第十讲网络安全协议II.pptxVIP

网络安全协议 陈羽中 yzchen1979@163.com 防火墙 防火墙是指设置在不同网络（如可信任的内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。 防火墙 防火墙 防火墙的基本设计目标 对于一个网络来说，所有通过“内部”和“外部”的网络流量都要经过防火墙 通过一些安全策略，来保证只有经过授权的流量才可以通过防火墙 防火墙本身必须建立在安全操作系统的基础上 防火墙的控制功能 防火墙的控制功能 服务控制，确定哪些服务可以被访问 方向控制，对于特定的服务，可以确定允许哪个方向能够通过防火墙 用户控制，根据用户来控制对服务的访问 行为控制，控制一个特定的服务的行为 内容控制：根据数据内容进行控制 防火墙附加功能 流量控制，针对不同的用户限制不同的流量,可以合理使用带宽资源 NAT（Network Address Translation，网络地址转换），是通过修改数据包的源地址（端口）或者目的地址（端口），来达到节省IP地址资源，隐藏内部IP地址的功能的一种技术 VPN（Virtual Private Network，虚拟专用网），指利用数据封装和加密技术，使本来只能在私有网络上传送的数据能够通过公共网络（Internet）进行传输，使系统费用大大降低 防火墙的局限性 防火墙不能防范不经由防火墙的攻击 防火墙不能防止感染了病毒的软件或文件的传输 防火墙不能防止数据驱动式攻击 防火墙不能防范恶意的内部人员侵入以及内部人员与外部人员的联合攻击 防火墙不能防范不断更新的攻击方式 防火墙的潜在攻击 入侵内部网络：包括没有授权地访问内部网络，盗取信息。比如进行地址欺骗，不可信网络的用户伪装成可信网络的地址，从而绕过系统的认证实现进入被攻击系统；或者通过在内部网络中安装木马程序，实现对内部机器的控制 针对防火墙的攻击，使其失去功能。包括各种协议漏洞攻击和碎片攻击，控制防火墙，使防火墙死机或者失去本身应有功能 防火墙面临的攻击 拒绝服务攻击 Syn Flood：以多个随机的源主机地址向目的主机发送SYN包，而在收到目的主机的SYN ACK后并不回应，这样，目的主机就为这些源主机建立了大量的连接队列，而且由于没有收到ACK一直维护着这些队列，造成了资源的大量消耗而不能向正常请求提供服务。 Smurf：向一个子网的广播地址发一个带有特定请求（如ICMP回应请求）的包，并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包，使该主机受到攻击 防火墙面临的攻击 拒绝服务攻击 Land based： 攻击者将一个数据包的源地址和目的地址都设置为目标主机的地址，然后将该数据包通过IP欺骗的方式发送给被攻击主机，这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环，从而很大程度地降低了系统性能 Ping of Death： 根据TCP/IP的规范，一个IP包的长度最大为65536，但发送较大的IP包时将进行分片，这些IP分片到达目的主机时又重新组合起来。在Ping of Death攻击时，各分片组合后的总长度将超过65536，在这种情况下会造成某些操作系统的宕机 防火墙面临的攻击 拒绝服务攻击 Teardrop：较大的IP数据包在网络传递时，数据包可以分成更小的片段。攻击者可以通过发送两段（或者更多）数据包来实现Teardrop攻击。第一个包的偏移量为0，长度为N，第二个包的偏移量小于N。为了合并这些数据段，TCP/IP堆栈会分配超乎寻常的巨大资源，从而造成系统资源的缺乏甚至系统崩溃 Ping Sweep：使用ICMP Echo轮询多个主机，阻塞网络 Ping Flood：在短时间内向目的主机发送大量ping包，造成网络堵塞或主机资源耗尽 防火墙面临的攻击 攻击类型 强度攻击（即洪水攻击）：发送大量的无用数据包来堵塞网络带宽，使目标机器无法对正常的请求发生反应 协议漏洞攻击：主要是针对系统的协议漏洞进行的攻击 应用漏洞攻击：主要是针对系统的应用漏洞进行的攻击，比如针对IIS的Unicode漏洞的远程控制的攻击，针对FTP的漏洞的攻击等 防火墙的类型 按应用技术分类 包过滤技术 应用层网关技术 电路级网关技术 状态过滤技术 网络防火墙位置模型 包过滤防火墙 在网络层中根据数据包中包头信息有选择地实施允许通过或阻断。依据防火墙内事先设定的过滤规则,检查数据流中每个数据包头部,根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过，但不保留前后连接信息，核