《防火墻講解》PPT課件

1、防 火 墻 基 礎(chǔ)1黑客會(huì)對我們的網(wǎng)絡(luò)感興趣嗎？對黑客來說，只要看到一點(diǎn)點(diǎn)從系統(tǒng)漏洞發(fā)出的光亮就會(huì)蠢蠢欲動(dòng)如何保護(hù)我們的網(wǎng)絡(luò)？防火墻2防火墻的概念隔離在本地網(wǎng)絡(luò)和外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)可以隔離風(fēng)險(xiǎn)區(qū)域與安全區(qū)域的連接但不會(huì)妨礙人們對風(fēng)險(xiǎn)區(qū)域的訪問3防火墻的功能過濾不安全的服務(wù)和非法用戶控制對特殊站點(diǎn)的訪問提供監(jiān)視Internet安全訪問和預(yù)警的可靠節(jié)點(diǎn)實(shí)現(xiàn)公司的安全策略4防火墻的功能防止暴露內(nèi)部網(wǎng)結(jié)構(gòu)，可以在防火墻上布置NAT，既可以保護(hù)內(nèi)部網(wǎng)，又可以解決地址空間緊張的問題是審計(jì)和記錄Internet使用費(fèi)用的一個(gè)最佳地點(diǎn)在物理上設(shè)置一個(gè)單獨(dú)的網(wǎng)段，放置WWW、FTP和Mail服務(wù)器等5防

2、火墻的分類包過濾防火墻（Checkpoint和PIX為代表）代理防火墻（NAI公司的防火墻為代表）6包 過 濾 技 術(shù)789101112包過濾技術(shù)的優(yōu)點(diǎn)在網(wǎng)絡(luò)中需要時(shí)時(shí)通信時(shí)，可以使用這種方法。對用戶來說是完全透明的可以通過普通的路由器實(shí)現(xiàn)13包過濾技術(shù)的缺點(diǎn)包過濾技術(shù)是通過設(shè)置具體的數(shù)據(jù)包過濾準(zhǔn)則來實(shí)現(xiàn)的，為了實(shí)現(xiàn)更強(qiáng)的過濾功能，必須設(shè)置非常復(fù)雜的包過濾準(zhǔn)則。大幅度降低了數(shù)據(jù)包的過濾速度。由于包過濾技術(shù)是工作在OSI模型的網(wǎng)絡(luò)層和傳輸層，對于高層的協(xié)議，都無法實(shí)現(xiàn)有效的過濾14包過濾技術(shù)的缺點(diǎn)包過濾技術(shù)一般只能實(shí)現(xiàn)基于主機(jī)和端口的過濾，無法實(shí)現(xiàn)針對用戶和應(yīng)用程序的過濾當(dāng)網(wǎng)絡(luò)安全的方案十分復(fù)雜

3、時(shí)，一般不采用包過濾技術(shù)單獨(dú)解決，原因主要包括：維護(hù)的代價(jià)很高；數(shù)據(jù)包的限制規(guī)則十分復(fù)雜；15如果黑客偽裝DNS服務(wù)器的地址，那么它在理論上當(dāng)然可以從附著DNS的UDP端口發(fā)起攻擊。只要允許DNS查詢和反饋包進(jìn)入網(wǎng)絡(luò)，這個(gè)問題就必然存在。解決辦法是采用代理服務(wù)器。16代 理 技 術(shù)17與包過濾技術(shù)不同，代理服務(wù)技術(shù)工作在OSI模型中的應(yīng)用層，而不是前者的網(wǎng)絡(luò)層1819代理技術(shù)的優(yōu)點(diǎn)使用代理技術(shù)，可以實(shí)現(xiàn)基于用戶級的身份認(rèn)證和訪問控制。由于代理服務(wù)器工作于客戶機(jī)和真實(shí)的服務(wù)器之間，可以完全控制兩者之間的對話，從而提供非常詳細(xì)的日志功能。在代理服務(wù)技術(shù)中，可以使用第三方的身份認(rèn)證系統(tǒng)和日志記錄系統(tǒng)

4、。從而提供這兩方面更為完善的功能20代理技術(shù)的優(yōu)點(diǎn)具有內(nèi)部地址屏蔽及轉(zhuǎn)換功能使用代理技術(shù)可以簡化包過濾規(guī)則的設(shè)定21代理技術(shù)的缺點(diǎn)代理服務(wù)技術(shù)需要對每一種網(wǎng)絡(luò)服務(wù)都必須有特定的服務(wù)代理通常，每一種網(wǎng)絡(luò)服務(wù)的版本總是落后于現(xiàn)實(shí)環(huán)境。因此，多種情況下，無法找到新的網(wǎng)絡(luò)服務(wù)的代理版本由于徹底割斷了內(nèi)外部網(wǎng)絡(luò)之間的直接連接，使網(wǎng)絡(luò)的性能受到很大影響。2223其他技術(shù)NAT技術(shù)VPN技術(shù)內(nèi)容檢查技術(shù)加密技術(shù)安全審計(jì)身份認(rèn)證負(fù)載均衡24案 例 分 析25問題描述某公司購買了防火墻之后，緊接著又購買了漏洞掃描和IDS（入侵檢測）產(chǎn)品。當(dāng)系統(tǒng)管理員利用IDS發(fā)現(xiàn)入侵行為后必須每次都要手工調(diào)整防火墻的安全策略，

5、使管理工作量劇增，而且經(jīng)常調(diào)整安全策略，也會(huì)給整個(gè)網(wǎng)絡(luò)帶來不良影響。26問題分析選購防火墻時(shí)未充分考慮到與其它安全產(chǎn)品的聯(lián)動(dòng)功能，導(dǎo)致不能最大程度的發(fā)揮安全系統(tǒng)的作用27解決辦法 確認(rèn)防火墻是否有IDS等其他安全產(chǎn)品的聯(lián)動(dòng)功能 28結(jié)論和忠告 具有保護(hù)網(wǎng)絡(luò)安全的功能不僅僅是防火墻一種產(chǎn)品，只有將多種安全產(chǎn)品無縫的結(jié)合起來，充分利用它們各自的優(yōu)點(diǎn)，才能最大限度的保證網(wǎng)絡(luò)的安全29入 侵 檢 測 技 術(shù)（I D S）30全球80%以上的入侵來自于內(nèi)部 對入侵攻擊的檢測與防范，保障計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、以及整個(gè)信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。31IDS的概念入侵檢測是防火墻的合理補(bǔ)充擴(kuò)

6、展了系統(tǒng)管理員的安全管理能力提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性32IDS的任務(wù)監(jiān)視、分析用戶及系統(tǒng)活動(dòng)系統(tǒng)的構(gòu)造和弱點(diǎn)的審計(jì)識(shí)別已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警異常行為模式的統(tǒng)計(jì)分析評估重要系統(tǒng)和數(shù)據(jù)文件的完整性操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為33IDS的類型基于主機(jī)的IDS基于網(wǎng)絡(luò)的IDS34基于主機(jī)的IDS（HIDS）的優(yōu)點(diǎn)對分析“可能的攻擊”非常有效能夠提供更詳盡的相關(guān)信息誤報(bào)率低35HIDS的弱點(diǎn)安裝在需要保護(hù)的設(shè)備上它依賴于服務(wù)器固有的日志與監(jiān)視能力全面部署主機(jī)入侵檢測系統(tǒng)代價(jià)較大36基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品（NIDS）的優(yōu)點(diǎn)目前，大部分的入侵檢測是基于網(wǎng)絡(luò)的不需要改變服務(wù)器等主機(jī)的配置NIDS發(fā)生故障不會(huì)影響業(yè)務(wù)的正常運(yùn)行風(fēng)險(xiǎn)小近年內(nèi)有向?qū)ｉT的設(shè)備發(fā)展的趨勢37NIDS的弱點(diǎn)只檢查他直接連接網(wǎng)段的通信很難實(shí)現(xiàn)一些需要大量計(jì)算與分析時(shí)間的攻擊檢測處理