網(wǎng)絡(luò)安全,防火墻

安全防火墻朱思如第一頁，共四十五頁。一：防火墻由于Internet的迅速發(fā)展,提供了發(fā)布信息和檢索信息的場(chǎng)所，但它也帶來了信息污染和信息破壞的危險(xiǎn),人們?yōu)榱吮Ｗo(hù)其數(shù)據(jù)和資源的安全,出現(xiàn)了防火墻。防火墻從本質(zhì)上說是一種保護(hù)裝置。它保護(hù)的是數(shù)據(jù)、資源和用戶的聲譽(yù)。第二頁，共四十五頁。1.Internet防火墻

防火墻原是建筑物大廈設(shè)計(jì)來防止火災(zāi)從大廈的一部分傳播到另一部分的設(shè)施。從理論上講Internet防火墻服務(wù)也屬于類似目的。它防止Internet上的危險(xiǎn)（病毒、資源盜用等）傳播到你的網(wǎng)絡(luò)內(nèi)部。而事實(shí)上Internet防火墻不象一座現(xiàn)代化大廈中的防火墻，更象北京故宮的護(hù)城河。它服務(wù)多個(gè)目的：第三頁，共四十五頁。（1）限制人們從一個(gè)特別的控制點(diǎn)進(jìn)入；（2）防止侵入者接近你的其它設(shè)施；（3）限定人們從一個(gè)特別的點(diǎn)離開；（4）有效的阻止破壞者對(duì)你的計(jì)算機(jī)系統(tǒng)進(jìn)行破壞。因特網(wǎng)防火墻常常被安裝在受保護(hù)的內(nèi)部網(wǎng)絡(luò)連接到因特網(wǎng)的點(diǎn)上。第四頁，共四十五頁。2.防火墻的優(yōu)點(diǎn)

（1）防火墻能強(qiáng)化安全策略（2）防火墻能有效地記錄Internet上的活動(dòng)（3）防火墻限制暴露用戶點(diǎn)（4）防火墻是一個(gè)安全策略的檢查站第五頁，共四十五頁。3、防火墻的不足之處（1）不能防范惡意的知情者（2）不能防范不通過它的連接（3）不能防備全部的威脅（4）防火墻不能防范病毒第六頁，共四十五頁。7二、

防火墻體系結(jié)構(gòu)包過濾型防火墻(PackageFilteringFirewall)雙宿/多宿主機(jī)防火墻(Dual-Homed/Multi-HomedHostFirewall)屏蔽主機(jī)防火墻(ScreenedHostFirewall)屏蔽子網(wǎng)防火墻(ScreenedSubnetFirewall)其它防火墻結(jié)構(gòu)第七頁，共四十五頁。8包過濾型防火墻包過濾型防火墻，往往可以用一臺(tái)過濾路由器(ScreenedRouter)來實(shí)現(xiàn)，對(duì)所接收的每個(gè)數(shù)據(jù)包做允許/拒絕的決定包過濾型防火墻一般作用在網(wǎng)絡(luò)層，故也稱網(wǎng)絡(luò)層防火墻或IP過濾器第八頁，共四十五頁。9查找對(duì)應(yīng)的控制策略根據(jù)策略決定如何處理該數(shù)據(jù)包數(shù)據(jù)包

包過濾型防火墻數(shù)據(jù)包拆開數(shù)據(jù)包數(shù)據(jù)TCP報(bào)頭IP報(bào)頭分組過濾判斷信息企業(yè)內(nèi)部網(wǎng)UDPDiscardHostCHostBTCPPassHostCHostADestinationProtocolPermitSource包過濾規(guī)則HostCHostA第九頁，共四十五頁。10

包過濾型防火墻路由器審查每個(gè)數(shù)據(jù)包，確定其是否與某一條包過濾規(guī)則匹配過濾規(guī)則基于可以提供給IP轉(zhuǎn)發(fā)過程的包頭信息，包頭信息中包括：源IP地址、目標(biāo)IP地址協(xié)議類型(TCP、UDP、ICMP等等)TCP/UDP源端口、目標(biāo)端口ICMP消息類型TCP包頭中的ACK位等第十頁，共四十五頁。11

包過濾型防火墻對(duì)到達(dá)包過濾防火墻的數(shù)據(jù)包：規(guī)則允許該數(shù)據(jù)包通過，那么該數(shù)據(jù)包就會(huì)按照路由表中的信息被轉(zhuǎn)發(fā)規(guī)則拒絕該數(shù)據(jù)包，那么該數(shù)據(jù)包就會(huì)被丟棄如果沒有匹配規(guī)則，根據(jù)系統(tǒng)的設(shè)計(jì)策略(缺省禁止/缺省允許)決定是轉(zhuǎn)發(fā)還是丟棄數(shù)據(jù)包第十一頁，共四十五頁。12包過濾型防火墻優(yōu)點(diǎn)：處理數(shù)據(jù)包的速度比較快(與代理服務(wù)器相比)在流量適中并定義較少過濾規(guī)則時(shí)，路由器的性能幾乎不受影響實(shí)現(xiàn)包過濾幾乎不再需要費(fèi)用標(biāo)準(zhǔn)的路由器軟件包含數(shù)據(jù)包過濾功能包過濾路由器對(duì)用戶和應(yīng)用來講是透明的不必對(duì)用戶進(jìn)行特殊的培訓(xùn)不必在每臺(tái)主機(jī)上安裝特定的軟件用戶不用改變客戶端程序或改變自己的行為第十二頁，共四十五頁。13

包過濾型防火墻缺點(diǎn)：包過濾防火墻的維護(hù)比較困難定義數(shù)據(jù)包過濾器比較復(fù)雜，網(wǎng)絡(luò)管理員需要對(duì)各種Internet服務(wù)、包頭格式、以及每個(gè)域的意義有非常深入的理解

只能阻止一種類型的IP欺騙即外部主機(jī)偽裝內(nèi)部主機(jī)的IP，對(duì)于外部主機(jī)偽裝其他可信任的外部主機(jī)的IP不能阻止任何直接經(jīng)過路由器的數(shù)據(jù)包都有被用做數(shù)據(jù)驅(qū)動(dòng)式攻擊的潛在危險(xiǎn)數(shù)據(jù)驅(qū)動(dòng)式攻擊：表面上無害的數(shù)據(jù)被郵寄或拷貝到內(nèi)部主機(jī)上，但其中包含了一些隱藏的指令，一旦執(zhí)行能夠讓主機(jī)修改訪問控制和與安全有關(guān)的文件，使得入侵者能夠獲得對(duì)系統(tǒng)的訪問權(quán)第十三頁，共四十五頁。14包過濾型防火墻缺點(diǎn)：一些包過濾路由器不支持有效的用戶認(rèn)證因?yàn)镮P地址是可以偽造的，因此如果沒有基于用戶的認(rèn)證，僅通過IP地址來判斷是不安全的不能提供有用的日志，或根本不提供日志隨著過濾器數(shù)目的增加，路由器的吞吐量會(huì)下降IP包過濾器可能無法對(duì)網(wǎng)絡(luò)上流動(dòng)的信息提供全面的控制包過濾路由器能夠允許或拒絕特定的服務(wù)，但是不能理解特定服務(wù)的上下文環(huán)境和數(shù)據(jù)第十四頁，共四十五頁。15包過濾型防火墻應(yīng)用場(chǎng)合機(jī)構(gòu)是非集中化管理機(jī)構(gòu)沒有強(qiáng)大的集中安全策略網(wǎng)絡(luò)的主機(jī)數(shù)非常少主要依賴于主機(jī)安全來防止入侵，但是當(dāng)主機(jī)數(shù)增加到一定的程度的時(shí)候，僅靠主機(jī)安全是不夠的沒有使用DHCP這樣的動(dòng)態(tài)IP地址分配協(xié)議第十五頁，共四十五頁。16

雙宿/多宿主機(jī)防火墻雙宿/多宿主機(jī)：有兩個(gè)或多個(gè)網(wǎng)絡(luò)接口的計(jì)算機(jī)系統(tǒng)，可以連接多個(gè)網(wǎng)絡(luò)，實(shí)現(xiàn)多個(gè)網(wǎng)絡(luò)之間的訪問控制雙宿/多宿主機(jī)防火墻：用雙宿/多宿主機(jī)實(shí)現(xiàn)防火墻的功能第十六頁，共四十五頁。17

雙宿/多宿主機(jī)防火墻特點(diǎn)：IP層通信被阻止雙宿主機(jī)內(nèi)外的網(wǎng)絡(luò)均可與雙宿主機(jī)實(shí)時(shí)通信內(nèi)外網(wǎng)絡(luò)之間不可直接通信，內(nèi)外部網(wǎng)絡(luò)之間的IP數(shù)據(jù)流被雙宿主機(jī)完全切斷上圖：網(wǎng)絡(luò)層路由功能未被禁止，數(shù)據(jù)包繞過防火墻第十七頁，共四十五頁。18雙宿/多宿主機(jī)防火墻兩個(gè)網(wǎng)絡(luò)之間的通信方式：應(yīng)用層數(shù)據(jù)共享，用戶直接登錄應(yīng)用層代理服務(wù)，在雙宿主機(jī)上運(yùn)行代理服務(wù)器第十八頁，共四十五頁。19雙宿/多宿主機(jī)防火墻用戶直接登錄的不足支持用戶賬號(hào)會(huì)降低機(jī)器本身的穩(wěn)定性和可靠性用戶賬號(hào)的存在會(huì)給入侵者提供相對(duì)容易的入侵通道因?yàn)橛脩舻男袨槭遣豢深A(yù)知的，如雙宿主機(jī)上有很多用戶賬戶，這會(huì)給入侵檢測(cè)帶來很大的麻煩如果雙宿主機(jī)上有很多賬號(hào)，管理員維護(hù)困難第十九頁，共四十五頁。20雙宿/多宿主機(jī)防火墻運(yùn)行代理服務(wù)的優(yōu)點(diǎn)可以將被保護(hù)的網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)屏蔽起來，增強(qiáng)網(wǎng)絡(luò)的安全性可用于實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過濾、記錄和報(bào)告等運(yùn)行代理服務(wù)的缺點(diǎn)使訪問速度變慢提供服務(wù)相對(duì)滯后應(yīng)用級(jí)網(wǎng)關(guān)需要針對(duì)每一個(gè)特定的Internet服務(wù)安裝相應(yīng)的代理服務(wù)器軟件，用戶不能使用未被服務(wù)器支持的服務(wù)，可能會(huì)花費(fèi)一定的時(shí)間等待新服務(wù)器軟件有些服務(wù)無法提供第二十頁，共四十五頁。21

屏蔽主機(jī)防火墻專門設(shè)置一個(gè)過濾路由器，把所有外部到內(nèi)部的連接都路由到堡壘主機(jī)上，強(qiáng)迫所有的外部主機(jī)與一個(gè)堡壘主機(jī)相連，而不讓它們直接與內(nèi)部主機(jī)相連第二十一頁，共四十五頁。22屏蔽主機(jī)防火墻過濾路由器連接Internet和內(nèi)部網(wǎng)絡(luò)，它是內(nèi)部網(wǎng)絡(luò)的第一道防線過濾路由器需要進(jìn)行適當(dāng)?shù)呐渲茫顾械耐獠窟B接被路由到堡壘主機(jī)上過濾路由器的重要性：是否正確配置是這種防火墻安全與否的關(guān)鍵過濾路由器的路由表應(yīng)當(dāng)受到嚴(yán)格的保護(hù)，否則如果路由表遭到破壞，數(shù)據(jù)包就不會(huì)被路由到堡壘主機(jī)上，使堡壘主機(jī)被繞過第二十二頁，共四十五頁。23

屏蔽主機(jī)防火墻堡壘主機(jī)(BastionHost)位于內(nèi)部網(wǎng)絡(luò)，是一臺(tái)安全性很高的主機(jī)，其上沒有任何入侵者可以利用的工具，不能作為黑客進(jìn)一步入侵的基地堡壘主機(jī)上一般安裝的是代理服務(wù)器程序，即外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)的時(shí)候，首先經(jīng)過外部路由器的過濾，然后通過代理服務(wù)器代理后才能進(jìn)入內(nèi)部網(wǎng)絡(luò)堡壘主機(jī)在應(yīng)用層對(duì)客戶的請(qǐng)求做判斷，允許或禁止某種服務(wù)。如果該請(qǐng)求被允許，堡壘主機(jī)就把數(shù)據(jù)包發(fā)送到某一內(nèi)部主機(jī)或屏蔽路由器上，否則拋棄該數(shù)據(jù)包第二十三頁，共四十五頁。24

屏蔽主機(jī)防火墻第二十四頁，共四十五頁。25

屏蔽主機(jī)防火墻屏蔽主機(jī)防火墻轉(zhuǎn)發(fā)數(shù)據(jù)包的過程第二十五頁，共四十五頁。26屏蔽主機(jī)防火墻與包過濾型防火墻的比較：其提供的安全等級(jí)比包過濾防火墻系統(tǒng)要高，實(shí)現(xiàn)了網(wǎng)絡(luò)層安全(包過濾)和應(yīng)用層安全(代理服務(wù))入侵者在破壞內(nèi)部網(wǎng)絡(luò)的安全性之前，必須首先滲透兩種不同的安全系統(tǒng)即使入侵者進(jìn)入了內(nèi)部網(wǎng)絡(luò)，也必須和堡壘主機(jī)競(jìng)爭(zhēng)，堡壘主機(jī)是一臺(tái)安全性很高的主機(jī)第二十六頁，共四十五頁。27屏蔽主機(jī)防火墻路由器不被正常路由的例子：正常路由情況：內(nèi)部網(wǎng)絡(luò)地址：堡壘主機(jī)地址：路由表內(nèi)容所有流量發(fā)到堡壘主機(jī)上第二十七頁，共四十五頁。28

屏蔽主機(jī)防火墻路由表被破壞的情況：堡壘主機(jī)的路由項(xiàng)目被從路由表中刪除進(jìn)入屏蔽路由器的流量不會(huì)被轉(zhuǎn)發(fā)到堡壘主機(jī)上，可能被轉(zhuǎn)發(fā)到另一主機(jī)上，外部主機(jī)直接訪問了內(nèi)部主機(jī)，繞過了防火墻過濾路由器成為唯一一道防線，入侵者很容易突破屏蔽路由器，內(nèi)部網(wǎng)絡(luò)不再安全第二十八頁，共四十五頁。29屏蔽子網(wǎng)防火墻本質(zhì)上同屏蔽主機(jī)防火墻一樣，但增加了一層保護(hù)體系——周邊網(wǎng)絡(luò)(DMZ)。堡壘主機(jī)位于周邊網(wǎng)絡(luò)上，周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)被內(nèi)部屏蔽路由器分開第二十九頁，共四十五頁。30屏蔽子網(wǎng)防火墻為什么使用周邊網(wǎng)絡(luò)在屏蔽主機(jī)結(jié)構(gòu)中，堡壘主機(jī)最容易受到攻擊。而且內(nèi)部網(wǎng)對(duì)堡壘主機(jī)是完全公開的，入侵者只要破壞了這一層的保護(hù)，那么入侵也就大功告成了屏蔽子網(wǎng)結(jié)構(gòu)就是在屏蔽主機(jī)結(jié)構(gòu)中再增加一臺(tái)路由器的安全機(jī)制，這臺(tái)路由器的意義就在于它能夠在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)筑出一個(gè)安全子網(wǎng)，從而使得內(nèi)部網(wǎng)與外部網(wǎng)之間有兩層隔斷。要想侵入用這種體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò)，侵襲者必須通過兩個(gè)路由器，即使侵襲者已設(shè)法侵入堡壘主機(jī)，他將仍然必須通過內(nèi)部路由器第三十頁，共四十五頁。31屏蔽子網(wǎng)防火墻第三十一頁，共四十五頁。32屏蔽子網(wǎng)防火墻周邊網(wǎng)絡(luò)的作用堡壘主機(jī)位于周邊網(wǎng)絡(luò)，即使被控制，入侵者仍然不能直接侵襲內(nèi)部網(wǎng)絡(luò)，內(nèi)部網(wǎng)絡(luò)仍受到內(nèi)部過濾路由器的保護(hù)原因：大部分局域網(wǎng)采用以太網(wǎng)，以太網(wǎng)的特點(diǎn)是廣播，一臺(tái)位于網(wǎng)絡(luò)上的機(jī)器可以監(jiān)聽網(wǎng)絡(luò)上的所有信息如果沒有周邊網(wǎng)絡(luò)，一旦堡壘主機(jī)被攻破，入侵者可以監(jiān)聽整個(gè)網(wǎng)絡(luò)的對(duì)話，獲得用戶的口令和帳號(hào)私人的敏感文件(email等)第三十二頁，共四十五頁。33屏蔽子網(wǎng)防火墻如果堡壘主機(jī)位于周邊網(wǎng)絡(luò)上，即使入侵者控制了堡壘主機(jī)，也只能偵聽到Internet和堡壘主機(jī)之間的會(huì)話內(nèi)部主機(jī)和堡壘主機(jī)之間的會(huì)話內(nèi)部網(wǎng)絡(luò)之間的通信仍然是安全的，因?yàn)閮?nèi)部網(wǎng)絡(luò)上的數(shù)據(jù)包雖然在內(nèi)部網(wǎng)絡(luò)上是廣播式的，但內(nèi)部過濾路由器會(huì)阻止這些數(shù)據(jù)包流入周邊網(wǎng)絡(luò)(發(fā)往周邊網(wǎng)絡(luò)和Internet的數(shù)據(jù)包除外)第三十三頁，共四十五頁。34屏蔽子網(wǎng)防火墻堡壘主機(jī)位于周邊網(wǎng)絡(luò)運(yùn)行各種各樣的代理服務(wù)器可以被認(rèn)為是應(yīng)用層網(wǎng)關(guān)，是這種防御體系的核心入站服務(wù)，要求所有服務(wù)都通過堡壘主機(jī)出站服務(wù)，不一定要求所有服務(wù)都經(jīng)過堡壘主機(jī)，可以由內(nèi)部路由器和Internet直接通話第三十四頁，共四十五頁。35

屏蔽子網(wǎng)防火墻內(nèi)部路由器又稱阻塞路由器，位于內(nèi)部網(wǎng)和周邊網(wǎng)之間用于保護(hù)內(nèi)部網(wǎng)不受周邊網(wǎng)和因特網(wǎng)的侵害完成防火墻的大部分的過濾工作第三十五頁，共四十五頁。36

屏蔽子網(wǎng)防火墻外部路由器保護(hù)周邊網(wǎng)上的主機(jī)外部路由器還可以防止部分IP欺騙內(nèi)部路由器分辨不出一個(gè)聲稱從非軍事區(qū)來的數(shù)據(jù)包是否真的從非軍事區(qū)來，而外部路由器很容易分辨出真?zhèn)蔚谌?，共四十五頁?7屏蔽子網(wǎng)防火墻分層系列的周邊網(wǎng)一些站點(diǎn)還可以在外部與內(nèi)部網(wǎng)絡(luò)之間建立分層系列的周邊網(wǎng)信任度低的和易受侵襲的服務(wù)被放置在外層的周邊網(wǎng)上，遠(yuǎn)離內(nèi)部網(wǎng)絡(luò)在周邊網(wǎng)絡(luò)中設(shè)置堡壘主機(jī)這樣增加了內(nèi)部網(wǎng)絡(luò)的安全性，即使侵襲者侵入外層周邊網(wǎng)的機(jī)器，由于在外層周邊網(wǎng)和內(nèi)部網(wǎng)絡(luò)之間有了附加安全層，也將難于成功地侵襲內(nèi)部的機(jī)器第三十七頁，共四十五頁。383.5其它防火墻結(jié)構(gòu)一個(gè)堡壘主機(jī)和一個(gè)非軍事區(qū)合并內(nèi)部路由器和堡壘主機(jī)合并外部路由器和堡壘主機(jī)合并DMZ的內(nèi)部路由器和外部路由器兩個(gè)堡壘主機(jī)和兩個(gè)非軍事區(qū)使用多臺(tái)堡壘主機(jī)使用多臺(tái)外部路由器…第三十八頁，共四十五頁。怎么打開和關(guān)閉windows7系統(tǒng)的自帶防火墻

防火墻能保護(hù)我們的電腦免受網(wǎng)絡(luò)上的黑客攻擊，windows7系統(tǒng)中的防火墻功能已經(jīng)足夠強(qiáng)大，可以保證我們的電腦免受危害。可是在各種不慎的操作中或者下載的殺毒軟件有時(shí)都會(huì)關(guān)閉或者打開系統(tǒng)自帶的防火墻，那么我們?cè)趺创蜷_或者關(guān)閉它呢？第三十九頁，共四十五頁。點(diǎn)擊開始菜單，打開控制面板選項(xiàng)。第四十頁，共四十五頁。在控制面板中找到windows防火墻選項(xiàng)，單擊打開。第四十一頁，共