信息安全技术教程第四章.pptx

《信息安全技术教程第四章.pptx》由会员分享，可在线阅读，更多相关《信息安全技术教程第四章.pptx（130页珍藏版）》请在咨信网上搜索。

4.1网络安全研究背景n20世纪世纪40年代年代 计算机出现计算机出现n20世纪世纪70年代年代 计算机网络出现计算机网络出现n20世纪世纪90年代年代WWW出现出现InternetInternetWWWWWW4.1网络安全研究背景(续)单机系统安全计算机单机系统计算机单机系统n安全问题安全问题n保密安全保密安全n物理安全物理安全4.1网络安全研究背景(续)计算机网络安全n安全问题安全问题n保密安全保密安全n通信安全通信安全n访问控制访问控制安全安全 n安全管理安全管理 n法律制裁法律制裁 计算机网络计算机网络4.1网络安全研究背景(续)网络安全的必要性n社会越来越依赖计算机网络社会越来越依赖计算机网络n新的应用新的应用n电子商务（电子商务（Electronic Commerce）n电子现金（电子现金（Electronic Cash）n数字货币（数字货币（Digital Cash）n网络银行（网络银行（Network Bank）4.1.1网络安全的定义n计算机与网络的联系越来越紧密计算机与网络的联系越来越紧密n网络就是计算机网络就是计算机 n计算机就是网络计算机就是网络 n计算机安全和网络安全的定义具有相同计算机安全和网络安全的定义具有相同点点n国际标准化组织定义国际标准化组织定义 n保护计算机硬件、软件数据不因偶然和恶意的保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露原因而遭到破坏、更改和泄露n偏重于偏重于静态信息的保护静态信息的保护n另一种定义另一种定义n计算机的硬件、软件和数据受到保护，不因偶计算机的硬件、软件和数据受到保护，不因偶然和恶意的原因而遭到破坏、更改和泄露，系然和恶意的原因而遭到破坏、更改和泄露，系统连续正常运行统连续正常运行n偏重于偏重于动态意义的描述动态意义的描述4.1.1网络安全的定义(续)计算机安全的定义n计算机网络安全定义计算机网络安全定义n保护计算机网络系统中的硬件、软件及其数保护计算机网络系统中的硬件、软件及其数据不受偶然或者恶意原因而遭到破坏、更改、据不受偶然或者恶意原因而遭到破坏、更改、泄露，保障系统连续正常运行，网络服务不泄露，保障系统连续正常运行，网络服务不中断。中断。4.1.1 网络安全的定义(续)网络安全的定义4.1.2 网络安全的内涵n防止通过计算机网络传输的信息被非法使用防止通过计算机网络传输的信息被非法使用n对于国家，必须过滤、防堵和保护机密信息对于国家，必须过滤、防堵和保护机密信息n对于企业和个人，必须保证保密性、完整性对于企业和个人，必须保证保密性、完整性和真实性和真实性4.1.2 网络安全的内涵(续)网络安全涉及的方面n网络安全涉及到生活的方方面面网络安全涉及到生活的方方面面n防火墙、防病毒、信息加密、身份认证和授权访问等技术防火墙、防病毒、信息加密、身份认证和授权访问等技术n企业的规章制度企业的规章制度n网络的安全教育网络的安全教育n国家的法律政策国家的法律政策n实时监控实时监控n网络安全的审计和管理网络安全的审计和管理n网络安全要保证网络服务不中断网络安全要保证网络服务不中断4.1.2 网络安全的内涵(续)网络安全的内容n安全问题是动态的过程安全问题是动态的过程n计算机安全的内容计算机安全的内容n物理安全物理安全n逻辑安全逻辑安全安全内容安全内容安全内容安全内容逻辑安全逻辑安全逻辑安全逻辑安全物理安全物理安全物理安全物理安全4.1.2 系统安全和网络安全n计算机的安全可以分为两大类计算机的安全可以分为两大类n系统安全系统安全n网络安全网络安全n安全要保护的对象是计算机中存储的数安全要保护的对象是计算机中存储的数据据计算机安全计算机安全计算机安全计算机安全网络安全网络安全网络安全网络安全系统安全系统安全系统安全系统安全4.1.2 系统安全和网络安全(续)n系统安全系统安全n保证数据存储时的保密性、完整性和可用性保证数据存储时的保密性、完整性和可用性n网络安全网络安全n保证数据传输时的保密性、完整性和可用性保证数据传输时的保密性、完整性和可用性n无明显的界限无明显的界限4.1.3 网络安全的主要威胁及技术隐患n计算机网络的威胁来自方方计算机网络的威胁来自方方面面面面n自然灾害、意外事故自然灾害、意外事故n硬件故障、软件漏洞硬件故障、软件漏洞n人为失误人为失误n计算机犯罪、黒客攻击计算机犯罪、黒客攻击n内部泄露、外部泄密内部泄露、外部泄密n信息丢失、电子谍报、信息战信息丢失、电子谍报、信息战n网络协议中的缺陷网络协议中的缺陷4.1.3 网络安全的主要威胁及技术隐患(续)n从技术角度看从技术角度看n资源共享带来的漏洞资源共享带来的漏洞n技术的开放和标准带来不安全因素技术的开放和标准带来不安全因素n技术基础是不安全的技术基础是不安全的4.1.4 计算机技术存在的隐患n根本威胁是计算机技术自身存在的隐患根本威胁是计算机技术自身存在的隐患n安全问题没有得到人们的重视安全问题没有得到人们的重视n计算机最主要的设计目标是加快速度计算机最主要的设计目标是加快速度n多用户计算机系统中，安全设计造成系统管理员权力过大多用户计算机系统中，安全设计造成系统管理员权力过大n个人计算机的安全问题个人计算机的安全问题n个人计算机设计目标：个人事务处理个人计算机设计目标：个人事务处理n个人计算机的设计未考虑安全性要求个人计算机的设计未考虑安全性要求n个人计算机开放性的设计模式，导致使用者可以了解其内部结个人计算机开放性的设计模式，导致使用者可以了解其内部结构和工作原理，极易发现系统漏洞构和工作原理，极易发现系统漏洞n网络时代，个人计算机自身的安全漏洞不断暴露网络时代，个人计算机自身的安全漏洞不断暴露n软件设计水平较低，软件设计人员没有考虑到影响网络软件设计水平较低，软件设计人员没有考虑到影响网络安全因素的每个细节安全因素的每个细节nTCP/IP协议的设计没有考虑安全因素协议的设计没有考虑安全因素4.1.5 网络资源共享导致的威胁n资源共享方便计算机用户使用资源共享方便计算机用户使用n共享导致不安全的因素共享导致不安全的因素n人为的无意失误人为的无意失误n操作人员使用不当操作人员使用不当n系统安全配置不规范系统安全配置不规范n用户安全意识不强用户安全意识不强n选择用户口令不慎选择用户口令不慎n将自己的帐号随意转告他人将自己的帐号随意转告他人n人为的恶意攻击人为的恶意攻击n主动攻击主动攻击n被动攻击被动攻击4.1.5 网络资源共享导致的威胁(续)主动攻击和被动攻击n主动攻击主动攻击n阻断阻断n篡改篡改n被动攻击被动攻击n窃听窃听n流量分析流量分析源源目的目的源目的sniffer4.1.5 网络资源共享导致的威胁(续)网络软件的漏洞造成的影响网络软件网络软件网络软件网络软件缺陷和漏洞缺陷和漏洞缺陷和漏洞缺陷和漏洞TCP/IPTCP/IP协议协议协议协议软件后门软件后门软件后门软件后门4.1.5 网络资源共享导致的威胁(续)黑客采用的攻击方法信息泄露或丢失信息泄露或丢失信息泄露或丢失信息泄露或丢失破坏通信协议破坏通信协议破坏通信协议破坏通信协议传播计算机病毒传播计算机病毒传播计算机病毒传播计算机病毒非授权使用非授权使用非授权使用非授权使用破坏完整性破坏完整性破坏完整性破坏完整性计算机网络计算机网络计算机网络计算机网络4.1.5 网络资源共享导致的威胁(续)安全是相对的n采取措施抵御威胁采取措施抵御威胁n技术策略技术策略n法律制约法律制约n安全是相对的，不安全才是绝对的安全是相对的，不安全才是绝对的n尽量去保证安全性尽量去保证安全性4.1.6 网络安全的基本需求n既要保持网络既要保持网络开放灵活性开放灵活性n又要保证系统又要保证系统的安全性的安全性开放灵活性开放灵活性开放灵活性开放灵活性系统安全性系统安全性系统安全性系统安全性4.1.6 网络安全的基本需求(续)安全要求保密性保密性保密性保密性可用性可用性可用性可用性可控性可控性可控性可控性完整性完整性完整性完整性4.1.6 网络安全的基本需求(续)数据的保密性n数据保密性数据保密性n保护数据不泄露给非保护数据不泄露给非授权用户、实体或过授权用户、实体或过程程n使用数据加密使用数据加密n使用访问控制使用访问控制进不来进不来进不来进不来看不懂看不懂看不懂看不懂保密性保密性保密性保密性4.1.6 网络安全的基本需求(续)数据的完整性n数据完整性数据完整性n保护数据未经授权不能进行改变保护数据未经授权不能进行改变n保证数据处于完整和未受损的状态保证数据处于完整和未受损的状态n使用数据加密使用数据加密n使用归档、备份、镜像、检验、崩溃转储和故障前兆分析等使用归档、备份、镜像、检验、崩溃转储和故障前兆分析等拿不走拿不走改不了改不了完整性完整性4.1.6 网络安全的基本需求(续)数据的可用性n数据可用性数据可用性n保护可被授权实体访问并按需求使用保护可被授权实体访问并按需求使用n当用户需要时能存取所需数据，或能得到系统服务当用户需要时能存取所需数据，或能得到系统服务进不来进不来拿不走拿不走改不了改不了可用性可用性4.1.6 网络安全的基本需求(续)数据的可控性n数据可控性数据可控性n保护可以控制授权范围内的信息流向及行为方保护可以控制授权范围内的信息流向及行为方式式n控制谁能访问数据及如何访问控制谁能访问数据及如何访问n即使拥有合法授权，仍需认证网络用户即使拥有合法授权，仍需认证网络用户n记录用户的所有网络活动记录用户的所有网络活动4.1.6 网络安全的基本需求(续)其他需求n不可抵赖和不可否认不可抵赖和不可否认n用户不能抵赖自己曾做出的行用户不能抵赖自己曾做出的行为为n也不能否认曾经接到对方的信也不能否认曾经接到对方的信息息n保护网络硬件资源不被非法保护网络硬件资源不被非法占用占用n保护软件资源免受病毒的侵保护软件资源免受病毒的侵害害跑不掉跑不掉跑不掉跑不掉不可抵赖性不可抵赖性不可抵赖性不可抵赖性4.1.7 网络安全的管理策略n安全管理策略是指在特定的环境里，为保证提安全管理策略是指在特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则供一定级别的安全保护所必须遵守的规则n威严的法律威严的法律n先进的技术先进的技术n严格的管理严格的管理n制定安全策略是一种综合度的权衡制定安全策略是一种综合度的权衡n没有明确表述为允许的都被认为是被禁止的没有明确表述为允许的都被认为是被禁止的4.1.7 网络安全的管理策略(续)n确定网络资源的职责划分确定网络资源的职责划分n确定用户的权利与责任确定用户的权利与责任n明确网络使用的类型限制明确网络使用的类型限制n确定资源管理者可以对用户授予的权限级别确定资源管理者可以对用户授予的权限级别n准备检测到安全问题或系统遭受破坏时所采取的策略准备检测到安全问题或系统遭受破坏时所采取的策略n明确本网络对其他相连网络的职责明确本网络对其他相连网络的职责n策略发送至网络的每一个使用者手中策略发送至网络的每一个使用者手中4.2 网络安全标准网络安全标准 n国际标准化组织国际标准化组织(ISO)定义了以下几种基本的定义了以下几种基本的安全服务：认证服务、访问控制、数据机密性安全服务：认证服务、访问控制、数据机密性服务、数据完整性服务、不可否认服务。服务、数据完整性服务、不可否认服务。n不同环境和应用方式的网络安全有不同的含义不同环境和应用方式的网络安全有不同的含义和侧重和侧重n运行系统的安全运行系统的安全n系统信息的安全系统信息的安全n信息传播的安全信息传播的安全n信息内容的安全信息内容的安全4.2.1网络安全机制n防火墙防火墙n身份认证身份认证n数据加密数据加密n数字签名数字签名n安全监控安全监控企业內部网络企业內部网络企业內部网络企业內部网络InternetInternetInternet防火墙防火墙防火墙防火墙4.2.1 主要技术n加密加密n认证认证n访问控制访问控制n审计审计加密明文密钥密文解密密文密钥明文加密者解密者4.3 网络安全要素网络安全要素 4.4 防火墙技术n对黒客来说，只要有一点系统对黒客来说，只要有一点系统漏洞就足够了漏洞就足够了n保护网络安全的第一个建议就保护网络安全的第一个建议就是安装防火墙是安装防火墙4.4.1 什么是防火墙n防火墙定义防火墙定义n隔离在本地网络与外界网络之间的一道防御系统隔离在本地网络与外界网络之间的一道防御系统n隔离风险区域与安全区域的连接隔离风险区域与安全区域的连接n不会妨碍人们对风险区域的访问不会妨碍人们对风险区域的访问n设置防火墙简化网络的安全管理设置防火墙简化网络的安全管理InternetInternetInternet内部网络内部网络4.4.1 什么是防火墙(续)防火墙实现方式n路由器路由器n主机主机n子网子网4.4.2 防火墙的功能 n防火墙是企业网络中实施安全保护的核心防火墙是企业网络中实施安全保护的核心n防火墙能够拒绝进出网络的数据流量防火墙能够拒绝进出网络的数据流量n防火墙的主要功能有：防火墙的主要功能有：n过滤不安全的服务和非法用户过滤不安全的服务和非法用户n控制对特殊站点的访问控制对特殊站点的访问n提供监视提供监视Internet安全访问和预警的可靠节点安全访问和预警的可靠节点n实现公司的安全策略实现公司的安全策略n防止暴露内部网的结构防止暴露内部网的结构n审计和记录审计和记录Internet使用费用使用费用n在物理上设置一个单独的网段，放置服务器在物理上设置一个单独的网段，放置服务器4.4.3 防火墙的缺陷 n防火墙防范功能不完备防火墙防范功能不完备n防火墙的缺陷：防火墙的缺陷：n防火墙不能防范不经过防火墙的攻击防火墙不能防范不经过防火墙的攻击n防火墙不能防止感染了病毒的软件或文件的防火墙不能防止感染了病毒的软件或文件的传输传输n防火墙不能防止数据驱动式攻击防火墙不能防止数据驱动式攻击n防火墙需要其他的安全策略配合防火墙需要其他的安全策略配合4.4.4 防火墙的分类 n按照防火墙对内外来往数据的处理方法按照防火墙对内外来往数据的处理方法分类分类n包过滤防火墙包过滤防火墙n以色列的以色列的Checkpoint防火墙防火墙nCisco公司的公司的PIX防火墙防火墙n代理防火墙（应用层网关防火墙）代理防火墙（应用层网关防火墙）n美国美国NAI公司的公司的Gauntlet防火墙防火墙n状态检测防火墙状态检测防火墙 n自适应代理网关防火墙自适应代理网关防火墙 4.4.4.1包过滤的原理 n第一代包过滤称为静态包过滤第一代包过滤称为静态包过滤n根据定义好的过滤规则审查每个数据包，根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配以便确定其是否与某一条包过滤规则匹配n过滤规则是根据数据包的报头信息进行定过滤规则是根据数据包的报头信息进行定义的义的n“没有明确允许的都被禁止没有明确允许的都被禁止”4.4.4.1 包过滤的原理(续)IP地址过滤UNIXUNIX服务器服务器防火墙防火墙PCPC客户机客户机 4.4.4.1 包过滤的原理(续)防火墙阻止IP流 UNIX服务器服务器防火墙过滤目标防火墙过滤目标IPIP为为UNIXUNIX主机地址的主机地址的IPIP分组分组 TelnetTelnet客户客户TelnetTelnet服务器服务器TelnetTelnet产生目产生目标标地址为服务地址为服务器地址的器地址的IP分组分组n防火墙可以把所有发给防火墙可以把所有发给UNIX计算机的数计算机的数据包都给过滤掉据包都给过滤掉n防火墙可以根据防火墙可以根据IP地址判断是否过滤数据地址判断是否过滤数据包包nIP地址欺骗技术可以破坏上面的防范措施地址欺骗技术可以破坏上面的防范措施n采用采用TCP/UDP端口过滤技术端口过滤技术4.4.4.1 包过滤的原理(续)防火墙阻止IP流(续)4.4.4.1 包过滤的原理(续)服务器端TCP/UDP端口过滤UNIXUNIX服务器服务器 TelnetTelnet客户客户 TelnetTelnet服务器服务器 PCPC客户机客户机 Telnet应用程序产生目标应用程序产生目标IP为为UNIX服务器地址服务器地址TCP端口号为端口号为23的的IP分组分组防火墙阻断目标地址防火墙阻断目标地址为为UNIX服务器，服务器，TCP端口号为端口号为23的的IP分组，分组，让其他分组通行让其他分组通行nTCP/IP客户程序使用大于客户程序使用大于1023的随机的随机分配的端口号分配的端口号n打开所有高于打开所有高于1023的端口不安全的端口不安全n可以要求防火墙放行已知服务的数据包，可以要求防火墙放行已知服务的数据包，其他的全部挡在防火墙之外其他的全部挡在防火墙之外4.4.4.1 包过滤的原理(续)服务器端TCP/UDP端口过滤(续)4.4.4.1 包过滤的原理(续)TCP/UDP端口UNIXUNIX服务器服务器WebWeb服务器服务器 PCPC客户机客户机WebWeb客户客户客户机向服务器发送目客户机向服务器发送目标地址是标地址是Web服务器，服务器，目标目标TCP端口为端口为80的分的分组，防火墙则放行，其组，防火墙则放行，其他的他的IP包均过滤。包均过滤。n用户无法知道要访问的服务器正在运行用户无法知道要访问的服务器正在运行的端口号的端口号n源地址不能相信，目标端口也不可信任源地址不能相信，目标端口也不可信任n对于对于TCP协议，利用协议，利用ACK位位 4.4.4.1 包过滤的原理(续)TCP/UDP端口(续)4.4.4.1 包过滤的原理(续)使用ACK位外部外部WebWeb服务器服务器 PCPC客户机客户机1 1）客户发起连接请求）客户发起连接请求(ACK(ACK没有置位没有置位)2 2）服务器应答）服务器应答(ACK置位）置位）4.4.4.1 包过滤的原理(续)动态包过滤技术n使用使用ACK位无法解决一些问题位无法解决一些问题nFTP协议协议nUDP协议协议n使用动态包过滤技术使用动态包过滤技术n动态设置包过滤规则动态设置包过滤规则n发展成为状态检测（发展成为状态检测（Stateful Inspection）技术）技术n仍然存在问题，可以使用代理服务器仍然存在问题，可以使用代理服务器4.4.4.1 包过滤技术的优缺点 n优越的通信性能（优点）优越的通信性能（优点）n仅在第三层进行数据包的过滤，可以通过硬件实现仅在第三层进行数据包的过滤，可以通过硬件实现n对用户来说是完全透明对用户来说是完全透明n可以通过普通的路由器实现，节省投资可以通过普通的路由器实现，节省投资n包过滤技术的缺陷（缺点）主要为：包过滤技术的缺陷（缺点）主要为：n包过滤准则非常复杂，在实现上非常困难，对包过滤准包过滤准则非常复杂，在实现上非常困难，对包过滤准则难以进行检验则难以进行检验n包过滤技术对于高层的协议无法实现有效的过滤包过滤技术对于高层的协议无法实现有效的过滤n包过滤技术只能够实现基于主机和端口的过滤，无法实包过滤技术只能够实现基于主机和端口的过滤，无法实现针对用户和应用程序的过滤现针对用户和应用程序的过滤n当网络安全的方案十分复杂时，不能用数据包过滤技术当网络安全的方案十分复杂时，不能用数据包过滤技术来单独解决来单独解决4.4.4.2 代理技术 n代表企业内部网络和外界打交道的服务器代表企业内部网络和外界打交道的服务器n不允许存在任何网络内外的直接连接不允许存在任何网络内外的直接连接n提供公共和专用的提供公共和专用的DNS、邮件服务器等多种功能、邮件服务器等多种功能n代理服务器重写数据包时会修改一些数据代理服务器重写数据包时会修改一些数据n代理服务技术工作于代理服务技术工作于OSI模型的应用层模型的应用层n代理服务技术支持对高层协议的过滤代理服务技术支持对高层协议的过滤n代理服务中可以做到基于用户的认证代理服务中可以做到基于用户的认证n也叫应用层网关（也叫应用层网关（Application Gateway）防火墙）防火墙n代理技术可以隐藏内部网结构代理技术可以隐藏内部网结构4.4.4.2 代理技术的工作层次(续)传统代理型防火墙 应用层 表示层 会话层 传输层 网络层 链路层 物理层 应用层 表示层 会话层 传输层 网络层 链路层 物理层 应用层 表示层 会话层 传输层 网络层 链路层 物理层 应用层 表示层 会话层 传输层 网络层 链路层 物理层 4.4.4.2 代理技术的工作层次(续)传统代理型防火墙(续)n安全安全n每一个内外网络之间的连接都要通过每一个内外网络之间的连接都要通过Proxy的介入和转换，保证了安全的介入和转换，保证了安全n速度相对比较慢速度相对比较慢n当用户对内外网络网关的吞吐量要求比较高当用户对内外网络网关的吞吐量要求比较高时，代理防火墙就会成为内外网络之间的瓶时，代理防火墙就会成为内外网络之间的瓶颈颈4.4.4.2 代理技术的工作层次(续)适应代理技术n适应代理技术（适应代理技术（adaptive proxy）n代理防火墙的安全性代理防火墙的安全性n包过滤防火墙的高速度包过滤防火墙的高速度n组成适应代理技术的基本要素组成适应代理技术的基本要素n自适应代理服务器（自适应代理服务器（adaptive proxy server）n动态包过滤器（动态包过滤器（dynamic packet filter）4.4.4.2 代理技术的工作层次(续)自适应代理防火墙 应用层 表示层 会话层 传输层 网络层 链路层 物理层 应用层 表示层 会话层 传输层 网络层 链路层 物理层 应用层 表示层 会话层 传输层 网络层 链路层 物理层 4.4.4.2 代理技术的工作层次(续)自适应代理防火墙(续)n在自适应代理与动态包过滤器之间存在在自适应代理与动态包过滤器之间存在一个控制通道一个控制通道n用户配置防火墙十分简单用户配置防火墙十分简单n自适应代理根据用户的配置信息，决定自适应代理根据用户的配置信息，决定是从应用层代理请求还是从网络层转发是从应用层代理请求还是从网络层转发包包4.4.4.2 代理技术的优缺点 n优点如下：优点如下：n实现基于用户级的身份认证和访问控制实现基于用户级的身份认证和访问控制n提供非常详细的日志功能提供非常详细的日志功能n使用第三方的身份认证系统和日志记录系统使用第三方的身份认证系统和日志记录系统n具有内部地址的屏蔽及转换功能具有内部地址的屏蔽及转换功能n简化包过滤规则的设定简化包过滤规则的设定n缺点：缺点：n代理技术需要对每一种网络服务都必须有特定的服代理技术需要对每一种网络服务都必须有特定的服务代理，十分烦琐和不便务代理，十分烦琐和不便n代理版本总是落后于现实环境代理版本总是落后于现实环境n代理技术使网络的性能受到影响代理技术使网络的性能受到影响包过滤防火墙和代理防火墙技术特点 包过滤防火墙包过滤防火墙代理防火墙代理防火墙优点优点价格较低价格较低内置了专门为提高安全性而编制内置了专门为提高安全性而编制的代理应用程序，能够透彻理解的代理应用程序，能够透彻理解相关服务的命令，对来往数据包相关服务的命令，对来往数据包进行安全化处理进行安全化处理性能开销小，性能开销小，处理速度较快处理速度较快安全，不允许数据包通过防火墙，安全，不允许数据包通过防火墙，避免了数据驱动式攻击的发生避免了数据驱动式攻击的发生缺点缺点定义复杂，容易出现因配置不当定义复杂，容易出现因配置不当带来的问题带来的问题速度较慢，不太适用于高速网速度较慢，不太适用于高速网（千兆以太等）（千兆以太等）允许数据包直接通过，容易造成允许数据包直接通过，容易造成数据驱动式攻击的潜在危险数据驱动式攻击的潜在危险不能理解特定服务的上下文环境，不能理解特定服务的上下文环境，相应控制只能在高层由代理服务相应控制只能在高层由代理服务器和应用网关来完成器和应用网关来完成4.4.4.3状态检查防火墙n状态检查定义n对每一个通过防火墙的数据包都要进行检查n看数据包是否属于一个已经通过防火墙并且正在进行连接的会话，或者基于一组与包过滤规则相似的规则集对数据包进行处理4.4.4.3状态检查(续)执行步骤n检查数据包是否是一个已经建立并且正在使用检查数据包是否是一个已经建立并且正在使用的通信流的一部分的通信流的一部分n不同的协议的数据包的检查程度不同不同的协议的数据包的检查程度不同n如果数据包和连接表的各项都不匹配，防火墙如果数据包和连接表的各项都不匹配，防火墙会检测数据包是否与它所配置的规则集相匹配会检测数据包是否与它所配置的规则集相匹配n数据包通过检查后，防火墙会在其连接表中为数据包通过检查后，防火墙会在其连接表中为此次对话创建或者更新一个连接项此次对话创建或者更新一个连接项n防火墙通常对防火墙通常对TCP包中被设置的包中被设置的FIN位进行检位进行检测或者通过使用计时器来决定何时从连接表中测或者通过使用计时器来决定何时从连接表中删除某连接项删除某连接项4.4.4.3状态检查防火墙n状态检测技术可以将数据包的下列信息作为过滤的条件：n源IP地址和目的IP地址n源端口和目的端口nIP头部信息中的协议字段nICMP消息类型nIP和TCP中的选项类型nTCP标志位nVLAN信息防火墙其他技术nNAT技术技术n对对Internet隐藏内部地址，防止内部地址公开隐藏内部地址，防止内部地址公开nVPN技术技术n通过公共介质如通过公共介质如Internet扩展公司的网络。对传输数据进行加密，然后将数据封装在扩展公司的网络。对传输数据进行加密，然后将数据封装在IP包里，通过包里，通过Internet路由出去路由出去n内容检查技术内容检查技术n通过对信息流内容的分析，从而确保数据流的安全通过对信息流内容的分析，从而确保数据流的安全n加密技术加密技术n加密技术可以提供保密性、可认证性和完整性加密技术可以提供保密性、可认证性和完整性n安全审计安全审计n对网络上发生的事件进行记载和分析对网络上发生的事件进行记载和分析n对某些被保护网络的敏感信息访问保持不间断的记录对某些被保护网络的敏感信息访问保持不间断的记录n通过各种不同类型的报表、报警等方式向系统管理人员进行报告通过各种不同类型的报表、报警等方式向系统管理人员进行报告n身份认证身份认证n用户认证用户认证n客户认证客户认证n会话认证会话认证n负载均衡负载均衡n平衡服务器的负载，由多个服务器为外部网络用户提供相同的应用服务平衡服务器的负载，由多个服务器为外部网络用户提供相同的应用服务4.4.4.5 按防火墙的应用部署位置分n边界防火墙n边界防火墙位于内、外部网络的边界n对内、外部网络实施隔离n个人防火墙n个人防火墙安装于单台主机中n混合防火墙 n混合式防火墙就是“分布式防火墙”n分布于内、外部网络边界和内部各主机之间4.4.4.6 从硬、软件结构上分n软件防火墙 n软件防火墙运行于已预先安装好的计算机操作系统的计算机上n较有名的网络版软件防火墙是Checkpointn硬件防火墙n市场上大多数硬件防火墙多数基于PC架构n防火墙功能的实现依赖于经过裁剪和简化的操作系统n防火墙的安全性容易受到操作系统本身安全性的影响 n芯片级防火墙n芯片级防火墙基于专门的硬件平台n专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高n芯片级防火墙由于采用专用的操作系统，因此防火墙本身的漏洞比较少iptables 简介nnetfilter/iptables(下文简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样，这个包过滤防火墙是免费的，它可以替代昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换NAT等功能。nIptables官方网站 http:/filter.org/iptables 简介nIptables/netfilter包过滤防火墙其实是由两个组件构成，一个是netfilter,一个是iptables.nnetfilter组件nNetfilter组件被称为内核空间，它集成在Linux的内核中。Netfilter是一种内核中用于扩展各种网络服务的结构化底层框架。iptables 简介nnetfilter主要由信息包过滤表(tables)组成，包含了控制IP包处理的规则集(rules).根据规则所处理的IP包的类型,规则被分组在链(chain)中,从而使内核对来自某些源、前往某些目的地或具有某些协议类型的信息包处理方法，如完成信息包的处理、控制和过滤等工作。nIptables组件nIptables组件是一个简洁强大的工具，它也被称为用户空间，用户通过它来插入、删除和修改规则链中的规则，这些规则告诉内核中的netfilter组件如何去处理信息包。安装n源代码编译安装n下载n编译安装nRPM包安装http:/www.iptables.org/files/iptables-x.x.x.tar.bz2 ftp:/filter.org/pub/iptables/iptables-x.x.x.tar.bz2rpm-ivh iptables-1.2.7a.i386.rpmIptables基础n规则(rules)n规则其实就是网络管理员预定义的条件，规则一般的定义为“如果数据包头符合这样的条件，就这样处理这个数据包”。n链(chains)n链是数据包传播的路径，每一条链其实就是众多规则中的一个检查清单，每一条链中可以有一条或数条规则。n表(tables)n表提供特定的功能，iptables内置了3个表，即filter表、nat表和mangle表，分别用于实现包过滤、网络地址转换和包重构的功能。表(tables)nfilter表nfilter表主要用于过滤数据包，该表根据系统管理员预定义的一组规则过滤符合条件的数据包。nfilter表是iptables 默认的表，如果没有指定使用哪个表，iptables就默认使用filter表来执行所有的命令。nfilter表包含了INPUT链(处理进入的数据包)、FORWORD链（处理转发的数据包）和OUTPUT链（处理本地生成的数据包）。nnat表nnat表主要用于网络地址转换NAT，该表可以实现一对一、一对多、多对多等NAT工作，iptables就是使用该表实现共享上网功能的。nnat 表包含了PREROUTING链（修改即将到来的数据包）、OUTPUT链（修改在路由之前本地生成的数据包）和POSTROUTING链（修改即将出去的数据包）。nmangle表nmangle表主要用于对指定的包进行修改，因为某些特殊应用可能需要去改写数据包的一些传输特性，例如更改数据包的TTL和TOS等，不过在实际应用中该表的使用率不高。Iptables数据传输过程PREROUTING处理到来的数据包FORWARD处理转发的数据包POSTROUTING处理出去的数据包INPUT处理进入的数据包 OUTPUT处理本地生成数据包上层应用程序(接收或发送网络数据)iptables命令格式n表选项n表选项用于指定命令应用于哪个iptables内置表（filter表、nat表和mangle表）。iptables -t 表 -命令 匹配 动作 iptables命令格式n命令选项n命令选项用于指定iptables的执行方式，包括插入规则、删除规则和添加规则等.命令命令 说明说明-P或或-policy 链名链名定义默认策略定义默认策略-L或或-list 链名链名查看查看iptables规则列表规则列表-A或或-append 链名链名在规则列表的最后增加在规则列表的最后增加1条规则条规则-I或或-insert 链名链名在指定的位置插入在指定的位置插入1条规则条规则命令选项 命命 令令 说说 明明-D或或-delete 链名链名 删除一条规则删除一条规则-R或或-replace 链名链名替换一条规则替换一条规则-F或或-flush 链名链名删除所有的规则删除所有的规则-Z或或-zero 链名链名数据包计数器和流量计数器归零数据包计数器和流量计数器归零匹配选项n匹配选项指定数据包与规则匹配所应具有的特征，包括源地址、目的地址、传输协议(如TCP、UDP、ICMP)和端口号(如80、21和 110)等。匹配匹配 说明说明-i或或-in-interface 指定数据包是从哪个网络接口进入指定数据包是从哪个网络接口进入,如如ppp0、eth0和和eth1等等-o或或-out-interface 指定数据包是从哪个网络接口输出指定数据包是从哪个网络接口输出,如如ppp0、eth0和和eth1等等 匹配匹配 说明说明-p或或-proto 协议协议类型类型 指定数据包匹配的协议指定数据包匹配的协议,如如tcp、udp和和icmp等等-s或或-source 指定数据包匹配的源地址指定数据包匹配的源地址-sport 指定数据包匹配的源端口号，可以使用指定数据包匹配的源端口号，可以使用“起始端口号：结束端口号起始端口号：结束端口号”的格式指的格式指定一个范围的端口定一个范围的端口-d或或-destination 指定数据包匹配的目标地址指定数据包匹配的目标地址-dport 指定数据包匹配的目标端口号，可以使指定数据包匹配的目标端口号，可以使用用“起始端口号：结束端口号起始端口号：结束端口号”的格式的格式指定一个范围的端口指定一个范围的端口动作选项n动作选项指定当数据包与规则匹配时，应该做什么操作，如接受、丢弃等。动作动作 说明说明ACCEPT接受数据包接受数据包DROP丢弃数据包丢弃数据包REDIREDT将数据包重新转向到本机或另一台主将数据包重新转向到本机或另一台主机的某个端口，通常用功能实现透明机的某个端口，通常用功能实现透明代理或对外开放内网的某些服务代理或对外开放内网的某些服务动作选项 动作动作 说明说明SNAT源地址转换，即改变数据包的源源地址转换，即改变数据包的源地址地址DNAT目标地址转换，即改变数据包的目标地址转换，即改变数据包的目标地址目标地址MASQUERADEIP伪装，即常说的伪装，即常说的NAT技术技术LOG日志功能，将符合规则的数据包日志功能，将符合规则的数据包的相关数据包记录在日志中，以的相关数据包记录在日志中，以便管理员进行分析和排错便管理员进行分析和排错Iptables的使用n定义默认策略n查看iptables规则n增加、插入、删除和替换规则n清除规则和计数器定义默认策略n定义默认策略命令格式:【例1】将filter表INPUT链的默认策略定义为接受数据包iptables -t 表名 iptables -P INPUT ACCEPT定义默认策略【例2】将nat表OUTPUT链的默认策略定义为丢弃数据包iptables -t nat -P OUTPUT DROP查看iptables规则n命令格式为：【例】查看nat表所有链的规则列表。iptables -t 表名 链名ipatables -t nat -L增加、插入、删除和替换规则n命令格式：iptables -t 表名 链名规则编号 -i|o 网卡名称 -p 协议类型 -s 源IP地址|源子网 -sport 源端口号 -d 目标IP地址|目标子网-dport 目标端口号 增加、插入、删除和替换规则【例1】为filter表的INPUT链添加一条规则，规则的内容是将来自IP地址为192.168.188.161这台主机的数据包都予以丢弃，然后查看filter表的INPUT链规则列表。iptables -t filter -A INPUT s 192.168.188.161 -j DROP iptables -t filter -L INPUT增加、插入、删除和替换规则【例2】iptables -t filter -A INPUT -s 192.168.188.161 -j ACCEPTiptables -t filter -L INPUT增加、插入、删除和替换规则【例3】iptables -t filter -I INPUT 2 -s 192.168.188.1.0/24 -p tcp -dport 80 -j ACCEPTiptables -t filter -L INPUT增加、插入、删除和替换规则【例4】删除filter表的INPUT链规则列表中第3条规则，然后查看fi