228-防火墙技术.pptVIP

防火墙技术 防火墙的定义 防火墙是位于可信网络与不可信网络之间并对二者之间流动的数据包进行检查后的一台或多台计算机或路由器。 防火墙安全规则由匹配条件和处理方式两部分组成。匹配条件是指用于对通信流量是否合法做出判断的一些逻辑表达式 防火墙的功能包括： 保护内部网络安全 网络地址转换 用户身份验证 网络监控 防火墙的分类 按实现方式来分： 软件防火墙和硬件防火墙 按实现技术分类 数据包过滤防火墙、应用级网关和状态包检测防火墙 防火墙工作原理 Internet的通信是通过数据包的交换完成。 每个数据包包含源主机IP和端口号 目的主机IP和端口号 黑客在入侵前会先通过扫描来确认目标系统是否有入侵的可能，而防火墙让这些探测失败。 防火墙基于源主机与目的主机的IP地址和端口的一些组合过滤掉某些危险的数据包。。 区分要求建立新连接的数据包和已有连接的数据包。 Windows XP个人防火墙 启动Windows XP SP2防火墙 开始?控制面板?Windows防火墙?启动 设置例外程序 开始?控制面板?Windows防火墙?例外?添加程序 限制例外程序仅适用于内网 开始?控制面板?Windows防火墙?例外?编辑?更改范围?仅我的子网 在命令行下收集防火墙配置信息 netsh firewall show state 天网防火墙 应用程序访问网络权限设置 单击主界面左上角的“应用程序规则” 自定义IP规则 单击主界面左上角的“自定义IP规则” 系统设置 查看应用程序网络使用情况 查看日志 利用防火墙阻止别人用PING探测 黑客用ping命令来探测远程主机是否活动 天网防火墙主界面?IP规则管理?自定义IP规则，打开IP定义窗口 选中“防止别人用ping命令探测”选项 采用防火墙保护内部网有以下优点。 （1）防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户（如黑客和网络破坏者等）进入内部网。 （2）保护网络中脆弱的服务。 （3）在防火墙上可以很方便地监视网络的安全性，并产生报警。 （4）可以集中安全性。 （5）防火墙可以作为部署（网络地址转换Network Address Translator，NAT）的逻辑地址。 （6）增强必威体育官网网址性和强化私有权。 （7）防火墙是审计和记录Internet使用量的一个最佳地方。 （8）防火墙也可以成为向客户发布信息的地点。 1．用户账号策略 2．用户权限策略 3．信任关系策略 4．包过虑策略 这里主要从以下几个方面来讨论包过滤策略： ? 包过滤控制点； ? 包过滤操作过程； ? 包过滤规则； ? 防止两类不安全设计的措施； ? 对特定协议包的过滤。 （1）包过滤控制点 （2）包过滤操作过程 （3）包过滤规则 （4）防止两类不安全设计的措施 （5）对特定协议包的过滤 5．认证、签名和数据加密策略 6．密钥分配策略 7．审计策略 审计是用来记录如下事件： （1）哪个用户访问哪个对象； （2）用户的访问类型； （3）访问过程是否成功。 2．堡垒主机的选择 （1）选择主机时，应选择一个可以支持多个网络接口同时处于活跃状态，从而能够向内部网用户提供多个网络服务的机器。 （2）建议用户选择较为熟悉的UNIX操作系统作为堡垒主机的操作系统。 （3）选择堡垒主机时，不需要功能过高、速度过快的机器，而是争取做到物尽其用。但是应使堡垒主机的内存和硬盘足够大，以保证足够的信息交换空间。 （4）在网络上，堡垒主机应位于DMZ内没有机密信息流或信息流不太敏感的部分。 （5）在配置堡垒主机的网络服务时，应注意除了不得不提供的基本网络服务（如SMTP，FTP，WAIS，HTTP，NNTP和Gopher）外，应把那些内部网不使用的服务统统关闭。而且应尽量减少堡垒主机上的用户账户数，如果有可能，应禁止一切用户账户。 2．VPN的主要安全协议 SOCK v5、IPSec、PPTP和L2TP四种协议是用在VPN中的几种主要协议。 （1）SOCK v5协议 当SOCK协议同SSL协议配合使用，可作为建立高度安全的VPN的基础。SOCK协议的优势在访问控制，因此适合用于安全性较高的VPN。 9.4.7 其他防火墙技术 除了上面介绍的防火墙技术外，一些新的技术正在防火墙产品中采用，主要有以下几种。 1．加密技术 2．安全审计 3．安全内核 4．身份认证 5．负载平衡（Load Balance） 提供代理应用层网关主要有以下优点。 （1）应用层网关有能力支持可靠的用户认证并提供详细的注册信息。 （2）应用层的过滤规则相对于包过滤路由器来说更容易配置和测试。 （3）代理工作在客户机和真实服务器之间，完全控制会话，所以可以提供很详细的日志和安全审计功