09防火墙.doc

09 防火墙本文由 flyjty 贡献 ppt 文档可能在 WAP 端浏览体验不佳。建议您优先选择 TXT ,或下载源文件到本机查看。计算机系统安全第九章防火墙 1 一、防火墙概述什么是防火墙(Firewall) ? 防火墙:在两个信任程度不同的网络之间设置的、用于加强访问控制的软硬件保护设施。 2 一、防火墙概述一、防火墙的用途 1 )作为“扼制点”,限制信息的进入或离开; 2 )防止侵入者接近并破坏你的内部设施;3) 监视、记录、审查重要的业务流;4) 实施网络地址转换,缓解地址短缺矛盾。防火墙只允许已授权的业务流通过, 而且本身也应抵抗渗透攻击。建立防火墙必须全面考虑安全策略,否则形同虚设。 3 一、防火墙概述二、好的防火墙系统 1 )内部网络和外部网络之间传输的数据必须通过防火墙; 2) 只有防火墙系统中安全策略允许的数据可以通过防火墙; 3 )防火墙本身不受各种攻击的影响。 4 一、防火墙概述三、防火墙的优点 1. 防止易受攻击的服务通过过滤不安全的服务来降低子网上主系统的风险。可以禁止某些易受攻击的服务(如 NFS) 进入或离开受保护的子网。可以防护基于路由选择的攻击, 如源路由选择和企图通过 ICMP 改向把发送路径转向遭致损害的网点。 5 一、防火墙概述 2. 控制访问网点系统可以提供对系统的访问控制。如允许从外部访问某些主机(Mail Server 和 Web Server) , 同时禁止访问另外的主机。 3. 集中安全性防火墙定义的安全规则可用于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。可以定义不同的认证方法,而不需要在每台机器上分别安装特定的认证软件。外部用户只需要经过一次认证即可访问内部网。例如对于密码口令系统或其他的身份认证软件等,放在防火墙系统中更是优于放在每 6个 能访问的机器上。一、防火墙概述 4. 增强的保密、强化私有权使用防火墙系统,站点可以防止 finger 以及 DNS 域名服务。 Finger 能列出当前用户,上次登录时间, 以及是否读过邮件等。 5. 有关网络使用、滥用的记录和统计防火墙可以记录各次访问,并提供有关网络使用率等有价值的统计数字。网络使用率统计数字可作为网络需求研究和风险分析的依据; 收集有关网络试探的证据,可确定防火墙上的控制措施是否得当, 能否抵御试探和攻击。 7 一、防火墙概述四、防火墙的局限性 1) 防火墙防外不防内防火墙可以禁止系统用户经过网络连接发送专有的信息, 但用户可以将数据复制到磁盘、磁带上, 放在公文包中带出去。如果入侵者已经在防火墙内部, 防火墙是无能为力的。内部用户偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理, 如主机安全和用户教育、管理、制度等。 8 一、防火墙概述 2) 不能防范绕过防火墙的攻击防火墙能够有效地防止通过它进行传输信息, 然而不能防止不通过它而传输的信息。例如, 如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。 3 )防火墙配置复杂,容易出现安全漏洞 4)防火墙往往只认机器( IP地址)不认人(用户身份) ,并且控制粒度较粗。 9 一、防火墙概述 5) 防火墙不能防范病毒防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。 6 )防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到内部网主机上并被执行而发起攻击时,就会发生数据驱动攻击。特别是随着 Java 、 JavaScript 、 ActiveX 的应用, 这一问题更加突出。 10 一、防火墙概述五、防火墙的特点 1、广泛的服务支持: 通过将动态的、应用层的过滤能力和认证相结合, 可实现 、 HTTP 服务器、 FTP 等;2、对私有数据的加密支持: 保证通过 进行虚拟私人网络和商务活动的安全; 3 、客户端认证:只允许指定的用户访问内部网络或选择服务:企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分; 11 一、防火墙概述五、防火墙的特点 4、反欺骗: 欺骗是从外部获取网络访问权的常用手段, 它使数据包好似来自网络内部。防火墙能监视这样的数据包并能扔掉它们; 5、 C/S 模式和跨平台支持: 能使运行在一平台的管理模块控制运行在另一平台的监视模块。 12 二、网络政策 1 、服务访问政策服务访问政策是整个机构信息安全政策的延伸,既要可靠又要切合实际。一个典型的政策可以不允许从 访问网点,但要允许从网点访问 。另一个典型政策是允许从 Interne t 进行某些访问, 但是或许只许可访问经过选择的系统,如 Web 服务器和电子邮件服务器。 13 2 、防火墙设计政策防火墙一般实施两个基本设计方针之一: 1