《【教学课件】第6章网络安全.ppt》由会员分享,可在线阅读,更多相关《【教学课件】第6章网络安全.ppt(97页珍藏版)》请在三一办公上搜索。
1、第6章 网络安全,主 要 内 容,第一节 网络安全概述第二节 威胁网络安全的因素第三节 网络遭受攻击的形式第四节 网络安全防范措施第五节 网络安全解决方案第六节 防火墙实用技术第七节 MS Proxy Server的安全第八节 Windows NT中的Web安全,第一节网络安全概述,主 要 内 容,网络安全的含义 网络安全的标准 网络安全的特征 网络安全的结构层次 主要的网络安全威胁,6.1.1 网络安全的含义,网络安全就其本质而言是网络上的信息安全。从广义上讲,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全的研究领域。网络安全是指网络系统的硬件、软
2、件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常的运行,网络服务不中断。,6.1.2 网络安全的标准,1运行系统安全,即保证信息处理及传输系统的安全。2网络上系统信息的安全:包括口令鉴别、权限控制、病毒防治等。3网络上信息传播的安全,即信息传播后的安全,包括信息过滤等。侧重于非法信息的传播。4网络上信息内容的安全:侧重于信息的保密性、真实性和完整性。,6.1.3 网络安全的特征,网络安全应具有以下四个方面的特征:l 保密性:指信息不泄露给非授权的用户、实体或过程,或供其利用的特性。l 完整性:指数据未经授权不能进行改变的特性,即信息在存储和传 输过程
3、中保持不被修改、不被破坏和丢失的特性。l 可用性:指可被实休访问并按需求使用的特性,即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。l 可控性:指对信息的传播即内容具有控制能力。,6.1.5 主要的网络安全威胁,1网络安全威胁的表现形式l自然灾害、意外事故。l计算机犯罪。l人为行为,例如使用不当,安全意识差等。l“黑客”行为,由于黑客的入侵或侵扰。l内部泄密。l外部泄密。l信息丢失。l 电子谍报,例如信息流量分析、信息窃取等。l 信息战。l 网络协议中的缺陷。,6.1.5 主要的网络安全威胁,l 假冒合法用户l 非授权访问l干扰系统的正常运
4、行l 破坏数据完整l 传播病毒,l窃听l重传l伪造l篡改l服务封锁攻击l行为否认,2网络安全威胁的特征,第二节威胁网络安全的因素,主 要 内 容,内部因素各种外部威胁病毒简介,6.2.1 内部因素,1操作系统的脆弱性:a、体系结构本身就是不安全的一种因素 b、可以创建进行又是一个不安全的因素 c、远程过程调用服务(RPC)以及它所安排的无口令入口也是黑客的一个通道2计算机系统的脆弱性:主要来自于操作系统的不安全性和通信协议的不安全性3协议安全的脆弱性:网络中使用的TCP/IP协议以及FTP、E-mail、NFS等都包含着影响网络安全的因素。,安全的因素。黑客经常采用SOCK、TCP预测或使用远
5、程访问(RPC)进行直接扫描等方法对防火墙进行攻击。4数据库管理系统安全的脆弱性:它必须与操作系统的安全配套,可见它是一个先天足儿。5人为因素:缺少安全管理员,特别是高素质的网络管理员。缺少安全管理规范,缺少安全检查、测试,缺少安全监控等因素。,6.2.2 各种外部威胁,1物理威胁:指用于保护计算机硬件和存储介质的装置和工作程序。常见物理安全有偷窃、废物搜寻和间谍活动等。它是计算机安全的最重要方面。2网络威胁:(1)电子窃听(2)拨号的安全问题(3)冒名顶替现象,3身份鉴别:是计算机判断一种是否有权使用 它的过程。目前的监别一般是以口令形式的,但是它十分脆弱,却实现简单,所以仍被广泛使用。a、
6、口令圈套,b、密码字典 4病毒感染 5系统漏洞:也被称为陷阱,它通常是由操作系统的开发者有意设置的,这样它们就能够在用户失去了对系统的所有访问权时仍能进入系统。TCP/IP中存在的很多的安全漏洞,病毒简介,病毒是一种暗中侵入计算机并且能够自主生存的可执行程序。多数病毒程序都有如下共同的组成部分:复制部分、破坏性代码、用于进行条件判断以确定何时执行破坏性代码。,(1)病毒的分类 文件病毒、引导病毒、混合型病毒、异形病毒、宏病毒,(2)病毒的传播方式 病毒一旦进入系统以后,通常用以下两种方式传播:l 通过磁盘的关键区域:主要感染工作站。l 通过可执行文件:主要感染服务器。(3)病毒的工作方式 变异
7、、触发、破坏,病毒简介,(4)计算机病毒的特征 传染性、隐蔽性、潜伏性、破坏性(5)计算机病毒的破坏行为 l攻击系统数据区。l攻击文件。l干扰系统运行。l干扰键盘输入或屏幕显示。l攻击CMOS。l干扰打印机的正常工作。l 网络病毒破坏网络系统,非法使用网络资源,破坏电子邮件,发送垃圾信息,占用网络带宽等。,病毒简介,(6)网络病毒的特点 传染方式多、传染速度快、清除难度大、破坏性强、激发形式多样、潜在性(7)常见的网络病毒 电子邮件病毒、Java程序病毒、ActiveX病毒、网页病毒(8)网络对病毒的敏感性 对文件病毒的敏感性、对引导病毒的敏感性、对宏病毒的敏感性,病毒简介,(9)网络计算机病
8、毒的防治第一,加强网络管理人员的网络安全意识,对内部网与外界进行的数据交换进行有效的控制和管理,同时坚决抵制盗版软件;第二,以网为本,多层防御,有选择地加载保护计算机网络安全的网络防病毒产品。(10)防毒、杀毒软件的选择 选购防毒软件,需要注意的指标包括:扫描速度、正确识别率、误报率、技术支持水平、升级的难易程度、可管理性和警示手段等,目前常见网络病毒及处理,冲击波(Worm.Blaster)病毒病毒介绍:该病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机,找到后就利用DCOM RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操
9、作异常、不停重启、甚至导致系统崩溃。另外,该病毒还会对微软的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。,病毒发作现象:系统资源被大量占用,有时会弹出RPC服务终止的对话框,并且系统反复重启,不能收发邮件、不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重影响,DNS和IIS服务遭到非法拒绝等。病毒详细说明:1.病毒运行时会将自身复制到window目录下,并命名为:msblast.exe。2.病毒运行时会在系统中建立一个名为:“BILLY”的互斥量,目的是病毒只保证在内存中有一份病毒体,为了避免用户发现。
10、,目前常见网络病毒及处理,目前常见网络病毒及处理,3.病毒运行时会在内存中建立一个名为:“msblast.exe”的进程,该进程就是活的病毒体。4.病毒会修改注册表,在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中添加以下键值:windows auto update=msblast.exe,以便每次启动系统时,病毒都会运行。5.病毒体内隐藏有一段文本信息:I just want to say LOVE YOU SAN!billy gates why do you make this possible?Stop makin
11、g money and fix your software!,6.病毒会以20秒为间隔,每20秒检测一次网络状态,当网络可用时,病毒会在本地的UDP/69端口上建立一个tftp服务器,并启动一个攻击传播线程,不断地随机生成攻击地址,进行攻击,另外该病毒攻击时,会首先搜索子网的IP地址,以便就近攻击。7.当病毒扫描到计算机后,就会向目标计算机的TCP/135端口发送攻击数据。8.当病毒攻击成功后,便会监听目标计算机的TCP/4444端口作为后门,并绑定cmd.exe。然后蠕虫会连接到这个端口,发送tftp命令,回连到发起进攻的主机,将msblast.exe传到目标计算机上并运行。,9.当病毒攻击
12、失败时,可能会造成没有打补丁的Windows系统RPC服务崩溃,Windows XP系统可能会自动重启计算机。该蠕虫不能成功攻击Windows Server2003,但是可以造成Windows Server2003系统的RPC服务崩溃,默认情况下是系统反复重启。10.病毒检测到当前系统月份是8月之后或者日期是15日之后,就会向微软的更新站点发动拒绝服务攻击,使微软网站的更新站点无法为用户提供服务。,手工清除方案:一、DOS环境下清除该病毒:1.当用户中招出现以上现象后,用DOS系统启动盘启动进入DOS环境下,进入C盘的操作系统目录.CD C:windows(或CDc:winnt)2.查找目录中
13、的“msblast.exe”病毒文件。dir msblast.exe/s/p3.找到后进入病毒所在的子目录,然后直接将该病毒文件删除。Del msblast.exe,目前常见网络病毒及处理,二、在安全模式下清除病毒如果用户手头没有DOS启动盘,还有一个方法,就是启动系统后进入安全模式,然后搜索C盘,查找msblast.exe文件,找到后直接将该文件删除,然后再次正常启动计算机即可。给系统打补丁方案:当用户手工清除了病毒体后,应上网下载相应的补丁程序,用户可以先进入微软网站,下载相应的系统补丁,给系统打上补丁。,目前常见网络病毒及处理,目前常见网络病毒及处理,“硬盘杀手”病毒“硬盘杀手”病毒的破
14、坏力全面超越CIH病毒:它利用网络漏洞和共享目录进行网络感染,传播能力也远远超过CIH!运行时会首先将自己复制到系统目录下,然后修改注册表进行自启动。病毒会通过9X系统的漏洞和共享文件夹进行疯狂网络传播,即使网络共享文件夹有共享密码,病毒也能传染。如果是NT系列系统,则病毒会通过共享文件夹感染网络。病毒会获取当前时间,如果病毒已经运行两天,则病毒会在C盘下写入病毒文件,此文件会改写硬盘分区表,当系统重启时,会出现病毒信息,并将硬盘上所有数据都破坏掉。,1、由于该病毒在局域网内发播速度极快,所以局域网用户最好使用网络版杀毒软件,并进行全网查杀。2、检查注册表项HKEY_LOCAL_MACHINE
15、SOFTWAREMicrosoftWindowsCurrentVersionRun是否存在键值mqbkup或者mqbkupdbs,如果存在请删除此键值。3、如果用户的机器操作系统是Windows 9X,请用户打开Windows系统目录下的Win.ini文件,删除run=c:windowsmqbkup.exe所在的行。4、在程序任务列表中删除mqbkup.exe。5、如果系统已经重新启动,请立即关闭机器,切断电源,以免硬盘数据进一步丢失。,特洛伊 Win32.Revcuss.H 破坏性:中 04年11月15病毒特性:是尝试盗取用户网络银行信息的特洛伊。这个变体病毒针对英国的几个金融机构,它是大小
16、为27,136字节的Win32可执行文件。感染方式:运行时,把自己拷贝到:%System%userhandler.exe%Windows%winuser.exe病毒修改注册键值来确保每次系统运行时都执行userhandler.exe:HKLMSoftwareMicrosoftWindowsCurrentVersionRunUserHandler=%System%userhandler.exe,目前常见网络病毒及处理,危害:盗取敏感信息最初,运行时,Revcuss利用系统Inter资源管理器PHP文件发送请求:vb-puterpaul.co.uk 用这个IP病毒会隐藏它的特性,并创建新的Desk
17、top,名称是Default000。它阻止的所有资源管理器有下列标题:Abbey anking Barclays Ibank.Transfer to another organisation Create welcome to smile banking一旦建立,它使用下列地址核对用户的银行帐户:.https:/membership details belowhttps:/cukehb2.cd.citibank.co.uk/HomeBankingSecure/Pers/StartSession.asphttps:/v23.67.28vet 11.x/8726 版可检测/清除此病毒,“幽灵(I-
18、Worm.Ghost)”病毒:蠕虫病毒,通过邮件传播,依赖系统:WIN9X/NT/2000/XP。病毒第一次运行时,会把自己复制到Windows系统的字体目录下,文件名随机产生。当目录下的病毒得以运行时,会把自己复制到C盘根目录下,文件名为“Windows.exe”和“Ghost.bat”。在C盘根目录下的文件夹里释放一个自己的副本,文件名跟所在的文件夹名相同。复制自己的同时,生成病毒自己的“Desktop.ini”和“Folder.htt”文件,这两个文件可以使目录被用户打开时病毒得以运行,大量病毒的复制使系统运行速度变慢。遍历Outlook的邮件地址列表,向这些地址发送病毒邮件。,目前常见
19、网络病毒及处理,病毒名称:Win32.Zafi.D(扎非)其他病毒名:W32/Zafi.dMM(McAfee)W32.Erkez.Dmm(Symantec)WORM_ZAFI.D(Trend Micro)(金山)I-(瑞星)I-Worm/Zafi.d(江民)感染系统:Windows 2000,Windows 98,Windows Me,Windows NT,Windows XP,目前常见网络病毒及处理,04年12月20国家计算机病毒应急处理中心通过对互联网的监测,发现病毒Worm_Zafi.d。该蠕虫通过邮件和网络共享进行传播,并将自己伪装为圣诞节电子贺卡,发给用户。病毒还将自己伪装为新版的聊
20、天工具 ICQ 2005 或 音频播放软件 winamp 5.7 放到共享目录中,诱使用户打开。用户运行后,会弹出一个对话框故意报告压缩包损坏,以麻痹用户。病毒会在感染机器上开启一个后门,供远程黑客控制。,目前常见网络病毒及处理,病毒特征:1、生成病毒文件病毒运行后在%System目录下生成Norton Update.exe和C:s.cm。(其中,%System%为系统文件夹,在默认情况下,在Windows 95/98/Me中为 C:WindowsSystem、在Windows NT/2000中为C:WinntSystem32、在Windows XP中为C:WindowsSystem32)病毒
21、还会将自己复制在%System目录下,名为随机字符.dll 文件。病毒还会试图在任何包含字符shar的文件夹中建立本身的副本,副本名称为:winamp 5.7 new!.exe、ICQ 2005a new!.exe。2、修改注册表项病毒创建注册表项,使得自身能够在系统启动时自动运行,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun中添加值“Wxp4”=“%System%Norton Update.exe”。这样可以在每次开机时自动运行,文件名伪装为 Norton 的升级程序。同时,病毒还会在HKEY_LOCAL_MACHI
22、NESOFTWAREMicrosoft中添加Wxp4,把自身一些信息保存到注册表中的该键内。,目前常见网络病毒及处理,3、通过电子邮件传播病毒电子邮件特征如下:主题:(为下列名称之一)Merry Christmas!boldog karacsony.Feliz Navidad!ecard.ru Christmas Kort!Christmas Vykort!Christmas Postkort!Christmas postikorti!Christmas-Kartki!Weihnachten card.Prettige rstdagen!Christmas pohlednice Joyeux
23、Noel!Buon Natale!正文:(为以下之一)Happy HollyDays!:)Sender Kellemes Unnepeket!:)SenderFeliz Navidad!:)Sender:)Sender Glaedelig Jul!:)SenderGod Jul!:)Sender God Jul!:)Sender Iloista Joulua!:)SenderNaulieji Metai!:)Sender Wesolych Swiat!:)Sender Fr?hliche Weihnachten!:)Sender Prettige Kerstdagen!:)Sender Ves
24、el Vnoce!:)Sender Joyeux Noel!:)Sender Buon Natale!附件:(包含以下扩展名).pif.zip,4、病毒运行当病毒发出的邮件被阅读或者共享驱动器中的文件被激活的时候,病毒就会开始运行。病毒在运行的时候会显示如下消息框:为了避免轻易被检测或清除,该病毒会结束以下名称中包含如下字符串的进程:msconfig reged task 5、后门功能该病毒还具有后门功能,它会打开TCP端口8181,允许远程用户对具有安全漏洞的系统上载文件。,目前常见网络病毒及处理,手工清除病毒:1、结束病毒进程 打开Windows任务管理器,在 Windows 95/98/
25、ME 系统上,按下CTRL+ALT+DELETE在 Windows NT/2000/XP 系统上,按下CTRL+SHIFT+ESC,并点击进程标签 在运行的程序列表中,找到下面的进程:NORTON UPDATE.EXE,结束该进程,即可。2、删除病毒文件 右击开始,点击搜索或寻找,这取决于当前运行的Windows版本。在名称输入框中,输入:Norton Update.exe和s.cm,找到文件然后选择删除。3、修改注册表打开注册表编辑器。点击开始-运行,输入REGEDIT,依次双击左边的面板中HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVe
26、rsionRun,找到右侧面板中Wxp4=%System%Norton Update.exe,并将其删除。依次双击左边的面板,双击并删除下面的项目HKEY_LOCAL_MACHINESoftwareMicrosoftwxp4,目前常见网络病毒及处理,qq病毒“爱情森林”病毒和“QQ伪装专家”病毒类型:木马病毒“QQ窃手”病毒 蠕虫病毒,目前常见网络病毒及处理,RedLof病毒(红色结束符)简介此病毒感染脚本类型的文件。该病毒能够疯狂感染文件夹,会在感染的文件夹下产生两个文件,一个名为:desktop.ini的目录配置文件,一个名为:folder.htt的病毒体文件,当用户双击鼠标进入被感染的文
27、件夹时,病毒就会被激活,而病毒每激活一次,在内存中就复制一次,所以当用户多次进入被感染的文件夹时,病毒就会大量进入内存,使计算机运行速度越来越慢,而且其还会随着信件模板,进行网络传播。,目前常见网络病毒及处理,病毒发作现象:一、如果对脚本文件比较熟悉,比如说网页设计人员等,可以查找一些自己熟悉的vbs,htm,html等类型的文件,用编辑工具查看其内容,看是否能发现可疑代码。二、病毒会在感染文件夹时,产生两个病毒文件:desktop.ini和folder.htt。三、该病毒会使计算机运行速度变慢。解决方案:1、用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了“红色结束符”(Scr
28、ipt.RedLof.htm)病毒,用户可以将病毒文件直接删除来消除病毒的影响,但如果想彻底地清除此病毒,最好还是用瑞星杀毒软件2003版的最新版本进行彻底清除。,2、用户在杀毒过程中要关闭所有WINDOWS窗口,禁止使用WEB方式浏览“资源管理器”或“我的电脑”等。3、在Windows操作系统环境下,要打开文件监控功能,先查杀内存然后在查杀所有硬盘文件。4、在杀完毒之后应立即重新启动计算机。5、如果用户在Windows操作系统环境下不能完全地清除此病毒,请到纯DOS操作环境下进行杀毒,将此病毒全部清除掉。,(艾塔克)04年12月06病毒名:Win32.Atak.D类型:蠕虫病毒特性:是通过邮
29、件传染的蠕虫病毒。它是大小为12,037字节的 FSG Win32 可执行 程序。感染方式:执行时,Atak.D 拷贝自己到%System%a1g.exe并且编辑 win.ini 以确保每次系统运行时执行这个文件:WINDOWSload=%System%a1g.exe在Windows NT/2000/XP/2003中,可以自动转化,修改下列注册键值:HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsload=%System%a1g.exe注:%System%是一个可变的路径.病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2
30、000 and NT默认的系统安装路径是C:WinntSystem32;95,98 和 ME 的是C:WindowsSystem;XP 的是C:WindowsSystem32.,目前常见网络病毒及处理,传染方式:通过邮件传播检测与清除:KILL安全胄甲InoculateIT 23.67.54 Vet 11.x/8778 可检测并清除。,第三节网络遭受攻击的形式,6.3.1 服务封-锁攻击,服务封锁攻击是指一个用户占有大量的共享资源,使系统没有剩余的资源给其他用户再提供服务的一种攻击方式。服务封锁攻击的结果是降低系统资源的可用性,这些资源可以是CPU时间、磁盘空间、MODEM、打印机,甚至是系统
31、管理员的时间。服务封锁攻击是针对IP的核心进行的。服务封锁攻击的方式很多,6.3.2 电子邮件攻击,现在的电子邮件攻击主要表现如下形式:l 窃取、篡改数据l 伪造邮件l 服务封锁l 病毒,6.3.3 缓冲区溢出攻击,缓冲区是内存中存放数据的地方。在程序试图将数据放到机器内存中的某一个位置的时候,如果没有足够的空间就会引发缓冲区溢出。攻击者可以设置一个超过限缓冲区长度的字符串,然后植入缓冲区,向一个空间有限的缓冲区植入超长字符串可能会出现两个结果,一是过长的字符串覆盖了相邻的存储单元,引起程序运行失败,严重时可导致系统崩溃;另一个结果就是利用这种漏洞可以执行任意指令,甚至可以取得系统超级权限,6
32、.3.4 网络监听攻击,在网络中,当信息进行传播的时候,可以利用某种工具,将网络接口设置在监听的模式,从而截获网络中正在传播的信息,然后进行攻击。,第四节网络安全防范措施,6.4.1 物理安全防范,1、电梯和楼梯不可直接进入机房。2、要有足够照明,防止非法进入的设备3、外部容易进出口处要设置栅栏或者监控设备及报警系统。4、供电系统要独立5、微机室100m内不得有危险设施(易燃易爆物品等)6、设备要加锁或是胶粘等7、防静电、防尘、放火、防水措施(地线、隔离墙等),网络安全的常规防护措施,1采用备份来避免损失2帮助用户自助3预防引导病毒4预防文件病毒5将访问控制加到PC机6防止无意的信息披露7使用
33、服务器安全,8使用网络操作系统的安全功能9阻止局外人攻击10不要促成过早的硬件故障11为灾难准备硬件12学习数据恢复的基本知识13制定安全恢复策略,返回本节,网络安全控制措施,1物理访问控制2逻辑访问控制3组织方面的控制4人事控制5操作控制,6应用程序开发控制7工作站控制8服务器控制9数据传输保护,返回本节,网络安全实施过程中需要注意的一些问题,1网络安全分级应以风险为依据2有效防止部件被毁坏或丢失可以得到最佳收益3安全概念确定在设计早期4完善规则5注重经济效益规则,6对安全防护措施进行综合集成7尽量减少与外部的联系8一致性与平等原则9可以接受的基本原则10时刻关注技术进步,返回本节,第五节网
34、络安全解决方案,6.5.1 网络信息安全模型,1政策、法律、法规2增强的用户认证3授权4加密5审计与监控,6.5.2 安全策略设计依据,制订网络安全策略时应考虑如下因素:l 对于内部用户和外部用户分别提供哪些服务程序。l初始投资额和后续投资额(新的硬件、软件及工作人员)。l 方便程度和服务效率的平衡。l 复杂程度和安全等级的平衡。l 网络性能。,6.5.3 网络安全解决方案,1信息包筛选 2应用网关 3加密与确认,6.5.4 网络安全技术措施,(1)物理层的安全防护:主要通过制定物理层的管理规范和措施来提供安全解决方案。(2)链路层的安全防护:主要是利用链路加密措施对数据进行加密保护。它加密所
35、有用户数据并在目的结点完成解密。(3)网络层的安全防护:网络层主要采用防火墙作为安全防护手段,实现初级安全防护。也可以根据一些安全协议实施加密保护。还可进行入侵检测。(4)传输层的安全防护:传输层处于通信子网和资源子网之间,起着承上启下的作用。传输层应支持对等实体认证服务、访问控制服务、数据保密服务、数据完整性服务、数据源点认证服务。(5)应用层的安全防护:可以实施强大的基于用户的身份认证,还可加强数据的备份和恢复环节。,6.5.4 网络安全技术措施,在实际的安全设计中,往往综合采用下列技术措施:1身份验证2访问授权(Authorization)3实时侵入检测技术 4网络分段 5选择集线器 6
36、VLAN技术 7VPN技术 8防火墙技术,6.5.5 网络安全的评估,网络系统的安全措施应实现如下目标:l对存取的控制;l保持系统和数据的完整;l能够对系统进行恢复和对数据进行备份。,第六节防火墙实用技术,防火墙是设置在被保护网络和外部网络之间的一道屏障,实现网络的安全保护,以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力,它是提供信息安全服务、实现网络和信息安全的基础设施,6.6.1 防火墙技术概述,1防火墙的组成部分包过滤器、链路级网关和应用级网关或代理服务器。典型的防火墙如图所示。,6.6.1 防火墙技术概述,2防火墙的作用 弥补网络服务的脆弱性、控制对网络的存取、
37、集中的安全管理、网络使用情况的记录及统计3防火墙的局限性 绕过防火墙的攻击、来自内部变节者和不经心的用户带来的威胁、变节者或公司内部存在的间谍将数据拷贝到软盘、传送已感染病毒的软件或文件。4基本防火墙壁设计 在设计防火墙时必须确定:防火墙的行为准则、机构的安全策略、费用、系统的组件或构件。防火墙有两种相反的行为准则:拒绝没有特别允许的任何服务l 允许没有特别拒绝的任何服务,6.6.2 防火墙的类型,1包过滤防火墙 如图所示:,6.6.2 防火墙的类型,2代理防火墙 由代理服务器和过滤路由器组成,它将过滤器和软件代理技术结合在一起。3双宿主机防火墙 该防火墙是用主机来执行安全管制功能。一台双宿主
38、机配置有多个网卡,分别连接不同的网络。,6.6.3 防火墙的配置,1包过滤路由器 2双宿主网关 双宿主网关仅用一个代理服务器(如图所示),代理服务器就是安装于双宿主机的代理服务器软件。,6.6.3 防火墙的配置,3主机过滤防火墙 主机过滤防火墙由分组过滤路由器和应用网关组成(如图所示)。,6.6.3 防火墙的配置,4子网过滤防火墙 在主机过滤配置上再加一个路由器,形成一个被称为非军事区的子网(如图所示),这个子网还可能被用于信息服务器和其他要求严格控制的系统,形成三道防火线。,(1)代理防火墙的原理:代理防火墙通过编程来弄清用户应用层的流量,并能在用户层和应用协议层间提供访问控制;而且,还可用
39、来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。代理防火墙的工作原理如图所示。,6.6.4 代理防火墙,(2)应用层网关型防火墙:主要保存Internet上那些最常用和最近访问过的内容:在Web上,代理首先试图在本地寻找数据,如果没有,再到远程服务器上去查找。为用户提供了更快的访问速度,并且提高了网络安全性。应用层网关的工作原理如图上所示。应用层网关防火墙最突出的优点就是安全,缺点就是速度相对比较慢。,(3)电路层网关防火墙在电路层网关中,包被提交用户应用层处理。电路层网关用来在两个通信的终点之间转换包,如图左所示。电路层网关防火墙的工作原理如图右所示
40、电路层网关防火墙的特点是将所有跨越防火墙的网络通信链路分为两段。,代理防火墙,(4)代理技术的优点1)代理易于配置。2)代理能生成各项记录。3)代理能灵活、完全地控制进出流量、内容。4)代理能过滤数据内容。5)代理能为用户提供透明的加密机制。6)代理可以方便地与其他安全手段集成。,代理防火墙,(5)代理技术的缺点1)代理速度较路由器慢。2)代理对用户不透明。3)对于每项服务代理可能要求不同的服务器。4)代理服务不能保证免受所有协议弱点的限制。5)代理不能改进底层协议的安全性。,表9.1两种防火墙技术,两种防火墙技术的对比,防火墙的主要技术及实现方式,1双端口或三端口的结构2透明的访问方式3灵活
41、的代理系统4多级的过滤技术5网络地址转换技术(NAT)6网络状态监视器,7Internet网关技术8安全服务器网络(SSN)9用户鉴别与加密10用户定制服务11审计和告警12应用网关代理,13回路级代理服务器14代管服务器15IP通道(IP Tunnels)16隔离域名服务器(Split Domain Name Sever)17邮件转发技术(Mail Forwarding),Windows 2000环境下防火墙及NAT的实现,1实现方法 通过网络地址转换把内部地址转换成统一的外部地址,避免了使用代理服务所引起的账号安全问题和代理服务端口被利用的危险。同时为了避免各种代理服务端口探测和其他各种常
42、用服务端口的探测,可以启用Microsoft Proxy Server的动态包过滤功能和IP分段过滤,达到端口隐形的效果。,动态包过滤规则,2案例环境假定有一台Web服务器(WWW),地址为,其完整域名为:,对应解析的IP地址为,在其上装有两块网卡,命名为本地连接1和本地连接2,它们的IP地址分别为:和。,3MS Windows 2000 NAT网络地址转换的实现(1)路由和远程访问服务(2)网络地址转换的实现:静态路由、网络地址转换、地址和特殊端口、IP地址欺骗过滤。,地址和特殊端口配置,内部地址欺骗过滤配置,外部地址欺骗过滤配置,4MS Proxy Server动态包过滤和反向代理Prox
43、y Server功能的配置界面如图所示。(1)MS Proxy Server动态过滤记录文件的详细说明如表所示。(2)MS Proxy Server动态包过滤的实现如表所示。,Proxy Server功能的配置界面,一条记录条目的说明,第七节MS Proxy Server的安全,代理服务器的工作过程,l代理服务器拦截网络内部用户发往Internet服务器的请求。l它把自己的地址作为源地址,对请求重新打包,然后把请求发给目标Web服务器。l当Web服务器返回一个响应时,这个响应将被发送给代理服务器。l代理服务器确认这个响应是正确的,然后,再转发给内部用户。,代理服务器用作防火墙,如图所示:,理论课程到此结束 谢谢使用!,
