网络安全的构成 物理安全性 设备的物理安全:防火、防盗、防破坏等 通信网络安全性 防止入侵和信息泄露 系统安全性 计算机系统不被入侵和破坏 用户访问安全性 通过身份鉴别和访问控制,阻止资源被非法用户访问 数据安全性 数据的完整、可用 数据保密性 信息的加密存储和传输 安全的分层结构和主要技 术 物理安全 层 网络安全 层 系统安全 层 用户安全 层 应用安全 层 数据安全 层 加密 访问控制 授权 用户/组管理 单机登录 身份认证 反病毒 风险评估 入侵检测 审计分析 安全的通信协议 VPN 防火墙 存储备份 防火墙基本概念 什么是防火墙 防火墙是位于两个(或多个)网络间,实施 网间访问控制的组件集合,通过建立一整 套规则和策略来监测、限制、更改跨越防 火墙的数据流,达到保护内部网络的目的 防火墙的设计目标 内部和外部之间的所有网络数据流必须经过 防火墙; 只有符合安全政策的数据流才能通过防火墙; 防火墙自身能抗攻击; 防火墙 = 硬件 + 软件 + 控制策略 防火墙逻辑位置示意图 企业网现状 移动 移动 用户 用户 Internet Internet 用户 用户 Internet Internet 企业网 企业网 分公司 分公司 商业伙伴 商业伙伴 危机四伏 常见的威胁 粗心大意或不满的员工 恶意代码(Malware) 病毒、蠕虫、特洛伊木馬、恶作 剧程序 恶性的竞争对手 黑客(Hacker) …… 需求 为什么需要防火墙 保护内部网不受来自Internet的 攻击 创建安全域 强化机构安全策略 对防火墙的两大需求 保障内部网安全 保证内部网同外部网的连通 防火墙系统四要素 安全策略 内部网 外部网 技术手段 防火墙的控制能力 服务控制 确定哪些服务可以被访问; 方向控制 对于特定的服务,可以确定允许 哪个方向能够通过防火墙; 用户控制 根据用户来控制对服务的访问; 行为控制 防火墙能做什么 - 1 隔断 挡住未经授权的访问流量; 禁止具有脆弱性的服务带来危害; 实施保护,以避免各种IP欺骗和 路由攻击; 过滤 过滤掉未经授权的网络流量; 代理 防火墙能做什么 - 2 审计 报警 NAT 解决IP地址不足的问题 保护内部网络地址配置 隐藏网络服务的真实地址 计费 防火墙技术带来的好处 强化安全策略 有效地记录Internet上的活动 隔离不同网络,限制安全问题 扩散 是一个安全策略的检查站 防火墙的不足 使用不便,有些人认为防火墙给人虚假的安全 感 对用户不完全透明,可能带来传输延迟瓶颈及 单点失效 不能替代墙内的安全措施 不能防范恶意的知情者 不能防范不通过它的连接,如拨号 不能防范全新的威胁 不能有效地防范数据驱动式的攻击,如病毒 当使用端-端加密时其作用会受到很大的限制 关于防火墙的争议 防火墙破坏了Internet端到端 的特性,阻碍了新的应用的发 展 防火墙没有解决主要的安全问 题,即网络内部的安全问题 防火墙给人一种误解,降低了 人们对主机安全的意识 防火墙的类型 防火墙的类型 包过滤路由器 应用层网关 电路层网关 包过滤路由器 基本的思想 在网络层对数据包进行选择 对于每个进来的包,适用一组规则,然后决定转发 或者丢弃该包 判断依据有(只考虑IP包): 数据包协议类型:TCP、UDP、ICMP、IGMP等 源、目的IP地址 源、目的端口:FTP、HTTP、DNS等 IP选项:源路由、记录路由等 TCP选项:SYN、ACK、FIN、RST等 其它协议选项:ICMP ECHO、ICMP ECHO REPLY等 数据包流向:in或out 数据包流经网络接口:eth0、eth1 包过滤路由器示意图 网络层 链路层 物理层 外部网 络 内部网 络 包过滤防火墙的特点 在网络层上进行监测 并没有考虑连接状态信息 通常在路由器上实现 实际上是一种网络的访问控制机制 优点: 实现简单 对用户透明 一个包过滤路由器即可保护整个网络 缺点: 正确制定规则并不容易 不可能引入认证机制 包过滤防火墙只通过简单的规则控制数据流的进出, 没考虑高层的上下文信息 过滤规则举例 第一条规则:主机10.1.1.1任何端口访问任何主机的任何端 口,基于TCP协议的数据包都允许通过。 第二条规则:任何主机的20端口访问主机10.1.1.1的任何端 口,基于TCP协议的数据包允许通过。 第三条规则:任何主机的20端口访问主机10.1.1.1小于 1024的端口,如果基于TCP协议的数据包都禁止通过。 组序号 动作 源IP 目的IP 源端口 目的端口 协议类型 1 允许 10.1.1.1 * * * TCP 2 允许 * 10.1.1.1 20 * TCP 3 禁止 * 10.1.1.1 20 <1024 TCP 针对包过滤防火墙的攻击 IP地址欺骗,
