《網(wǎng)絡(luò)安全》(課件)-5_第1頁
《網(wǎng)絡(luò)安全》(課件)-5_第2頁
《網(wǎng)絡(luò)安全》(課件)-5_第3頁
《網(wǎng)絡(luò)安全》(課件)-5_第4頁
《網(wǎng)絡(luò)安全》(課件)-5_第5頁
已閱讀5頁,還剩143頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、網(wǎng)絡(luò)安全第 5 講2第5章 防火墻技術(shù) 防火墻技術(shù)概述防火墻的分類新一代防火墻的主要技術(shù)防火墻體系結(jié)構(gòu)防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢防火墻的選購和使用防火墻產(chǎn)品介紹3防火墻技術(shù)概述防火墻定義防火墻的本義原是指房屋之間修建的可以防止火災(zāi)發(fā)生時(shí)蔓延到別的房屋的墻。多數(shù)防火墻里都有一個(gè)重要的門,允許人們進(jìn)入或離開房屋。即:防火墻在提供增強(qiáng)安全性的同時(shí)允許必要的訪問。計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻(Firewall)指位于不同網(wǎng)絡(luò)安全域之間的軟件和硬件設(shè)備的一系列部件的組合,做為不同網(wǎng)絡(luò)安全域之間通信流的唯一通道,根據(jù)用戶的有關(guān)安全策略控制進(jìn)出不同網(wǎng)絡(luò)安全域的訪問。網(wǎng)絡(luò)安全 第7講 保密通信(一)防火墻定義Wil

2、liam Cheswick和Steve Beilovin(1994):防火墻是放置在兩個(gè)網(wǎng)絡(luò)之間的一組組件,這組組件共同具有下列性質(zhì):只允許本地安全策略授權(quán)的通信信息通過雙向通信信息必須通過防火墻防火墻本身不會(huì)影響信息的流通防火墻是位于兩個(gè)信任程度不同的網(wǎng)絡(luò)之間(如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間)的軟件或硬件設(shè)備的組合,它對(duì)兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行控制,通過強(qiáng)制實(shí)施統(tǒng)一的安全策略,防止對(duì)重要信息資源的非法存取和訪問以達(dá)到保護(hù)系統(tǒng)安全的目的。傳統(tǒng)防火墻概念特指網(wǎng)絡(luò)層實(shí)現(xiàn)防火墻技術(shù)概述5防火墻系統(tǒng)模型 防火墻技術(shù)概述DMZ即隔離區(qū),也稱非軍事化區(qū)。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)

3、服務(wù)器的問題,而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū),這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi),在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施,如Web服務(wù)器、FTP服務(wù)器和論壇等。6在互聯(lián)網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型,通過它可以隔離風(fēng)險(xiǎn)區(qū)域(即Internet或有一定風(fēng)險(xiǎn)的網(wǎng)絡(luò))與安全區(qū)域(即通常講的內(nèi)部網(wǎng)絡(luò))的連接,同時(shí)不妨礙本地網(wǎng)絡(luò)用戶對(duì)風(fēng)險(xiǎn)區(qū)域的訪問。防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信,僅讓安全、核準(zhǔn)了的信息進(jìn)入,抵制對(duì)本地網(wǎng)絡(luò)安全構(gòu)成威脅的數(shù)據(jù)。因此,防火墻的作用是防止不希望的、未授權(quán)的通信進(jìn)出被保護(hù)的網(wǎng)絡(luò),迫使用戶強(qiáng)化自己的網(wǎng)絡(luò)安全政策,簡化網(wǎng)絡(luò)的安全管

4、理。要使一個(gè)防火墻有效,所有來自和去往Internet的信息都必須經(jīng)過防火墻,接收防火墻的檢查。防火墻技術(shù)概述7防火墻本身必須具有很強(qiáng)的抗攻擊能力,以確保其自身的安全性。簡單的防火墻可以只用路由器實(shí)現(xiàn),復(fù)雜的可以用主機(jī)、專用硬件設(shè)備及軟件甚至一個(gè)子網(wǎng)來實(shí)現(xiàn)。通常意義上講的硬防火墻為硬件防火墻,它是通過專用硬件和專用軟件的結(jié)合來達(dá)到隔離內(nèi)、外部網(wǎng)絡(luò)的目的,價(jià)格較貴,但效果較好,一般小型企業(yè)和個(gè)人很難實(shí)現(xiàn)。軟件防火墻是通過軟件的方式來達(dá)到,價(jià)格便宜,但這類防火墻只能通過一定的規(guī)則來達(dá)到限制一些非法用戶訪問內(nèi)部網(wǎng)的目的。防火墻安裝和投入使用后,要想充分發(fā)揮它的安全防護(hù)作用,必須對(duì)它進(jìn)行跟蹤和動(dòng)態(tài)維護(hù)

5、,并及時(shí)對(duì)防火墻進(jìn)行更新。防火墻技術(shù)概述8防火墻的目的和功能防火墻負(fù)責(zé)管理風(fēng)險(xiǎn)區(qū)域網(wǎng)絡(luò)和安全區(qū)域網(wǎng)絡(luò)之間的訪問。在沒有防火墻時(shí),內(nèi)部網(wǎng)絡(luò)上的每個(gè)節(jié)點(diǎn)都暴露給風(fēng)險(xiǎn)區(qū)域上的其他計(jì)算機(jī),內(nèi)部網(wǎng)絡(luò)極易受到攻擊,內(nèi)部網(wǎng)絡(luò)的安全性要由每臺(tái)計(jì)算機(jī)來決定,并且整個(gè)內(nèi)部網(wǎng)絡(luò)的安全性等于其中防護(hù)能力最弱的系統(tǒng)??梢园逊阑饓ο胂癯砷T衛(wèi),所有進(jìn)入的消息和發(fā)出的消息都會(huì)被仔細(xì)檢查以嚴(yán)格遵守選定的安全標(biāo)準(zhǔn)。因此,對(duì)于連接到互聯(lián)網(wǎng)的內(nèi)部網(wǎng)絡(luò),一定要選用適當(dāng)?shù)姆阑饓Α?防火墻技術(shù)概述9應(yīng)用防火墻的目的所有內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的信息交流必須經(jīng)過防火墻。確保內(nèi)部網(wǎng)向外部網(wǎng)的全功能互聯(lián)。防止入侵者接近防御設(shè)施,限制進(jìn)入受保護(hù)網(wǎng)絡(luò),保

6、護(hù)內(nèi)部網(wǎng)絡(luò)的安全。只有按本地的安全策略被授權(quán)的信息才允許通過。 防火墻本身具有防止被穿透的能力,防火墻本身不受各種攻擊的影響。為監(jiān)視網(wǎng)絡(luò)安全提供方便。防火墻技術(shù)概述10防火墻已成為控制網(wǎng)絡(luò)系統(tǒng)訪問的非常流行的方法,事實(shí)上在Internet上的很多網(wǎng)站都是由某種形式的防火墻加以保護(hù)的,任何關(guān)鍵性的服務(wù)器,都建議放在防火墻之后。防火墻技術(shù)概述11防火墻基本功能防火墻是網(wǎng)絡(luò)安全政策的有機(jī)組成部分,通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理,防止外部網(wǎng)絡(luò)不安全的信息流入內(nèi)部網(wǎng)絡(luò)和限制內(nèi)部網(wǎng)絡(luò)的重要信息流到外部網(wǎng)絡(luò)。從總體上看,防火墻應(yīng)具有以下五大基本功能。過濾進(jìn)、出內(nèi)部網(wǎng)絡(luò)的

7、數(shù)據(jù)。管理進(jìn)、出內(nèi)部網(wǎng)絡(luò)的訪問行為。封堵某些禁止的業(yè)務(wù)。記錄通過防火墻的信息內(nèi)容和活動(dòng)。對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測和報(bào)警。防火墻技術(shù)概述12除此以外,有的防火墻還根據(jù)需求包括其他的功能,如網(wǎng)絡(luò)地址轉(zhuǎn)換功能(NAT)、雙重DNS(雙重DNS,即對(duì)外解析成公網(wǎng)地址,對(duì)內(nèi)解析成內(nèi)網(wǎng)地址。)、虛擬專用網(wǎng)絡(luò)(VPN)、掃毒功能、負(fù)載均衡和計(jì)費(fèi)等功能。為實(shí)現(xiàn)以上功能,在防火墻產(chǎn)品的開發(fā)中,廣泛地應(yīng)用網(wǎng)絡(luò)拓?fù)浼夹g(shù)、計(jì)算機(jī)操作系統(tǒng)技術(shù)、路由技術(shù)、加密技術(shù)、訪問控制技術(shù)以及安全審計(jì)技術(shù)等。防火墻技術(shù)概述13防火墻的局限性通常,認(rèn)為防火墻可以保護(hù)處于它身后的內(nèi)部網(wǎng)絡(luò)不受外界的侵襲和干擾,但隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)結(jié)構(gòu)日趨

8、復(fù)雜,傳統(tǒng)防火墻在使用的過程中暴露出以下的不足和弱點(diǎn)。防火墻不能防范不經(jīng)過防火墻的攻擊。沒有經(jīng)過防火墻的數(shù)據(jù),防火墻無法檢查。傳統(tǒng)的防火墻在工作時(shí),入侵者可以偽造數(shù)據(jù)繞過防火墻或者找到防火墻中可能敞開的后門。防火墻不能防止來自網(wǎng)絡(luò)內(nèi)部的攻擊和安全問題。網(wǎng)絡(luò)攻擊中有相當(dāng)一部分攻擊來自網(wǎng)絡(luò)內(nèi)部,對(duì)于來自企業(yè)內(nèi)部的員工來說,防火墻形同虛設(shè)。防火墻可以設(shè)計(jì)為既防外也防內(nèi),但絕大多數(shù)單位因?yàn)椴环奖悖灰蠓阑饓Ψ纼?nèi)。防火墻技術(shù)概述14由于防火墻性能上的限制,因此它通常不具備實(shí)時(shí)監(jiān)控入侵的能力。防火墻不能防止策略配置不當(dāng)或錯(cuò)誤配置引起的安全威脅。防火墻是一個(gè)被動(dòng)的安全策略執(zhí)行設(shè)備,就像門衛(wèi)一樣,要根據(jù)政策

9、規(guī)定來執(zhí)行安全,而不能自作主張。防火墻不能防止受病毒感染的文件的傳輸。防火墻本身并不具備查殺病毒的功能,即使集成了第三方的防病毒的軟件,也沒有一種軟件可以查殺所有的病毒。防火墻不能防止利用服務(wù)器系統(tǒng)和網(wǎng)絡(luò)協(xié)議漏洞所進(jìn)行的攻擊。黑客通過防火墻準(zhǔn)許的訪問端口對(duì)該服務(wù)器的漏洞進(jìn)行攻擊,防火墻不能防止。防火墻技術(shù)概述15防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊。當(dāng)有些表面看來無害的數(shù)據(jù)郵寄或拷貝到內(nèi)部網(wǎng)的主機(jī)上并被執(zhí)行時(shí),可能會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)式的攻擊。(數(shù)據(jù)驅(qū)動(dòng)攻擊是通過向某個(gè)程序發(fā)送數(shù)據(jù),以產(chǎn)生非預(yù)期結(jié)果的攻擊,通常為攻擊者給出訪問目標(biāo)系統(tǒng)的權(quán)限,數(shù)據(jù)驅(qū)動(dòng)攻擊分為緩沖區(qū)溢出攻擊、輸入驗(yàn)證攻擊、同步漏洞攻擊、信任

10、漏洞攻擊等。 )防火墻不能防止內(nèi)部的泄密行為。防火墻內(nèi)部的一個(gè)合法用戶主動(dòng)泄密,防火墻是無能為力的。防火墻不能防止本身的安全漏洞的威脅。防火墻保護(hù)別人有時(shí)卻無法保護(hù)自己,目前還沒有廠商絕對(duì)保證防火墻不會(huì)存在安全漏洞。因此對(duì)防火墻也必須提供某種安全保護(hù)。防火墻技術(shù)概述16由于防火墻的局限性,因此僅在內(nèi)部網(wǎng)絡(luò)入口處設(shè)置防火墻系統(tǒng)不能有效地保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的安全。而入侵檢測系統(tǒng)(Intrusion Detection System:IDS)可以彌補(bǔ)防火墻的不足,它為網(wǎng)絡(luò)提供實(shí)時(shí)的監(jiān)控,并且在發(fā)現(xiàn)入侵的初期采取相應(yīng)的防護(hù)手段。IDS系統(tǒng)作為必要附加手段,已經(jīng)為大多數(shù)組織機(jī)構(gòu)的安全構(gòu)架所接受。防火墻技術(shù)概

11、述防火墻的設(shè)計(jì)策略 防火墻一般執(zhí)行以下兩種基本設(shè)計(jì)策略中的一種。(1)除非明確不允許,否則允許某種服務(wù)。(2)除非明確允許,否則將禁止某種服務(wù)。防火墻的安全策略 研制和開發(fā)一個(gè)有效的防火墻,首先要設(shè)計(jì)和制定一個(gè)有效的安全策略。安全策略應(yīng)包含以下主要內(nèi)容:(1)用戶賬號(hào)策略;(2)用戶權(quán)限策略;(3)信任關(guān)系策略;(4)包過慮策略;(5)認(rèn)證策略; (6)簽名策略;(7)數(shù)據(jù)加密策略; (8)密鑰分配策略;(9)審計(jì)策略。1用戶賬號(hào)策略2用戶權(quán)限策略3信任關(guān)系策略單向信任關(guān)系 雙向信任關(guān)系 多重信任關(guān)系4包過慮策略這里主要從以下幾個(gè)方面來討論包過濾策略: 包過濾控制點(diǎn); 包過濾操作過程; 包過濾

12、規(guī)則; 防止兩類不安全設(shè)計(jì)的措施; 對(duì)特定協(xié)議包的過濾。5認(rèn)證、簽名和數(shù)據(jù)加密策略6密鑰分配策略7審計(jì)策略審計(jì)是用來記錄如下事件:(1)哪個(gè)用戶訪問哪個(gè)對(duì)象;(2)用戶的訪問類型;(3)訪問過程是否成功。23第5章 防火墻技術(shù) 防火墻技術(shù)概述防火墻的分類新一代防火墻的主要技術(shù)防火墻體系結(jié)構(gòu)防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢防火墻的選購和使用防火墻產(chǎn)品介紹防火墻的分類組成組件:硬件防火墻、軟件防火墻、芯片防火墻實(shí)現(xiàn)平臺(tái):windows、linux、unix保護(hù)對(duì)象:主機(jī)防火墻、網(wǎng)絡(luò)防火墻網(wǎng)絡(luò)性能:百兆防火墻、千兆防火墻功能和技術(shù):主機(jī)防火墻、病毒防火墻、智能防火墻體系結(jié)構(gòu):包過濾防火墻、應(yīng)用層代理、電路級(jí)

13、網(wǎng)關(guān)、地址翻譯防火墻、狀態(tài)防火墻2425防火墻的分類按組成結(jié)構(gòu)分類:目前普遍應(yīng)用的防火墻按組成結(jié)構(gòu)可分為以下三種。軟件防火墻:網(wǎng)絡(luò)版的軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上,它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持,一般來說這臺(tái)計(jì)算機(jī)就是整個(gè)內(nèi)部網(wǎng)絡(luò)的網(wǎng)關(guān)。軟件防火墻就像其他的軟件產(chǎn)品一樣需要先在計(jì)算機(jī)上安裝并做好配置才可以使用。26硬件防火墻:這里說的硬件防火墻是針對(duì)芯片級(jí)防火墻來說的。它們最大的差別在于是否基于專用的硬件平臺(tái)。目前市場上大多數(shù)防火墻都是這種所謂的硬件防火墻,它們都基于PC架構(gòu),就是說,它們和普通的家庭用的PC沒有太大區(qū)別。在這些PC架構(gòu)計(jì)算機(jī)上運(yùn)行一些經(jīng)過裁剪和簡化的操作系統(tǒng),最

14、常用的有UNIX、Linux和FreeBSD系統(tǒng)。防火墻的分類27芯片級(jí)防火墻:基于專門的硬件平臺(tái),核心部分就是ASIC芯片,所有的功能都集成做在芯片上。專有的ASIC芯片促使它們比其他種類的防火墻速度更快,處理能力更強(qiáng),性能更高。防火墻的分類28三種類型防火墻比較由于軟件防火墻和硬件防火墻的結(jié)構(gòu)是運(yùn)行于一定的操作系統(tǒng)之上,就決定了它的功能是可以隨著客戶的實(shí)際需要而做相應(yīng)調(diào)整的,這一點(diǎn)比較靈活。從性能上來說,多添加一個(gè)擴(kuò)展功能就會(huì)對(duì)防火墻處理數(shù)據(jù)的性能產(chǎn)生影響,添加的擴(kuò)展功能越多,防火墻的性能就下降的越快。防火墻的分類29軟件防火墻和硬件防火墻的安全性很大程度上決定于操作系統(tǒng)自身的安全性。無論

15、是UNIX、Linux還是FreeBSD系統(tǒng),都或多或少存在漏洞,一旦被人取得了控制權(quán),將可以隨意修改防火墻上的策略和訪問權(quán)限,進(jìn)入內(nèi)網(wǎng)進(jìn)行任意破壞,將危及整個(gè)內(nèi)網(wǎng)的安全。芯片級(jí)防火墻不存在這個(gè)問題,自身有很好的安全保護(hù),所以較其他類型的防火墻安全性高一些。防火墻的分類30芯片級(jí)防火墻專有的ASIC芯片,促使它們比其他種類的防火墻速度更快,處理能力更強(qiáng)。專用硬件和軟件的結(jié)合提供了線速處理、深層次信息包檢查、堅(jiān)固的加密、復(fù)雜內(nèi)容和行為掃描功能的優(yōu)化等,不會(huì)在網(wǎng)絡(luò)流量的處理上出現(xiàn)瓶頸。采用PC架構(gòu)的硬件防火墻技術(shù)在百兆防火墻上取得了很大的成功,但由于CPU處理能力和PCI總線速度的制約,在實(shí)際應(yīng)用

16、中,尤其在小包情況下,這種結(jié)構(gòu)的千兆防火墻遠(yuǎn)遠(yuǎn)達(dá)不到千兆的轉(zhuǎn)發(fā)速度,難以滿足千兆骨干網(wǎng)絡(luò)的應(yīng)用要求。目前使用芯片級(jí)防火墻技術(shù)成為實(shí)現(xiàn)千兆防火墻的主要選擇。防火墻的分類31按采用技術(shù)分類:常見防火墻按采用的技術(shù)分類主要有包過濾防火墻、代理防火墻和狀態(tài)監(jiān)測防火墻,每種防火墻都有各自的優(yōu)缺點(diǎn)。防火墻的分類32 包過濾防火墻包過濾(Packet Filtering)是第一代防火墻技術(shù)。其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù),它工作在OSI模型的網(wǎng)絡(luò)層。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?,?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的IP源地址、IP目標(biāo)地址、封裝協(xié)議(TC

17、P、UDP、ICMP等)、TCP/UDP源端口和目標(biāo)端口等。 防火墻的分類33包過濾操作通常在選擇路由的同時(shí)對(duì)數(shù)據(jù)包進(jìn)行過濾(通常是對(duì)從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的包進(jìn)行過濾)。包過濾這個(gè)操作可以在路由器上進(jìn)行,也可以在網(wǎng)橋,甚至在一個(gè)單獨(dú)的主機(jī)上進(jìn)行。傳統(tǒng)的包過濾只是與規(guī)則表進(jìn)行匹配。防火墻的IP包過濾,主要是根據(jù)一個(gè)有固定排序的規(guī)則鏈過濾,其中的每個(gè)規(guī)則包含著IP地址、端口、傳輸方向、分包、協(xié)議等多項(xiàng)內(nèi)容。同時(shí),一般防火墻的包過濾的過濾規(guī)則是在啟動(dòng)時(shí)配置好的,只有系統(tǒng)管理員才可以修改,是靜態(tài)存在的,稱為靜態(tài)過濾規(guī)則。 防火墻的分類34有些防火墻采用了基于連接狀態(tài)的檢查,將屬于同一連接的所有包作為一

18、個(gè)整體的數(shù)據(jù)流看待,通過規(guī)則表與連接狀態(tài)表的共同配合進(jìn)行檢查,稱為動(dòng)態(tài)過濾規(guī)則。包過濾類型的防火墻要遵循的一條基本原則是“最小特權(quán)原則”,即明確允許管理員指定希望通過的數(shù)據(jù)包,而禁止其他的數(shù)據(jù)包。防火墻的分類包過濾模型 包過濾一般要檢查下面幾項(xiàng):(1)IP源地址;(2)IP目的地址;(3)協(xié)議類型(TCP包、UDP包和ICMP包);(4)TCP或UDP的源端口;(5)TCP或UDP的目的端口;(6)ICMP消息類型;(7)TCP報(bào)頭中的ACK位。 另外,TCP的序列號(hào)、確認(rèn)號(hào),IP校驗(yàn)以及分段偏移也往往是要檢查的選項(xiàng)。 在決定包過濾防火墻是否返回ICMP錯(cuò)誤代碼時(shí),應(yīng)考慮以下幾點(diǎn)。 防火墻應(yīng)該

19、發(fā)送什么消息。 是否負(fù)擔(dān)得起生成和返回錯(cuò)誤代碼的高額費(fèi)用。 返回錯(cuò)誤代碼能使得侵襲者得到很多有關(guān)你發(fā)送的數(shù)據(jù)包過濾信息。 什么錯(cuò)誤代碼對(duì)你的網(wǎng)站有意義。一個(gè)可靠的分組過濾防火墻依賴于規(guī)則集第一條規(guī)則:主機(jī)任何端口訪問任何主機(jī)的任何端口,基于TCP協(xié)議的數(shù)據(jù)包都允許通過。第二條規(guī)則:任何主機(jī)的20端口訪問主機(jī)的任何端口,基于TCP協(xié)議的數(shù)據(jù)包允許通過。第三條規(guī)則:任何主機(jī)的20端口訪問主機(jī)小于1024的端口,如果基于TCP協(xié)議的數(shù)據(jù)包都禁止通過。組序號(hào)動(dòng)作源IP目的IP源端口目的端口協(xié)議類型1允許*TCP2允許*20*TCP3禁止*20102323任意拒絕B入TCP231023是任意C出任意TC

20、P102323任意允許D入任意TCP231023是允許E出任意TCP102325任意允許F入任意TCP251023是允許G入任意TCP102325任意允許H出任意TCP251023任意允許I出任意TCP102380任意允許J入任意TCP801023是允許K入TCP102380任意允許L出TCP801023任意允許M雙向任意任意任意任意禁止41規(guī)則A、B用來阻止你的內(nèi)部主機(jī)以Telnet服務(wù)形式聯(lián)接到站,規(guī)則C、D允許你的內(nèi)部主機(jī)以Telnet方式訪問Internet上的任何主機(jī)。這似乎和我們的政策發(fā)生了矛盾,但事實(shí)上并部矛盾。在前面提到過規(guī)則的次序是十分重要的,而且防火墻實(shí)施規(guī)則的特點(diǎn)是當(dāng)防火

21、墻找到匹配的規(guī)則后就不再向下應(yīng)用其他的規(guī)則,所以當(dāng)內(nèi)部網(wǎng)主機(jī)訪問站點(diǎn),并試圖通過Telnet建立聯(lián)接時(shí),這個(gè)聯(lián)接請(qǐng)求會(huì)被規(guī)則A阻塞,因?yàn)橐?guī)則A正好與之相匹配。至于規(guī)則B,實(shí)際上并非毫無用處,規(guī)則B用來限制站點(diǎn) Telnet服務(wù)的返回包。事實(shí)上,內(nèi)部主機(jī)試圖建立Telnet聯(lián)接時(shí)就會(huì)被阻塞,一般不會(huì)存在返回包,但高明的用戶也可能想出辦法使聯(lián)接成功,那時(shí)B規(guī)則也會(huì)有用,總之,有些冗余對(duì)安全是有好處的。當(dāng)用戶以Telnet方式訪問除之外的其他站點(diǎn)時(shí),規(guī)則A、B不匹配,所以應(yīng)用C、D規(guī)則,內(nèi)部主機(jī)被允許建立聯(lián)接,返回包也被允許入站。 規(guī)則E、F用于允許出站的SMTP服務(wù),規(guī)則G、H用于允許入站的SMT

22、P服務(wù),SMTP服務(wù)的端口是25。 I和J規(guī)則用于允許出站的WWW服務(wù),K、L規(guī)則用于允許網(wǎng)絡(luò)的主機(jī)訪問你的網(wǎng)絡(luò)WWW服務(wù)器。規(guī)則M是默認(rèn)項(xiàng),它實(shí)現(xiàn)的準(zhǔn)則是“沒有明確允許就表示禁止”。4243包過濾防火墻的優(yōu)點(diǎn)一個(gè)包過濾防火墻能協(xié)助保護(hù)整個(gè)網(wǎng)絡(luò) 。一個(gè)單個(gè)的、恰當(dāng)放置的包過濾防火墻有助于保護(hù)整個(gè)網(wǎng)絡(luò),這是數(shù)據(jù)包過濾的主要優(yōu)點(diǎn)。數(shù)據(jù)包過濾對(duì)用戶透明。數(shù)據(jù)包過濾不要求任何自定義軟件或者客戶機(jī)配置,也不要求用戶任何特殊的訓(xùn)練或者操作。當(dāng)數(shù)據(jù)包過濾防火墻決定讓數(shù)據(jù)包通過時(shí),它與普通路由器沒什么區(qū)別。較強(qiáng)的“透明度”是包過濾的一大優(yōu)勢。防火墻的分類44速度快、效率高。包過濾防火墻只檢查報(bào)頭相應(yīng)的字段,一

23、般不查看數(shù)據(jù)報(bào)的內(nèi)容,而且某些核心部分是由專用硬件實(shí)現(xiàn)的,故其轉(zhuǎn)發(fā)速度快、效率較高。價(jià)格較低。相對(duì)于其他類型的防火墻,包過濾防火墻的價(jià)格較低。防火墻的分類45包過濾防火墻的缺點(diǎn)不能徹底防止地址欺騙。大多數(shù)包過濾防火墻都是基于源IP地址、目的IP地址而進(jìn)行過濾的。而IP地址的偽造是很容易、很普遍的。包過濾防火墻在這點(diǎn)上大都無能為力。即使按MAC地址進(jìn)行綁定,也是不可信的。對(duì)于一些安全性要求較高的網(wǎng)絡(luò),包過濾防火墻是不能勝任的。一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾。如RPC、X-Window等。防火墻的分類46無法執(zhí)行某些安全策略。包過濾防火墻上的信息不能完全滿足用戶對(duì)安全策略的需求。例如,對(duì)于數(shù)據(jù)包的

24、來源,包過濾防火墻只能限制主機(jī)而不能限制用戶;對(duì)于數(shù)據(jù)包的去向,包過濾防火墻不能通過端口號(hào)對(duì)高級(jí)協(xié)議強(qiáng)行限制。數(shù)據(jù)包過濾工具存在很多局限性。如數(shù)據(jù)包過濾規(guī)則難以配置、過濾規(guī)則冗長而復(fù)雜不易理解和管理、規(guī)則的正確性測試?yán)щy、隨過濾數(shù)目的增加防火墻性能下降、沒有用戶的使用記錄以及無黑客的攻擊記錄。 防火墻的分類47包過濾防火墻技術(shù)雖然能確保一定的安全保護(hù),且也有許多優(yōu)點(diǎn),但是包過濾防火墻技術(shù),本身存在較多缺陷,不能提供較高的安全性。在實(shí)際應(yīng)用中,現(xiàn)在很少把包過濾技術(shù)當(dāng)作單獨(dú)的安全解決方案,而是把它與其他防火墻技術(shù)揉合在一起使用。防火墻的分類48代理防火墻:代理防火墻是一種較新型的防火墻技術(shù),它分為

25、應(yīng)用層網(wǎng)關(guān)防火墻和電路層網(wǎng)關(guān)防火墻。代理防火墻通過編程來弄清用戶應(yīng)用層的流量,并能在用戶層和應(yīng)用協(xié)議層提供訪問控制。代理防火墻記錄所有應(yīng)用程序的訪問情況,記錄和控制所有進(jìn)出流量的能力是代理防火墻的主要優(yōu)點(diǎn)之一。代理防火墻一般是運(yùn)行代理服務(wù)器的主機(jī)。防火墻的分類49代理服務(wù)器指代表客戶處理與服務(wù)器連接的請(qǐng)求的程序。當(dāng)代理服務(wù)器接收到用戶對(duì)某站點(diǎn)的訪問請(qǐng)求后會(huì)檢查該請(qǐng)求是否符合規(guī)則,如果規(guī)則允許用戶訪問該站點(diǎn)的話,代理服務(wù)器會(huì)像一個(gè)客戶一樣去那個(gè)站點(diǎn)取回所需信息再轉(zhuǎn)發(fā)給客戶。代理服務(wù)器通常都擁有一個(gè)高速緩存,這個(gè)緩存存儲(chǔ)著用戶經(jīng)常訪問的站點(diǎn)內(nèi)容,在下一個(gè)用戶要訪問同一站點(diǎn)時(shí),服務(wù)器就不用重復(fù)地獲取

26、相同的內(nèi)容,直接將緩存內(nèi)容發(fā)出即可,既節(jié)約了時(shí)間也節(jié)約了網(wǎng)絡(luò)資源。防火墻的分類50代理服務(wù)器通常運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間,它對(duì)于客戶來說像是一臺(tái)服務(wù)器,而對(duì)于外界的服務(wù)器來說,它又是一臺(tái)客戶機(jī)。工作原理如圖所示。防火墻的分類51代理的工作方式防火墻的分類52應(yīng)用層網(wǎng)關(guān)型防火墻(應(yīng)用級(jí)代理)應(yīng)用層網(wǎng)關(guān)防火墻也就是傳統(tǒng)的代理型防火墻。應(yīng)用層網(wǎng)關(guān)型防火墻工作在OSI模型的應(yīng)用層,且針對(duì)特定的應(yīng)用層協(xié)議。它的核心技術(shù)就是代理服務(wù)器技術(shù),它是基于軟件的,通常安裝在專用的服務(wù)器或工作站系統(tǒng)上。它適用于特定的互聯(lián)網(wǎng)服務(wù),如超文本傳輸(HTTP)和遠(yuǎn)程文件傳輸(FTP)等。應(yīng)用級(jí)網(wǎng)關(guān)比單一的包過濾更為可靠,而且會(huì)詳

27、細(xì)地記錄所有的訪問狀態(tài)信息。防火墻的分類1應(yīng)用級(jí)代理 應(yīng)用級(jí)代理有兩種情況,一種是內(nèi)部網(wǎng)通過代理訪問外部網(wǎng)。另一種情況是,外部網(wǎng)通過代理訪問內(nèi)部網(wǎng)。 代理使得網(wǎng)絡(luò)管理員能夠?qū)崿F(xiàn)比包過濾路由器更嚴(yán)格的安全策略,它會(huì)對(duì)應(yīng)用程序的數(shù)據(jù)進(jìn)行校驗(yàn)以確保數(shù)據(jù)格式可以接受。 Telnet代理服務(wù) Internet客戶通過代理服務(wù)器訪問內(nèi)部網(wǎng)主機(jī)56但是應(yīng)用級(jí)網(wǎng)關(guān)也存在一些不足之處,首先它會(huì)使訪問速度變慢,因?yàn)樗辉试S用戶直接訪問網(wǎng)絡(luò),而且應(yīng)用級(jí)網(wǎng)關(guān)需要對(duì)每一個(gè)特定的互聯(lián)網(wǎng)服務(wù)安裝相應(yīng)的代理服務(wù)軟件,用戶不能使用未被服務(wù)器支持的服務(wù),對(duì)每一類服務(wù)要使用特殊的客戶端軟件,并且不是所有的互聯(lián)網(wǎng)應(yīng)用軟件都可以使用代

28、理服務(wù)器。 防火墻的分類57應(yīng)用層網(wǎng)關(guān)允許網(wǎng)絡(luò)管理員實(shí)施一個(gè)較包過濾更為嚴(yán)格的安全策略,為每一個(gè)期望的應(yīng)用服務(wù)在其網(wǎng)關(guān)上安裝專用的代碼(一個(gè)代理服務(wù)),同時(shí),代理代碼也可以配置成支持一個(gè)應(yīng)用服務(wù)的某些特定的特性。對(duì)應(yīng)用服務(wù)的訪問都是通過訪問相應(yīng)的代理服務(wù)實(shí)現(xiàn)的,而不允許用戶直接登錄到應(yīng)用層網(wǎng)關(guān)。應(yīng)用層網(wǎng)關(guān)安全性的提高是以購買網(wǎng)關(guān)硬件平臺(tái)的費(fèi)用為代價(jià)的。防火墻的分類58應(yīng)用層網(wǎng)關(guān)的好處在于代理服務(wù)限制了命令集合和內(nèi)部主機(jī)支持的服務(wù)。它授予網(wǎng)絡(luò)管理員對(duì)每一個(gè)服務(wù)的完全控制權(quán)。另外,應(yīng)用層網(wǎng)關(guān)安全性較好,支持強(qiáng)用戶認(rèn)證、提供詳細(xì)的日志信息以及較包過濾更易于配置和測試的過濾規(guī)則。應(yīng)用層網(wǎng)關(guān)的最大的局限

29、性在于它需要在訪問代理服務(wù)的系統(tǒng)上安裝特殊的軟件,此外速度相對(duì)比較慢。防火墻的分類59電路層網(wǎng)關(guān)防火墻:另一種類型的代理技術(shù)稱為電路層網(wǎng)關(guān)或TCP通道。在電路層網(wǎng)關(guān)中,包被提交用戶應(yīng)用層處理。電路層網(wǎng)關(guān)用來在兩個(gè)通信的終點(diǎn)之間轉(zhuǎn)換包。防火墻的分類60電路層網(wǎng)關(guān)工作在會(huì)話層。在兩主機(jī)首次建立TCP連接時(shí)創(chuàng)立一個(gè)電子屏障。它作為服務(wù)器接收外來請(qǐng)求,并轉(zhuǎn)發(fā)請(qǐng)求,與被保護(hù)的主機(jī)連接時(shí)則擔(dān)當(dāng)客戶機(jī)角色,起代理服務(wù)的作用。它監(jiān)視兩主機(jī)建立連接時(shí)的握手信息是否合乎邏輯,信號(hào)有效后網(wǎng)關(guān)僅復(fù)制、傳遞數(shù)據(jù),而不進(jìn)行過濾。電路層網(wǎng)關(guān)中特殊的客戶程序只在初次連接時(shí)進(jìn)行安全協(xié)商控制,其后透明。只有懂得如何與該電路網(wǎng)關(guān)通

30、信的客戶機(jī)才能到達(dá)防火墻另一邊的服務(wù)器。 防火墻的分類61電路層網(wǎng)關(guān)防火墻的特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”,由兩個(gè)終止代理服務(wù)器上的“鏈接”來實(shí)現(xiàn),外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器,從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。此外,代理服務(wù)也對(duì)過往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記,形成報(bào)告,同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào),并保留攻擊痕跡。防火墻的分類62電路層網(wǎng)關(guān)常用于向外連接,這時(shí)網(wǎng)絡(luò)管理員對(duì)其內(nèi)部用戶是信任的。電路層網(wǎng)關(guān)防火墻可以被設(shè)置成混合網(wǎng)關(guān),對(duì)內(nèi)連接支持應(yīng)用層或代理服務(wù),而對(duì)外連接支持電路層功能。這樣使得防火墻系統(tǒng)對(duì)于

31、要訪問Internet服務(wù)的內(nèi)部用戶來說使用起來很方便,由于連接似乎是起源于防火墻,因而可以隱藏受保護(hù)網(wǎng)絡(luò)的有關(guān)信息,又能提供保護(hù)內(nèi)部網(wǎng)絡(luò)免于外部攻擊的防火墻功能。防火墻的分類電路級(jí)網(wǎng)關(guān) Socks服務(wù)器 Socks是一種非常強(qiáng)大的電路級(jí)網(wǎng)關(guān)防火墻,它只中繼基于TCP的數(shù)據(jù)包65代理技術(shù)的優(yōu)點(diǎn):代理易于配置。因?yàn)榇硎且粋€(gè)軟件,所以它較包過濾更易配置,配置界面十分友好。如果代理實(shí)現(xiàn)得好,可以對(duì)配置協(xié)議要求較低,從而避免了配置錯(cuò)誤。代理能生成各項(xiàng)記錄。因?yàn)榇砉ぷ髟趹?yīng)用層,它檢查各項(xiàng)數(shù)據(jù),所以可以按一定準(zhǔn)則,讓代理生成各項(xiàng)日志、記錄。這些日志、記錄對(duì)于流量分析和安全檢驗(yàn)是十分重要和寶貴的。當(dāng)然,

32、也可以用于記費(fèi)等應(yīng)用。防火墻的分類66代理能靈活、完全地控制進(jìn)出流量和內(nèi)容。通過采取一定的措施,按照一定的規(guī)則,可以借助代理實(shí)現(xiàn)一整套的安全策略,比如可說控制“誰”、“什么”、“時(shí)間”、“地點(diǎn)”。代理能過濾數(shù)據(jù)內(nèi)容??梢园岩恍┻^濾規(guī)則應(yīng)用于代理,讓它在高層實(shí)現(xiàn)過濾功能,例如文本過濾、圖像過濾(目前還未實(shí)現(xiàn),但這是一個(gè)熱點(diǎn)研究領(lǐng)域),預(yù)防病毒或掃描病毒等。防火墻的分類67代理能為用戶提供透明的加密機(jī)制。用戶通過代理進(jìn)出數(shù)據(jù),可以讓代理完成加解密的功能,從而方便用戶,確保數(shù)據(jù)的機(jī)密性。這點(diǎn)在虛擬專用網(wǎng)中特別重要。代理可以廣泛地用于企業(yè)外部網(wǎng)中,提供較高安全性的數(shù)據(jù)通信。代理可以方便地與其他安全手段

33、集成。目前的安全問題解決方案很多,如認(rèn)證、授權(quán)、賬號(hào)、數(shù)據(jù)加密和安全協(xié)議等。如果把代理與這些手段聯(lián)合使用,將大大增加網(wǎng)絡(luò)安全性。這也是近期網(wǎng)絡(luò)安全的發(fā)展方向。 防火墻的分類68代理技術(shù)的缺點(diǎn)代理速度較包過濾慢。包過濾只是簡單查看TCP/IP報(bào)頭,檢查特定的幾個(gè)域,不作詳細(xì)分析和記錄。而代理工作于應(yīng)用層,要檢查數(shù)據(jù)包的內(nèi)容,按特定的應(yīng)用協(xié)議(如HTTP)進(jìn)行審查、掃描數(shù)據(jù)包內(nèi)容,并進(jìn)行代理(轉(zhuǎn)發(fā)請(qǐng)求或響應(yīng)),故其速度較慢。代理對(duì)用戶不透明。許多代理要求客戶端作相應(yīng)改動(dòng)或安裝定制客戶端軟件,這給用戶增加了不透明度。為龐大的互異網(wǎng)絡(luò)的每一臺(tái)內(nèi)部主機(jī)安裝和配置特定的應(yīng)用程序既耗費(fèi)時(shí)間,又容易出錯(cuò),原因

34、是硬件平臺(tái)和操作系統(tǒng)都存在差異。防火墻的分類69對(duì)于每項(xiàng)服務(wù)代理可能要求不同的服務(wù)器??赡苄枰獮槊宽?xiàng)協(xié)議設(shè)置一個(gè)不同的代理服務(wù)器,因?yàn)榇矸?wù)器不得不理解協(xié)議以便判斷什么是允許的和不允許的,并且還裝扮一個(gè)對(duì)真實(shí)服務(wù)器來說是客戶、對(duì)代理客戶來說是服務(wù)器的角色。挑選、安裝和配置所有這些不同的服務(wù)器也可能是一項(xiàng)較大的工作。除了一些為代理而設(shè)的服務(wù)外,代理服務(wù)器要求對(duì)客戶、過程之一或兩者進(jìn)行限制,每一種限制都有不足之處,由于這些限制,代理應(yīng)用就不能像非代理應(yīng)用運(yùn)行得那樣好,往往可能曲解協(xié)議說明,并且缺少靈活性。防火墻的分類70代理服務(wù)不能保證免受所有協(xié)議弱點(diǎn)的限制。作為一個(gè)安全問題的解決方法,代理取決

35、于對(duì)協(xié)議中哪些是安全操作的判斷能力。每個(gè)應(yīng)用層協(xié)議,都或多或少存在一些安全問題,對(duì)于一個(gè)代理服務(wù)器來說,要徹底避免這些安全隱患幾乎是不可能的,除非關(guān)掉這些服務(wù)。代理不能改進(jìn)底層協(xié)議的安全性。因?yàn)榇砉ぷ饔赥CP/IP之上,屬于應(yīng)用層,所以它就不能改善底層通信協(xié)議的能力。如IP欺騙、SYN泛濫、ICMP欺騙和一些拒絕服務(wù)的攻擊。而這些方面,對(duì)于一個(gè)網(wǎng)絡(luò)的健壯性是相當(dāng)重要的。防火墻的分類71狀態(tài)監(jiān)測防火墻狀態(tài)監(jiān)測(Stateful Inspection)防火墻安全特性非常好,它采用了一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎,稱之為檢測模塊。檢測模塊在不影響網(wǎng)絡(luò)正常工作的前提下,采用抽取相關(guān)數(shù)據(jù)的方法

36、對(duì)網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測,抽取部分?jǐn)?shù)據(jù),即狀態(tài)信息,并動(dòng)態(tài)地保存起來作為以后指定安全決策的參考。防火墻的分類72狀態(tài)包檢查的邏輯流程74監(jiān)測型防火墻技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測,在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時(shí),這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中,不僅能夠檢測來自網(wǎng)絡(luò)外部的攻擊,同時(shí)對(duì)來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì),在針對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當(dāng)比例的攻擊來自網(wǎng)絡(luò)內(nèi)部。因此,監(jiān)測型防火墻不但超越了傳統(tǒng)防火墻的

37、定義,而且在安全性上也超越了前幾代產(chǎn)品。防火墻的分類75767778狀態(tài)監(jiān)測防火墻的優(yōu)點(diǎn)監(jiān)測模塊支持多種協(xié)議和應(yīng)用程序,并可以很容易地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。監(jiān)測RPC和UDP之類的端口信息,而包過濾和代理網(wǎng)關(guān)都不支持此類端口。性能堅(jiān)固。防火墻的分類79狀態(tài)監(jiān)視器防火墻的缺點(diǎn)配置非常復(fù)雜。會(huì)降低網(wǎng)絡(luò)的速度。防火墻的分類防火墻的能力包 過 濾 器代 理狀 態(tài) 檢 查傳輸?shù)男畔⒉糠植糠帜軅鬏敔顟B(tài)不能部分能應(yīng)用的狀態(tài)不能能能信息處理部分能能表9.3防火墻技術(shù)比較表81第5章 防火墻技術(shù) 防火墻技術(shù)概述防火墻的分類新一代防火墻的主要技術(shù)防火墻體系結(jié)構(gòu)防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢防火墻的選購和使用防火墻產(chǎn)品介

38、紹82雙端口或三端口的結(jié)構(gòu):新一代防火墻產(chǎn)品具有兩個(gè)或三個(gè)獨(dú)立的網(wǎng)卡,內(nèi)外兩個(gè)網(wǎng)卡可不作IP轉(zhuǎn)化而串接于內(nèi)部網(wǎng)與外部網(wǎng)之間,另一個(gè)網(wǎng)卡可專用于對(duì)服務(wù)器的安全保護(hù)。透明的訪問方式:以前的防火墻在訪問方式上或者要求用戶進(jìn)行系統(tǒng)登錄,或者要求用戶安裝防火墻的客戶端軟件。新一代防火墻利用了透明的代理系統(tǒng)技術(shù),從而降低了系統(tǒng)登錄固有的安全風(fēng)險(xiǎn)和出錯(cuò)概率。新一代防火墻的主要技術(shù)83靈活的代理系統(tǒng) :代理系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊。新一代防火墻采用了兩種代理機(jī)制,一種用于代理從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接,另一種用于代理從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。前者采用網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)技術(shù)來解

39、決,后者采用非保密的用戶定制代理或保密的代理系統(tǒng)技術(shù)來解決。 新一代防火墻的主要技術(shù)84多級(jí)的過濾技術(shù):為保證系統(tǒng)的安全性和防護(hù)水平,新一代防火墻采用了三級(jí)過濾措施,并輔以鑒別手段。在分組過濾一級(jí),能過濾掉所有的源路由分組和假冒的IP源地址;在應(yīng)用級(jí)網(wǎng)關(guān)一級(jí),能利用FTP、SMTP等各種網(wǎng)關(guān),控制和監(jiān)測Internet提供的所用通用服務(wù);在電路網(wǎng)關(guān)一級(jí),實(shí)現(xiàn)內(nèi)部主機(jī)與外部站點(diǎn)的透明連接,并對(duì)服務(wù)的通行實(shí)行嚴(yán)格控制。 新一代防火墻的主要技術(shù)85網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(NAT) 新一代防火墻利用NAT技術(shù)能透明地對(duì)所有內(nèi)部地址作轉(zhuǎn)換,使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu),同時(shí)允許內(nèi)部網(wǎng)絡(luò)使用自己定制的I

40、P地址和專用網(wǎng)絡(luò),防火墻能詳盡記錄每一個(gè)主機(jī)的通信,確保每個(gè)分組送往正確的地址。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對(duì)于用戶來說是透明的,不需要進(jìn)行設(shè)置。有些防火墻提供了“內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)”,“外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)”的雙向的NAT功能。新一代防火墻的主要技術(shù)地址翻譯 圖9.32 將內(nèi)部地址翻譯成網(wǎng)關(guān)地址 地址翻譯可以有多種模式,主要有如下幾種。(1)靜態(tài)翻譯 (2)動(dòng)態(tài)翻譯(3)端口轉(zhuǎn)換(4)負(fù)載平衡翻譯(5)網(wǎng)絡(luò)冗余翻譯8990雙重DNS 在域名服務(wù)方面,新一代防火墻采用兩種獨(dú)立的域名服務(wù)器,一種是內(nèi)部DNS服務(wù)器,主要處理內(nèi)部網(wǎng)絡(luò)的DNS信息,另一種是外部DNS服務(wù)器,專門用于處理機(jī)構(gòu)內(nèi)部向Internet

41、提供的部分DNS信息。新一代防火墻的主要技術(shù)91安全的應(yīng)用服務(wù) 由于是直接串連在網(wǎng)絡(luò)中,防火墻必須支持用戶在Internet互連的所有服務(wù),同時(shí)還要防止與Internet服務(wù)有關(guān)的安全漏洞。在匿名FTP方面,服務(wù)器只提供對(duì)有限的受保護(hù)的部份目錄的只讀訪問。在WWW服務(wù)器中,只支持靜態(tài)的網(wǎng)頁,而不允許圖形或CGI代碼等在防火墻內(nèi)運(yùn)行。SMTP與POP郵件服務(wù)器要對(duì)所有進(jìn)、出防火墻的郵件作處理,并利用郵件映射與標(biāo)頭剝除的方法隱去內(nèi)部的郵件環(huán)境。Telnet服務(wù)器對(duì)用戶連接的識(shí)別作專門處理。網(wǎng)絡(luò)新聞服務(wù)則為接收來自ISP的新聞開設(shè)了專門的磁盤空間。新一代防火墻的主要技術(shù)92安全服務(wù)器網(wǎng)絡(luò)(Secur

42、ity Server Network)第四代防火墻采用分別保護(hù)的策略對(duì)用戶上網(wǎng)的對(duì)外服務(wù)器實(shí)施保護(hù)。它將對(duì)外服務(wù)器作為一個(gè)獨(dú)立網(wǎng)絡(luò)處理,對(duì)外服務(wù)器既是內(nèi)部網(wǎng)的一部分,又與內(nèi)部網(wǎng)關(guān)完全隔離。這就是安全服務(wù)器網(wǎng)絡(luò)(SSN)技術(shù),對(duì)SSN上的主機(jī)既可單獨(dú)管理,也可設(shè)置成通過FTP、Telnet等方式從內(nèi)部網(wǎng)上管理。新一代防火墻的主要技術(shù)93SSN的方法提供的安全性要比傳統(tǒng)的隔離區(qū)(DMZ)方法好,因?yàn)镾SN與外部網(wǎng)之間有防火墻保護(hù),SSN與內(nèi)部網(wǎng)之間也有防火墻的保護(hù),而DMZ只是一種在內(nèi)、外部網(wǎng)絡(luò)網(wǎng)關(guān)之間存在的一種防火墻方式。一旦SSN受破壞,內(nèi)部網(wǎng)絡(luò)仍會(huì)處于防火墻的保護(hù)之下,而一旦DMZ受到破壞,

43、內(nèi)部網(wǎng)絡(luò)便暴露于攻擊之下。 新一代防火墻的主要技術(shù)94用戶鑒別與加密為了降低防火墻產(chǎn)品在Telnet、FTP等服務(wù)和遠(yuǎn)程管理上的安全風(fēng)險(xiǎn),鑒別功能必不可少,新一代防火墻采用一次性使用的口令字系統(tǒng)來作為用戶的鑒別手段,并實(shí)現(xiàn)了對(duì)郵件的加密。 新一代防火墻的主要技術(shù)95用戶定制服務(wù) 為滿足特定用戶的特定需求,新一代防火墻在提供眾多服務(wù)的同時(shí),還為用戶定制提供支持,這類選項(xiàng)有通用TCP、出站UDP、FTP以及SMTP等類,如果某一用戶需要建立一個(gè)數(shù)據(jù)庫的代理,便可利用這些支持,方便設(shè)置。 新一代防火墻的主要技術(shù)96審計(jì)和告警 新一代防火墻產(chǎn)品的審計(jì)和告警功能十分健全,日志文件包括一般信息、內(nèi)核信息、

44、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問、告警條件、管理日志、進(jìn)站代理、FTP代理、出站代理、郵件服務(wù)器和域名服務(wù)器等。 告警功能以發(fā)出郵件、聲音等多種方式報(bào)警。 此外新一代防火墻還在網(wǎng)絡(luò)診斷,數(shù)據(jù)備份與保全等方面具有特色。新一代防火墻的主要技術(shù)97第5章 防火墻技術(shù) 防火墻技術(shù)概述防火墻的分類新一代防火墻的主要技術(shù)防火墻體系結(jié)構(gòu)防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢防火墻的選購和使用防火墻產(chǎn)品介紹98防火墻體系結(jié)構(gòu)屏蔽路由器(Screening Router)結(jié)構(gòu)屏蔽路由器結(jié)構(gòu)是防火墻最基本的結(jié)構(gòu)。它可以用路由器實(shí)現(xiàn),也可以用主機(jī)來實(shí)現(xiàn)。屏蔽路由器作為內(nèi)外連接的惟

45、一通道,要求所有的報(bào)文都必須在此通過檢查。路由器上可安裝基于IP層的報(bào)文過濾軟件,實(shí)現(xiàn)報(bào)文過濾功能。許多路由器本身帶有報(bào)文過濾配置選項(xiàng),但一般比較簡單。屏蔽路由器對(duì)用戶透明,而且設(shè)置靈活,所以應(yīng)用比較廣泛。這種體系結(jié)構(gòu)存在以下缺點(diǎn):99屏蔽路由器示意圖防火墻體系結(jié)構(gòu)100沒有或只有很簡單的日志記錄功能,網(wǎng)絡(luò)管理員很難確定網(wǎng)絡(luò)系統(tǒng)是否正在被攻擊或已經(jīng)被入侵。規(guī)則表隨著應(yīng)用的深化會(huì)變得大且復(fù)雜。依靠一個(gè)單一的部件來保護(hù)網(wǎng)絡(luò)系統(tǒng),一旦部件出現(xiàn)問題,會(huì)失去保護(hù)作用,而用戶可能無察覺。防火墻體系結(jié)構(gòu)101 雙穴主機(jī)網(wǎng)關(guān)(Dual Homed Gateway)結(jié)構(gòu)這種配置是用一臺(tái)裝有兩塊網(wǎng)卡的堡壘主機(jī)做防

46、火墻。兩塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連,每塊網(wǎng)卡都有獨(dú)立的IP地址。堡壘主機(jī)上運(yùn)行著防火墻軟件(應(yīng)用層網(wǎng)關(guān)),可以轉(zhuǎn)發(fā)應(yīng)用程序,也可提供服務(wù)等功能。防火墻體系結(jié)構(gòu)102雙穴主機(jī)網(wǎng)關(guān)優(yōu)于屏蔽路由器的地方是堡壘主機(jī)的系統(tǒng)軟件可用于維護(hù)系統(tǒng)日志、硬件拷貝日志或遠(yuǎn)程日志。這對(duì)于日后的檢查非常有用,但這不能幫助網(wǎng)絡(luò)管理者確認(rèn)內(nèi)網(wǎng)中哪些主機(jī)可能已被黑客入侵。雙穴主機(jī)網(wǎng)關(guān)的缺點(diǎn)是一旦入侵者侵入堡壘主機(jī)并使其只具有路由功能,則任何網(wǎng)上用戶均可以隨便訪問內(nèi)部網(wǎng)絡(luò)。 防火墻體系結(jié)構(gòu)103雙穴主機(jī)示意圖防火墻體系結(jié)構(gòu)104屏蔽主機(jī)網(wǎng)關(guān)(Screened Host Gateway)結(jié)構(gòu)屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)也很安全,

47、因此應(yīng)用廣泛。屏蔽主機(jī)網(wǎng)關(guān)包括一個(gè)分組過濾路由器連接外部網(wǎng)絡(luò),同時(shí)一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上,通常在路由器上設(shè)立過濾規(guī)則,并使這個(gè)堡壘主機(jī)設(shè)置成從外部網(wǎng)絡(luò)惟一可直接到達(dá)的主機(jī),這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。防火墻體系結(jié)構(gòu)105屏蔽主機(jī)示意圖 防火墻體系結(jié)構(gòu)106屏蔽子網(wǎng)(Screened Subnet)結(jié)構(gòu)這種方法是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng),用兩臺(tái)分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。在很多實(shí)現(xiàn)過程中,兩個(gè)分組過濾路由器放在子網(wǎng)的兩端,在子網(wǎng)內(nèi)構(gòu)成一個(gè)DMZ區(qū)。防火墻體系結(jié)構(gòu)107內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問被屏蔽子網(wǎng),但禁止它們穿過被屏蔽子

48、網(wǎng)通信,WWW、FTP等服務(wù)器可放在DMZ中。有的屏蔽子網(wǎng)中還設(shè)有一堡壘主機(jī)作為惟一可訪問點(diǎn),支持終端交互或作為應(yīng)用網(wǎng)關(guān)代理。防火墻體系結(jié)構(gòu)108屏蔽子網(wǎng)示意圖防火墻體系結(jié)構(gòu) 墻根據(jù)堡壘主機(jī)和包過濾器的各種組合,基于屏蔽子網(wǎng)的防火墻系統(tǒng)衍生出了一些派生結(jié)構(gòu)體系。(1)合并“非軍事區(qū)”的外部路由器和堡壘主機(jī)的結(jié)構(gòu)系統(tǒng)。使用合并外部路由器和堡壘主機(jī)體系結(jié)構(gòu) (2)合并DMZ的內(nèi)部路由器和外部路由器結(jié)構(gòu)使用合并內(nèi)部路由器和外部路由器的體系結(jié)構(gòu) (3)使用多臺(tái)堡壘主機(jī)的體系結(jié)構(gòu) 兩個(gè)堡壘主機(jī)和兩個(gè)“非軍事區(qū)” 犧牲主機(jī)結(jié)構(gòu) (4)使用多臺(tái)外部路由器的體系結(jié)構(gòu),如圖9.17所示。使用多臺(tái)外部路由器的體系

49、結(jié)構(gòu)114115116在構(gòu)造防火墻的實(shí)際應(yīng)用中,一般很少采用單一的技術(shù),通常采用多種技術(shù)的組合。這種組合主要取決于向用戶提供什么樣的服務(wù),能接受什么等級(jí)的風(fēng)險(xiǎn)。采用哪種技術(shù)主要取決于經(jīng)費(fèi),投資的大小或技術(shù)人員的技術(shù)、時(shí)間等因素。應(yīng)該根據(jù)所購買防火墻軟件的要求、硬件環(huán)境所能提供的支持,綜合考慮選用最合適的防火墻體系結(jié)構(gòu),最大限度地發(fā)揮防火墻軟件的功能,實(shí)現(xiàn)對(duì)信息的安全保護(hù)。防火墻體系結(jié)構(gòu)117第5章 防火墻技術(shù) 防火墻技術(shù)概述防火墻的分類新一代防火墻的主要技術(shù)防火墻體系結(jié)構(gòu)防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢防火墻的選購和使用防火墻產(chǎn)品介紹118防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢優(yōu)良的性能新一代防火墻系統(tǒng)不僅應(yīng)該能更

50、好地保護(hù)防火墻后面內(nèi)部網(wǎng)絡(luò)的安全,還應(yīng)該具有更為優(yōu)良的整體性能。傳統(tǒng)的代理型防火墻雖然可以提供較高級(jí)別的安全保護(hù),但是同時(shí)它也成為限制網(wǎng)絡(luò)帶寬的瓶頸,這極大地制約了在網(wǎng)絡(luò)中的實(shí)際應(yīng)用。數(shù)據(jù)通過率是表示防火墻性能的參數(shù),由于不同防火墻的不同功能具有不同的工作量和系統(tǒng)資源要求,因此數(shù)據(jù)在通過防火墻時(shí)會(huì)產(chǎn)生延時(shí)。自然,數(shù)據(jù)通過率越高,防火墻性能越好。 119現(xiàn)在大多數(shù)的防火墻產(chǎn)品都支持NAT功能,它可以讓受防火墻保護(hù)的一邊的IP地址不至于暴露在沒有保護(hù)的另一邊,但啟用NAT后,勢必會(huì)對(duì)防火墻系統(tǒng)性能有所影響。防火墻系統(tǒng)中集成的虛擬專用網(wǎng)(VPN)解決方案需要實(shí)現(xiàn)真正的線速運(yùn)行,否則將成為網(wǎng)絡(luò)通信的瓶

51、頸。當(dāng)采用復(fù)雜的加密算法時(shí),防火墻性能尤為重要??傊磥淼姆阑饓ο到y(tǒng)將會(huì)把高速的性能和最大限度的安全性有機(jī)地結(jié)合在一起,有效地消除制約傳統(tǒng)防火墻的性能瓶頸。防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢120可擴(kuò)展的結(jié)構(gòu)和功能對(duì)于一個(gè)好的防火墻系統(tǒng)而言,它的規(guī)模和功能應(yīng)該能適應(yīng)內(nèi)部網(wǎng)絡(luò)的規(guī)模和安全策略的變化。選擇哪種防火墻,除了應(yīng)考慮它的基本性能外,還應(yīng)考慮用戶的實(shí)際需求與未來網(wǎng)絡(luò)的升級(jí)。因此,防火墻除了具有保護(hù)網(wǎng)絡(luò)安全的基本功能外,還提供對(duì)VPN的支持,同時(shí)還應(yīng)該具有可擴(kuò)展的內(nèi)駐應(yīng)用層代理。除了支持常見的網(wǎng)絡(luò)服務(wù)以外,還應(yīng)該能夠按照用戶的需求提供相應(yīng)的代理服務(wù),例如,如果用戶需要NNTP(網(wǎng)絡(luò)消息傳輸協(xié)議)、X

52、-Window、和Gopher等服務(wù),防火墻就應(yīng)該包含相應(yīng)的代理服務(wù)程序。防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢121未來的防火墻系統(tǒng)應(yīng)是一個(gè)可隨意伸縮的模塊化解決方案,從最為基本的包過濾器到帶加密功能的VPN型包過濾器,直至一個(gè)獨(dú)立的應(yīng)用網(wǎng)關(guān),使用戶有充分的余地構(gòu)建自己所需要的防火墻體系。防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢122簡化的安裝與管理防火墻可以幫助管理員加強(qiáng)內(nèi)部網(wǎng)的安全性,但是一個(gè)不具體實(shí)施任何安全策略的防火墻無異于高級(jí)擺設(shè)。防火墻產(chǎn)品配置和管理的難易程度是防火墻能否達(dá)到目的的主要考慮因素之一。實(shí)踐證明,許多防火墻產(chǎn)品并未起到預(yù)期作用的一個(gè)不容忽視的原因在于配置和實(shí)現(xiàn)上的錯(cuò)誤。同時(shí),若防火墻的管理過于困難

53、,則可能會(huì)造成設(shè)定上的錯(cuò)誤,反而不能達(dá)到其功能。防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢123主動(dòng)過濾防火墻開發(fā)商通過建立功能更強(qiáng)大的Web代理使得Web數(shù)據(jù)流進(jìn)入在內(nèi)部網(wǎng)絡(luò)之前完成更多的事務(wù)。例如,許多防火墻具有內(nèi)置病毒和內(nèi)容掃描功能或允許用戶將病毒與內(nèi)容掃描程序進(jìn)行集成。今天,許多防火墻都包括對(duì)過濾產(chǎn)品的支持,并可以與第三方過濾服務(wù)連接,這些服務(wù)提供了不受歡迎的Internet站點(diǎn)的分類清單。防火墻還在Web代理中包括了時(shí)間限制功能,允許非工作時(shí)間的訪問,并提供訪問活動(dòng)的報(bào)告。防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢124防病毒與防黑客防火墻市場已經(jīng)對(duì)拒絕服務(wù)攻擊做出了反應(yīng)。 雖然沒有防火墻可以防止所有的拒絕服務(wù)攻擊,但

54、防火墻廠商一直在盡其可能阻止拒絕服務(wù)攻擊。像對(duì)付序列號(hào)預(yù)測和IP欺騙這類簡單攻擊,這些年來已經(jīng)成為了防火墻工具箱的一部分。像“SYN泛濫”這類更復(fù)雜的拒絕服務(wù)攻擊需要廠商部署更先進(jìn)的檢測和避免方案來對(duì)付。防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢125126未來防火墻技術(shù)會(huì)全面考慮網(wǎng)絡(luò)的安全、操作系統(tǒng)的安全、應(yīng)用程序的安全、用戶的安全以及數(shù)據(jù)的安全。此外,網(wǎng)絡(luò)的防火墻產(chǎn)品還將把其他網(wǎng)絡(luò)技術(shù),如Web頁面超高速緩存、虛擬網(wǎng)絡(luò)和帶寬管理等與其自身結(jié)合起來。防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢127第5章 防火墻技術(shù) 防火墻技術(shù)概述防火墻的分類新一代防火墻的主要技術(shù)防火墻體系結(jié)構(gòu)防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢防火墻的選購和使用防火墻產(chǎn)

55、品介紹128防火墻的選購和使用防火墻的選購:在選購防火墻的時(shí)候主要應(yīng)該考慮防火墻的基本功能、安全性、高效性、可管理性和適用性等因素。安全性:安全性是評(píng)價(jià)防火墻好壞最重要的因素,因?yàn)橘徺I防火墻的主要目的是為了保護(hù)網(wǎng)絡(luò)免受攻擊。但是安全性不像速度、配置界面那樣直觀,便于估計(jì),往往被用戶所忽視。對(duì)于安全性的評(píng)估比較復(fù)雜,并且需要配合使用一些攻擊手段進(jìn)行,用戶自己對(duì)防火墻進(jìn)行測試和評(píng)估比較困難,一般應(yīng)選用通過國家安全、公安等部門認(rèn)證的產(chǎn)品。129性能性能主要包括兩個(gè)方面,最大并發(fā)連接數(shù)和數(shù)據(jù)包轉(zhuǎn)發(fā)率。最大并發(fā)連接數(shù)是衡量防火墻可擴(kuò)展性的一個(gè)重要指標(biāo)。數(shù)據(jù)包轉(zhuǎn)發(fā)率是指在所有安全規(guī)則配置正確的情況下,防火

56、墻對(duì)數(shù)據(jù)流量的處理速度。購買防火墻的需求不同,對(duì)這兩個(gè)參數(shù)要求也不同。防火墻的選購和使用130例如一臺(tái)用于保護(hù)電子商務(wù)Web站點(diǎn)的防火墻,支持越多的連接意味著能夠接受越多的客戶和交易,所以防火墻能夠同時(shí)處理多個(gè)用戶的請(qǐng)求是最重要的,哪怕每個(gè)連接的流量很小。但是對(duì)于那些需要經(jīng)常傳輸內(nèi)存大的文件,對(duì)實(shí)時(shí)性要求比較高的用戶,高的包轉(zhuǎn)發(fā)率則是關(guān)注的重點(diǎn)。 防火墻的選購和使用131管理:防火墻的管理簡單是對(duì)安全性的一個(gè)補(bǔ)充。目前很多防火墻被攻破大多數(shù)不是因?yàn)槌绦蚓幋a的問題,而是管理和配置錯(cuò)誤導(dǎo)致的。對(duì)管理的評(píng)估可以從以下三個(gè)方面進(jìn)行。遠(yuǎn)程管理允許網(wǎng)絡(luò)管理員可以遠(yuǎn)程對(duì)防火墻進(jìn)行干預(yù),并且所有遠(yuǎn)程通信需要經(jīng)

57、過嚴(yán)格的認(rèn)證和加密。例如管理員下班后出現(xiàn)入侵跡象,防火墻可以通過發(fā)送電子郵件的方式通知該管理員,管理員可以遠(yuǎn)程封鎖防火墻的對(duì)外網(wǎng)卡接口或修改防火墻的配置。防火墻的選購和使用132訪問控制規(guī)則的配置界面應(yīng)該直觀,使用簡單。大多數(shù)防火墻產(chǎn)品都提供了基于Web方式或GUI的配置界面。日志文件不僅能夠幫助用戶追查攻擊者的蹤跡,還可以記錄流量。防火墻的一些功能可以在日志文件中得到體現(xiàn)。防火墻提供靈活、可讀性強(qiáng)的審計(jì)界面是很重要的,例如用戶可以查詢從某一固定IP地址發(fā)出的流量,訪問的服務(wù)器列表等。因?yàn)楣粽呖梢圆捎貌煌5靥韺懭罩疽愿采w原有日志的方法使追蹤無法進(jìn)行,所以防火墻應(yīng)該提供設(shè)定日志大小的功能,同時(shí)在日志已滿時(shí)給予提示。防火墻的選購和使用133適用性:防火墻也有高低端之分、軟件硬件之分,配置不同,價(jià)格不同,性能也不同。在購買防火墻的時(shí)候應(yīng)挑選能夠

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論