【正文】 之間的一道屏障。防火墻可以用軟件實(shí)現(xiàn)，企業(yè)使用的防火墻多為硬件防火墻。 第 7章 網(wǎng)絡(luò)安全 Computer works ? 防火墻的基本工作原理是 過濾經(jīng)過自己的所有數(shù)據(jù) ，符合某些條件的就允許通過，符合另一些條件的則禁止通過。 ? 一般情況下，防火墻在網(wǎng)絡(luò)中的連接方法如下圖所示，來自因特網(wǎng)的數(shù)據(jù)首先經(jīng)過防火墻過濾，符合條件的才能進(jìn)入內(nèi)部網(wǎng)絡(luò)。 第 7章 網(wǎng)絡(luò)安全 Computer works ? 但有時(shí)情況復(fù)雜得多，例如，在內(nèi)部網(wǎng)中有一臺對外提供服務(wù)的 WWW服務(wù)器，為更好地對外提供服務(wù)，該 WWW服務(wù)器對來自因特網(wǎng)的訪問限制很松，但內(nèi)部網(wǎng)中的其他計(jì)算機(jī)則對來自因特網(wǎng)的訪問限制很嚴(yán)，這時(shí)防火墻需要另外一種連接方法。 第 7章 網(wǎng)絡(luò)安全 Computer works ? 防火墻可以分為 3類：分組過濾防火墻、狀態(tài)過濾防火墻、應(yīng)用網(wǎng)關(guān)防火墻。 ? 1．分組過濾防火墻 ? 分組過濾防火墻是最早、最簡單的防火墻，分組過濾防火墻檢查每一個(gè)分組的首部，并與事先制定的規(guī)則比較，來確定是否允許該分組通過。大多數(shù)分組過濾防火墻只過濾最有用的字段，主要有： ? IP數(shù)據(jù)報(bào)中的源 IP地址與目的 IP地址。 ? IP數(shù)據(jù)報(bào)中的協(xié)議字段。 ? TCP或 UDP報(bào)文段中的源端口號與目的端口號。 ? TCP報(bào)文段中的標(biāo)志位，如 ACK、 SYN等。 第 7章 網(wǎng)絡(luò)安全 Computer works ? 使用分組過濾防火墻前，要制定規(guī)則，多條規(guī)則組成一個(gè)訪問控制列表 （ Access Control List， ACL）。對每一個(gè)分組，防火墻都要檢查它與 ACL中的規(guī)則是否匹配，防火墻順序使用 ACL中的規(guī)則，只要有一條規(guī)則匹配，就采取規(guī)則中規(guī)定的動(dòng)作，后面的規(guī)則不再使用。所以規(guī)則的順序非常重要，錯(cuò)誤的順序可能使網(wǎng)絡(luò)不能正常工作，或?qū)е聡?yán)重的安全問題。 序號 源 IP地址 目的 IP地址 動(dòng)作 1 2 全部 全部 允許 第 7章 網(wǎng)絡(luò)安全 Computer works ? 2．狀態(tài)過濾防火墻 ? 上面的分組過濾防火墻獨(dú)立地過濾每一個(gè)分組，并不考慮分組之間的聯(lián)系，而狀態(tài)過濾防火墻則記住前面的分組，并與后面的分組建立聯(lián)系 ，來確定對后面分組采取的動(dòng)作。 ? 例如，狀態(tài)過濾防火墻可以實(shí)現(xiàn)這樣的功能：只有在內(nèi)部網(wǎng)中的計(jì)算機(jī) A向因特網(wǎng)上的計(jì)算機(jī) B發(fā)送 UDP報(bào)文段后，才允許 B向 A發(fā)送的 UDP報(bào)文段進(jìn)入內(nèi)部網(wǎng)，而分組過濾防火墻無法實(shí)現(xiàn)這樣的功能。 第 7章 網(wǎng)絡(luò)安全 Computer works ? 3．應(yīng)用網(wǎng)關(guān)防火墻 ? 分組過濾防火墻與狀態(tài)過濾防火墻通常只過濾 IP數(shù)據(jù)報(bào)與 TCP、 UDP報(bào)文段的首部字段，而應(yīng)用網(wǎng)關(guān)防火墻則 能過濾應(yīng)用層的數(shù)據(jù) 。 ? 應(yīng)用網(wǎng)關(guān)防火墻的功能強(qiáng)大，例如，應(yīng)用網(wǎng)關(guān)防火墻可以過濾病毒，像殺毒軟件一樣，防火墻檢查應(yīng)用層的數(shù)據(jù)是否有病毒特征碼，若有就禁止通過；應(yīng)用網(wǎng)關(guān)防火墻還可以限制下載文件的大小，使內(nèi)部網(wǎng)絡(luò)用戶不能下載過大的視頻文件。 ? 應(yīng)用網(wǎng)關(guān)防火墻雖然功能強(qiáng)大，但效率顯然比分組過濾防火墻與狀態(tài)過濾防火墻低。 第 7章 網(wǎng)絡(luò)安全 Computer works ? 計(jì)算機(jī)病毒 ? 計(jì)算機(jī)病毒概述 ? 計(jì)算機(jī)病毒在 《 中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 》 中的定義為： “ 編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼 ” 。 ? 計(jì)算機(jī)病毒是一個(gè)廣義的概念，很多惡意程序都可以稱為病毒，如木馬程序是一個(gè)有用（或表面看起來有用）的程序，但其中包含了秘密的惡意代碼。 第 7章 網(wǎng)絡(luò)安全 Computer works ? 計(jì)算機(jī)病毒一般具有以下特點(diǎn)： ? （ 1）傳染性。 ? （ 2）隱蔽性。 ? （ 3）潛伏性。 ? （ 4）破壞性。 ? （ 5）針對性。 ? （ 6）不可預(yù)見性。 第 7章 網(wǎng)絡(luò)安全 Computer works ? 計(jì)算機(jī)病毒防范 ? 兩種手段：一是管理手段，二是技術(shù)手段，二者缺一不可。下列一些異常現(xiàn)象可以作為計(jì)算機(jī)中病毒時(shí)的參考癥狀： ? （ 1）程序裝入時(shí)間比平時(shí)長，運(yùn)行異常。 ? （ 2）磁盤的空間突然變小了，或不能識別磁盤設(shè)備。 ? （ 3）程序和數(shù)據(jù)神秘地丟失了，文件名不能辨認(rèn)。 ? （ 4）計(jì)算機(jī)經(jīng)常出現(xiàn)死機(jī)或不能正常啟動(dòng)等現(xiàn)象。 ? （ 5）可執(zhí)行文件的大小發(fā)生變化或出現(xiàn)不知來源的隱藏文件。 ? （ 6）計(jì)算機(jī)中出現(xiàn)不明進(jìn)程。 ? （ 7）啟動(dòng)項(xiàng)目中增加了不明程序。 第 7章 網(wǎng)絡(luò)安全 Computer works ? 案例解決方案 ? 針對案例需求中開發(fā) Web信息系統(tǒng)的要求，采取的相應(yīng)策略如下： ? （ 1）只有注冊用戶利用用戶名和口令才能訪問系統(tǒng)。這是身份認(rèn)證方面的要求，可以根據(jù)進(jìn)一步的細(xì)節(jié)要求，從 。 ? （ 2）系統(tǒng)資源的訪問權(quán)限按用戶在學(xué)校里扮演的角色分配。這是訪問控制方面的要求，顯然要選擇基于角色的訪問控制。 第 7章 網(wǎng)絡(luò)安全 Computer works ? （ 3）即使系統(tǒng)管理員打開系統(tǒng)數(shù)據(jù)庫也不能看懂一些關(guān)鍵數(shù)據(jù)，如密碼、用戶重要信息等，這是數(shù)據(jù)保密方面的要求。對于密碼的安全存儲(chǔ)，可以利用 向散列函數(shù)實(shí)現(xiàn)，職工重要信息的保密存儲(chǔ)可利用 或 。 ? （ 4）對一些重要的數(shù)據(jù)和文件要保證其不被篡改，若改動(dòng)能被檢驗(yàn)出來，這是數(shù)據(jù)完整性方面的要求。可以利用，以備需要時(shí)進(jìn)行完整性檢驗(yàn)。 ? （ 5）用戶訪問系統(tǒng)后要留下證據(jù)，以備過后審核 , 這是系統(tǒng)審計(jì)方面的要求?？梢詤㈤?，實(shí)現(xiàn)登入日志和操作日志等日志功能。 第 7章 網(wǎng)絡(luò)安全 Computer works ? 為阻止外部網(wǎng)絡(luò)對校園網(wǎng)的攻擊，校園網(wǎng)與教育網(wǎng)及公眾網(wǎng)的交界處必須設(shè)置防火墻。 第 7章 網(wǎng)絡(luò)安全 Computer works ? 學(xué)院圖書館的數(shù)字圖書等資源，以及學(xué)院辦公系統(tǒng)等系統(tǒng)只對校內(nèi)用戶開放，要做到這一點(diǎn)，這些系統(tǒng)可以驗(yàn)證 IP數(shù)據(jù)報(bào)的源 IP地址，只有校內(nèi)IP地址才能訪問，校外 IP地址不能訪問。也可以在防火墻上做設(shè)置，阻止目的 IP地址是這些系統(tǒng)IP地址的數(shù)據(jù)通過。 對于財(cái)務(wù)系統(tǒng)這類包含機(jī)密數(shù)據(jù)的系統(tǒng)，應(yīng)該設(shè)置為使用 SSL訪問，特別是從校外訪問時(shí)，以保證機(jī)密數(shù)據(jù)的安全。 第 7章 網(wǎng)絡(luò)安全 Computer works ? 國際標(biāo)準(zhǔn)化組織定義了 5大安全服務(wù)功能：身份認(rèn)證服務(wù)、數(shù)據(jù)保密服務(wù)、數(shù)據(jù)完整性服務(wù)、不可否認(rèn)服務(wù)和訪問控制服務(wù)。 ? 計(jì)算機(jī)密碼是網(wǎng)絡(luò)信息安全的核心技術(shù)， 有對稱密鑰密碼與公鑰密碼兩種。為解決公鑰的真實(shí)性問題，出現(xiàn)了 PKI技術(shù)，公鑰不再單獨(dú)保存，而是存儲(chǔ)在數(shù)字證書中。 ? 身份認(rèn)證與訪問控制密不可分。 ? 在 網(wǎng)絡(luò)通信過程中， 各類安 全技術(shù)必須綜合起來運(yùn)用，形成完善的安全協(xié)議，才能保證網(wǎng)絡(luò)通信的安全。 ? 很多協(xié)議存在安全漏洞，被攻擊者所利用。很多程序與系統(tǒng)的設(shè)置也存在漏洞，同樣能夠被攻擊者所利用。 ? 防火墻在網(wǎng)絡(luò)安全中具有舉足輕重的地位，它是設(shè)置在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障。 ? 隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及，越來越多的病毒以經(jīng)濟(jì)利益為目的，竊取用戶的機(jī)密數(shù)據(jù)。 第 7章 網(wǎng)絡(luò)安全 Computer works Thanks！