【正文】 規(guī)則 “ *”代表任意值，沒有被過濾器規(guī)則明確允許的包將被拒絕。 因為 傳輸?shù)臄?shù)據(jù)內(nèi)容 是應用層數(shù)據(jù) ， 不是包過濾系統(tǒng)所能辨認的 ， 數(shù)據(jù)包過濾允許用戶在單個地方為整個網(wǎng)絡提供特別的保護 。 （ 5）防火墻無法防范數(shù)據(jù)驅(qū)動型的攻擊。 （ 3）防火墻可以方便地監(jiān)視網(wǎng)絡的安全性并報警。 1. 訪問控制表 (ACL) ?優(yōu)點： 控制粒度比較小，適用于被區(qū)分的用戶數(shù)比較小的情況，并且這些用戶的授權情況相對比較穩(wěn)定的情形。 ? 特點：靈活性高 ， 被大量采用 。退出 網(wǎng)絡安全技術 ?學習目的： ? 了解 訪問控制技術 的基本概念 ? 熟悉 防火墻技術基礎 ? 初步掌握 防火墻安全設計策略 ? 了解防火墻攻擊策略 ? 了解 第四代防火墻的主要技術 ? 了解 防火墻發(fā)展的新方向 ? 了解防火墻選擇原則與常見產(chǎn)品 ?學習重點： ? Windows NT/2K安全訪問控制手段 ? 防火墻安全設計策略 ? 防火墻攻擊策略 ? 防火墻選擇原則 3． 1 訪問控制技術 3． 1． 1 訪問控制技術概述 1. 訪問控制的定義 訪問控制是針對越權使用資源的防御措施，是網(wǎng)絡安全防范和保護的主要策略，主要任務是保證網(wǎng)絡資源不被非法使用和非常訪問。 ? 缺點：安全性最低 。 2. 訪問能力表 授權機構針對每個限制區(qū)域，都為用戶維護它的訪問控制能力。 （ 4）可以作為部署網(wǎng)絡地址轉換（ Network Address Translation ）的地點，利用 NAT 技術，可以緩解地址空間的短缺，隱藏內(nèi)部網(wǎng)的結構。 （ 6）不能防備新的網(wǎng)絡安全問題。 ? 包過濾檢查模塊深入到系統(tǒng)的網(wǎng)絡層和數(shù)據(jù)鏈路層之間。 （ 2）數(shù)據(jù)包過濾特性分析 ?主要優(yōu)點：是僅一個關健位置設置一個數(shù)據(jù)包過濾路由器就可以保護整個網(wǎng)絡，而且數(shù)據(jù)包過濾對用戶是透明的，不必在用戶機上再安裝特定的軟件 ?缺點和局限性：包過濾規(guī)則配置比較復雜，而且?guī)缀鯖]有什么工具能對過濾規(guī)則的正確性進行測試；包過濾也沒法查出具有數(shù)據(jù)驅(qū)動攻擊這一類潛在危險的數(shù)據(jù)包；由于 數(shù)據(jù)包過濾是通過源地址來做判斷的，但 IP地址是很容易改變的，所以源地址欺騙用數(shù)據(jù)包過濾的方法不能查出來。當決定轉發(fā)時，代理服務器上的 Tel客戶進程向真正的 Tel服務器發(fā)出請求， Tel服務器返回的數(shù)據(jù)是由代理服務器轉發(fā)給 Tel客戶機。 ② 有限的技術。 （ 3）應用層網(wǎng)關實現(xiàn) ?編寫代理軟件 ?客戶軟件 ?協(xié)議對于應用層網(wǎng)關的處理 （ 4）應用層網(wǎng)關的特點和發(fā)展方向 ?智能代理 3． 電路級網(wǎng)關技術 ?電路級網(wǎng)關（ Circuit Level Gateway）也是一種代理，但是只能是建立起一個回路，對數(shù)據(jù)包只起轉發(fā)的作用。路由器上可以安裝基于 IP層的報文過濾軟件，實現(xiàn)報文過濾功能。 3． 3． 2 網(wǎng)絡服務訪問權限策略 安全策略分為兩個層次：網(wǎng)絡服務訪問策略和防火墻設計策略。 ?兩種基本設計策略： 第一種，除非明確不允許，否則允許某種服務。防火墻能夠?qū)⑹跈嘤脩舻臄?shù)據(jù)進行加密并使這個信息穿過防火墻而進入公共網(wǎng)絡。這種攻擊難度比較大，可是破壞性很大。 1． 雙端口或三端口的結構 ： 新一代防火墻產(chǎn)品具有兩個或三個獨立的網(wǎng)卡，內(nèi)外兩個網(wǎng)卡可不作IP轉化而串接于內(nèi)部網(wǎng)與外部網(wǎng)之間，另一個網(wǎng)卡可專用于對服務器的安全保護。 7． 安全服務器網(wǎng)絡（ SSN） ： 第四代防火墻采用分別保護的策略保護對外服務器。 3． 5． 2 第四代防火墻技術的實現(xiàn)方法 在第四代防火墻產(chǎn)品的設計與開發(fā)中，其安全內(nèi)核、代理系統(tǒng)、多級過濾、安全服務器和鑒別與加密是關鍵所在。 2． 抗特洛伊木馬攻擊 ： 第四代防火墻是建立在安全的操作系統(tǒng)之上的，其安全內(nèi)核中不能執(zhí)行下載的程序，故而可防止特洛伊木馬的發(fā)生。 3． 6 防火墻發(fā)展 的新方向 3． 6． 1 透明接入技術 透明模式，顧名思義，首要的特點就是對用戶是透明的（ Transparent），即用戶意識不到防火墻的存在。從用戶的角度看， A和 B的連接是直接的，而實際上 A是通過代理服務器 C和 B建立連接的。 2．分布式防火墻的主要特點 分布式防火墻負責對網(wǎng)絡邊界、各子網(wǎng)和網(wǎng)絡內(nèi)部各節(jié)點之間的安全防護，所以“分布式防火墻”是一個完整的系統(tǒng)，而不是單一的產(chǎn)品。 （ 4）實施主機策略： 對網(wǎng)絡中的各節(jié)點可以起到更安全的防護。 分布式防火墻工作 過程： 因為采用了軟件形式（有的采用了軟件＋硬件形式），所以功能配置更加靈活，具備充分的智能管理能力，總的來說可以體現(xiàn)在以下幾個方面： 5．分布式防火墻的主要功能 （ 1） Inter訪問控制 （ 2）應用訪問控制 （ 3）網(wǎng)絡狀態(tài)監(jiān)控 （ 4）黑客攻擊的防御 （ 5）日志管理 （ 6）系統(tǒng)工具 3． 6． 3 以防火墻為核心的網(wǎng)絡信 息安全體系 網(wǎng)絡安全是一個綜合的概念，它不僅包括網(wǎng)絡安全產(chǎn)品，而且還涉及整個企業(yè)的管理機制、流程方面的問題，因此是一復雜的系統(tǒng)工程。 （ 4） CiscoPIXFirewall： PIX的處理性能是最好的 ， 而且使用 NAT時不影響其性能 。通過限制與網(wǎng)絡或某一特定區(qū)域的通信，以達到防止非法用戶侵犯 Inter和公用網(wǎng)絡的目的。 實現(xiàn)防火墻的主要技術有：數(shù)據(jù)包過濾路由器、應用雙宿主網(wǎng)關的代理服務、主機屏蔽防火墻和子網(wǎng)屏蔽防火墻等。 （ 5） Netscreen：它使用專用的 ASIC提供高性能的防火墻 ， 既便宜又易于安裝 。 ? 誤區(qū)：什么樣的防火墻是安全的防火墻、單靠防火墻是否能否保證網(wǎng)絡的安全、如何構建以防火墻為核心的網(wǎng)絡安全體系等，下面就針對這些問題做簡要的分析和介紹。 4．分布式防火墻的基本原理 分布式防火墻仍然由中心定義策略，但由各個分布在網(wǎng)絡中的端點實施這些制定的策略。 主機防火墻對分布式防火墻體系結構的突出貢獻是，使安全策略不僅僅停留在網(wǎng)絡與網(wǎng)絡之間，而是把安全策略推廣延伸到每個網(wǎng)絡末端。由于這些連接過程是自動的，不需要客戶端手工配置代理服務器，甚至用戶根本不知道代理服務器的存在，因而對用戶來說是透明的。 透明模式的防火墻就好象是一臺網(wǎng)橋 (非透明的防火墻好象一臺路由器 )，網(wǎng)絡設備 (包括主機、路由器、工作站等 )和所有計算機的設置（包括 IP地址和網(wǎng)關）無須改變，同時解析所有通過它的數(shù)據(jù)包，既增加了網(wǎng)絡的安全性，又降低了用戶管理的復雜程度。 在網(wǎng)絡中探尋口令字的方法很多，最常見的是口令字嗅探和口令字解密。 2． 代理系統(tǒng)的建立 ： 防火墻不允許任何信息直接穿過它，對所有的內(nèi)外連接均要通過代理系統(tǒng)來實現(xiàn)，為保證整個防火墻的安全，所有的代理都應采