书签 分享 收藏 举报 版权申诉 / 142

类型《信息安全技术》课件第12章.ppt

  • 文档编号:2347779
  • 上传时间:2024-11-29
  • 格式:PPT
  • 页数:142
  • 大小:1.70MB
  • 配套讲稿:

    如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。

    特殊限制:

    部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。

    关 键  词:
    信息安全技术 信息 安全技术 课件 12
    资源描述:

    1、12.1 防火墙技术12.2 入侵检测技术12.3 计算机取证技术12.4 蜜罐技术小结习题古时候,当人们使用木料修建房屋时,为防止火灾的发生和蔓延,在房屋周围用坚固的石块堆砌成一道墙,这种防护构筑物被称为“防火墙”。而计算机网络的防火墙借用了这个概念,用来保护敏感数据不被窃取和篡改。防火墙是指隔离在本地网络与外界网络之间的一道防御系统,是这一类防范措施的总称。由于防火墙假设了网络边界和服务,因此更适合于相对独立的网络,例如Intranet等网络资源相对集中的网络。相对而言,防火墙可以说是目前网络防御技术中最古老的技术。12.1 防防 火火 墙墙 技技 术术12.1.1 防火墙的功能防火墙的功

    2、能网络安全问题普遍存在,对网络的入侵不仅来自高超的攻击手段,也有可能来自系统或路由器的配置上的低级错误。防火墙的作用是防止不希望的、未授权的通信进出被保护的网络。根据不同的需要,防火墙的功能有比较大的差异,但一般具有如下几个主要功能:(1)限制他人进入内部网络,过滤掉不安全服务和非法用户;(2)防止入侵者接近其他防御设施;(3)限定用户访问特殊站点;(4)为监视Internet的安全提供方便。在互联网上防火墙是一种非常有效的网络安全技术,通过它可以隔离风险区域(即Internet 或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信量,

    3、从而完成看似不可能的任务;仅让安全、核准了的信息进入,同时又抵制对企业构成威胁的数据。任何关键性的服务器,都建议放在防火墙之后。12.1.2 防火墙的分类防火墙的分类防火墙的分类方法很多,可以分别从采用的防火墙技术、软/硬件形式、性能以及部署位置等标准来划分。防火墙技术虽然出现了许多,但总体来讲可分为包过滤型防火墙和应用代理型防火墙两大类。前者以以色列的Check Point防火墙和美国Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。1.包过滤包过滤(Packet filtering)型防火墙型防火墙包过滤型防火墙工作在OSI网络参考模型的网络层和传输层

    4、,它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则从数据流中被丢弃。包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能在很大程度上满足绝大多数企业安全要求。2.应用代理应用代理(Application Proxy)型防火墙型防火墙应用代理型防火墙工作在OSI参考模型的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对

    5、每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。其典型网络结构如图12-1-1所示。图 12-1-1 应用代理型防火墙的典型网络结构应用代理型防火墙的最突出的优点就是安全。由于它工作于最高层,因此它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。另外,应用代理型防火墙采取的是一种代理机制,它可以为每一种应用服务建立一个专门的代理,所以内、外部网络之间的通信不是直接的,而都需先经过代理服务器审核,审核通过后再由代理服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。应用代

    6、理型防火墙的最大缺点就是速度相对比较慢,当用户对内、外部网络网关的吞吐量要求比较高时,代理防火墙就会成为内、外部网络之间的瓶颈。因为防火墙需要为不同的网络服务建立专门的代理服务,在自己的代理程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。12.1.3 防火墙系统的结构防火墙系统的结构常见防火墙系统的结构有4种类型:筛选路由器防火墙、单宿主堡垒主机防火墙、双宿主堡垒主机防火墙和屏蔽子网防火墙。1.筛选路由器防火墙筛选路由器防火墙筛选路由器防火墙是网络的第一道防线,功能是实施包过滤,结果如图12-1-2所示。图 12-1-2 筛选路由器防火墙结构筛选路

    7、由器可以由厂家专门生产的路由器实现,也可以用主机来实现。筛选路由器作为内、外连接的唯一通道,要求所有的报文都必须在此通过检查。路由器上可以安装基于IP层的报文过滤软件,实现报文过滤功能。创建相应的过滤策略时对工作人员的TCP/IP的知识有一定的要求;同时,该防火墙不能够隐藏用户内部网络的信息、不具备监视和日志记录功能;如果筛选路由器被黑客攻破,那么内部网络将变得十分危险。2.单宿主堡垒主机防火墙单宿主堡垒主机防火墙单宿主堡垒主机是有一块网卡的防火墙设备。单宿主堡垒主机通常用于应用级网关防火墙。外部路由器配置把所有进来的数据发送到堡垒主机上,并且所有内部客户端配置成所有出去的数据都发送到这台堡垒

    8、主机上,然后堡垒主机以安全方针作为依据检验这些数据。单宿主堡垒主机防火墙结构如图12-1-3所示。图 12-1-3 单宿主堡垒主机防火墙结构单宿主堡垒主机防火墙系统提供的安全等级比包过滤防火墙系统要高,因为它实现了网络层安全(包过滤)和应用层安全(代理服务)。所以入侵者在破坏内部网络的安全性之前,必须首先渗透两种不同的安全系统。这种结构的防火墙主要的缺点就是可以重新配置路由器,使信息直接进入内部网络,而完全绕过堡垒主机。还有,用户可以重新配置他们的机器绕过堡垒主机,把信息直接发送到路由器上。3.双宿主堡垒主机防火墙双宿主堡垒主机防火墙双宿主堡垒主机结构是由围绕着至少具有两块网卡的双宿主主机而构

    9、成的。双宿主主机内、外部网络均可与双宿主主机实施通信,但内、外部网络之间不可直接通信,内、外部网络之间的数据流被双宿主主机完全切断。双宿主堡垒主机防火墙结构如图12-1-4所示。图 12-1-4 双宿主堡垒主机防火墙结构双宿主主机可以通过代理或让用户直接注册到其上来提供很高程度的网络控制。它采用主机取代路由器执行安全控制功能,故类似于包过滤防火墙。双宿主主机即一台配有多个网络接口的主机,它可以用来在内部网络和外部网络之间进行寻址。当一个黑客想要访问用户内部设备时,他(她)必须先要攻破双宿主堡垒主机,此时用户会有足够的时间阻止这种安全侵入和做出反应。4.屏蔽子网防火墙屏蔽子网防火墙屏蔽子网就是在

    10、内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中,两个分组过滤路由器放在子网的两端,在子网内构成一个中立区(Demilitarized Zone,DMZ),即被屏蔽子网,内部网络和外部网络均可访问被屏蔽子网,但禁止它们穿过被屏蔽子网通信。有的屏蔽子网中还设有一堡垒主机作为唯一可访问点,支持终端交互或作为应用网关代理,其结构如图12-1-5所示。图 12-1-5 屏蔽子网防火墙结构屏蔽子网防火墙结构的危险仅包括堡垒主机、DMZ子网主机及所有连接内网与外网和屏蔽子网的路由器。如果攻击者试图完全破坏防火墙,那么他必须重新配置连接3个

    11、网的路由器,既不切断连接又不要把自己锁在外面,同时又不使自己被发现,这样也还是可能的。但若禁止网络访问路由器或只允许内网中的某些主机访问它,则攻击会变得很困难。在这种情况下,攻击者得先侵入堡垒主机,然后进入内网主机,再返回来破坏屏蔽路由器,并且整个过程中不能引发警报。12.1.4 创建防火墙系统的步骤创建防火墙系统的步骤成功创建防火墙系统一般需要6步:制定安全策略、搭建安全体系结构、制定规则次序、落实规则集、注意更换控制和做好审计工作。建立一个可靠的规则集对于实现一个成功的、安全的防火墙来说是非常关键的一步。如果用户的防火墙规则集配置错误,那么再好的防火墙也只是摆设。在安全审计中,经常能看到一

    12、个巨资购入的防火墙因某个规则配置错误而将机构暴露于巨大的危险之中。(1)制定安全策略。防火墙和防火墙规则集只是安全策略的技术实现。管理层规定实施什么样的安全策略,防火墙是策略得以实施的技术工具。所以,在建立规则集之前,必须首先理解安全策略,假设它包含以下3方面内容:内部雇员访问Internet不受限制。通过Internet有权使用公司的Web server和E-mail服务器。任何进入公司内部网络的信息必须经过安全认证和加密。实际的安全策略要远远比这复杂。在实际应用中,需要根据公司的实际情况制定详细的安全策略。(2)搭建安全体系结构。作为一个安全管理员,需要将安全策略转化为安全体系结构。现在,

    13、我们来讨论如何把每一项安全策略核心转化为技术实现。第一项安全策略很容易,内部网络的任何信息都允许输出到Internet上。第二项安全策略要求为公司建立Web server和E-mail服务器。由于任何人都能访问Webserver和E-mail服务器,因此,不能完全信任他们,把他们放入DMZ来实现该项策略。DMZ是一个孤立的网络,通常把不信任的系统放在那里,DMZ中的系统不能启动连接内部网络。DMZ有两种类型,即有保护的和无保护的。有保护的DMZ是与防火墙脱离的孤立的部分;无保护的DMZ是介于路由器和防火墙之间的网络部分。这里建议使用有保护的DMZ,我们把Web server和E-mail服务器

    14、放在那里。唯一从Internet到内部网络的信息是远程管理操作。这就要求允许系统管理员远程地访问公司内部系统。具体的实现方式可以采用加密方式进入公司内部系统。最后还须配置DNS。虽然在安全策略中没有提到,但必须提供这项服务。作为安全管理员,我们要实现Split DNS。Split DNS即分离配置DNS或隔离配置DNS,是指在两台不同的服务器(其中一台DNS用于解析公司域名,称为外部DNS服务器;另一台用于供内部用户使用,称为内部DNS服务器)上分离DNS的功能。外部DNS服务器与Web server和E-mail服务器一起放在有保护的DMZ中,内部DNS服务器放在内部网络中。(3)制定规则次

    15、序。在建立规则集之前,必须注意规则次序,规则次序是非常关键的。因为,即使是同样的规则,如果以不同的次序放置,则可能会完全改变防火墙的运转效能。很多防火墙(例如SunScreen EFS、Cisco IOS和FW-1)以顺序方式检查信息包,当防火墙接收到一个信息包时,它先与第一条规则相比较,然后是第二条、第三条当它发现一条匹配规则时,就停止检查并使用该条规则。如果信息包经过每一条规则而没有发现匹配,则这个信息包便会被拒绝。一般说来,通常的顺序是较特殊的规则在前,较普通的规则在后,防止在找到一个特殊规则之前一个普通规则便被匹配,这可避免防火墙配置错误的发生。(4)落实规则集。典型的防火墙规则集。选

    16、好素材就可以建立规则集了,典型的防火墙规则集合包括下面13项。切断默认。第一步需要切断默认设置。允许内部出网。允许内部网络向外的任何访问出网,与安全策略中所规定的一样,所有的服务都被许可。添加锁定。添加锁定规则以阻塞对防火墙的访问,这是一条标准规则,除了防火墙管理员外,任何人都不能访问防火墙。丢弃不匹配的信息包。在默认情况下,丢弃所有不能与任何规则匹配的信息包。丢弃并不记录。通常网络上大量被防火墙丢弃并记录的通信通话会很快将日志填满,要创立一条规则丢弃拒绝这种通话但不记录它。允许DNS 访问。允许Internet用户访问DNS服务器。允许邮件访问。允许Internet和内部用户通过SMTP(简单邮件传递协议)访问邮件服务器。允许Web 访问。允许Internet和内部用户通过HTTP(服务程序所用的协议)访问Web服务器。阻塞DMZ。禁止内部用户公开访问DMZ。允许内部的POP访问。允许内部用户通过POP(邮局协议)访问邮件服务器。强化DMZ的规则。DMZ应该从不启动与内部网络的连接,否则,就说明它是不安全的。只要有从DMZ发起的到内部用户的会话,它就会发出拒绝、做记录并发出警告。允许

    展开阅读全文
    提示  兔兜文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    关于本文
    本文标题:《信息安全技术》课件第12章.ppt
    链接地址:https://www.tudouwenku.com/doc/2347779.html

    若发现您的权益受到侵害,请立即联系客服,我们会尽快为您处理!

    copyright@2008-2025 兔兜文库 版权所有

    鲁公网安备37072502000182号  ICP备案号:鲁ICP备2021021588号-1  百度保障

    兔兜文库
    收起
    展开