【正文】 P / MAC 地址對應 安全日志 記錄用戶訪問的開始和終止時間 記錄用戶的通信事件，例如主機地址、訪問時間、協(xié)議等信息 記錄安全管理員的操作事件 記錄違規(guī)事件 ? 成都市黨政網(wǎng) ? 國家人事部 ? 檢察日報社 ? 國家林業(yè)局 ? 北京市公安局 ? 四川省移動通信公司 ? 中國工程院 防火墻應用案例 謝謝！ 演講完畢，謝謝觀看！ 。 防火墻缺省封鎖所有的信息流 ， 然后對希望提供的服務逐項開放 。 ? 單向防火墻 （ 又叫網(wǎng)絡二極管 ） 將作為一種產(chǎn)品門類而出現(xiàn) ； ? 利用防火墻建立專用網(wǎng) (VPN)是較長一段時間的用戶使用的主流 ， IP的加密需求越來越強 ， 安全協(xié)議的開發(fā)是一大熱點； ? 對網(wǎng)絡攻擊的檢測和告警將成為防火墻的重要功能； ? 安全管理工具不斷完善 ， 特別是可疑活動的日志分析工具等將成為防火墻產(chǎn)品中的一部分 。 第四代防火墻的抗攻擊能力 (cont.) 抗網(wǎng)絡安全性分析 網(wǎng)絡安全性分析工具本是供管理人員分析網(wǎng)絡安全性之用的 ， 一旦這類工具用作攻擊網(wǎng)絡的手段 ， 則能較方便地探測到內(nèi)部網(wǎng)絡的安全缺陷和弱點所在 ，目前 ， SATAN軟件可以從網(wǎng)上免費獲得 ， Inter Scanner 可從市面上購買 ， 這些分析工具給網(wǎng)絡安全構(gòu)成了直接威脅 。 第四代防火墻的抗攻擊能力 (cont.) 抗口令字探尋攻擊 在網(wǎng)絡中探尋口令字的方法很多 ， 最常見的是口令字嗅探和口令字解密 。 第四代防火墻的抗攻擊能力 (cont.) 抗特洛伊木馬攻擊 特洛伊木馬能將病毒或破壞性程序傳入計算機網(wǎng)絡 ，且通常是將這些惡意程序隱蔽在正常的程序 ， 尤其是熱門程序或游戲之中 ， 一些用戶下載并執(zhí)行這一程序 ，其中的病毒便會發(fā)作 。 鑒別與加密的考慮 鑒別與加密是防火墻識別用戶 ， 驗證訪問和保護信 息的有效手段 ， 鑒別機制除了提供安全保護而外 ， 還有 安全管理的功能 ， 目前國外防火墻產(chǎn)品中廣泛使用令牌 鑒別方式 ， 具體方法有兩種 ， 一種是加密卡 （ Crypto Card） ；另一種是 Secure ID， 這兩種都是一次性口令 的生成工具 。 分組過濾器的設計 分組過濾器包括以下參數(shù) : ?進站接口； ?出站接口； ? IP協(xié)議特征； ?允許的連接； ?源端口范圍； ?源地址； ?目的地址； ?目的端口的范圍等。 第四代防火墻技術(shù)實現(xiàn) 在第四代防火墻產(chǎn)品的設計與開發(fā)中 ， 關鍵在于： ? 安全內(nèi)核 ? 代理系統(tǒng) ? 多級過濾 ? 安全服務器 ? 鑒別與加密 安全內(nèi)核的實現(xiàn) 對安全操作系統(tǒng)內(nèi)核的固化與改造主要從以 下幾方面進行： ?取消危險的系統(tǒng)調(diào)用； ?限制命令的執(zhí)行權(quán)限； ?取消 IP的轉(zhuǎn)發(fā)功能； ?檢查每個分組的接口； ?采用隨機連接序號； ?駐留分組過濾模塊； ?取消動態(tài)路由功能； ?采用多個安全內(nèi)核。 用戶鑒別與加密 為了降低防火墻產(chǎn)品在 Tel、 FTP等服務 和遠程管理上的安全風險 ， 鑒別功能必不可少 ， 第四代防火墻采用一次性使用的口令字系統(tǒng)來作 為用戶的鑒別手段 ， 并實現(xiàn)了對郵件的加密 。在分組過濾一級 ， 能過濾掉所有的源路由分組和假冒的 IP源地址；在應用級網(wǎng)關一級 ,能利用 F T P、 S M T P等各種網(wǎng)關 ， 控制和監(jiān)測Inter提供的所有通用服務；在電路網(wǎng)關一級 ， 實現(xiàn)內(nèi)部主機與外部站點的透明連接 ， 并對服務的通行實行嚴格控制 。 靈活的代理系統(tǒng) 代理系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊 。 第四階段：具有安全操作系統(tǒng)的防火墻 具有以下特點： ? 防火墻廠商具有操作系統(tǒng)的源代碼 ， 并可實現(xiàn)安全內(nèi)核； ? 對安全內(nèi)核實現(xiàn)加固處理 :即去掉不必要的系統(tǒng)特性 ， 加固內(nèi)核 ，強化安全保護； ? 對每個服務器 、 子系統(tǒng)都作了安全處理 ， 一旦黑客攻破了一個服務器 ， 它將會被隔離在此服務器內(nèi) ， 不會對網(wǎng)絡的其它部份構(gòu)成威脅； ? 在功能上包括了分組過濾 、 應用網(wǎng)關 、 電路級網(wǎng)關 ， 且具有加密與鑒別功能； ? 透明性好 ， 易于使用 。 第二階段：用戶化的防火墻工具套 (cont.) 不足之處： ? 配置和維護過程復雜 、 費時； ? 對用戶的技術(shù)要求高； ? 全軟件實現(xiàn) ， 安全性和處理速度均有局限； ? 實踐表明 ， 使用中出現(xiàn)差錯的情況很多 。 ? 路由器上的分組過濾規(guī)則的設置和配置存在安全隱患 。 ? Inter的迅猛發(fā)展，使得防火墻產(chǎn)品在短短的幾年內(nèi)異軍突起，很快形成了一個產(chǎn)業(yè)：據(jù)不完全統(tǒng)計，在國際上防火墻產(chǎn)品銷售從 1995年的不到 1萬套， 猛增到 1997年底的 10萬套。 防火墻實現(xiàn)策略 (cont.) 防火墻設計策略 防火墻設計策略必須針對具體的防火墻，它定義過濾規(guī)則等，以實現(xiàn)高層的網(wǎng)絡服務策略。 屏蔽子網(wǎng)防火墻結(jié)構(gòu) ?適于通信量很大或高速網(wǎng)絡通信的內(nèi)部網(wǎng)絡 ?強化安全，但配置較為復雜 屏蔽子網(wǎng)防火墻結(jié)構(gòu) (cont.) 屏蔽子網(wǎng)防火墻結(jié)構(gòu) (cont.) 防火墻實現(xiàn)策略 (cont.) 對防火墻系統(tǒng)而言，共有兩層網(wǎng)絡安全策略： ? 網(wǎng)絡服務訪問策略：是高層策略，定義了受保護網(wǎng)絡明確允許和明確拒絕的網(wǎng)絡服務，分析網(wǎng)絡服務的可用性（包括可用條件）、風險性等。 ? 電路中繼 (Circuit Relay)： 也叫電路網(wǎng)關 (Circuit Gateway)或 TCP代理（ TCP －Proxy） ,其工作原理與應用代理類似，不同之處是該代理程序是專門為傳輸層的 TCP協(xié)議編制的。 防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點的不同而分為很 多種類型 ， 但總體來講可分為三大類： 分組過濾、應用代理、電路中繼 ? 分組過濾 （ Packet filtering）： 作用在網(wǎng)絡層和傳輸層，它根據(jù)分組包頭 源地址，目的地址和端口號、協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過。 ? 擴展地址和路由規(guī)模。如 SMTP為 25， X WINDOWS為 6000。每個端口擁有一個叫端口號的 16位整數(shù)標識符，用于區(qū)分不同端口。 TCP與 UDP端口 ? 一個 TCP或 UDP連接由下述要素唯一確定：源 IP地址、目的地 IP地址、源端口、目的地端口。 ? TCP采用可變窗口進行流量控制和擁塞控制以保證可靠性。 ? IP數(shù)據(jù)報分為報頭和數(shù)據(jù)區(qū)兩部分， IP報頭由 IP協(xié)議處理，是 IP協(xié)議的體現(xiàn)；數(shù)據(jù)體則用于封裝傳輸層數(shù)據(jù)或差錯和控制報文（ ICMP）數(shù)據(jù)，由 TCP協(xié)議或ICMP協(xié)議處理。 ? Rlogin、 rsh、及 其它 “ r”服務 。 TCP/IP服務 (cont.) ? RPC 遠程過程調(diào)用服務。 ?網(wǎng)間網(wǎng)層（ IP）： 負責相鄰計算機之間的通信。 用戶完全可以在 “ 網(wǎng)間網(wǎng) ” 之上 （ 即傳輸層之上 ） ， 建立自己的專用應用程序 ， 這些專用應用程序要用到 TCP/IP，但不屬于 TCP/IP。 ?表示層： 主要功能是信息轉(zhuǎn)換，包括信息壓縮、加密、與標準格式的轉(zhuǎn)換（以及上述各操作的逆操作）等等。傳輸層通過向上提供一個標準、通用的界面，使上層與通信子網(wǎng)（下三層）的細節(jié)相隔離。 MAC子層解決廣播型網(wǎng)絡中多用戶