[工学]网络防火墙的工作.pptVIP

网络防火墙的工作原理 选题背景 随着互联网的普及和发展，尤其是Internet的广泛使用，使计算机应用更加广泛与深入。同时，我们不得不注意到，网络虽然功能强大，也有其脆弱易受到攻击的一面。 人们在利用网络的优越性的同时，对网络安全问题也决不能忽视。如何建立比较安全的网络体系，值得我们关注研究。 网络安全 计算机安全的定义：“计算机系统的硬件、软件、数据受到保护，不因偶然的或恶意的原因而遭到破坏、更改、显露，系统能连续正常运行。” 从技术讲，计算机安全分为3种： 1）实体的安全； 2）运行环境的安全性； 3）信息的安全性； 随着网络的发展，计算机的安全问题也延伸到了计算机网络 网络安全面临的主要威胁： 1）计算机病毒的侵袭； 2）拒绝服务攻击； 3）黑客侵袭； 影响网络安全的因素： 1）单机安全： 单机型号的选择； 计算机的运行环境； 计算机的操作 2）网络安全： 节点的安全； 数据的安全； 文件的安全 网络安全措施： 1）完善计算机安全立法； 2）网络安全的关键技术； 3）制定合理的网络管理措施； 提供实时改变安全策略的能力、实时监控企业安全状态、对现有的安全系统实施漏洞检查等，以防患于未然。这三者缺一不可，其中，法律政策是安全的基石，技术是安全的保障，管理和审计是安全的防线。 防火墙的概念 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。 传统防火墙发展历史： 传统防火墙无论从技术还是从产品发展历程上，都经历了五个发展历程。 智能防火墙 智能防火墙是相对传统的防火墙而言的，从技术特征上智能防火墙是利用统计、记忆、概率和决策的智能方法来对数据进行识别，并达到访问控制的目的。新的数学方法，消除了匹配检查所需要的海量计算，高效发现网络行为的特征值，直接进行访问控制。由于这些方法多是人工智能学科采用的方法，因此，又称为智能防火墙。 防火墙的功能 （一）主要功能 包过滤 包过滤是一种网络的数据安全保护机制，它可用来控制流出和流入网络的数据，它通常由定义的各条数据安全规则所组成，防火墙设置可基于源地址、源端口、目的地址、目的端口、协议和时间;可根据地址簿进行设置规则。 地址转换 网络地址变换是将内部网络或外部网络的IP地址转换，可分为源地址转换Source NAT(SNAT)和目的地址转换Destination NAT(DNAT)。SNAT用于对内部网络地址进行转换，对外部网络隐藏起内部网络的结构，避免受到来自外部其他网络的非授权访问或恶意攻击。并将有限的IP地址动态或静态的与内部IP地址对应起来，用来缓解地址空间的短缺问题，节省资源，降低成本。DNAT主要用于外网主机访问内网主机。 认证应用和代理 认证指防火墙对访问网络者合法身分的确定。代理指防火墙内置用户认证数据库;提供HTTP、FTP和SMTP代理功能，并可对这三种协议进行访问控制;同时支持URL过滤功能。 （二）入侵检测功能 反端口扫描 反端口扫描就是防范端口扫描的方法，目前常用的方法有:关闭闲置和有潜在危险的端口;检查各端口，有端口扫描的症状时，立即屏蔽该端口，多数防火墙设备采用的都是这种反端口扫描方式。 检测拒绝服务攻击 利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应，其攻击方式有很多种;而分布式的拒绝服务攻击，攻击手段则是在传统的DoS攻击基础之上产生的一类攻击方式，分布式的拒绝服务攻击(DDoS)。其原理就是利用更多的受控主机同时发起进攻，以比DoS更大的规模(或者说以更高于受攻主机处理能力的进攻能力)来进攻受害者。 检测多缓冲区溢出攻击 缓冲区溢出(Buffer Overflow)攻击指利用软件的弱点将任意数据添加进某个程序中，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。更为严重的是，可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种非法操作，防火墙设备可检测对FTP、Telnet、SSH、RPC和SMTP等服务的远程堆栈溢出入侵。 检测CGI/IIS服务器入侵。 CGI就是Common Gateway Inter——face的简称。是World Wide Web主机和CGI程序间传输资讯的定义。IIS就是Internet Information s