網絡安全,防火墻

安全防火墻朱思如第一頁，共四十五頁。一：防火墻由于Internet的迅速發(fā)展,提供了發(fā)布信息和檢索信息的場所，但它也帶來了信息污染和信息破壞的危險,人們?yōu)榱吮Ｗo其數據和資源的安全,出現(xiàn)了防火墻。防火墻從本質上說是一種保護裝置。它保護的是數據、資源和用戶的聲譽。第二頁，共四十五頁。1.Internet防火墻

防火墻原是建筑物大廈設計來防止火災從大廈的一部分傳播到另一部分的設施。從理論上講Internet防火墻服務也屬于類似目的。它防止Internet上的危險（病毒、資源盜用等）傳播到你的網絡內部。而事實上Internet防火墻不象一座現(xiàn)代化大廈中的防火墻，更象北京故宮的護城河。它服務多個目的：第三頁，共四十五頁。（1）限制人們從一個特別的控制點進入；（2）防止侵入者接近你的其它設施；（3）限定人們從一個特別的點離開；（4）有效的阻止破壞者對你的計算機系統(tǒng)進行破壞。因特網防火墻常常被安裝在受保護的內部網絡連接到因特網的點上。第四頁，共四十五頁。2.防火墻的優(yōu)點

（1）防火墻能強化安全策略（2）防火墻能有效地記錄Internet上的活動（3）防火墻限制暴露用戶點（4）防火墻是一個安全策略的檢查站第五頁，共四十五頁。3、防火墻的不足之處（1）不能防范惡意的知情者（2）不能防范不通過它的連接（3）不能防備全部的威脅（4）防火墻不能防范病毒第六頁，共四十五頁。7二、

防火墻體系結構包過濾型防火墻(PackageFilteringFirewall)雙宿/多宿主機防火墻(Dual-Homed/Multi-HomedHostFirewall)屏蔽主機防火墻(ScreenedHostFirewall)屏蔽子網防火墻(ScreenedSubnetFirewall)其它防火墻結構第七頁，共四十五頁。8包過濾型防火墻包過濾型防火墻，往往可以用一臺過濾路由器(ScreenedRouter)來實現(xiàn)，對所接收的每個數據包做允許/拒絕的決定包過濾型防火墻一般作用在網絡層，故也稱網絡層防火墻或IP過濾器第八頁，共四十五頁。9查找對應的控制策略根據策略決定如何處理該數據包數據包

包過濾型防火墻數據包拆開數據包數據TCP報頭IP報頭分組過濾判斷信息企業(yè)內部網UDPDiscardHostCHostBTCPPassHostCHostADestinationProtocolPermitSource包過濾規(guī)則HostCHostA第九頁，共四十五頁。10

包過濾型防火墻路由器審查每個數據包，確定其是否與某一條包過濾規(guī)則匹配過濾規(guī)則基于可以提供給IP轉發(fā)過程的包頭信息，包頭信息中包括：源IP地址、目標IP地址協(xié)議類型(TCP、UDP、ICMP等等)TCP/UDP源端口、目標端口ICMP消息類型TCP包頭中的ACK位等第十頁，共四十五頁。11

包過濾型防火墻對到達包過濾防火墻的數據包：規(guī)則允許該數據包通過，那么該數據包就會按照路由表中的信息被轉發(fā)規(guī)則拒絕該數據包，那么該數據包就會被丟棄如果沒有匹配規(guī)則，根據系統(tǒng)的設計策略(缺省禁止/缺省允許)決定是轉發(fā)還是丟棄數據包第十一頁，共四十五頁。12包過濾型防火墻優(yōu)點：處理數據包的速度比較快(與代理服務器相比)在流量適中并定義較少過濾規(guī)則時，路由器的性能幾乎不受影響實現(xiàn)包過濾幾乎不再需要費用標準的路由器軟件包含數據包過濾功能包過濾路由器對用戶和應用來講是透明的不必對用戶進行特殊的培訓不必在每臺主機上安裝特定的軟件用戶不用改變客戶端程序或改變自己的行為第十二頁，共四十五頁。13

包過濾型防火墻缺點：包過濾防火墻的維護比較困難定義數據包過濾器比較復雜，網絡管理員需要對各種Internet服務、包頭格式、以及每個域的意義有非常深入的理解

只能阻止一種類型的IP欺騙即外部主機偽裝內部主機的IP，對于外部主機偽裝其他可信任的外部主機的IP不能阻止任何直接經過路由器的數據包都有被用做數據驅動式攻擊的潛在危險數據驅動式攻擊：表面上無害的數據被郵寄或拷貝到內部主機上，但其中包含了一些隱藏的指令，一旦執(zhí)行能夠讓主機修改訪問控制和與安全有關的文件，使得入侵者能夠獲得對系統(tǒng)的訪問權第十三頁，共四十五頁。14包過濾型防火墻缺點：一些包過濾路由器不支持有效的用戶認證因為IP地址是可以偽造的，因此如果沒有基于用戶的認證，僅通過IP地址來判斷是不安全的不能提供有用的日志，或根本不提供日志隨著過濾器數目的增加，路由器的吞吐量會下降IP包過濾器可能無法對網絡上流動的信息提供全面的控制包過濾路由器能夠允許或拒絕特定的服務，但是不能理解特定服務的上下文環(huán)境和數據第十四頁，共四十五頁。15包過濾型防火墻應用場合機構是非集中化管理機構沒有強大的集中安全策略網絡的主機數非常少主要依賴于主機安全來防止入侵，但是當主機數增加到一定的程度的時候，僅靠主機安全是不夠的沒有使用DHCP這樣的動態(tài)IP地址分配協(xié)議第十五頁，共四十五頁。16

雙宿/多宿主機防火墻雙宿/多宿主機：有兩個或多個網絡接口的計算機系統(tǒng)，可以連接多個網絡，實現(xiàn)多個網絡之間的訪問控制雙宿/多宿主機防火墻：用雙宿/多宿主機實現(xiàn)防火墻的功能第十六頁，共四十五頁。17

雙宿/多宿主機防火墻特點：IP層通信被阻止雙宿主機內外的網絡均可與雙宿主機實時通信內外網絡之間不可直接通信，內外部網絡之間的IP數據流被雙宿主機完全切斷上圖：網絡層路由功能未被禁止，數據包繞過防火墻第十七頁，共四十五頁。18雙宿/多宿主機防火墻兩個網絡之間的通信方式：應用層數據共享，用戶直接登錄應用層代理服務，在雙宿主機上運行代理服務器第十八頁，共四十五頁。19雙宿/多宿主機防火墻用戶直接登錄的不足支持用戶賬號會降低機器本身的穩(wěn)定性和可靠性用戶賬號的存在會給入侵者提供相對容易的入侵通道因為用戶的行為是不可預知的，如雙宿主機上有很多用戶賬戶，這會給入侵檢測帶來很大的麻煩如果雙宿主機上有很多賬號，管理員維護困難第十九頁，共四十五頁。20雙宿/多宿主機防火墻運行代理服務的優(yōu)點可以將被保護的網絡內部結構屏蔽起來，增強網絡的安全性可用于實施較強的數據流監(jiān)控、過濾、記錄和報告等運行代理服務的缺點使訪問速度變慢提供服務相對滯后應用級網關需要針對每一個特定的Internet服務安裝相應的代理服務器軟件，用戶不能使用未被服務器支持的服務，可能會花費一定的時間等待新服務器軟件有些服務無法提供第二十頁，共四十五頁。21

屏蔽主機防火墻專門設置一個過濾路由器，把所有外部到內部的連接都路由到堡壘主機上，強迫所有的外部主機與一個堡壘主機相連，而不讓它們直接與內部主機相連第二十一頁，共四十五頁。22屏蔽主機防火墻過濾路由器連接Internet和內部網絡，它是內部網絡的第一道防線過濾路由器需要進行適當的配置，使所有的外部連接被路由到堡壘主機上過濾路由器的重要性：是否正確配置是這種防火墻安全與否的關鍵過濾路由器的路由表應當受到嚴格的保護，否則如果路由表遭到破壞，數據包就不會被路由到堡壘主機上，使堡壘主機被繞過第二十二頁，共四十五頁。23

屏蔽主機防火墻堡壘主機(BastionHost)位于內部網絡，是一臺安全性很高的主機，其上沒有任何入侵者可以利用的工具，不能作為黑客進一步入侵的基地堡壘主機上一般安裝的是代理服務器程序，即外部網絡訪問內部網絡的時候，首先經過外部路由器的過濾，然后通過代理服務器代理后才能進入內部網絡堡壘主機在應用層對客戶的請求做判斷，允許或禁止某種服務。如果該請求被允許，堡壘主機就把數據包發(fā)送到某一內部主機或屏蔽路由器上，否則拋棄該數據包第二十三頁，共四十五頁。24

屏蔽主機防火墻第二十四頁，共四十五頁。25

屏蔽主機防火墻屏蔽主機防火墻轉發(fā)數據包的過程第二十五頁，共四十五頁。26屏蔽主機防火墻與包過濾型防火墻的比較：其提供的安全等級比包過濾防火墻系統(tǒng)要高，實現(xiàn)了網絡層安全(包過濾)和應用層安全(代理服務)入侵者在破壞內部網絡的安全性之前，必須首先滲透兩種不同的安全系統(tǒng)即使入侵者進入了內部網絡，也必須和堡壘主機競爭，堡壘主機是一臺安全性很高的主機第二十六頁，共四十五頁。27屏蔽主機防火墻路由器不被正常路由的例子：正常路由情況：內部網絡地址：堡壘主機地址：路由表內容所有流量發(fā)到堡壘主機上第二十七頁，共四十五頁。28

屏蔽主機防火墻路由表被破壞的情況：堡壘主機的路由項目被從路由表中刪除進入屏蔽路由器的流量不會被轉發(fā)到堡壘主機上，可能被轉發(fā)到另一主機上，外部主機直接訪問了內部主機，繞過了防火墻過濾路由器成為唯一一道防線，入侵者很容易突破屏蔽路由器，內部網絡不再安全第二十八頁，共四十五頁。29屏蔽子網防火墻本質上同屏蔽主機防火墻一樣，但增加了一層保護體系——周邊網絡(DMZ)。堡壘主機位于周邊網絡上，周邊網絡和內部網絡被內部屏蔽路由器分開第二十九頁，共四十五頁。30屏蔽子網防火墻為什么使用周邊網絡在屏蔽主機結構中，堡壘主機最容易受到攻擊。而且內部網對堡壘主機是完全公開的，入侵者只要破壞了這一層的保護，那么入侵也就大功告成了屏蔽子網結構就是在屏蔽主機結構中再增加一臺路由器的安全機制，這臺路由器的意義就在于它能夠在內部網和外部網之間構筑出一個安全子網，從而使得內部網與外部網之間有兩層隔斷。要想侵入用這種體系結構構筑的內部網絡，侵襲者必須通過兩個路由器，即使侵襲者已設法侵入堡壘主機，他將仍然必須通過內部路由器第三十頁，共四十五頁。31屏蔽子網防火墻第三十一頁，共四十五頁。32屏蔽子網防火墻周邊網絡的作用堡壘主機位于周邊網絡，即使被控制，入侵者仍然不能直接侵襲內部網絡，內部網絡仍受到內部過濾路由器的保護原因：大部分局域網采用以太網，以太網的特點是廣播，一臺位于網絡上的機器可以監(jiān)聽網絡上的所有信息如果沒有周邊網絡，一旦堡壘主機被攻破，入侵者可以監(jiān)聽整個網絡的對話，獲得用戶的口令和帳號私人的敏感文件(email等)第三十二頁，共四十五頁。33屏蔽子網防火墻如果堡壘主機位于周邊網絡上，即使入侵者控制了堡壘主機，也只能偵聽到Internet和堡壘主機之間的會話內部主機和堡壘主機之間的會話內部網絡之間的通信仍然是安全的，因為內部網絡上的數據包雖然在內部網絡上是廣播式的，但內部過濾路由器會阻止這些數據包流入周邊網絡(發(fā)往周邊網絡和Internet的數據包除外)第三十三頁，共四十五頁。34屏蔽子網防火墻堡壘主機位于周邊網絡運行各種各樣的代理服務器可以被認為是應用層網關，是這種防御體系的核心入站服務，要求所有服務都通過堡壘主機出站服務，不一定要求所有服務都經過堡壘主機，可以由內部路由器和Internet直接通話第三十四頁，共四十五頁。35

屏蔽子網防火墻內部路由器又稱阻塞路由器，位于內部網和周邊網之間用于保護內部網不受周邊網和因特網的侵害完成防火墻的大部分的過濾工作第三十五頁，共四十五頁。36

屏蔽子網防火墻外部路由器保護周邊網上的主機外部路由器還可以防止部分IP欺騙內部路由器分辨不出一個聲稱從非軍事區(qū)來的數據包是否真的從非軍事區(qū)來，而外部路由器很容易分辨出真?zhèn)蔚谌摚菜氖屙摗?7屏蔽子網防火墻分層系列的周邊網一些站點還可以在外部與內部網絡之間建立分層系列的周邊網信任度低的和易受侵襲的服務被放置在外層的周邊網上，遠離內部網絡在周邊網絡中設置堡壘主機這樣增加了內部網絡的安全性，即使侵襲者侵入外層周邊網的機器，由于在外層周邊網和內部網絡之間有了附加安全層，也將難于成功地侵襲內部的機器第三十七頁，共四十五頁。383.5其它防火墻結構一個堡壘主機和一個非軍事區(qū)合并內部路由器和堡壘主機合并外部路由器和堡壘主機合并DMZ的內部路由器和外部路由器兩個堡壘主機和兩個非軍事區(qū)使用多臺堡壘主機使用多臺外部路由器…第三十八頁，共四十五頁。怎么打開和關閉windows7系統(tǒng)的自帶防火墻

防火墻能保護我們的電腦免受網絡上的黑客攻擊，windows7系統(tǒng)中的防火墻功能已經足夠強大，可以保證我們的電腦免受危害?？墒窃诟鞣N不慎的操作中或者下載的殺毒軟件有時都會關閉或者打開系統(tǒng)自帶的防火墻，那么我們怎么打開或者關閉它呢？第三十九頁，共四十五頁。點擊開始菜單，打開控制面板選項。第四十頁，共四十五頁。在控制面板中找到windows防火墻選項，單擊打開。第四十一頁，共