信息安全技术-参考.pptVIP

信息安全技术-参考PPT全文共394页，当前为第352页。 防火墙的两条基本规则 一切未被允许的就是禁止的。 基于该规则，防火墙应封锁所有信息流，然后对希望提供的服务逐项开放，即只允许符合开放规则的信息进出。这种方法非常实用，可以造成一种十分安全的环境，因为所能使用的服务范围受到了严格的限制，只有特定的被选中的服务才被允许使用。这就使得用户使用的方便性受到了影响。 一切未被禁止的就是允许的。 基于该规则，防火墙逐项屏蔽被禁止的服务，而转发所有其它信息流。这种方法可以提供一种更为灵活的应用环境，可为用户提供更多的服务。但却很难提供可靠的安全防护，特别是当网络服务日益增多或受保护的网络范围增大时。 信息安全技术-参考PPT全文共394页，当前为第353页。 典型的防火墙具有的基本特性 内部网络和外部网络之间的所有网络数据流都必须经过防火墙。 只有符合安全策略的数据流才能通过防火墙。 防火墙自身应具有非常强的抗攻击免疫力。 信息安全技术-参考PPT全文共394页，当前为第354页。 8.1.2 防火墙的作用及局限性 防火墙的作用 集中的安全管理 安全警报 重新部署网络地址转换（NAT) 审计和记录网络的访问及使用情况 向外发布信息 信息安全技术-参考PPT全文共394页，当前为第355页。 防火墙的局限性 防火墙不能防范不经由防火墙的攻击和威胁 不能防御已经授权的访问，以及存在于网络内部系统间的攻击，不能防御合法用户恶意的攻击以及社交攻击等非预期的威胁 防火墙不能防止感染了病毒的软件或文件的传输 防火墙不能防止数据驱动式攻击 不能修复脆弱的管理措施和存在问题的安全策略 信息安全技术-参考PPT全文共394页，当前为第356页。 8.1.3 防火墙的分类 根据物理特性分类 软件防火墙 硬件防火墙 从结构上分类 单一主机防火墙 路由集成式防火墙 分布式防火墙 信息安全技术-参考PPT全文共394页，当前为第357页。 按工作位置分类 边界防火墙 个人防火墙 混合防火墙 按防火墙性能分类 百兆级防火墙 千兆级防火墙 从实现技术上分类 数据包过滤技术 代理服务 信息安全技术-参考PPT全文共394页，当前为第358页。 8.2 防火墙技术 数据包过滤技术 静态包过滤 动态包过滤 代理服务 应用级网关 电路级网关 信息安全技术-参考PPT全文共394页，当前为第359页。 8.2.1 数据包过滤 Internet 包过滤路由器 工作站 服务器 内部网络 工作站 工作站 信息安全技术-参考PPT全文共394页，当前为第360页。 8.2.2应用级网关（代理服务器） 应用级网关（代理服务器） 应用级网关提供两个网络间传输的高水平的控制，即能进行特定服务内容的监控和提供基于网络安全策略的过滤。 服务器代理 客户代理 客户代理 服务器代理 应用级网关 服务器 客户机 客户机 服务器 安全网络 不安全网络 信息安全技术-参考PPT全文共394页，当前为第361页。 例：FTP代理服务器 FTP 代理 FTP客户 FTP服务器 FTP代理规则 安全数据库 TCP/UDP IP/ICMP Interfaces IP过滤规则 端口2021 不安全网络 安全网络 信息安全技术-参考PPT全文共394页，当前为第362页。 9.2.3 电路级网关 电路级网关是一个通用代理服务器，工作在TCP/IP协议的TCP层，仅仅提供TCP连接的转发而不提供任何其它的报文处理和过滤。 客户 服务器 TCP层 IP层 Interfaces 不安全网络 安全网络 信息安全技术-参考PPT全文共394页，当前为第363页。 8.3 防火墙的体系结构 双宿主机防火墙结构 屏蔽主机防火墙结构 屏蔽子网防火墙结构 信息安全技术-参考PPT全文共394页，当前为第364页。 8.3.1 双宿主机防火墙 Internet 堡垒主机 工作站 服务器 内部网络 工作站 工作站 信息安全技术-参考PPT全文共394页，当前为第365页。 SSL记录协议中发送方执行的操作步骤： ①从上层接受传输的应用报文； ②分片：将数据分片成可管理的块，每个上层报文被分成16KB或更小的数据块； ③进行数据压缩(可选)：压缩是可选的，压缩的前提是不能丢失信息，并且增加的内容长度不能超过1024字节，缺省的压缩算法为空； ④应用MAC：加入信息认证码（MAC），这一步需要用到共享的密钥； ⑤加密：利用IDEA、DES、3DES或其他加密算法对压缩报文和MAC码进行数据加密； ⑥增加SSL首部：增加由内容类型、主要版本、次要版本和压缩长度组成的首部。 ⑦将结果传输到下层。 信息安全技术-