【正文】 P / MAC 地址對(duì)應(yīng) 安全日志 記錄用戶訪問的開始和終止時(shí)間 記錄用戶的通信事件，例如主機(jī)地址、訪問時(shí)間、協(xié)議等信息 記錄安全管理員的操作事件 記錄違規(guī)事件 ? 成都市黨政網(wǎng) ? 國家人事部 ? 檢察日報(bào)社 ? 國家林業(yè)局 ? 北京市公安局 ? 四川省移動(dòng)通信公司 ? 中國工程院 防火墻應(yīng)用案例 謝謝！ 演講完畢，謝謝觀看！ 。 防火墻缺省封鎖所有的信息流 ， 然后對(duì)希望提供的服務(wù)逐項(xiàng)開放 。 ? 單向防火墻 （ 又叫網(wǎng)絡(luò)二極管 ） 將作為一種產(chǎn)品門類而出現(xiàn) ； ? 利用防火墻建立專用網(wǎng) (VPN)是較長一段時(shí)間的用戶使用的主流 ， IP的加密需求越來越強(qiáng) ， 安全協(xié)議的開發(fā)是一大熱點(diǎn)； ? 對(duì)網(wǎng)絡(luò)攻擊的檢測和告警將成為防火墻的重要功能； ? 安全管理工具不斷完善 ， 特別是可疑活動(dòng)的日志分析工具等將成為防火墻產(chǎn)品中的一部分 。 第四代防火墻的抗攻擊能力 (cont.) 抗網(wǎng)絡(luò)安全性分析 網(wǎng)絡(luò)安全性分析工具本是供管理人員分析網(wǎng)絡(luò)安全性之用的 ， 一旦這類工具用作攻擊網(wǎng)絡(luò)的手段 ， 則能較方便地探測到內(nèi)部網(wǎng)絡(luò)的安全缺陷和弱點(diǎn)所在 ，目前 ， SATAN軟件可以從網(wǎng)上免費(fèi)獲得 ， Inter Scanner 可從市面上購買 ， 這些分析工具給網(wǎng)絡(luò)安全構(gòu)成了直接威脅 。 第四代防火墻的抗攻擊能力 (cont.) 抗口令字探尋攻擊 在網(wǎng)絡(luò)中探尋口令字的方法很多 ， 最常見的是口令字嗅探和口令字解密 。 第四代防火墻的抗攻擊能力 (cont.) 抗特洛伊木馬攻擊 特洛伊木馬能將病毒或破壞性程序傳入計(jì)算機(jī)網(wǎng)絡(luò) ，且通常是將這些惡意程序隱蔽在正常的程序 ， 尤其是熱門程序或游戲之中 ， 一些用戶下載并執(zhí)行這一程序 ，其中的病毒便會(huì)發(fā)作 。 鑒別與加密的考慮 鑒別與加密是防火墻識(shí)別用戶 ， 驗(yàn)證訪問和保護(hù)信 息的有效手段 ， 鑒別機(jī)制除了提供安全保護(hù)而外 ， 還有 安全管理的功能 ， 目前國外防火墻產(chǎn)品中廣泛使用令牌 鑒別方式 ， 具體方法有兩種 ， 一種是加密卡 （ Crypto Card） ；另一種是 Secure ID， 這兩種都是一次性口令 的生成工具 。 分組過濾器的設(shè)計(jì) 分組過濾器包括以下參數(shù) : ?進(jìn)站接口； ?出站接口； ? IP協(xié)議特征； ?允許的連接； ?源端口范圍； ?源地址； ?目的地址； ?目的端口的范圍等。 第四代防火墻技術(shù)實(shí)現(xiàn) 在第四代防火墻產(chǎn)品的設(shè)計(jì)與開發(fā)中 ， 關(guān)鍵在于： ? 安全內(nèi)核 ? 代理系統(tǒng) ? 多級(jí)過濾 ? 安全服務(wù)器 ? 鑒別與加密 安全內(nèi)核的實(shí)現(xiàn) 對(duì)安全操作系統(tǒng)內(nèi)核的固化與改造主要從以 下幾方面進(jìn)行： ?取消危險(xiǎn)的系統(tǒng)調(diào)用； ?限制命令的執(zhí)行權(quán)限； ?取消 IP的轉(zhuǎn)發(fā)功能； ?檢查每個(gè)分組的接口； ?采用隨機(jī)連接序號(hào)； ?駐留分組過濾模塊； ?取消動(dòng)態(tài)路由功能； ?采用多個(gè)安全內(nèi)核。 用戶鑒別與加密 為了降低防火墻產(chǎn)品在 Tel、 FTP等服務(wù) 和遠(yuǎn)程管理上的安全風(fēng)險(xiǎn) ， 鑒別功能必不可少 ， 第四代防火墻采用一次性使用的口令字系統(tǒng)來作 為用戶的鑒別手段 ， 并實(shí)現(xiàn)了對(duì)郵件的加密 。在分組過濾一級(jí) ， 能過濾掉所有的源路由分組和假冒的 IP源地址；在應(yīng)用級(jí)網(wǎng)關(guān)一級(jí) ,能利用 F T P、 S M T P等各種網(wǎng)關(guān) ， 控制和監(jiān)測Inter提供的所有通用服務(wù)；在電路網(wǎng)關(guān)一級(jí) ， 實(shí)現(xiàn)內(nèi)部主機(jī)與外部站點(diǎn)的透明連接 ， 并對(duì)服務(wù)的通行實(shí)行嚴(yán)格控制 。 靈活的代理系統(tǒng) 代理系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊 。 第四階段：具有安全操作系統(tǒng)的防火墻 具有以下特點(diǎn)： ? 防火墻廠商具有操作系統(tǒng)的源代碼 ， 并可實(shí)現(xiàn)安全內(nèi)核； ? 對(duì)安全內(nèi)核實(shí)現(xiàn)加固處理 :即去掉不必要的系統(tǒng)特性 ， 加固內(nèi)核 ，強(qiáng)化安全保護(hù)； ? 對(duì)每個(gè)服務(wù)器 、 子系統(tǒng)都作了安全處理 ， 一旦黑客攻破了一個(gè)服務(wù)器 ， 它將會(huì)被隔離在此服務(wù)器內(nèi) ， 不會(huì)對(duì)網(wǎng)絡(luò)的其它部份構(gòu)成威脅； ? 在功能上包括了分組過濾 、 應(yīng)用網(wǎng)關(guān) 、 電路級(jí)網(wǎng)關(guān) ， 且具有加密與鑒別功能； ? 透明性好 ， 易于使用 。 第二階段：用戶化的防火墻工具套 (cont.) 不足之處： ? 配置和維護(hù)過程復(fù)雜 、 費(fèi)時(shí)； ? 對(duì)用戶的技術(shù)要求高； ? 全軟件實(shí)現(xiàn) ， 安全性和處理速度均有局限； ? 實(shí)踐表明 ， 使用中出現(xiàn)差錯(cuò)的情況很多 。 ? 路由器上的分組過濾規(guī)則的設(shè)置和配置存在安全隱患 。 ? Inter的迅猛發(fā)展，使得防火墻產(chǎn)品在短短的幾年內(nèi)異軍突起，很快形成了一個(gè)產(chǎn)業(yè)：據(jù)不完全統(tǒng)計(jì)，在國際上防火墻產(chǎn)品銷售從 1995年的不到 1萬套， 猛增到 1997年底的 10萬套。 防火墻實(shí)現(xiàn)策略 (cont.) 防火墻設(shè)計(jì)策略 防火墻設(shè)計(jì)策略必須針對(duì)具體的防火墻，它定義過濾規(guī)則等，以實(shí)現(xiàn)高層的網(wǎng)絡(luò)服務(wù)策略。 屏蔽子網(wǎng)防火墻結(jié)構(gòu) ?適于通信量很大或高速網(wǎng)絡(luò)通信的內(nèi)部網(wǎng)絡(luò) ?強(qiáng)化安全，但配置較為復(fù)雜 屏蔽子網(wǎng)防火墻結(jié)構(gòu) (cont.) 屏蔽子網(wǎng)防火墻結(jié)構(gòu) (cont.) 防火墻實(shí)現(xiàn)策略 (cont.) 對(duì)防火墻系統(tǒng)而言，共有兩層網(wǎng)絡(luò)安全策略： ? 網(wǎng)絡(luò)服務(wù)訪問策略：是高層策略，定義了受保護(hù)網(wǎng)絡(luò)明確允許和明確拒絕的網(wǎng)絡(luò)服務(wù)，分析網(wǎng)絡(luò)服務(wù)的可用性（包括可用條件）、風(fēng)險(xiǎn)性等。 ? 電路中繼 (Circuit Relay)： 也叫電路網(wǎng)關(guān) (Circuit Gateway)或 TCP代理（ TCP －Proxy） ,其工作原理與應(yīng)用代理類似，不同之處是該代理程序是專門為傳輸層的 TCP協(xié)議編制的。 防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點(diǎn)的不同而分為很 多種類型 ， 但總體來講可分為三大類： 分組過濾、應(yīng)用代理、電路中繼 ? 分組過濾 （ Packet filtering）： 作用在網(wǎng)絡(luò)層和傳輸層，它根據(jù)分組包頭 源地址，目的地址和端口號(hào)、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過。 ? 擴(kuò)展地址和路由規(guī)模。如 SMTP為 25， X WINDOWS為 6000。每個(gè)端口擁有一個(gè)叫端口號(hào)的 16位整數(shù)標(biāo)識(shí)符，用于區(qū)分不同端口。 TCP與 UDP端口 ? 一個(gè) TCP或 UDP連接由下述要素唯一確定：源 IP地址、目的地 IP地址、源端口、目的地端口。 ? TCP采用可變窗口進(jìn)行流量控制和擁塞控制以保證可靠性。 ? IP數(shù)據(jù)報(bào)分為報(bào)頭和數(shù)據(jù)區(qū)兩部分， IP報(bào)頭由 IP協(xié)議處理，是 IP協(xié)議的體現(xiàn)；數(shù)據(jù)體則用于封裝傳輸層數(shù)據(jù)或差錯(cuò)和控制報(bào)文（ ICMP）數(shù)據(jù)，由 TCP協(xié)議或ICMP協(xié)議處理。 ? Rlogin、 rsh、及 其它 “ r”服務(wù) 。 TCP/IP服務(wù) (cont.) ? RPC 遠(yuǎn)程過程調(diào)用服務(wù)。 ?網(wǎng)間網(wǎng)層（ IP）： 負(fù)責(zé)相鄰計(jì)算機(jī)之間的通信。 用戶完全可以在 “ 網(wǎng)間網(wǎng) ” 之上 （ 即傳輸層之上 ） ， 建立自己的專用應(yīng)用程序 ， 這些專用應(yīng)用程序要用到 TCP/IP，但不屬于 TCP/IP。 ?表示層： 主要功能是信息轉(zhuǎn)換，包括信息壓縮、加密、與標(biāo)準(zhǔn)格式的轉(zhuǎn)換（以及上述各操作的逆操作）等等。傳輸層通過向上提供一個(gè)標(biāo)準(zhǔn)、通用的界面，使上層與通信子網(wǎng)（下三層）的細(xì)節(jié)相隔離。 MAC子層解決廣播型網(wǎng)絡(luò)中多用戶