计算机网络安全基础第8章课件.ppt

2023年3月27日5时13分,计算机网络安全基础,第8章 防火墙技术,本章主要介绍：1.防火墙基本概念2.防火墙的基本功能3.防火墙的体系结构4.包过滤5.代理服务6.堡垒主机以及防火墙的选购原则,2023年3月27日5时13分,计算机网络安全基础,8.1 防火墙基本概念,8.1.1 因特网防火墙1防火墙的基本知识防火墙是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，目的是保护网络不被他人侵扰。本质上，它遵循的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。通常，防火墙就是位于内部网或Web站点与因特网之间的一个路由器或一台计算机，又称为堡垒主机。其目的如同一个安全门，为门内的部门提供安全，控制那些可被允许出入该受保护环境的人或物。就像工作在前门的安全卫士，控制并检查站点的访问者。,2023年3月27日5时13分,计算机网络安全基础,8.1 防火墙基本概念,防火墙是由管理员为保护自己的网络免遭外界非授权访问但又允许与因特网联接而发展起来的。从网际角度，防火墙可以看成是安装在两个网络之间的一道栅栏，根据安全计划和安全策略中的定义来保护其后面的网络。由软件和硬件组成的防火墙应该具有以下功能。（1）所有进出网络的通信流都应该通过防火墙。（2）所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。（3）理论上说，防火墙是穿不透的。,2023年3月27日5时13分,计算机网络安全基础,8.1 防火墙基本概念,内部网需要防范的三种攻击有：间谍：试图偷走敏感信息的黑客、入侵者和闯入者。盗窃：盗窃对象包括数据、Web表格、磁盘空间和CPU资源等。破坏系统：通过路由器或主机服务器蓄意破坏文件系统或阻止授权用户访问内部网（外部网）和服务器。这里，防火墙的作用是保护Web站点和公司的内部网，使之免遭因特网上各种危险的侵犯。,2023年3月27日5时13分,计算机网络安全基础,8.1 防火墙基本概念,防火墙在因特网与内部网中的位置 从逻辑上讲，防火墙是分离器、限制器和分析器。从物理角度看，各站点防火墙物理实现的方式有所不同。通常防火墙是一组硬件设备，即路由器、主计算机或者是路由器、计算机和配有适当软件的网络的多种组合。,2023年3月27日5时13分,计算机网络安全基础,8.1 防火墙基本概念,2防火墙的基本功能（1）防火墙能够强化安全策略（2）防火墙能有效地记录因特网上的活动（3）防火墙限制暴露用户点（4）防火墙是一个安全策略的检查站3防火墙的不足之处（1）不能防范恶意的知情者（2）防火墙不能防范不通过它的连接（3）防火墙不能防备全部的威胁（4）防火墙不能防范病毒,2023年3月27日5时13分,计算机网络安全基础,8.1 防火墙基本概念,8.1.2数据包过滤防火墙通常是一个具备包过滤功能的简单路由器，支持因特网安全。这是使因特网联接更加安全的一种简单方法，因为包过滤是路由器的固有属性。包是网络上信息流动的单位。在网上传输的文件一般在发出端被划分成一串数据包，经过网上的中间站点，最终传到目的地，然后这些包中的数据又重新组成原来的文件。每个包有两个部分：数据部分和包头。包头中含有源地址和目标地址等信息。包过滤一直是一种简单而有效的方法。通过拦截数据包，读出并拒绝那些不符合标准的包头，过滤掉不应入站的信息。,2023年3月27日5时13分,计算机网络安全基础,8.1 防火墙基本概念,每个数据包都包含有特定信息的一组报头，其主要信息是：（1）IP协议类型（TCP、UDP，ICMP等）；（2）IP源地址；（3）IP目标地址；（4）IP选择域的内容；（5）TCP或UDP源端口号；（6）TCP或UDP目标端口号；（7）ICMP消息类型。路由器也会得到一些在数据包头部信息种没有得到的关于数据包得其他信息。,2023年3月27日5时13分,计算机网络安全基础,8.1 防火墙基本概念,过滤路由器放置在内部网络与因特网之间，作用为：（l）过滤路由器将担负更大的责任，它不但需要执行转发及确定转发的任务，而且它是唯一的保护系统；（2）如果安全保护失败（或在侵袭下失败），内部的网络将被暴露；（3）简单的过滤路由器不能修改任务；（4）过滤路由器能容许或否认服务，但它不能保护在一个服务之内的单独操作。如果一个服务没有提供安全的操作要求，或者这个服务由不安全的服务器提供，数据包过滤路由器则不能保护它。,2023年3月27日5时13分,计算机网络安全基础,8.1 防火墙基本概念,8.1.3 代理服务代理服务是运行在防火墙主机上的一些特定的应用程序或者服务程序。防火墙主机可以是有一个内部网络接口和一个外部网络接口的双重宿主主机，也可以是一些可以访问因特网并可被内部主机访问的堡垒主机。这些程序接受用户对因特网服务的请求（诸如文件传输FTP和远程登录Telnet等），并按照安全策略转发它们到实际的服务。所谓代理就是一个提供替代连接并且充当服务的网关。代理也称之为应用级网关。代理服务位于内部用户（在内部的网络上）和外部服务（在因特网上）之间。代理在幕后处理所有用户和因特网服务之间的通信以代替相互间的直接交谈。,2023年3月27日5时13分,计算机网络安全基础,8.1 防火墙基本概念,代理的实现过程,2023年3月27日5时13分,计算机网络安全基础,8.1 防火墙基本概念,8.1.4 防火墙体系结构1双重宿主主机体系结构双重宿主主机体系结构是围绕具有双重宿主的主体计算机而构筑的。该计算机至少有两个网络接口，这样的主机可以充当与这些接口相连的网络之间的路由器，并能够从一个网络到另一个网络发送IP数据包。防火墙内部的网络系统能与双重宿主主机通信，同时防火墙外部的网络系统（在因特网上）也能与双重宿主主机通信。通过双重宿主主机，防火墙内外的计算机便可进行通信了，但是这些系统不能直接互相通信，它们之间的IP通信被完全阻止。,2023年3月27日5时13分,计算机网络安全基础,8.1 防火墙基本概念,双重宿主主机的防火墙体系结构是相当简单的，双重宿主主机位于两者之间，并且被连接到因特网和内部的网络。右图显示这种体系结构。,2023年3月27日5时13分,计算机网络安全基础,8.1 防火墙基本概念,2主机过滤体系结构在主机过滤体系结构中提供安全保护的主机仅仅与内部网相连。另外，主机过滤结构还有一台单独的路由器（过滤路由器）。在这种体系结构中，主要的安全由数据包过滤提供，其结构如右图所示。,2023年3月27日5时13分,计算机网络安全基础,8.1 防火墙基本概念,3子网过滤体系结构子网过滤体系结构添加了额外的安全层到主机过滤体系结构中，即通过添加参数网络，更进一步地把内部网络与因特网隔离开。子网过滤体系结构的最简单的形式为两个过滤路由器，每一个都连接到参数网，一个位于参数网与内部的网络之间，另一个位于参数网与外部网络之间。,2023年3月27日5时13分,计算机网络安全基础,8.1 防火墙基本概念,（1）参数网络参数网络是在内外部网之间另加的一层安全保护网络层。如果入侵者成功地闯过外层保护网到达防火墙，参数网络就能在入侵者与内部网之间再提供一层保护。如果入侵者仅仅侵入到参数网络的堡垒主机，他只能偷看到这层网络（参数网络）的信息流（看不到内部网的信息），而这层网络的信息流仅从参数网络往来于外部网或者从参数网络往来于堡垒主机。因为没有纯粹的内部信息流（内部主机间互传的重要和敏感的信息）在参数网络中流动，所以即使堡垒主机受到损害也不会让入侵者破坏内部网的信息流。,2023年3月27日5时13分,计算机网络安全基础,8.1 防火墙基本概念,（2）堡垒主机在子网过滤结构中，我们将堡垒主机与参数网络相连，而这台主机是外部网服务于内部网的主节点。它为内部网服务的主要功能有：它接收外来的电子邮件再分发给相应的站点；它接收外来的FTP，并连到内部网的匿名FTP服务器；它接收外来的有关内部网站点的域名服务。向外的服务功能可用以下方法来实施：在内、外部路由器上建立包过滤，以便内部网的用户可直接操作外部服务器；在主机上建立代理服务，在内部网的用户与外部的服务器之间建立间接的连接。,2023年3月27日5时13分,计算机网络安全基础,（3）内部路由器内部路由器的主要功能是保护内部网免受来自外部网与参数网络的侵扰。内部路由器完成防火墙的大部分包过滤工作，它允许某些站点的包过滤系统认为符合安全规则的服务在内外部网之间互传。根据各站点的需要和安全规则，可允许的服务是以下这些外向服务中的若干种，如：Telnet、FTP、WAIS、Archie、Gopher或者其它服务。内部路由器可以设定，使参数网络上的堡垒主机与内部网之间传递的各种服务和内部网与外部网之间传递的各种服务不完全相同。,8.1 防火墙基本概念,2023年3月27日5时13分,计算机网络安全基础,8.1 防火墙基本概念,（4）外部路由器外部路由器既可保护参数网络又保护内部网。实际上，在外部路由器上仅做一小部分包过滤，它几乎让所有参数网络的外向请求通过，而外部路由器与内部路由器的包过滤规则是基本上相同的。外部路由器的包过滤主要是对参数网络上的主机提供保护。然而，一般情况下，因为参数网络上主机的安全主要通过主机安全机制加以保障，所以由外部路由器提供的很多保护并非必要。外部路由器真正有效的任务就是阻断来自外部网上伪造源地址进来的任何数据包。这些数据包自称是来自内部网，而其实它是来自外部网。,2023年3月27日5时13分,计算机网络安全基础,8.1 防火墙基本概念,8.1.5 防火墙的各种变化和组合（l）使用多堡垒主机；（2）合并内部路由器与外部路由器；（3）合并堡垒主机与外部路由器；（4）合并堡垒主机与内部路由器；（5）使用多台内部路由器；（6）使用多台外部路由器；（7）使用多个参数网络；（8）使用双重宿主主机与子网过滤。,2023年3月27日5时13分,计算机网络安全基础,8.1 防火墙基本概念,8.1.6 内部防火墙但有时为了某些原因，我们还需要对内部网的部分站点再加以保护以免受其它站点的侵袭。因此，有时我们需要在同一结构的两个部分之间，或者在同一内部网的两个不同组织结构之间再建立防火墙（也被称为内部防火墙）。因为网络中每一个用户所需要的服务和信息经常是不一样的，它们对安全保障的要求也不一样，所以我们可以将网络组织结构的一部分与其余站点隔离（比如，财务部分要与其它部分分开）。,2023年3月27日5时13分,计算机网络安全基础,8.1 防火墙基本概念,1试验网络在大多数情况下，应该在内部防火墙中设置这样的包过滤：允许内部网的其它站点主动地连接试验网络，而对试验网络，只允许建立与被认为是安全内部网的其它站点的连接。在有些情况下，我们也可能要防止内部网其它站点的某些类型的信息流干扰试验网络，因此要设置允许所有的外向连接（对试验网络而言）而控制内向连接的包过滤。如果有几个试验网络，最好的方法是设置一个参数网络，并给每个试验网络配置一台路由器并连接到参数网络。而主要的包过滤工作在连接参数网络与内部主网的路由器上完成。,2023年3月27日5时13分,计算机网络安全基础,8.1 防火墙基本概念,2低保密网络试验网络比较危险，但它对整个内部网的安全构成的威胁还不是最大的。而许多内部网组织结构里面的资源本身就固有一些非安全因素。比如，校园网中那些包含学生公寓网点的部分就被认为是不安全的，单位企业网中的那些演示网部分、客户培训网部分和开放实验室网部分都被认为是安全性比较差的。但这些网又比纯粹的外部网与内部网其它部分的交互要多得多。这些网络称为低保密网。,2023年3月27日5时13分,计算机网络安全基础,8.1 防火墙基本概念,3高保密网络内部网的某些站点可能需要很高的安全保障。比如校园网中的教务网、招生信息网，商业网中的财务网、新品开发网都应具有相当高的保密度。当高保密网的信息流通过内部网的其它部分时，可以用对信息进行加密的方法对它们加以保护。也可将高保密网与内部网的其它部分完全隔离。比如，有一个新品开发网，这个网的用户只有在注册到某台机器上时方可使用该网络，这样就可用防火墙（一般是一台带有包过滤的路由器）将这个网与内部网完全分离。这个防火墙对待内部网的其它用户就像对待外部网一样。一般情况下，这类高保密网需要的外部服务并不太多，因此在防火墙内不一定要有堡垒主机，而只有在防火墙保护极为机密的内部子网上，才用参数网络。,2023年3月27日5时13分,计算机网络安全基础,8.1 防火墙基本概念,4联合防火墙若干企业集团为了合作开发项目而需在一定的时间内共享某些机器、数据和其它资源。在建立内部防火墙时，应根据以下原则来限定哪些资源需共享；哪些信息需保护；又如何来实现保护：（l）为何要与其它企业网络相连。这将决定内部防火墙允许哪些服务通过、阻断哪些服务。（2）是否希望与对方在不使用因特网的前提下互传电子邮件和文件。（3）是否试图为两个不同企业项目开发组的成员创立一个共同的软件平台。如有此要求则需要两个防火墙来隔离该软件平台与各企业的本地网。（4）支持哪类信息互传，又需要加何种安全保护。,2023年3月27日5时13分,计算机网络安全基础,8.1 防火墙基本概念,5共享参数网络共享参数网络结构是解决联合网安全问题的一个好办法。每个参与联合体的网在参数网络上都有各自能控制的路由器。在有些结构中，参数网络上没有堡垒主机，而这些路由器是参数网络上仅有的设备。6内部防火墙的堡垒主机选择如果联合网的各合作单位间有足够的信任度，那在防火墙中可仅使用包过滤，以便其它单位的用户与本单位的内部网服务可直接建立连接（如DNS、SMTP）。相反，如果各单位间缺乏足够的信任度，他们可建立各自的参数网络，建立他们可单独控制的堡垒主机。这样从一个内部网流出的信息流须经过两台堡垒主机方可抵达另一内部网。,2023年3月27日5时13分,计算机网络安全基础,8.2 堡垒主机,8.2.1 建立堡垒主机的一般原则1最简化原则堡垒主机越简单，对它进行保护就越方便。堡垒主机提供的任何网络服务都有可能在软件上存在缺陷或在配置上存在错误，而这些差错就可能使堡垒主机的安全保障出问题。因此，在堡垒主机上设置的服务必须最少，同时对必须设置的服务软件只能给予尽可能低的权限。2预防原则,2023年3月27日5时13分,计算机网络安全基础,8.2 堡垒主机,8.2.2堡垒主机的种类堡垒主机目前一般有以下三种类型：无路由双宿主主机、牺牲主机和内部堡垒主机。无路由双宿主主机有多个网络接口，但这些接口间没有信息流。这种主机本身就可作为一个防火墙，也可作为一个更复杂防火墙结构的一部分。牺牲主机除了可让用户随意登录外，其配置基本上与一般的堡垒主机一样。用户总是希望在堡垒主机上存有尽可能多的服务与程序。主要特点是它易于被管理，即使被侵袭也无碍内部网的安全。,2023年3月27日5时13分,计算机网络安全基础,8.2 堡垒主机,在大多数配置中，堡垒主机可与某些内部主机进行交互。比如，堡垒主机可传送电子邮件给内部主机的邮件服务器，传送Usenet新闻给新闻服务器，与内部域名服务器协同工作等。这些内部主机其实是有效的次级堡垒主机，对它们就应像保护堡垒主机一样加以保护。我们可以在它们上面多放一些服务，但对它们的配置必须遵循与堡垒主机一样的过程。,2023年3月27日5时13分,计算机网络安全基础,8.2 堡垒主机,8.2.3 堡垒主机的选择1堡垒主机操作系统的选择2堡垒主机速度的选择3堡垒主机的硬件4堡垒主机的物理位置（1）位置要安全（2）堡垒主机在网络上的位置堡垒主机应被放置在没有机密信息流的网络上，最好放置在一个单独的网络上。,2023年3月27日5时13分,计算机网络安全基础,8.2 堡垒主机,8.2.4 堡垒主机提供的服务堡垒主机应当提供站点所需求的所有与因特网有关的服务，同时还要经过包过滤提供内部网向外界的服务。任何与外部网无关的服务都不应放置在堡垒主机上。（1）无风险服务，仅仅通过包过滤便可实施的服务。（2）低风险服务，在有些情况下这些服务运行时有安全隐患，但加以一些安全控制措施便可消除安全问题。（3）高风险服务，在使用这些服务时无法彻底消除安全隐患；这类服务一般应被禁用，特别需要时也只能放置在主机上使用。（4）禁用服务，应被彻底禁止使用的服务。,2023年3月27日5时13分,计算机网络安全基础,8.2 堡垒主机,电子邮件（SMTP）是堡垒主机应提供的最基本的服务，其它还应提供的服务有：FTP，文件传输服务；WAIS，基于关键字的信息浏览服务；HTTP，超文本方式的信息浏览服务；NNTP，Usenet新闻组服务；Gopher，菜单驱动的信息浏览服务。为了支持以上这些服务，堡垒主机还应有域名服务（DNS）。,2023年3月27日5时13分,计算机网络安全基础,8.2 堡垒主机,8.2.5 建立堡垒主机我们在上面已介绍了堡垒主机应完成的工作，而建立堡垒主机则应遵循以下步骤。（l）给堡垒主机一个安全的运行环境。（2）关闭机器上所有不必要的服务软件。（3）安装或修改必需的服务软件。（4）根据最终需要重新配置机器。（5）核查机器上的安全保障机制。（6）将堡垒主机连入网络。,2023年3月27日5时13分,计算机网络安全基础,8.2 堡垒主机,建立堡垒主机应该注意以下几点：（1）要在机器上使用最小的、干净的和标准的操作系统。（2）应该认真对待每一条从计算机紧急救援协作中心获得的针对用户目前工作平台的安全建议。（3）要经常使用检查列表（Checklist）。（4）要保护好系统的日志。作为极为重要的主机，堡垒主机上记录有很多信息，建立堡垒主机的一个重要步骤就是要确保系统日志的安全。系统日志非常重要，因为通过它可以判断出堡垒主机的运行是否正常，同时，当有黑客入侵到堡垒主机时，系统日志是记录当时现场的主要机制。所以妥善存放日志很重要。,2023年3月27日5时13分,计算机网络安全基础,8.2 堡垒主机,8.2.6 堡垒主机的监测1监测堡垒主机的运行完成了对堡垒主机的所有配置就可把它连到网上。为了能监视堡垒主机的运行情况，及时发现出现的异常现象，及早发现入侵者或系统本身的安全漏洞。我们首先必须详细了解正常系统运行时预处理文件的内容，包括以下几项：（l）一般在同一时刻大概会有几个作业在运行？（2）每个作业一般花费多少CPU时间？（3）一天内哪些时间是系统重载的时间？2自动监测堡垒主机,2023年3月27日5时13分,计算机网络安全基础,8.2 堡垒主机,8.2.7 堡垒主机的保护与备份在完成堡垒主机的配置并将它投入正常运行后，要给它以较好的物理运行环境，并将有关软件做备份，将文档资料妥善保存。备份文件应与堡垒主机分离。这样可保证备份不会被侵入到堡垒主机的黑客破坏。由于堡垒主机应是一个稳定的系统，因而备份的制作频度可以稍低一些。每周一次或每月一次便足够了。堡垒主机的系统备份不仅仅是为系统瘫痪后而重建系统时用的，它也是我们检查系统是否被侵入的工具之一。像其它重要的备份一样，妥善保管好堡垒主机的备份与保护机器本身同样重要。,2023年3月27日5时13分,计算机网络安全基础,8.3 包过滤,包过滤是一种保安机制，它控制哪些数据包可以进出网络而哪些数据包应被网络拒绝。我们在这儿首先简单介绍一些高层IP（因特网协议）网络的概念。一个文件要穿过网络，必须将文件分成小块，每小块文件单独传输。把文件分成小块的做法主要是为了让多个系统共享网络，每个系统可以依次发送文件块。在IP网络中，这些小块被称为包。所有的信息传输都是以包的方式来实施的。,2023年3月27日5时13分,计算机网络安全基础,8.3 包过滤,8.3.1 包过滤是如何工作的包过滤技术可以允许或不允许某些包在网络上传递，它依据以下的判据：（1）将包的目的地址作为判据；（2）将包的源地址作为判据；（3）将包的传送协议作为判据。包过滤系统只能让我们进行类似以下情况的操作：（1）不让任何用户从外部网用Telnet登录；（2）允许任何用户使用SMTP往内部网发电子邮件；（3）只允许某台机器通过NNTP往内部网发新闻。,2023年3月27日5时13分,计算机网络安全基础,8.3 包过滤,包过滤不能允许我们进行如下的操作：（1）允许某个用户从外部网用Telnet登录而不允许其它用户进行这种操作。（2）允许用户传送一些文件而不允许用户传送其它文件。入侵者总是把他们伪装成来自于内部网。要用包过滤路由器来实现我们设计的安全规则，唯一的方法是通过参数网络上的包过滤路由器。只有处在这种位置上的包过滤路由器才能通过查看包的源地址，从而辨认出这个包到底是来自于内部网还是来自于外部网。,2023年3月27日5时13分,计算机网络安全基础,8.3 包过滤,源地址伪装,2023年3月27日5时13分,计算机网络安全基础,8.3 包过滤,1包过滤的优点包过滤方式有许多优点，而其主要优点之一是仅用一个放置在重要位置上的包过滤路由器就可保护整个网络。如果我们的站点与因特网间只有一台路由器，那么不管站点规模有多大，只要在这台路由器上设置合适的包过滤，我们的站点就可获得很好的网络安全保护。2包过滤的缺点（1）在机器中配置包过滤规则比较困难；（2）对系统中的包过滤规则的配置进行测试也较麻烦；（3）许多产品的包过滤功能有这样或那样的局限性，要找一个比较完整的包过滤产品比较困难。,2023年3月27日5时13分,计算机网络安全基础,8.3 包过滤,8.3.2 包过滤路由器的配置在配置包过滤路由器时，我们首先要确定哪些服务允许通过而哪些服务应被拒绝，并将这些规定翻译成有关的包过滤规则。下面给出将有关服务翻译成包过滤规则时非常重要的几个概念。（1）协议的双向性。协议总是双向的，协议包括一方发送一个请求而另一方返回一个应答。在制定包过滤规则时，要注意包是从两个方向来到路由器的。（2）“往内”与“往外”的含义。在我们制定包过滤规则时，必须准确理解“往内”与“往外”的包和“往内”与“往外”的服务这几个词的语义。,2023年3月27日5时13分,计算机网络安全基础,8.3 包过滤,（3）“默认允许”与“默认拒绝”。网络的安全策略中的有两种方法：默认拒绝（没有明确地被允许就应被拒绝）与默认允许（没有明确地被拒绝就应被允许）。从安全角度来看，用默认拒绝应该更合适。8.3.3 包的基本构造 包的构造有点像洋葱一样，它是由各层连接的协议组成的。每一层，包都由包头与包体两部分组成。在包头中存放与这一层相关的协议信息，在包体中存放包在这一层的数据信息。这些数据信息也包含了上层的全部信息。在每一层上对包的处理是将从上层获取的全部信息作为包体，然后依本层的协议再加上包头。这种对包的层次性操作（每一层均加装一个包头）一般称为封装。,2023年3月27日5时13分,计算机网络安全基础,8.3 包过滤,数据包的封装,2023年3月27日5时13分,计算机网络安全基础,8.3 包过滤,8.3.4 包过滤处理内核过滤路由器可以利用包过滤作为手段来提高网络的安全性。1包过滤和网络策略包过滤还可以用来实现大范围内的网络安全策略。网络安全策略必须清楚地说明被保护的网络和服务的类型、它们的重要程度和这些服务要保护的对象。2一个简单的包过滤模型包过滤器通常置于一个或多个网段之间。外部网段是通过网络将用户的计算机连接到外面的网络上，内部网段用来连接公司的主机和其它网络资源。包过滤器设备的每一端口都可用来完成网络安全策略，该策略描述了通过此端口可访问的网络服务类型。,2023年3月27日5时13分,计算机网络安全基础,8.3 包过滤,3包过滤器操作（l）包过滤标准必须由包过滤设备端口存储起来，这些包过滤标准叫包过滤规则。（2）当包到达端口时，对包的报头进行语法分析，大多数包过滤设备只检查IP、TCP或UDP报头中的字段，不检查包体的内容。（3）包过滤器规则以特殊的方式存储。（4）如果一条规则阻止包传输或接收，此包便不被允许通过。（5）如果一条规则允许包传输或接收，该包可以继续处理。（6）如果一个包不满足任何一条规则，该包被阻塞。,2023年3月27日5时13分,计算机网络安全基础,包过滤操作流程图,2023年3月27日5时13分,计算机网络安全基础,8.3 包过滤,4包过滤设计考虑图中的网络，其中过滤路由器被用作在内部被保护网络和外部不信任网络之间的第一道防线。假设网络策略安全规则确定：从外部主机发来的因特网邮件在某一特定网关被接收，并且想拒绝从不信任的CREE-PHOST的主机发来的数据流。,2023年3月27日5时13分,计算机网络安全基础,8.3 包过滤,在这个例子中，SMTP使用的网络安全策略必须翻译成包过滤规则。我们可以把网络安全规则翻译成下列中文规则：过滤器规则1：我们不相信从CREE-PHOST来的连接。过滤器规则2：我们允许与我们的邮件网关的连接。这些规则可以编成表。其中星号（*）表明它可以匹配该列的任何值。对于过滤器规则1：阻塞任何从（*）CREE-PHOST端口来的到我们任意（*）主机的任意（*）端口的连接。对于过滤器规则2：允许任意（*）外部主机从其任意（*）端口到我们的Mail-GW主机端口的连接。,2023年3月27日5时13分,计算机网络安全基础,8.3 包过滤,对于过滤器规则3：表示了一个内部主机发送SMTP邮件到外部主机端口25。如果外部站点对SMTP不使用端口25，那么SMTP发送者便发送邮件。这些规则应用的顺序与它们在表中的顺序相同。如果一个包不与任何规则匹配，它就会遭到拒绝。表中规定：它允许任何外部机器从端口25产生一个请求。端口25应该保留SMTP。,2023年3月27日5时13分,计算机网络安全基础,8.3 包过滤,8.3.5 包过滤规则 制定包过滤规则时应注意的事项：（l）联机编辑过滤规则。（2）要用IP地址值，而不用主机名。8.3.6 依据地址进行过滤在包过滤系统中，最简单的方法是依据地址进行过滤。用地址进行过滤可以不管使用什么协议，仅根据源地址/目的地址对流动的包进行过滤。我们可用这种方法只让某些被指定的外部主机与某些被指定的内部主机进行交互。还可以防止黑客用伪包装成来自某台主机，而其实并非来自于那台主机的包对网络进行的侵扰。,2023年3月27日5时13分,计算机网络安全基础,8.3 包过滤,8.3.7 依据服务进行过滤 1往外的Telnet服务 在往外的Telnet服务中，一个本地用户与一个远程服务器交互。我们必须对往外与往内的包都加以处理。2往内的Telnet服务3依据源端口来过滤依据源端口来过滤必须有个前提，提供端口号的机器必须是真实的。如若入侵者已经通过root完全控制了这台机器，那他就可随意在这台机器上，也就等于在我们包过滤规则的端口上运行任意的客户程序或服务器程序。有时我们就根本不能相信由对方机器提供的机器源地址，因为有可能那台机器就是入侵者伪装的。,2023年3月27日5时13分,计算机网络安全基础,8.4 代理服务,代理服务的条件是具有访问因特网能力的主机才可以作为那些无权访问因特网的主机的代理，这样使得一些不能访问因特网的主机通过代理服务也可以完成访问因特网的工作。代理服务是在双重宿主主机或堡垒主机上运行一个具有特殊协议或一组协议。使一些仅能与内部用户交谈的主机同样也可以与外界交谈，这些用户的客户程序通过与该代理服务器交谈来代替直接与外部因特网中的服务器的“真正的”交谈。代理服务器判断从客户端来的请求并决定哪些请求允许传送而哪些应被拒绝。当某个请求被允许时，代理服务器就代表客户与真正的服务器进行交谈，并将从客户端来的请求传送给真实服务器，将真实服务器的回答传送给客户。,2023年3月27日5时13分,计算机网络安全基础,8.4 代理服务,8.4.1代理服务的优缺点1代理服务的优点（1）代理服务允许用户“直接”访问因特网（2）代理服务适合于做日志 2代理服务的缺点（1）代理服务落后于非代理服务（2）每个代理服务要求不同的服务器（3）代理服务一般要求对客户或程序进行修改（4）代理服务对某些服务来说是不合适的（5）代理服务不能保护你不受协议本身缺点的限制,2023年3月27日5时13分,计算机网络安全基础,8.4 代理服务,8.4.2 代理服务的工作方法代理工作的细节对每一种服务是不同的，代理服务在服务器上要求运行合适的代理服务器软件。在客户端可以有以下不同的方法。（1）定制客户软件。（2）定制客户过程。,2023年3月27日5时13分,计算机网络安全基础,8.4 代理服务,8.4.3 代理服务器的使用代理服务器有一些特殊类型，主要表现为应用级与回路级代理、公共与专用代理服务器和智能代理服务器。1应用级与回路级代理主要区别为：应用级代理使用修改的过程，回路级代理使用修改的客户程序，这与代理的实用性有关。为了实现一个代理连接，你必须知道连接的方向。一个混合网关可以很容易地阻止连接，但一个代理主机只能接收连接，并从得到的信息中判断它要与哪里继续进行连接。一个回路级代理不能解释应用协议，需要通过其它方式给它提供信息。,2023年3月27日5时13分,计算机网络安全基础,8.4 代理服务,2公共与专用代理服务器一个专用代理服务器只适用于单个协议，而一个公共代理服务器则适用多个协议。实际上专用代理服务器是应用级的，而公共代理服务器是属于回路级的。3智能代理服务器如果一个代理服务器不仅能处理转发请求，同时还能够做其它许多事情的话，这样的代理服务器就称为智能代理服务器。,2023年3月27日5时13分,计算机网络安全基础,8.4 代理服务,8.4.4使用代理的若干问题1TCP与其它协议理想的代理服务器应在一个方向作TCP的连接，仅包含安全的命令、一些可变长度的送给服务器的用户数据，并且只用于内部客户到外部服务器上。因为TCP是一个面向连接的协议，只需进行一次建立代理的连接，然后就可以一直使用该连接了。UDP没有连接的概念，每个数据包都需要代理服务器进行独立的传输，因此TCP代理更为简便。,2023年3月27日5时13分,计算机网络安全基础,8.4 代理服务,2不使用代理服务器的代理一些服务特别是所谓的“存储转发”服务（如SMTP、NNTP）一般都支持代理。这些服务是为了让服务器接收信息，然后进行存储直到它们被转发到其它服务器上。一般很少有信息直接从发送者的机器传送到接收者的机器，信息至少要通过四台机器：（l）发送者的机器；（2）发送者站点的输出邮件网关（或发送者的因特网服务提供者）；（3）接收者站点的输入邮件网关；（4）接收者的机器。,2023年3月27日5时13分,计算机网络安全基础,8.4 代理服务,3无法代理的原因及解决办法可能会由于下列原因而不能进行代理（1）没有代理服务器（2）代理无法保证服务的安全（3）无法修改客户程序或过程经常有一些服务不具备修改用户过程的条件，一般情况下，可以在堡垒主机上安全地提供数据的传输，允许用户连入堡垒主机，但是要加以限制，只允许运行无法进行代理的服务。,2023年3月27日5时13分,计算机网络安全基础,8.4 代理服务,8.4.5 用于因特网服务的代理特性因特网上的主要服务功能有电子邮件E-mail简单邮件传输协议SMTP、邮局协议POP、文件传输FTP、远程登录Telnet、存储转发协议NNTP、万维网WWW、域名服务DNS等。1电子邮件（E-mail）（1）一个服务器，用来向外部主机发送邮件或从外部主机接收邮件。（2）发信代理，用于将邮件正确地放入本地主机邮箱中。（3）用户代理，用于让收信人阅读邮件并编排出站邮件。,2023年3月27日5时13分,计算机网络安全基础,8.4 代理服务,2简单邮件传输协议（SMTP）的代理特点因为SMTP是一个存储转发协议，所以它特别适合于进行代理。由于任何一个SMTP服务器都有可能为其它站点进行邮件转发，因而很少将它设置成一个单独的代理。大多数站点将输入的SMTP连接到一台安全运行SMTP服务的堡垒主机上，该堡垒主机就是一个代理。3邮局协议（POP）的代理特点邮局协议（POP）对于代理系统来说是非常简单的，因为它采用单个连接。内置的支持代理的POP客户程序还很少，主要原因是POP多用于局域网，而很少用于因特网。,2023年3月27日5时13分,计算机网络安全基础,8.4 代理服务,4文件传输FTP在开始使用一个FTP连接时，客户程序首先为自己分配两个大于1023的TCP端口，它使用第一个端口作为命令通道端口与服务器连接，然后发出端口命令，告诉服务器它的第二个作为数据通道的端口号，这样服务器就能打开数据通道了。大多数FTP服务器（特别是那些用在因特网上的主要匿名FTP站点）和许多FTP客户程序都支持一种允许客户程序打开命令通道和数据通道来连接到FTP服务器的方式，这种方式被称为“反向方式”。在使用反向方式时，一个FTP客户程序需要分配两个TCP端口供其使用。它使用第一个TCP端口与FTP服务器连接，但客户程序通过反向方式命令代替原来的端口命令来告诉服务器客户程序的第二个TCP端口。,2023年3月27日5时13分,计算机网络安全基础,8.4 代理服务,这样就能使服务器为本身的数据通道分配第二个TCP端口，并通知客户程序所分配的那个端口号。这时，客户程序就从它的数据通道的端口连接到服务器刚才通知它的那个端口上。5远程登录（Telnet）代理系统能够很好地支持Telnet。6存储转发协议（NNTP）NNTP是一个存储转发的协议，有能力进行自己的代理。它作为一个简单的单个连接协议很容易实现代理。,2023年3月27日5时13分,计算机网络安全基础,8.4 代理服务,7万维网（WWW）各种HTTP客户程序（如Netscape Navigator或因特网Explorer等）都支持代理的方案。8域名服务（DNS）DNS具有这样的结构：可以使服务器充当客户程序的代理。利用DNS能够转发自身的特点，可以使一个DNS服务器成为另一个DNS服务器的代理。在真正的实现时，大多数情况可以修改DNS库来使用修改的客户程序代理。在不支持动态连接的机器上，使用DNS的修改客户程序的代理需要重新编译网络中使用的每个程序。,2023年3月27日5时13分,计算机网络安全基础,8.5 选择防火墙的原则,设计和选用防火墙首先要明确哪些数据是必须保护的，这些数据的被侵入会导致什么样的后果及网络不同区域需要什么等级的安全级别。不管采用原始设计还是使用现成的防火墙产品，对于防火墙的安全标准，首先需根据安全级别确定。其次，设计或选用防火墙必须与网络接口匹配，要防止你所能想到的威胁。防火墙可以是软件或硬件模块，并能集成于网桥、网关和路由器等设备之中。,2023年3月27日5时13分,计算机网络安全基础,8.5 选择防火墙的原则,1防火墙自身的安全性大多数人在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务上，但往往忽略一点，防火墙也是网络上的主机设备，也可能存在安全问题。防火墙如果不能确保自身安全，则防火墙的控制功能再强，也终究不能完全保护内部网络。2考虑特殊的需求（1）IP地址转换（IP Address Translation）进行IP地址转换有两个好处：其一是隐藏内部网络真正的IP，这可以使黑客无法直接攻击内部网络，也是要强调防火墙自身安全性问题的主要原因；另一个好处是可以让内部用户使用保留的IP，这对许多IP不足的企业是有益的。,2023年3月27日5时13分,计算机网络安全基础,8.5 选择防火墙的原则,（2）双重 DNS当内部网络使用没有注册的IP地址，或是防火墙进行IP转换时，DNS也必须经过转换。因为，同样的一个主机在内部的IP与给予外界的IP将会不同，有的防火墙会提供双重DNS有的则必须在不同主机上各安装一个DNS。（3）虚拟企业网络（VPN）VPN可以在防火墙与防火墙或移动的Client间对所有网络传输的内容加密，建立一个虚拟通道，让两者间感觉是在同一个网络上，可以安全且不受拘束地互相存取。,2023年3月27日5时13分,计算机网络安全基础,8.5 选择防火墙的原则,（4）病毒扫描功能大部分防火墙都可以与防病毒防火墙搭配实现病毒扫描功能。有