计算机系统安全课件 第8章 防火墙技术

• 代理服务器运行在两个网络之间，它对于客户机来说像 是一台真的服务器，而对于外网的服务器来说，它又是 一台客户机。
• 代理服务器的基本工作过程是：当客户机需要使用外网 服务器上的数据时，首先将请求发给代理服务器，代理 服务器再根据这一请求向服务器索取数据，然后再由代 理服务器将数据传输给客户机。
14
29
4 防火墙产品
2.软件防火墙
• 作为网络防火墙的软件防火墙具有比个人防火墙更强的控 制功能和更高的性能。不仅支持Windows系统，并且多数 都支持Unix或Linux系统。如十分著名的Check Point FireWall-1，Microsoft ISA Server等 。
30
4 防火墙产品
2.2 代理服务
代理的优点
① 内部网络拓扑结构等重要信息不易外泄，从而减少了 黑客攻击时所必需的必要信息；
② 可以实施用户认证、详细日志、审计跟踪和数据加密 等功能和对具体协议及应用的过滤，同时当发现被攻 击迹象时会向网络管理员发出警报，并保留攻击痕迹， 安全性较高。
15
2.2 代理服务
代理的缺点：
10
2.1数据包过滤
包过滤防火墙具有明显的优点： • 一个屏蔽路由器能保护整个网络 • 包过滤对用户透明 • 屏蔽路由器速度快、效率高
11
2.1数据包过滤
包过滤防火墙的缺点： • 它没有用户的使用记录，这样就不能从访问记录中
发现黑客的攻击记录 • 没有一定的经验，是不可能将过滤规则配置得完美 • 不能在用户级别上进行过滤，只能认为内部用户是
19
2.5 防火墙技术的发展趋势
• 智能防火墙 • 分布式防火墙 • 网络安全产品的系统化
20
3 防火墙体系结构

27
计算机系统安全原理与技术（第4版）
8.2.3 应急响应关键技术
❖ 3. 阻断技术 ▪ 1）ICMP不可达响应。通过向被攻击主机或攻击源发 送ICMP端口或目的不可达报文来阻断攻击。 ▪ 2）TCP-RST响应。也称阻断会话响应，通过阻断攻 击者和受害者之间的TCP会话来阻断攻击。 ▪ 3）防火墙联动响应。当入侵检测系统检测到攻击事件 后向防火墙发送规则，由防火墙阻断当前以及后续攻 击。
• 3）记录与报告。应建立监测、预警的记录和报告制度，并按照 约定的形式和时间间隔上报现场负责人。
17
计算机系统安全原理与技术（第4版）
8.2.2 应急响应过程
❖ 2. 监测与预警
▪ （2）核实与评估
• 1）核实。现场负责人应对报告内容进行逐项核实。核实确认 后的应急事件报告，应提交给应急响应责任者。应急事件报 告应作为事件级别评估的输入。重点时段保障需求也应作为 事件级别评估的输入。
▪ 1）将服务和应用建立在安全级别较高（如B1级）的 操作系统上。
▪ 2）不断加固现有的操作系统，通过自我学习、自我完 善不断修正操作系统中被发现的漏洞，加强对重要文 件、重点进程的监控与管理，增强操作系统的稳定性 和安全性。
26
计算机系统安全原理与技术（第4版）
8.2.3 应急响应关键技术
❖ 2. 网络陷阱及诱骗技术 ❖ 通过一个精心设计的、存在明显安全漏洞的特殊系统来诱
3
计算机系统安全原理与技术（第4版）
8.1 应急响应和灾备恢复的重要性
❖ “9•11” 恐怖袭击事件给我们带来了深切的启示——容 灾备份是重要信息系统安全的基础设施，重要信息系统必 须构建容灾备份系统，以防范和抵御灾难所带来的毁灭性 打击。

网络安全理论与技术 16
防火墙的发展简史
第一代防火墙:采用了包过滤(Packet Filter) 技术. 第二 三代防火墙 1989年 推出了电路层防 第二,三代防火墙:1989年,推出了电路层防 火墙,和应用层防火墙的初步结构. 第四代防火墙:1992年,开发出了基于动态包 过滤技术的第四代防火墙. 第五代防火墙:1998年,NAI公司推出了一种 自适应代理技术,可以称之为第五代防火墙. 自适应代理技术 可以称之为第五代防火墙
入侵内部网络 强度攻击(洪水攻击)
对防火墙的攻击,使其失去功能
①Syn Fl d Flood ②Smurf ③Land-based Land based 拒绝服务访问 ④Ping of Death ⑤Teardrop ⑥Ping Sweep ⑦Ping Flood
协议漏洞攻击
应用漏洞攻击
网络安全理论与技术 21
网络安全理论与技术 15
防火墙基本概念
防火墙在因特网与内部网中的位置
从逻辑上讲,防火墙是分离器,限制器和分析器. 从物理角度看,各站点防火墙物理实现的方式有所不 从物理角度看 各站点防火墙物理实现的方式有所不 同.通常防火墙是一组硬件设备,即路由器,主计算 机或者是路由器,计算机和配有适当软件的网络的多 种组合.
重点子网
将访问记录写 进日志文件
防火墙在此处的功能:
1,内部子网与外部子网的物理隔离 2,访问控制 3,对内部子网做NAT地址转换 ,对内部子网做NAT地址转换 4,日志记录
内部工作子网
网络安全理论与技术
7
防火 防火墙示意图
2. 部门子网 3. 3 分公司网络
Internet I t t
1. 企业内联网
防火墙的分类(实现技术方式))

2000年2月1日：黑客攻击了大连市赛 伯网络服务有限公司，造成经济损失 20多万元。 2000年2月1日至2日：中国公共多媒体 信息网兰州节点－“飞天网景信息港”遭 到黑客攻击。 2000年3月2日：黑客攻击世纪龙公司 21CN网站。
2000年3月6日至8日：黑客攻击实华开EC123网 站达16次，同一时期，号称全球最大的中文网上 书店“当当书店”也遭到多次黑客攻击。 2000年3月8日：山西日报国际互联网站遭到黑客 数次攻击，被迫关机，这是国内首例黑客攻击省 级党报网站事件。 2000年3月8日：黑客攻击国内最大的电子邮局-拥有200万用户的广州163，系统无法正常登录。
1997年12月19日至1999年8月18日：有人先后19 次入侵某证券公司上海分公司电脑数据库，非法操 作股票价格，累计挪用金额1290万元。 1998年2月25日：黑客入侵中国公众多媒体通信网 广州蓝天bbs系统并得到系统的最高权限，系统失控 长达15小时。为国内首例网上黑客案件。 1998年9月22日，黑客入侵扬州工商银行电脑系 统，将72万元注入其户头，提出26万元。为国内首 例利用计算机盗窃银行巨款案件。
我国的网络安全案例
1996年初CHINANET受到某一高校研究生 的攻击，致使它的服务中断了数小时。 从1994年到1996年，在高校和一些科研单 位的BBS上，出现了关于黑客和解密的讨 论区。在这些讨论区上，“黑客入门教 程”、“如何破译口令”等文章比比皆是，这 些文章为中国的黑客的产生提供了技术营 养。
内容过滤
阻止 Java, ActiveX, JavaScript VBscript URL 记录和拦截 SMTP 过滤
丢弃假来源地址的信件 可设定传送信件的大小 可消除内部信件传递路径信息,避免内 部主机暴露给外界 提供E-mail地址转换功能

It is important to
Indicate what requirements are to be imposed in a plan, and over what period
Phase out implementation, and indicate elements of each phase and their time periods（指出每一个阶段及其时 间表）
银Security plan
2020/7/5
Security Planning
A security plan
Document describing how an organization addresses its security needs（如何解决安全需求）
Organizational assets（企业财产） Security threats to these assets（对企业财产的威胁） Controls in place against these threats（如何控制这些
威胁）
2020/7/5
Recommendation and requirements
The plan
Must be extensible：可扩展性 Must include a procedure for change and growth：可适
应性 Should remain laregely intact through change in the
organization：完整性
security goals：推荐的方法 Accountability：义务
Who is responsible for a each security activity

02 03
详细描述
在路由模式下，防火墙位于网络的核心位置，负责根据预设的安全规则 对经过的数据包进行筛选和过滤。这种部署方式能够提供对整个网络的 保护，确保数据传输的安全性。
适用场景
适用于大型企业或数据中心，需要对整个网络进行全面保护的场景。
网关模式部署
总结词
通过将防火墙部署在网络网关处，实现对进出网络的数据 包进行安全检查和控制。
详细描述
在网关模式下，防火墙位于网络的入口和出口处，对所有 进出网络的数据包进行安全检查和控制。这种部署方式能 够有效地防止外部攻击和恶意软件的入侵。
适用场景
适用于需要对网络进行全面保护，特别是防止外部攻击的 场景，如企业或组织的内部网络。
透明模式部署
总结词
通过将防火墙设置为透明模式，可以在不改变现有网络结构的情况下实现数据包过滤和安 全控制。
防火墙的配置策略
访问控制策略
根据企业的安全需求，制定合理的访问控制 策略，控制网络访问权限。
日志与监控策略
配置防火墙的日志记录和监控功能，以便及 时发现和处理安全事件。
流量控制策略
根据网络带宽和业务需求，合理分配网络流 量，确保关键业务的正常运行。
升级与漏洞修复策略
定期更新防火墙的软件版本，修复已知漏洞 ，提高系统的安全性。
02
应用代理技术可以实现对应用层的过滤和控制，能够更好地保护内部网络的安 全。
03
应用代理技术需要针对不同的应用协议进行定制开发，因此实现起来相对复杂 ，且可能存在性能瓶颈。
有状态检测
有状态检测技术是指防火墙能够跟踪通过的数据包，并建 立起连接状态表，根据连接状态表对后续的数据包进行检 查，从而判断是否允许数据包通过。

8.1 网络安全基础
9
4 网络病毒
病毒对计算机系统和网络安全造成了极大的威胁，病毒在发 作时通常会破坏数据，使软件的工作不正常或瘫痪；有些病毒的 破坏性更大，它们甚至能破坏硬件系统。随着网络的使用，病毒 传播的速度更快，范围更广，造成的损失也更加严重。据统计， 目前70%的病毒发生在网络中。联网计算机的病毒传播速度是单 机的20倍，网络服务器杀毒花费的时间是单机的40倍。
在对称加密技术中，最为著名的算法是IBM公司研发的数据加密标准（Data Encryption Standard）分组算法。DES使用64位密钥，经过16轮的迭代、乘积变换、压缩变化等处理， 产生64位的密文数据。
8.2 网络加密技术
15
2 非对称加密技术
非对称加密技术使用非对称加密算法，也称为公用密钥算法。在非对称加密算法中，用作 加密的密钥与用作解密的密钥不同，而且解密密钥不能根据加密密钥计算出来。
数字签名是一种信息认证技术，它利用数据加密技术、数据变换技术，根据某种协议 来产生一个反映被签署文件和签署人的特征，以保证文件的真实性和有效性，同时也可用 来核实接收者是否存在伪造、篡改文件的行为。简单地说，数字签名就是只有信息的发送 者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息 真实性的一个有效证明。
在实际应用过程中，通常利用两种密钥体制的长处，采用二者相结合的方式对信息进行加 密。例如，对实际传输的数据采用对称加密技术，这样数据传输速度较快；为了防止密钥泄 露，传输密钥时采用非对称加密技术加密，使密钥的传送有了安全的保障。
8.2 网络加密技术
16
8.2.2 数字签名
1 数字签名技术
现实生活中的书信或文件是根据亲笔签名或印章来证明其真实性。那么在计算机网络 中传送的文件又如何盖章呢？这就要使用数字签名。

支持SOCKS v5的应用程序有很多优势，例如，透明的 网络访问、容易支持认证和加密方法、快速开发新的 网络应用、简化网络安全策略管理和支持双向代理等。
防火墙技术
8.1.4 状态包检测(Stateful-Inspection) 为了克服基本状态包过滤模式所带有的明显安全
问题，一些包过滤防火墙厂商提出了所谓的状态包检 测概念。上面提到的包过滤技术简单的查看每一个单 一的输入包信息，而状态包检测模式则增加了更多的 包和包之间的安全上下文检查，以达到与应用级代理 防火墙相类似的安全性能。状态包检测防火墙在网络 层拦截输入包，并利用足够的企图连接的状态信息做 出决策(通过对高层的信息进行某种形式的逻辑或数学 运算)，如图8-7所示。
立连接时的握手信息，从而判断该会话请求是否合法， 如图8-4所示。一旦会话连接有效，该网关仅复制、传 递数据。它在IP层代理各种高层会话，具有隐藏内部 网络信息的能力，且透明性高。但由于其对会话建立 后所传输的具体内容不再作进一步地分析，因此安全 性稍低。
防火墙技术
图8-4 电路级防火墙
防火墙技术
防火墙技术
防火墙＝过滤器＋安全策略(网关) 防火墙通过逐一审查收到的每个数据包，判断它 是否有相匹配的过滤规则。即按表格中规则的先后顺 序以及每条规则的条件逐项进行比较，直到满足某一 条规则的条件，并作出规定的动作(中止或向前转发)， 从而来保护网络的安全。
防火墙技术
防火墙主要提供以下四种服务： (1) 服务控制：确定可以访问的网络服务类型。 (2) 方向控制：特定服务的方向流控制。 (3) 用户控制：内部用户、外部用户所需的某种形 式的认证机制。 (4) 行为控制：控制如何使用某种特定的服务。
防火墙技术
客户端 应用层 传输层