换过程。 防火墙一是能够检测出用于实施攻击的信息流,并阻断 这样的信息流。二是能够允许正常信息流通过。
计算机网络安全
防火墙
一、无状态分组过滤器
路由器R1接口1输入方向的过滤规则集如下。 ①协议类型=TCP,源IP地址=192.1.1.1/32,源端口号=*, 目的IP地址=192.1.2.7/32,目的端口号=80;正常转发。 ②协议类型=TCP,源IP地址=192.1.1.7/32,源端口号=21, 目的IP地址=192.1.2.1/32,目的端口号=*;正常转发。 ③协议类型=TCP,源IP地址=192.1.1.7/32,源端口号=20, 目的IP地址=192.1.2.1/32,目的端口号=*;正常转发。 ④协议类型=*,源IP地址=any,目的IP地址=any;丢弃。

沈鑫剡编著《路由和交换技术》(第2版)配套课件第10章

沈鑫剡编著《路由和交换技术》(第2版)配套课件第10章

IPv6
二、复杂的分组首部


随着链路带宽的提高,结点转发操作已经 成为性能瓶颈; 每一个转发结点需要重新计算检验和; 每一个转发结点需要处理可选项。
路由和交换技术
IPv6
三、QoS实现困难


没有单独的流标识字段,需要通过源和目 的IP地址、源和目的端口号确定属于同一 流的IP分组; 流分类由转发结点完成,增加了转发结点 的处理负担。
路由和交换技术
IPv6
二、IPv6地址分类
10bit 1111111010 54bit 0 64bit 接口标识符
链路本地地址


128bit地址长度为IPv6地址分类提供了方便; 链路本地地址是传输网络内有效的地址,只能用 于同一传输网络内两个端点之间的IPv6分组的传 输; 链路本地地址能够通过链路层地址,如 MAC地址, 自动生成。

路由和交换技术
IPv6
10.4 IPv6网络实现通信过程
本讲主要内容 网络结构和基本配置; 邻站发现协议; 路由器建立路由表过程。
路由和交换技术
IPv6
一、网络结构和基本配置
路由器 R1 路由表 目的网络 距离 下一跳路由器 转发端口 2001::/64 1 直接 1 2002::/64 2 FE80::2E0:FCFF:FE00:3 2 2001::1/64 2 1 R1 路由器 R2 路由表 目的网络 距离 下一跳路由器 转发端口 2001::/64 2 FE80::2E0:FCFF:FE00:2 1 2002::/64 1 直接 2 1 R2 2002::1/64 2
路由和交换技术
IPv6
二、IPv6地址分类
MAC地址为0012:3400:ABCD

沈鑫剡编著教材配套课件第章2

沈鑫剡编著教材配套课件第章2
计算机网络安全 第二十九页,编辑于星期五:十二点 四十五分

黑客攻击机制
四、 ARP欺骗攻击
2.ARP欺骗攻击过程
计算机网络安全 第三十页,编辑于星期五:十二点 四十五分。
黑客攻击机制
四、 ARP欺骗攻击
2.ARP欺骗攻击过程
① 黑客终端发送将IP A和MAC C绑定的ARP请求报 文;
② 路由器缓冲区中记录IP A和MAC C绑定项; ③ 路由器将目的IP地址为IP A的IP分组封装成以
转发项,这些转发项耗尽交换机 转发表的存储空间,当交换机接 收到终端B发送的源MAC地址为
MAC B的MAC帧时,由于转发表 的存储空间已经耗尽,因此, 无法添加新的MAC地址为MAC B 的转发项,导致交换机以广播 方式完成MAC帧终端A至终端B传
输过程。
计算机网络安全 第十五页,编辑于星期五:十二点 四十五分。
黑客攻击机制
一、 嗅探攻击原理和后果
2.嗅探攻击后果 嗅探攻击后果有以下三点。一是破坏
信息的保密性。二是嗅探攻击是实现数据 流分析攻击的前提。三是实施重放攻击。
计算机网络安全 第十二页,编辑于星期五:十二点 四十五分。
黑客攻击机制
二、集线器和嗅探攻击
由于集线器接收到MAC
帧后,通过除接收端口以外
MAC C为目的MAC地址的MAC帧。
计算机网络安全 第三十一页,编辑于星期五:十二点 四十五分

黑客攻击机制
四、 ARP欺骗攻击
3.ARP欺骗攻击防御机制
终端没有鉴别ARP请求和响应报文中IP地址 与MAC地址绑定项真伪的功能,因此,需要以太 网交换机提供鉴别ARP请求和响应报文中IP地 址与MAC地址绑定项真伪的功能,以太网交换机 只继续转发包含正确的IP地址与MAC地址绑定项 的ARP请求和响应报文。

沈鑫剡编著(网络安全)教材配套课件第2章

沈鑫剡编著(网络安全)教材配套课件第2章

计算机网络安全
黑客攻击机制
一、 嗅探攻击原理和后果
2.嗅探攻击后果 嗅探攻击后果有以下三点。一是破坏
信息的保密性。二是嗅探攻击是实现数据 流分析攻击的前提。三是实施重放攻击。
计算机网络安全
黑客攻击机制
二、集线器和嗅探攻击
集线器
终端 A 终端 B 黑客终端 :终端 A 至终端 B 的 MAC 帧
由于集线器接收到 MAC帧后,通过除接收端 口以外的所有其他端口输 出该MAC帧,因此,在有 黑客终端接入集线器的情 况下,集线器完成终端A 至终端B的MAC帧传输过程 的同时,将该MAC帧传输 给黑客终端。
网络安全
第二章
© 2006工程兵工程学院 计算机教研室
第2章网络攻击
本章主要内容 网络攻击定义和分类; 嗅探攻击; 截获攻击; 拒绝服务攻击; 欺骗攻击; 非法接入和登录; 黑客入侵; 病毒。
黑客攻击机制
计算机网络安全
黑客攻击机制
2.1 网络攻击定义和分类
本讲主要内容 网络攻击定义; 网络攻击分类。
对于无线通信过程,嗅探攻击是无法避免 的,这种情况下,需要对传输的信息进行加密, 使得黑客终端即使嗅探到信息,也因为无法对 信息解密而无法破坏信息的保密性。
计算内容 截获攻击原理和后果; MAC地址欺骗攻击; DHCP欺骗攻击; ARP欺骗攻击; 生成树欺骗攻击; 路由项欺骗攻击。
3 2
1 3 MAC C
1
终端 A 终端 B 终端 C 黑客终端 MAC A MAC B MAC C MAC A
一是接入以太 网,黑客终端通过 连接到交换机S3的 端口3接入以太网。 二是将自己的MAC 地址修改为终端A 的MAC地址MAC A。 三是发送以MAC A 为源MAC地址、以 广播地址为目的 MAC地址的MAC帧。

沈鑫剡计算机网络技术及应用无线局域网PPT课件

沈鑫剡计算机网络技术及应用无线局域网PPT课件
不是
随机生成 退避时间
持续 DIFS 是 信道空闲?
不是
信道不忙 不是 且 NAV=0?

持续 DIFS 不是 信道空闲?

退避时间 不是 到?
是 信道不忙?
发送数据
• CSMA/CA算法的特点是争用总线, 即信道持续空闲DIFS时间,认为 信道空闲;
• 通过NAV预约信道,预留时间通过 MAC帧中的持续时间字段给出,预 约时间内等同于信道忙;
• 如果终端第一次发送数据时检测到信道忙,在等待信道由忙转为空闲 的时间内,可能有多个终端开始检测信道,因此,发生冲突的概率较 大,需要进入退避时间。
第24页/共42页
三、DCF和CSMA/CA
AP

BSS
④ ②⑤ ⑥ ③
①:数据 ②ACK ③:数据 ④:ACK ⑤:数据 ⑥:ACK 终端 A
DCF操作过程
三、无线局域网拓扑结构
AP1 DS
BSS1
终端 B 终端 C
1 S1 2
AP2 BSS2
终端 D 终端 E 终端 F
(3)扩展服务集是一个

A.冲突域
B.广播域
C.所有终端都能接收到任何目的地址MAC帧的传输区域
D.多个广播域构成的传输区域
选择答案,并简要回答为什么?
第13页/共42页
四、无线局域网标准
终端 B
终端 C
实现终端A至终端C,终端B至AP的数据传输过 程
第25页/共42页
三、DCF和CSMA/CA
终端 A 检测信道
数据
终端 A
DIFS
信道忙
AP 终端 B 检测信道
时隙
ACK
SIFS

沈鑫剡编著《信息安全实用教程》第1章配套课件

沈鑫剡编著《信息安全实用教程》第1章配套课件
信息安全实用技术 计算机基础与计算思维
概述
二、互联网应用
微信扫码支付涉及的安全问题 如何确保预支付请求中指明的商家与发送预支付请 求的商家是一致的; 如何确保预支付请求传输过程中不被篡改; 如何确保预支付交易链接传输过程中不被篡改; 如何确保支付验证传输过程中不被篡改; 如何确保支付授权传输过程中不被截获; 如何确保微信客户端和商家后台系统无法否认曾经 发送过的信息; 如何确保微信客户端和微信支付系统能够正常工作。
信息安全实用技术 计算机基础与计算思维
概述
二、互联网应用
用户 ①商品名称、数量 商家
③账号、用户名、 密码、动态口令 银行
②商品清单、 支付 金额
网上购物涉及的数据交换过程
信息安全实用技术 计算机基础与计算思维
概述
二、互联网应用
网上购物涉及的安全问题 商家链接的银行支付界面有可能是伪造的银行 支付界面; 用户与银行之间交换的与鉴别用户身份和完成 网上支付过程有关的数据在传输过程中有可能 被截获; 商家与银行之间交换的与支付有关的数据,在 传输过程中有可能被篡改; 用户和商家可能否认曾经发送过的信息; 用户终端和商家的电商平台可能无法正常工作。
信息安全实用技术 计算机基础与计算思维
概述
一、互联网和移动互联网
Internet GPRS 3G 4G

无线局域网

移动终端 无线通信网络 移动互联网应用
笔记本 计算机
平板电脑
智能手机
信息安全实用技术 计算机基础与计算思维
概述
一、互联网和移动互联网
智能手机(移动终端)特点 方便携带; 方便使用; 方便连接; 方便身份鉴别; 丰富的传感器; 移动通信设备。

沈鑫剡编著网络安全教材配套PPT课件

沈鑫剡编著网络安全教材配套PPT课件
计算机网络安全
病入毒侵防防御御技系术统
三、病毒隐藏和运行
2.病毒激发机制 嵌入BIOS和引导区; 病毒程序作为自启动项; 修改名字。
计算机网络安全
病入毒侵防防御御技系术统
四、病毒感染和传播
病毒每一次运行过程,或是完成感染和传播过程。 一般情况下,PE病毒感染PE格式文件,宏病毒感染 Office文档,脚本病毒感染HTML文档。蠕虫病毒自动完成 传播过程。
计算机网络安全
病入毒侵防防御御技系术统
三、病毒隐藏和运行
1.病毒首次运行过程 (1)U盘AutoRun病毒
修改U盘的AutoRun.inf文件,将病毒程序作为双击U盘 后执行的程序。如果已经启动Windows 的自动播放功能, 当用户打开该U盘时,首先执行病毒程序。 (2)宏病毒
用Office软件打开包含宏病毒的Office文档时,才能执 行包含在Office文档中的宏病毒。 (3)脚本病毒
计算机网络安全
病入毒侵防防御御技系术统
一、病毒存在形式
病毒可以是一段寄生在其他程序和文件中的恶 意代码,也可以是一个完整的程序。 寄生病毒
脚本病毒 宏病毒 PE病毒
非寄生病毒
计算机网络安全
病入毒侵防防御御技系术统
二、病毒植入方式
对于寄生病毒,病毒植入是指将包含病毒的宿主程序 或宿主文件传输到主机系统中的过程。对于非寄生病毒, 病毒植入是指将独立、完整的病毒程序传输到主机系统中 的过程。 移动媒体 访问网页 下载实用程序 下载和复制Office文档 邮件附件 黑客上传 蠕虫蔓延

黑客终端 启动木马 客户端程序
黑客终端 ③ 客户端出现特 定图标,双击 图标,弹出资 源管理界面
(1)木马病毒结构及功能

计算机网络安全课件(沈鑫剡)第11章

计算机网络安全课件(沈鑫剡)第11章
Cbd and def: Play football at 2.0 pm sunday。
abc
邮件首部
SMTP邮件格式
邮件体
5个常见关键词:Date、From、Subject、To、 Cc;
只能传输ASCII码。
S/MIME
SMTP 首部
MIME 首部
MIME-Version:1.0 Content-Type:类型/子类型 Content-ID: Content-Transfer-Encoding: Content-Description:
和终端生成相同
切换安全参数 结束
切换安全参数
的密钥,服务器 身份得到确认; 双方切换到新的安全参数 终端和服务器用
结束
约定的加密解密
HTTP 请求 HTTP 响应
保密传输 HTTP 报文
算法和密钥实现 数据的安全传输。
HTTP over
TLS
HTTP 报文
分段 类 长版序
压缩 型 度本号
由于TLS约定的安全 参数只有终端和服务 器知道,因此,加密 和消息认证码计算过 程本身具有认证发送 者身份的作用;密文KE来自2 E数字 封面2
PKA
购买请求消息封装过程
安全电子交易(SET)
发给 支付 网关 密文
发给 支付 网关 密文
数字 封面
1
数字 封面 1
PIMD

H
相等,双重 签名认证成功
OI
H OIMD
密文
数字 封面 2
3DESD KEY2 D
双重 签名
E
持卡
人证 PKC 书
不相等,双重 签名认证失败
持卡人
① ② ③⑥
证书签发过程 认证中心链

计算机网络安全课件(沈鑫剡)第4章PPT课件

计算机网络安全课件(沈鑫剡)第4章PPT课件

LAN 4
终端 A IP A
R1 IP H
LAN4 1
黑客终端
R2
R3
终端 B
IP B
黑客终端伪造路由项过程
• 黑客终端伪造和LAN4直接相连的路由项,并通过路由消息将该路由 项组播给路由器R1、R2;
• 路由器R1将通往LAN4传输路径的下一跳改为黑客终端; • 所有LAN1中终端发送给LAN4中终端的IP分组都被错误地转发给黑客
路由器 R1 正确路由表
路由器 R1 错误路由表
子网 距离 LAN 1 1 LAN 2 1 LAN 3 2 LAN 4 3
下一跳 直接 直接
IP R IP R
子网 距离 LAN 1 1 LAN 2 1 LAN 3 2 LAN 4 2
下一跳 直接 直接
IP R IP HLAN 1LAN 2 IP RLAN 3
第1页/共38页
4.1 以太网安全技术
• 以太网接入控制 ➢ 访问控制列表; ➢ 安全端口; ➢ 802.1X接入控制过程。 • 以太网其他安全功能 ➢ 防站表溢出攻击功能; ➢ 防DHCP欺骗; ➢ 防ARP欺骗攻击。
第2页/共38页
以太网接入控制
• 黑客攻击内部网络的第一步是接入内部网络,而以太网是最常见的直接用于接入用 户终端的网络,只允许授权用户终端接入以太网是抵御黑客攻击的关键步骤;
IP 接口
VLAN 2 VLAN 3
192.1.2.254 192.1.3.254
192.1.2.0/24
192.1.3.0/24
终端 B 终端 C
Web 接口 192.1.1.0/24
终端 A
终端 A 终端 B 终端 C 终端 D
物理网络

计算机网络安全课件(沈鑫剡)第10章

计算机网络安全课件(沈鑫剡)第10章

安全网络设计实例
网络资源
网络设备; 网络设备; 网络操作信息; 网络操作信息; 链路带宽; 链路带宽; 主机系统; 主机系统; 在网络中传输的信息; 在网络中传输的信息; 用户私密信息。 用户私密信息。
计算机网络安全
安全网络设计实例
安全网络设计步骤
确定需要保护的网络资源; 确定需要保护的网络资源; 分析可能遭受的攻击类型; 分析可能遭受的攻击类型; 风险评估; 风险评估; 设计网络安全策略; 设计网络安全策略; 实现网络安全策略; 实现网络安全策略; 分析和改进网络安全策略。 分析和改进网络安全策略。
计算机网络安全
安全网络设计实例
网络安全策略实现机制
防火墙访问控制机制 防火墙访问控制策略分两部分, 防火墙访问控制策略分两部分,一是控制 内网各个VLAN之间的信息传输过程,限 之间的信息传输过程, 内网各个 之间的信息传输过程 制外网终端对内网资源的访问过程。二是 制外网终端对内网资源的访问过程。 定义授权终端通过第2层隧道接入内部网 定义授权终端通过第 层隧道接入内部网 络的方法; 络的方法; 访问控制策略定义三种信息: 访问控制策略定义三种信息:信息传输方 源和目的终端范围, 向、源和目的终端范围,以服务方式确定 消息交换过程。 消息交换过程。
计算机网络安全
安全网络设计实例
安全网络主要构件
接入控制和认证构件; 接入控制和认证构件; 分组过滤和速率限制构件; 分组过滤和速率限制构件; 防火墙; 防火墙; 入侵防御系统; 入侵防御系统; VPN接入构件; 接入构件; 接入构件 认证、管理和控制服务器。 认证、管理和控制服务器。
计算机网络安全
计算机网络安全
安全网络设计实例
安全网络系Leabharlann 结构网络管理 工作站 S1 200.1.1.1 S2 200.1.2.1 200.1.3.1 S3 防火墙 S4 1 S5 1 VPN 隧道 193.1.3.1 193.1.3.2 3 2 193.1.2.254 网络入侵 防御系统 S6 交换机 193.1.2.5 193.1.2.6 Web 服务器 邮件服务器 主机入侵 200.1.5.1 防御系统 重要终端 200.1.4.1 数据库服务器 193.1.2.0/24 LAN 2 非军事区 Internet 非信任区 接入终端 FTP 服务器 200.1.9.5

新版第11章网络安全课件.ppt

新版第11章网络安全课件.ppt
18
11.3 使用Ghost软件保护系统
第四步:进入保存界面。由于映像文件比较大,所 以Ghost设置了三种压缩模式:不压缩“No”、 高度压缩“High”和介于二者之间的“Fast”。 选择了压缩模式后,按照提示保存即可。
注:当系统发生变化后,如安装了软件,应把系统 重新备份。
19
11.3 使用Ghost软件保护系统
2. 系统恢复 系统恢复方法:从映像文件恢复分区数据,单击
“Local”“Partion”“From Image”,然后找 到以前备份的系统文件(后缀为.gho),根据提示 按默认单击即可,最后重启系统。 使用Ghost时注意:恢复前确保备份系统分区里 的有用数据。系统重新恢复后,以前的系统分区 数据将丢失。
3. 黑客及骇客 “黑客”一词,源于英文Hacker,原指热心于计
算机技术、水平高超的计算机专家,尤其是程序 设计人员。但到了今天,黑客一词已被用于泛指 那些专门利用计算机搞破坏或恶作剧的家伙,对 这些人的正确英文叫法是Cracker,翻译成“骇 客”。
8
11.1 网络安全基础知识
4. 防火墙 防火墙 是指一 种将内 部网和 公众访 问网 (如 :
法侵入系统,同时使用了加密和变形算法。
5
11.1 网络安全基础知识
按传染的方法分类
驻留型病毒:感染计算机后,把自身的内存驻留部分放 在内存(RAM)中,这一部分程序挂接系统调用并且合并 到操作系统中去,处于激活状态,直到关机或重新启动。
非驻留型病毒:在得到机会激活时并不感染计算机内存, 一些病毒在内存中留有小部分,但并不通过这一部分进 行传染。
4
11.1 网络安全基础知识
2. 病毒的种类 按存在的媒体分类
网络病毒:通过计算机网络传播感染网络中的可执行文件。 文件病毒:感染计算机中文件(如:.com、.exe、.doc等)。 引导型病毒:感染启动扇区(Boot)和硬盘的系统引导扇区
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。



计算机网络安全
防火墙
一、无状态分组过滤器
一个过滤器可以由多个规则构成,IP分组只 有和当前规则不匹配时,才继续和后续规则进行 匹配操作,如果和过滤器中的所有规则都不匹配, 对IP分组进行默认操作。一旦和某个规则匹配, 则对其进行规则指定的操作,不再和其他规则进 行匹配操作。
计算机网络安全
应用层网关
无状态分 组过滤器
有状态分 组过滤器
无状态分 组过滤器
有状态分 组过滤器
防火墙分类
计算机网络安全
防火墙
三、防火墙分类
1.个人防火墙 个人防火墙只保护单台计算机,用于对进出计算机的信 息流实施控制,因此,个人防火墙通常是分组过滤器; 分组过滤器分为有状态分组过滤器和无状态分组过滤器 两种类型,无状态分组过滤器只根据单个IP分组携带的 信息确定是否过滤掉该IP分组。而有状态分组过滤器不 仅根据IP分组携带的信息,而且还根据IP分组所属的会 话的状态确定是否过滤掉该IP分组。
计算机网络安全
防火墙
三、防火墙分类
2.网络防火墙 (1)分组过滤器 网络防火墙中的分组过滤器同样分为有状态分组过 滤器和无状态分组过滤器两种类型。网络防火墙中的分 组过滤器能够根据用户制定的安全策略对内网和外网间 传输的信息流实施控制,它对信息流的发送端和接收端 是透明的,因此,分组过滤器的存在不需要改变终端访 问网络的方式。
计算机网络安全
防火墙
一、无状态分组过滤器
路由器R2接口2输入方向的过滤规则集如下。 ①协议类型=TCP,源IP地址=192.1.2.1/32,源端口号=*, 目的IP地址=192.1.1.7/32,目的端口号=21;正常转发。 ②协议类型=TCP,源IP地址=192.1.2.1/32,源端口号=*, 目的IP地址=192.1.1.7/32,目的端口号=20;正常转发。 ③协议类型=TCP,源IP地址=192.1.2.7/32,源端口号=80, 目的IP地址=192.1.1.1/32,目的端口号=*;正常转发。 ④协议类型=*,源IP地址=any,目的IP地址=any;丢弃。
规则由一组属性值和操作组成,如果某个IP分组携带的信息和 构成规则的一组属性值匹配,意味着该IP分组和该规则匹配,对该 IP分组实施规则指定的操作。 构成规则的属性值通常由下述字段组成: 源IP地址,用于匹配IP分组IP首部中的源IP地址字段值。 目的IP地址,用于匹配IP分组IP首部中的目的IP地址字段值。 源和目的端口号,用于匹配作为IP分组净荷的传输层报文首部中源 和目的端口号字段值。 协议类型,用于匹配IP分组首部中的协议字段值。
计算机网络安全
防火墙
二、有状态分组过滤器
匹配路由器R1接口1输出方向过滤规则①的IP分组未必就 是封装Web服务器用于响应终端A访问请求的响应报文的IP分 组。原因是,响应报文不是固定的,而是根据请求报文动态 变化的。
计算机网络安全
防火墙
二、有状态分组过滤器
为了实现路由器R1接口1只允许输入输出与终端A发起访问 web服务器的操作有关的IP分组,禁止输入输出其他一切类 型的IP分组的安全策略,必须做到: ①只允许由终端A发起建立与Web服务器之间的TCP连接。 ②只允许属于由终端A发起建立的与Web服务器之间的TCP连接的 TCP报文沿着Web服务器至终端A方向传输。 ③必须在路由器R1接口1输入终端A发送给Web服务器的请求报文 后,才允许路由器R1接口1输出Web服务器返回给终端A的响 应报文。
计算机网络安全
防火墙
一、无状态分组过滤器
3.两种过滤规则集设置方法
(1)黑名单 黑名单方法是列出所有禁止传输的IP分组类型,没有明 确禁止的IP分组类型都是允许传输的。 (2)白名单 白名单方法与黑名单方法相反,列出所有允许传输的IP 分组类型,没有明确允许传输的IP分组类型都是禁止传输的。
计算机网络安全
分组过滤器,顾名思义就是从一个网络进入 另一个网络的全部IP分组中筛选出符合用户指定 特征的一部分IP分组,并对这一部分IP分组的网 络间传输过程实施控制。无状态是指实施筛选和 控制操作时,每一个IP分组都是独立的,不考虑 IP分组之间的关联性。
计算机网络安全
防火墙
一、无状态分组过滤器
1.过滤规则

计算机网络安全
防火墙
二、有状态分组过滤器
路由器R1接口1输入方向的过滤规则集如下。 ①协议类型=TCP,源IP地址=192.1.1.1/32,源端口号=*, 目的IP地址=192.1.2.7/32,目的端口号=80;正常转发。 ②协议类型=*,源IP地址=any,目的IP地址=any;丢弃。 路由器R1接口1输出方向的过滤规则集如下。 ①协议类型=TCP,源IP地址=192.1.2.7/32,源端口号=80, 目的IP地址=192.1.1.1/32,目的端口号=*;正常转发。 ②协议类型=*,源IP地址=any,目的IP地址=any;丢弃。
计算机网络安全
防火墙
二、有状态分组过滤器
为实现上述控制过程,路由器R1接口1输入输出方向的过 滤器必须具备以下功能。 ①终端A至Web服务器传输方向上的过滤规则允许传输与终端A发 起访问Web服务器的操作有关的TCP报文。 ②初始状态下,Web服务器至终端A传输方向上的过滤规则拒绝 一切IP分组传输。 ③只有当终端A至Web服务器传输方向上传输了与终端A发起访问 Web服务器的操作有关的TCP报文后,Web服务器至终端A传输 方向才允许传输作为对应的响应报文的TCP报文。
计算机网络安全
防火墙
三、防火墙分类
服务器 客户
建立控制 TCP 连接 服务器就绪 用户名 用户名正确 口令 口令正确, 成功登录 定位到文件所在目录 目录改变成功 下载文件 建立数据 TCP 连接 传输文件内容 文件传输完成 释放数据 TCP 连接 释放控制 TCP 连接
2.网络防火墙 (3)应用层网关 对相互交换的FTP消息,必须根 据FTP规范检测其合理性,包括请求 和响应消息中的各个字段值是否正确? 请求消息和响应消息是否匹配?文件 内容是否包含禁止传播的非法内容或 病毒等。应用层网关必须支持FTP, 才能中继FTP消息,因此,应用层网 关是应用层相关的。
计算机网络安全
防火墙
三、防火墙分类
SYN SYN,ACK ACK 用户名、口令 终端
先认证用户身份,确定是授权用户 发起的TCP连接时,再与服务器建 立TCP连接。
电路层 网关
SYN SYN,ACK ACK 服务器
2.网络防火墙 (2)电路层代理 终端先和电路层代理建立TCP连接,电路层代理在完 成对终端用户的身份鉴别后,和服务器建立TCP连接,并 将这两个TCP连接绑定在一起。
计算机网络安全
防火墙
四、防火墙功能




服务控制 不同网络间只允许传输与特定服务相关的信息流。 方向控制 不同网络间只允许传输与由特定网络中终端发起的会话 相关的信息流。 用户控制 不同网络间只允许传输与授权用户合法访问网络资源相 关的信息流。 行为控制 不同网络间只允许传输与行为合理的网络资源访问过程 相关的信息流。
计算机网络安全
防火墙
二、有状态分组过滤器
192.1.1.0/24 1 FTP 服务器 192.1.1.7/24 终端 A 192.1.1.1/24 R1 2 1 R2 2 Web 服务器 192.1.2.7/24 终端 B 192.1.2.1/24 192.1.2.0/24
路由器R1接口1只允许输入输出与终端A访问Web服务器的 操作有关的IP分组,禁止输入输出其他一切类型的IP分组。
如果只是需要过滤掉所有与LAN 1中的终端用 Telnet访问LAN 2中的服务器的操作相关的IP分组, 允许其他IP分组继续传输,则完整的过滤器如下: 协议类型=TCP,源IP地址=193.1.1.0/24,目的IP 地址=193.1.2.5/32,目的端口号=23;丢弃。 协议类型=* ,源IP地址=any,目的IP地址=any; 正常转发。
网络安全
第十一章
© 2006工程兵工程学院 计算机教研室
防火墙
第11章 防火墙
本章主要内容 防火墙概述; 分组过滤器; 电路层代理; 应用层网关; 三种防火墙的特点。
计算机网络安全
防火墙
11.1 防火墙概述
本讲主要内容 引出防火墙的原因; 防火墙定义和工作机制; 防火墙分类; 防火墙功能; 防火墙的局限性。
计算机网络安全
防火墙
一、无状态分组过滤器
路由器R1接口1输入方向上的分组过滤器的规则是:

协议类型=TCP ; 源IP地址=193.1.1.0/24; 目的IP地址=193.1.2.5/32 ; 目的端口号=23; 对和规则匹配的IP分组采取的动作是:丢弃。
计算机网络安全
防火墙
一、无状态分组过滤器
计算机网络安全
防火墙
二、防火墙定义和工作机制
防火墙 Internet 路由器 防火墙 内部网络 黑客终端
用户终端
网络中的防火墙是一种位于网络之间,或者用户终端与 网络之间,对网络之间,或者网络与用户终端之间传输的信 息流实施控制的设备。
计算机网络安全
防火墙
二、防火墙定义和工作机制
FTP 服务器 防火墙 网络 1 Web 服务器 IP B 终端 A IP A 网络 2 IP C
计算机网络安全
防火墙
一、引出防火墙的原因
数据交换过程 Internet 路由器 数据交 换过程 用户终端 黑客终端
内部网络
安全的网络系统既要能够保障正常的数据交换过程,又 要能够阻止用于实施攻击的数据交换过程。 防火墙一是能够检测出用于实施攻击的信息流,并阻断 这样的信息流。二是能够允许正常信息流通过。
防火墙的作用是控制网络1与网络2之间传输的信息流, 所谓控制是指允许网络1与网络2之间传输某种类型的信息流, 阻断另一种类型的信息流网络1与网络2之间的传输过程。允 许和阻断操作的依据是为防火墙配置的安全策略。