信息安全技術(shù)（HCIA-Security）（微課版）（第2版） 課件 第5、6章 主機安全防御、防火墻基礎(chǔ)

主機防火墻和殺毒軟件舉辦網(wǎng)絡(luò)安全宣傳周、提升全民網(wǎng)絡(luò)安全意識和技能，是國家網(wǎng)絡(luò)安全工作的重要內(nèi)容。國家網(wǎng)絡(luò)安全工作要堅持網(wǎng)絡(luò)安全為人民、網(wǎng)絡(luò)安全靠人民，保障個人信息安全，維護(hù)公民在網(wǎng)絡(luò)空間的合法權(quán)益。文字學(xué)習(xí)全球信息通信網(wǎng)絡(luò)規(guī)模NO.1——中國拓展主題：愛國主義、科技強國、技能強國墻，始于防，忠于守。自古至今，墻予人以安全之意。防火墻，顧名思義，阻擋的是火，這一名詞源于建筑領(lǐng)域，其作用是隔離火災(zāi)，阻止火勢從一個區(qū)域蔓延到另一個區(qū)域。引入到通信領(lǐng)域，防火墻主要用于保護(hù)一個網(wǎng)絡(luò)免受來自另一個網(wǎng)絡(luò)的攻擊和入侵行為。殺毒軟件是一種可以對病毒、木馬等一切已知的對計算機有危害的程序代碼進(jìn)行清除的程序工具。學(xué)完本課程后，您將能夠：描述防火墻的定義和分類描述防火墻的主要功能描述殺毒軟件的概念區(qū)分殺毒軟件和防火墻防火墻概述Windows防火墻Linux防火墻殺毒軟件什么是防火墻？所謂“防火墻”，是指一種將內(nèi)部網(wǎng)絡(luò)和公眾訪問網(wǎng)絡(luò)(如Internet)分開的方法，它實際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問Internet，Internet上的人也無法和公司內(nèi)部的人進(jìn)行通信。防火墻分類按照形態(tài)分為硬件防火墻軟件防火墻按照保護(hù)對象分為單機防火墻網(wǎng)絡(luò)防火墻Windows防火墻Windows防火墻顧名思義就是在Windows系統(tǒng)中自帶的軟件防火墻。Windows防火墻設(shè)置Windows防火墻規(guī)則設(shè)置允許程序或功能通過Windows防火墻。Windows防火墻通知規(guī)則更改通知規(guī)則。打開或關(guān)閉Windows防火墻初始化Windows防火墻設(shè)置還原默認(rèn)值。Windows防火墻高級設(shè)置Windows防火墻規(guī)則設(shè)置防火墻概述Windows防火墻Linux防火墻殺毒軟件iptables簡介iptables是一個免費的包過濾防火墻，它伴隨著內(nèi)核的發(fā)展而不斷演變，基本經(jīng)歷了以下四個階段：1.1內(nèi)核，采用了ipfirewall來操作內(nèi)核包過濾規(guī)則。2.0內(nèi)核，采用了ipfwadm來操作內(nèi)核包過濾規(guī)則。2.2內(nèi)核，采用了ipchains來操作內(nèi)核包過濾規(guī)則。2.4內(nèi)核，采用iptables來操作內(nèi)核包過濾規(guī)則。iptables的結(jié)構(gòu)iptables的結(jié)構(gòu)：iptables>表>鏈>規(guī)則。簡單地講，表由鏈組成，而鏈又由規(guī)則組成。如下圖所示。Chain1Chain2Table1Rule1Rule2Rule3Rule1Rule2Rule3Chain1Chain2Table2Rule1Rule2Rule3Rule1Rule2Rule3iptables的基本概念-規(guī)則規(guī)則一般定義為“如果數(shù)據(jù)包符合這樣的條件，就這樣處理這個數(shù)據(jù)包”在iptables的規(guī)則會去指定源地址、目的地址、源端口、目的端口和協(xié)議這樣的五元組信息。當(dāng)數(shù)據(jù)包和規(guī)則匹配時，iptables就會根據(jù)規(guī)則所定義的方法去處理這個數(shù)據(jù)包，如允許通過和丟棄等。規(guī)則源地址：目的地址：any協(xié)議：httpiptables的基本概念-鏈鏈?zhǔn)菙?shù)據(jù)包傳播的路徑，每個鏈包含有一條或多條規(guī)則。當(dāng)一個數(shù)據(jù)包到達(dá)一個鏈后，iptables會使用這個鏈中的第一條規(guī)則去匹配該數(shù)據(jù)包，查看該數(shù)據(jù)包是否符合這個規(guī)則所定義的條件，如果滿足，就根據(jù)該規(guī)則所定義的動作去處理該數(shù)據(jù)包，否則就繼續(xù)匹配下一條規(guī)則，如果該數(shù)據(jù)包不符合鏈中的所有規(guī)則，則使用該鏈的默認(rèn)策略處理。鏈規(guī)則1源地址：

目的地址:any協(xié)議:HTTP規(guī)則2源地址：

目的地址:any協(xié)議:DNS規(guī)則3源地址：

目的地址:any協(xié)議:ICMP規(guī)則4源地址：

目的地址:any協(xié)議:ARP規(guī)則5源地址：

目的地址:any協(xié)議:IGMPiptables的基本概念-表表提供特定的功能，iptables包含四個表：Filter表：數(shù)據(jù)包中允許或者不允許的策略。NAT表：地址轉(zhuǎn)換的功能。Mangle表：修改報文數(shù)據(jù)Raw表：決定數(shù)據(jù)包是否被狀態(tài)跟蹤機制處理。表的處理優(yōu)先級：raw>mangle>nat>filter。iptables傳輸數(shù)據(jù)包的過程PREROUTING鏈FORWARD鏈POSTROUTING鏈INPUT鏈OUTPUT鏈內(nèi)部處理過程流入的數(shù)據(jù)包流出的數(shù)據(jù)包iptables規(guī)則iptables定義規(guī)則的方式比較復(fù)雜:格式：iptables[-ttable]COMMANDchainCRETIRIA-jACTION-ttable：4個filternatmanglerawCOMMAND：定義如何對規(guī)則進(jìn)行管理。chain：指定你接下來的規(guī)則到底是在哪個鏈上操作的，當(dāng)定義策略的時候，是可以省略的。CRETIRIA:指定匹配標(biāo)準(zhǔn)。-jACTION:指定如何進(jìn)行處理。比如：不允許/16的進(jìn)行訪問。iptables-tfilter-AINPUT-s/16-pudp--dport53-jDROP防火墻概述殺毒軟件什么是殺毒軟件殺毒軟件（anti-virussoftware），也叫反病毒軟件或者防毒軟件，是用來消除電腦病毒、惡意軟件和特洛伊木馬等計算機威脅的一類軟件。殺毒軟件通常帶有監(jiān)控識別、病毒掃描、病毒清除、自動升級、主動防御等功能。殺毒軟件的基本功能防范病毒：預(yù)防病毒入侵計算機。查找病毒：掃描計算機運行的程序或文件是否存在病毒，并能夠?qū)Ρ炔《編鞙?zhǔn)確報出病毒的名稱。清除病毒：根據(jù)不同類型的病毒對感染對象的修改，并按其感染特性進(jìn)行恢復(fù)。殺毒軟件的組成殺毒軟件一般由掃描器、病毒庫和虛擬機組成，并且由主程序?qū)⑺麄兘Y(jié)為一體。殺毒軟件掃描組件一掃描組件二病毒庫病毒庫掃描器1掃描器2掃描器4掃描器3掃描器1掃描器2虛擬機掃描器殺毒軟件的關(guān)鍵技術(shù)-脫殼技術(shù)脫殼技術(shù)是殺毒軟件中常用的技術(shù)，可以對壓縮文件、加花文件、加殼文件、分裝類文件進(jìn)行分析的技術(shù)。病毒殼A殼B變種病毒B變種病毒A病毒脫殼引擎病毒具有脫殼能力的殺毒軟件不具有脫殼能力的殺毒軟件加殼病毒殺毒軟件的關(guān)鍵技術(shù)-

自我保護(hù)技術(shù)自我保護(hù)技術(shù)主要是防止病毒結(jié)束殺毒軟件的運行進(jìn)程或者篡改殺毒軟件文件。殺毒軟件的關(guān)鍵技術(shù)-修復(fù)技術(shù)殺毒軟件在查殺病毒的時候一般是把被感染的文件直接刪除，這樣就可能出現(xiàn)誤刪一些系統(tǒng)文件，最后導(dǎo)致系統(tǒng)崩潰，無法啟動。而殺毒軟件的修復(fù)技術(shù)可以對損壞的文件進(jìn)行修復(fù)。殺毒軟件的關(guān)鍵技術(shù)-實時升級技術(shù)病毒和殺毒軟件就像是矛和盾一樣，只不過矛的發(fā)展更為迅速，因此殺毒軟件的病毒庫一般是滯后于計算機病毒的。那么病毒庫的實時更新就顯得尤為重要了。殺毒軟件的關(guān)鍵技術(shù)-

主動防御技術(shù)殺毒軟件還可以通過仿真反病毒系統(tǒng)對程序的動作和一些文件進(jìn)行監(jiān)控，實現(xiàn)自動判斷病毒，進(jìn)行主動防御。國內(nèi)主流殺毒軟件瑞星賽門鐵克卡巴斯基江民SUSEMcAfee360用戶需要怎樣的殺毒軟件操作界面殺毒速度占用資源殺毒效果殺毒軟件常識殺毒軟件不可能查殺所有病毒；殺毒軟件能查到的病毒，不一定能殺掉；一臺電腦每個操作系統(tǒng)下不必同時安裝兩套或兩套以上的殺毒軟件（除非有兼容或綠色版，其實很多殺軟兼容性很好，國產(chǎn)殺軟幾乎不用擔(dān)心兼容性問題），另外建議查看不兼容的程序列表；殺毒軟件對被感染的文件殺毒有多種方式：1.清除、2.刪除、3.禁止訪問、4.隔離、5.不處理。Windows防火墻屬于以下哪些分類（）硬件防火墻軟件防火墻單機防火墻網(wǎng)絡(luò)防火墻以下哪些是殺毒軟件的組成部分（）掃描器病毒庫虛擬機防火墻

防火墻概述殺毒軟件防火墻介紹網(wǎng)絡(luò)安全為人民，網(wǎng)絡(luò)安全靠人民，維護(hù)網(wǎng)絡(luò)安全是全社會共同的責(zé)任，需要政府、企業(yè)、社會組織、廣大網(wǎng)民共同參與，共筑網(wǎng)絡(luò)安全防線。文字學(xué)習(xí)建設(shè)網(wǎng)絡(luò)強國，推進(jìn)經(jīng)濟(jì)高質(zhì)量發(fā)展拓展主題：愛國主義、科技強國、技能強國在數(shù)據(jù)通信過程中，由于網(wǎng)絡(luò)中的不安全因素將會導(dǎo)致信息泄密、信息不完整，信息不可用等問題，因此在部署網(wǎng)絡(luò)時需要用到防火墻設(shè)備。本章主要介紹華為防火墻的發(fā)展歷史、特點、典型組網(wǎng)方式、應(yīng)用場景和技術(shù)指標(biāo)。學(xué)完本課程后，您將能夠:了解防火墻基本概念理解防火墻安全策略掌握防火墻安全策略配置防火墻概述防火墻轉(zhuǎn)發(fā)原理防火墻安全策略及應(yīng)用ASPF技術(shù)防火墻特征邏輯區(qū)域過濾器隱藏內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)自身安全保障主動防御攻擊內(nèi)網(wǎng)防火墻路由器未經(jīng)防火墻流量的可防護(hù)嗎？防火墻分類按照訪問控制方式分為：包過濾防火墻代理防火墻狀態(tài)檢測防火墻防火墻分類-包過濾防火墻TCP層數(shù)據(jù)鏈路層IP層TCP層數(shù)據(jù)鏈路層IP層TCP層應(yīng)用層IP層只檢測報文頭部1.無法關(guān)聯(lián)數(shù)據(jù)包之間關(guān)系2.無法適應(yīng)多通道協(xié)議3.通常不檢查應(yīng)用層數(shù)據(jù)防火墻分類-代理防火墻發(fā)送連接請求外網(wǎng)終端代理防火墻內(nèi)網(wǎng)Server向Server發(fā)送報文A’對請求進(jìn)行安全檢查，不通過則阻斷連接通過檢查后與Server建立連接通過檢查后與Client建立連接向防火墻發(fā)送報文A向防火墻發(fā)送回應(yīng)報文B向終端發(fā)送回應(yīng)報文B’1.處理速度慢2.升級困難防火墻分類-狀態(tài)檢測防火墻安全策略檢查記錄會話信息狀態(tài)錯誤，丟棄1.處理后續(xù)包速度快2.安全性高SYN(seq=1134)ACK(seq=1135)SYN`(seq=2287)ACK’(seq=30000)ACK’(seq=2288)HostServer防火墻組網(wǎng)方式TrustUntrustUntrustTrust/30/30/3029/30/3033/30防火墻概述防火墻轉(zhuǎn)發(fā)原理防火墻安全策略及應(yīng)用ASPF技術(shù)包過濾技術(shù)對需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，先獲取包頭信息，然后和設(shè)定的規(guī)則進(jìn)行比較，根據(jù)比較的結(jié)果對數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或者丟棄。實現(xiàn)包過濾的核心技術(shù)是訪問控制列表。公司總部內(nèi)部網(wǎng)絡(luò)未授權(quán)用戶辦事處防火墻安全策略定義安全策略是按一定規(guī)則控制設(shè)備對流量轉(zhuǎn)發(fā)以及對流量進(jìn)行內(nèi)容安全一體化檢測的策略。規(guī)則的本質(zhì)是包過濾。主要應(yīng)用對跨防火墻的網(wǎng)絡(luò)互訪進(jìn)行控制。對設(shè)備本身的訪問進(jìn)行控制。入數(shù)據(jù)流出數(shù)據(jù)流防火墻安全策略的原理BBAABBBAAAA

AAAAAAPolicy0：允許A后續(xù)操作Policy1：拒絕B后續(xù)操作防火墻安全策略防火墻安全策略作用：根據(jù)定義的規(guī)則對經(jīng)過防火墻的流量進(jìn)行篩選，并根據(jù)關(guān)鍵字確定篩選出的流量如何進(jìn)行下一步操作。步驟1：入數(shù)據(jù)流經(jīng)過防火墻步驟2：查找防火墻安全策略判斷是否允許下一步操作步驟３：防火墻根據(jù)安全策略定義規(guī)則對數(shù)據(jù)包進(jìn)行處理默認(rèn)策略操作防火墻域間轉(zhuǎn)發(fā)防火墻客戶端服務(wù)器查路由表,基于接口所屬域間及方向,查域間包過濾規(guī)則Policy0：permit源為Policy1：deny源為……缺省域間包過濾規(guī)則為禁止未命中會話表執(zhí)行首包流程非首包，查找會話表命中會話表執(zhí)行后續(xù)包流程Untrusttrust查詢和創(chuàng)建會話查詢會話表匹配會話表安全性檢查刷新會話表檢查是否可以創(chuàng)建會話查看ServerMap表查找路由表包過濾規(guī)則NAT創(chuàng)建會話表轉(zhuǎn)發(fā)報文是否狀態(tài)檢測機制狀態(tài)檢測機制開啟狀態(tài)下，只有首包通過設(shè)備才能建立會話表項，后續(xù)包直接匹配會話表項進(jìn)行轉(zhuǎn)發(fā)。狀態(tài)檢測機制關(guān)閉狀態(tài)下，即使首包沒有經(jīng)過設(shè)備，后續(xù)包只要通過設(shè)備也可以生成會話表項。HostServerTCPSYNTCPACK’會話表項源IP地址源端口目的IP地址目的端口協(xié)議用戶應(yīng)用2000023TCPabcTelnet源IP地址源端口目的IP地址目的端口協(xié)議用戶應(yīng)用2320000TCPabcTelnetServerClientSession:TCP:20000

:23ClientServer創(chuàng)建會話表命中會話表該報文通過Server:23Host:20000查看會話表信息顯示會話表簡要信息displayfirewallsessiontable

顯示會話表詳細(xì)信息displayfirewallsessiontableverbose<sysname>displayfirewallsessiontableCurrentTotalSessions:2telnetVPN:public-->public:2855-->:23httpVPN:public-->public:2559-->00:80<sysname>displayfirewallsessiontableverboseCurrentTotalSessions:1httpVPN:public-->publicID:a48f3648905d02c0553591da1Zone:trust-->localTTL:00:20:00Left:00:19:56Output-interface:InLoopBack0NextHop:MAC:00-00-00-00-00-00<--packets:3073bytes:3251431-->packets:2881bytes:705651:1864-->51:80PolicyName:test防火墻概述防火墻轉(zhuǎn)發(fā)原理防火墻安全策略及應(yīng)用ASPF技術(shù)安全策略的匹配原則防火墻客戶端服務(wù)器首包流程，做安全策略過濾。Rule0：permit源為……Rule1：deny源為…………缺省default策略動作為禁止。未命中會話表執(zhí)行首包流程后續(xù)包流程，不做安全策略過濾。命中會話表執(zhí)行后續(xù)包流程trustUntrust安全策略匹配流程安全策略應(yīng)用非信任區(qū)域信任區(qū)域公司內(nèi)網(wǎng)/16市場部研發(fā)部允許流量通過禁止流量通過安全策略1源地址：any目的地址：any用戶：市場部應(yīng)用：IM、Game動作：禁止安全策略2源地址：any目的地址：any用戶：研發(fā)部協(xié)議：http動作：允許配置安全區(qū)域(WEB)系統(tǒng)缺省已經(jīng)創(chuàng)建了四個安全區(qū)域。如果用戶還需要劃分更多的安全等級，可以自行創(chuàng)建新的安全區(qū)域并定義其安全級別。配置安全策略(WEB)安全策略主要包含的配置內(nèi)容:策略匹配條件：源安全域，目的安全域，源地址，目的地址，用戶，服務(wù)，應(yīng)用，時間段。策略動作：允許，禁止。內(nèi)容安全Profile（可選）：反病毒，入侵防御，URL過濾，文件過濾，內(nèi)容過濾，應(yīng)用行為控制，郵件過濾。配置地址和地址組(WEB)地址是IPv4/IPv6地址或MAC地址的集合，地址組是地址的集合。地址包含一個或若干個IPv4/IPv6地址或MAC地址，它類似于一個基礎(chǔ)組件，只需定義一次，就可以被各種策略（例如安全策略、NAT策略）多次引用。配置地區(qū)和地區(qū)組(WEB)地區(qū)是以地區(qū)為單位的IP地址對象，每個地區(qū)是當(dāng)前地區(qū)的公網(wǎng)IP地址集合。為方便擴(kuò)展和復(fù)用，設(shè)備還支持配置地區(qū)組供策略引用。地區(qū)組中可以包含多個地區(qū)、嵌套的地區(qū)組，配置靈活。配置服務(wù)和服務(wù)組(WEB)服務(wù)是通過協(xié)議類型和端口號來確定的應(yīng)用協(xié)議類型，服務(wù)組是服務(wù)和服務(wù)組的集合。預(yù)定義服務(wù)：指系統(tǒng)缺省已經(jīng)存在、可以直接選擇的服務(wù)類型。自定義服務(wù)：通過指定協(xié)議類型（例如TCP、UDP或ICMP）和端口號等信息來定義的一些應(yīng)用協(xié)議類型。配置應(yīng)用和應(yīng)用組(WEB)應(yīng)用是指用來執(zhí)行某一特殊任務(wù)或用途的計算機程序。應(yīng)用組是指多個應(yīng)用的集合。配置時間段(WEB)時間段定義了時間范圍，定義好的時間段被策略引用后，可以對某一時間段內(nèi)流經(jīng)NGFW的流量進(jìn)行匹配和控制。配置安全策略(WEB)在安全策略中可以引用已經(jīng)創(chuàng)建好的對象。安全策略配置舉例組網(wǎng)需求在某企業(yè)中允許/24網(wǎng)段的員工訪問Internet，但是在此網(wǎng)段中、和的這幾臺PC對安全性要求較高，不允許上網(wǎng)。Trust區(qū)域Untrust區(qū)域/24Internet內(nèi)網(wǎng)

/24配置安全策略流程關(guān)鍵配置(命令行)創(chuàng)建拒絕特殊的幾個IP地址訪問Internet的安全策略規(guī)則。創(chuàng)建允許/24網(wǎng)段訪問Internet的安全策略規(guī)則。[NGFW]security-policy[NGFW-policy-security]rulenamecelue[NGFW-policy-security-rule-celue]source-zonetrust[NGFW-policy-security-rule-celue]destination-zoneuntrust[NGFW-policy-security-rule-celue]source-address32[NGFW-policy-security-rule-celue]source-address32[NGFW-policy-security-rule-celue]source-address32[NGFW-policy-security-rule-celue]actiondeny[NGFW]security-policy[NGFW-policy-security]rulenamecelue2[NGFW-policy-security-rule-celue2]source-zonetrust[NGFW-policy-security-rule-celue2]destination-zoneuntrust[NGFW-policy-security-rule-celue2]source-address24[NGFW-policy-security-rule-celue2]actionpermit關(guān)鍵配置(WEB)-(1)配置名稱為ip_deny的地址組。關(guān)鍵配置(WEB)-(2)配置拒絕特殊地址組ip_deny內(nèi)IP地址訪問Internet的安全策略。關(guān)鍵配置(WEB)-(3)配置允許/24網(wǎng)段訪問Internet的安全策略。防火墻概述防火墻轉(zhuǎn)發(fā)原理防火墻安全策略及應(yīng)用ASPF技術(shù)多通道協(xié)議技術(shù)單通道協(xié)議：通信過程中只需占用一個端口的協(xié)議。如：WWW只需占用80端口。多通道協(xié)議：通信過程中需占用兩個或兩個以上端口的協(xié)議。如FTP被動模式下需占用21號端口以及一個隨機端口。使用單純的包過濾方法，如何精確定義（端口級別）多通道協(xié)議所使用的端口呢？遇到使用隨機協(xié)商端口的協(xié)議，單純的包過濾方法無法進(jìn)行數(shù)據(jù)流定義。ASPF概述ASPF(ApplicationSpecificPacketFilter)是一種高級通信過濾，它檢查應(yīng)用層協(xié)議信息并且監(jiān)控連接的應(yīng)用層協(xié)議狀態(tài)。對于特定應(yīng)用協(xié)議的所有連接，每一個連接狀態(tài)信息都將被ASPF維護(hù)并用于動態(tài)的決定數(shù)據(jù)包是否被允許通過防火墻或丟棄。監(jiān)視通信過程中的報文動態(tài)創(chuàng)建和刪除過濾規(guī)則ASPF對多通道協(xié)議的支持ASPF（ApplicationSpecificPacketFilter）是針對應(yīng)用層的包過濾。我使用4952端口與你建立數(shù)據(jù)通道。ServerMap表-----------------------------------------------------------Inside-Address:PortGlobal-Address:PortPro