278-网络安全应用技术

网络安全应用技术全国高等职业教育计算机类规划教材实例与实训教程系列网络防火墙技术你将学习◇防火墙的概念、类型、目的与作用；◇基于防火墙的安全网络结构；◇网络防火墙的结构。你将获取△配置与管理防火墙系统的技能；△ISAServer防火墙的使用方法；△硬件防火墙的配置技能。在这一章中5.1案例问题5.1.1案例说明5.1.2思考与讨论5.1.1案例说明1.背景描述近年来随着网络应用的深入，应用领域从传统的、小型的业务系统逐渐向大型、关键业务系统扩展。大部分子系统已接入网络，行业系统数据、监测监控系统数据等都在该网络上传输。随着网络规模的不断扩大、接入点的增多、内部网络中存在的安全隐患问题就更加突出，安全日益成为影响网络效能的重要问题。5.1.1案例说明2.需求分析集团员工、远程办公人员、设备供应商、临时职员以及商业合作伙伴要求能够自由访问集团网络，而重要的客户数据与财务记录往往也存储在这些网络上。使用普通的安全软件来抵挡日益猖獗的攻击已经显得力不从心，选择防火墙是防范网络攻击的关键。防火墙作为网络实施安全保护的核心，网络管理员可以制定安全策略来有选择性地拒绝进出网络的数据流量。5.1.1案例说明3.解决方案5.1.2思考与讨论阅读案例并思考以下问题⑴据你分析，兵器集团网络可能遇到的攻击主要来自何处？⑵兵器集团的网管员应该如何制定网络安全策略呢?⑶根据我们使用Windows防火墙或天网防火墙的经历，你认为防火墙会有哪些作用？5.1.2思考与讨论专题讨论⑴你能为网络防火墙做个定义吗？⑵“有了防火墙，内部网络应该是安全的，而来自外部的访问则是可疑的”的说法正确吗？5.2技术视角5.2.1防火墙技术概述5.2.2防火墙技术的分类5.2.1防火墙技术概述1.网络防火墙的任务⑴执行安全策略⑵创建一个阻塞点⑶记录网络活动⑷限制网络暴露网络防火墙可以限定内网用户访问外网特殊站点，接纳外网对本地公共信息的访问；可以允许内网的一部分主机被外网访问，而另一部分被保护起来，防止不必要访问。5.2.1防火墙技术概述2.网络防火墙的技术特征⑴网络防火墙中，安全策略是其灵魂和基础。通常采用的安全策略有两个基本准则。①一切未被允许的访问就是禁止的。②一切未被禁止的访问就是允许的。⑵网络防火墙能够抵抗网络黑客的攻击，并可对网络通信进行监控和审计。5.2.1防火墙技术概述2.网络防火墙的技术特征⑶网络防火墙一旦失效、重启动或崩溃，则应完全阻断内网和外网的连接，以免闯入者进入。⑷网络防火墙提供强制认证服务，外网对内网的访问应该经过防火墙的认证检查，包括对网络用户和数据源的认证。⑸网络防火墙对内网应起到屏蔽作用，并且隐蔽内网的地址和内网的拓扑结构。5.2.1防火墙技术概述3.防火墙技术的现状及发展趋势第一代防火墙，提出了防火墙的概念。第二代防火墙，也称代理服务器，它用来提供网络服务级的控制，起到外部网络向被保护的内部网络申请服务时中间转接作用，这种方法有效地防止对内网的攻击，安全性较高。第三代防火墙，称为状态监控功能防火墙，它可以对每一层的数据包进行检测和监控。第四代的功能更强大、安全性更强，可以抵御目前常见的网络攻击手段，如IP地址欺骗、特洛伊木马攻击、Internet蠕虫、口令探寻攻击、邮件攻击等。5.2.1防火墙技术概述4.网络防火墙的术语⑴网关，电路级网关、应用级网关⑵包过滤⑶代理服务器⑷网络地址转换⑸堡垒主机⑹筛选路由器⑺阻塞路由器⑻非军事化区域(DMZ)5.2.2防火墙技术的分类1.包过滤防火墙技术包过滤防火墙中的包过滤器一般安装在路由器上，工作在网络层。它基于单个包实施网络控制，根据所收到的数据包的源地址、目的地址、TCP/UDP、源端口号及目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数，与用户预定的访问控制表进行比较，决定数据是否符合预先制定的安全策略，决定数据包的转发或丢弃，即实施信息过滤。5.2.2防火墙技术的分类2.IP级包过滤型防火墙IP级过滤型防火墙可看做是一个多端口的交换设备，它对每一个报文根据其报头进行过滤，按一组预定义的规则来判断报文是否可以继续转发，不考虑报文之间的前后关系。过滤规则定义在转发控制表中，报文遵循自上向下的次序依次运用每一条规则，直到遇到与其相匹配的规则为止。对报文采取的操作有转发、丢弃、报错和备忘等。根据不同的实现方式，报文过滤可以在进入防火墙时进行，也可以在离开防火墙时进行。5.2.2防火墙技术的分类3.代理防火墙技术代理服务器型防火墙通过在主机上运行的服务程序，直接面对特定的应用层服务，因此也称为应用型防火墙。对每种不同的应用(E-mail、FTP、Telnet、等)都应用一个相应的代理服务。外网与内网之间想要建立连接，首先必须通过代理服务器的中间转换，内网只接受代理服务器提出的要求，拒绝外网的直接请求。5.2.2防火墙技术的分类4.其他类型的防火墙⑴电路层网关⑵混合型防火墙⑶应用层网关⑷自适应代理技术自适应代理技术是一种新颖的防火墙技术，在一定程序上反映了防火墙目前的发展动态。该技术可以根据用户定义的安全策略，动态适应传送中的分组流量。5.3防火墙配置与管理实验5.3.1天网个人软件防火墙的配置5.3.2ISAServer网络软件防火墙的使用5.3.3CiscoPIX515硬件防火墙的配置5.3.1天网个人软件防火墙配置实验目的通过实验，学会天网防火墙的配置与管理的方法，掌握天网防火墙的各个功能使用，编写规则对一定的应用程序、端口、站点、网段过滤，对已有过滤规则进行测验，验证防火墙对数据包拦截、对端口的保护、网络监听等内容。具体实验条件、内容和步骤参看教材P129。5.3.2ISAServer网络软件防火墙的使用实验目的通过实验，深入理解防火墙的功能和原理，学会ISAServer防火墙的简单配置，并通过防火墙策略的配置实现代理内网的客户机上网，以及发布Web站点供外部网络访问。具体实验条件、内容和步骤参看教材P137。5.3.3CiscoPIX515硬件防火墙的配置实验目的通过实验，学会CiscoPIX515硬件防火墙的初始配置、基本配置、外网访问内网的配置、静态或动态地址翻译配置等。具体实验条件、内容和步骤参看教材P138。5.4超越与提高5.4.1防火墙安全体系结构5.4.2网络防火墙的局限性5.4.1防火墙安全体系结构1.过滤路由器防火墙结构在传统的路由器中增加分组过滤功能就能形成这种最简单的防火墙。5.4.1防火墙安全体系结构2.双宿主主机防火墙结构该结构至少是具有两个接口(即两块网卡)的双宿主主机而构成。5.4.1防火墙安全体系结构3.主机过滤型防火墙结构这种防火墙由过滤路由器和运行网关软件的堡垒主机构成。5.4.1防火墙安全体系结构4.子网过滤型防火墙结构该防火墙是在主机过滤结构中再增加一层参数网络的安全机制，使得内部网络和外部网络之间有两层隔断。5.4.1防火墙安全体系结构5.吊带式防火墙结构这种防火墙与子网过滤型防火墙结构的区别是，作为代理服务器和认证服务器的网关主机位于周边网络中。5.4.2网络防火墙的局限性1.无法检测加密的Web流量2.普通应用程序加密后，也能轻易躲过防火墙的检测3.对于Web应用程序，防范能力不足4.应用防护特性，只适用于简单情况5.无法扩展带深度检测功能