【正文】 之間的一道屏障。防火墻可以用軟件實現(xiàn)，企業(yè)使用的防火墻多為硬件防火墻。 第 7章 網(wǎng)絡安全 Computer works ? 防火墻的基本工作原理是 過濾經(jīng)過自己的所有數(shù)據(jù) ，符合某些條件的就允許通過，符合另一些條件的則禁止通過。 ? 一般情況下，防火墻在網(wǎng)絡中的連接方法如下圖所示，來自因特網(wǎng)的數(shù)據(jù)首先經(jīng)過防火墻過濾，符合條件的才能進入內(nèi)部網(wǎng)絡。 第 7章 網(wǎng)絡安全 Computer works ? 但有時情況復雜得多，例如，在內(nèi)部網(wǎng)中有一臺對外提供服務的 WWW服務器，為更好地對外提供服務，該 WWW服務器對來自因特網(wǎng)的訪問限制很松，但內(nèi)部網(wǎng)中的其他計算機則對來自因特網(wǎng)的訪問限制很嚴，這時防火墻需要另外一種連接方法。 第 7章 網(wǎng)絡安全 Computer works ? 防火墻可以分為 3類：分組過濾防火墻、狀態(tài)過濾防火墻、應用網(wǎng)關防火墻。 ? 1．分組過濾防火墻 ? 分組過濾防火墻是最早、最簡單的防火墻，分組過濾防火墻檢查每一個分組的首部，并與事先制定的規(guī)則比較，來確定是否允許該分組通過。大多數(shù)分組過濾防火墻只過濾最有用的字段，主要有： ? IP數(shù)據(jù)報中的源 IP地址與目的 IP地址。 ? IP數(shù)據(jù)報中的協(xié)議字段。 ? TCP或 UDP報文段中的源端口號與目的端口號。 ? TCP報文段中的標志位，如 ACK、 SYN等。 第 7章 網(wǎng)絡安全 Computer works ? 使用分組過濾防火墻前，要制定規(guī)則，多條規(guī)則組成一個訪問控制列表 （ Access Control List， ACL）。對每一個分組，防火墻都要檢查它與 ACL中的規(guī)則是否匹配，防火墻順序使用 ACL中的規(guī)則，只要有一條規(guī)則匹配，就采取規(guī)則中規(guī)定的動作，后面的規(guī)則不再使用。所以規(guī)則的順序非常重要，錯誤的順序可能使網(wǎng)絡不能正常工作，或導致嚴重的安全問題。 序號 源 IP地址 目的 IP地址 動作 1 2 全部 全部 允許 第 7章 網(wǎng)絡安全 Computer works ? 2．狀態(tài)過濾防火墻 ? 上面的分組過濾防火墻獨立地過濾每一個分組，并不考慮分組之間的聯(lián)系，而狀態(tài)過濾防火墻則記住前面的分組，并與后面的分組建立聯(lián)系 ，來確定對后面分組采取的動作。 ? 例如，狀態(tài)過濾防火墻可以實現(xiàn)這樣的功能：只有在內(nèi)部網(wǎng)中的計算機 A向因特網(wǎng)上的計算機 B發(fā)送 UDP報文段后，才允許 B向 A發(fā)送的 UDP報文段進入內(nèi)部網(wǎng)，而分組過濾防火墻無法實現(xiàn)這樣的功能。 第 7章 網(wǎng)絡安全 Computer works ? 3．應用網(wǎng)關防火墻 ? 分組過濾防火墻與狀態(tài)過濾防火墻通常只過濾 IP數(shù)據(jù)報與 TCP、 UDP報文段的首部字段，而應用網(wǎng)關防火墻則 能過濾應用層的數(shù)據(jù) 。 ? 應用網(wǎng)關防火墻的功能強大，例如，應用網(wǎng)關防火墻可以過濾病毒，像殺毒軟件一樣，防火墻檢查應用層的數(shù)據(jù)是否有病毒特征碼，若有就禁止通過；應用網(wǎng)關防火墻還可以限制下載文件的大小，使內(nèi)部網(wǎng)絡用戶不能下載過大的視頻文件。 ? 應用網(wǎng)關防火墻雖然功能強大，但效率顯然比分組過濾防火墻與狀態(tài)過濾防火墻低。 第 7章 網(wǎng)絡安全 Computer works ? 計算機病毒 ? 計算機病毒概述 ? 計算機病毒在 《 中華人民共和國計算機信息系統(tǒng)安全保護條例 》 中的定義為： “ 編制或者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼 ” 。 ? 計算機病毒是一個廣義的概念，很多惡意程序都可以稱為病毒，如木馬程序是一個有用（或表面看起來有用）的程序，但其中包含了秘密的惡意代碼。 第 7章 網(wǎng)絡安全 Computer works ? 計算機病毒一般具有以下特點： ? （ 1）傳染性。 ? （ 2）隱蔽性。 ? （ 3）潛伏性。 ? （ 4）破壞性。 ? （ 5）針對性。 ? （ 6）不可預見性。 第 7章 網(wǎng)絡安全 Computer works ? 計算機病毒防范 ? 兩種手段：一是管理手段，二是技術手段，二者缺一不可。下列一些異?，F(xiàn)象可以作為計算機中病毒時的參考癥狀： ? （ 1）程序裝入時間比平時長，運行異常。 ? （ 2）磁盤的空間突然變小了，或不能識別磁盤設備。 ? （ 3）程序和數(shù)據(jù)神秘地丟失了，文件名不能辨認。 ? （ 4）計算機經(jīng)常出現(xiàn)死機或不能正常啟動等現(xiàn)象。 ? （ 5）可執(zhí)行文件的大小發(fā)生變化或出現(xiàn)不知來源的隱藏文件。 ? （ 6）計算機中出現(xiàn)不明進程。 ? （ 7）啟動項目中增加了不明程序。 第 7章 網(wǎng)絡安全 Computer works ? 案例解決方案 ? 針對案例需求中開發(fā) Web信息系統(tǒng)的要求，采取的相應策略如下： ? （ 1）只有注冊用戶利用用戶名和口令才能訪問系統(tǒng)。這是身份認證方面的要求，可以根據(jù)進一步的細節(jié)要求，從 。 ? （ 2）系統(tǒng)資源的訪問權限按用戶在學校里扮演的角色分配。這是訪問控制方面的要求，顯然要選擇基于角色的訪問控制。 第 7章 網(wǎng)絡安全 Computer works ? （ 3）即使系統(tǒng)管理員打開系統(tǒng)數(shù)據(jù)庫也不能看懂一些關鍵數(shù)據(jù)，如密碼、用戶重要信息等，這是數(shù)據(jù)保密方面的要求。對于密碼的安全存儲，可以利用 向散列函數(shù)實現(xiàn)，職工重要信息的保密存儲可利用 或 。 ? （ 4）對一些重要的數(shù)據(jù)和文件要保證其不被篡改，若改動能被檢驗出來，這是數(shù)據(jù)完整性方面的要求?？梢岳茫詡湫枰獣r進行完整性檢驗。 ? （ 5）用戶訪問系統(tǒng)后要留下證據(jù)，以備過后審核 , 這是系統(tǒng)審計方面的要求?？梢詤㈤?，實現(xiàn)登入日志和操作日志等日志功能。 第 7章 網(wǎng)絡安全 Computer works ? 為阻止外部網(wǎng)絡對校園網(wǎng)的攻擊，校園網(wǎng)與教育網(wǎng)及公眾網(wǎng)的交界處必須設置防火墻。 第 7章 網(wǎng)絡安全 Computer works ? 學院圖書館的數(shù)字圖書等資源，以及學院辦公系統(tǒng)等系統(tǒng)只對校內(nèi)用戶開放，要做到這一點，這些系統(tǒng)可以驗證 IP數(shù)據(jù)報的源 IP地址，只有校內(nèi)IP地址才能訪問，校外 IP地址不能訪問。也可以在防火墻上做設置，阻止目的 IP地址是這些系統(tǒng)IP地址的數(shù)據(jù)通過。 對于財務系統(tǒng)這類包含機密數(shù)據(jù)的系統(tǒng)，應該設置為使用 SSL訪問，特別是從校外訪問時，以保證機密數(shù)據(jù)的安全。 第 7章 網(wǎng)絡安全 Computer works ? 國際標準化組織定義了 5大安全服務功能：身份認證服務、數(shù)據(jù)保密服務、數(shù)據(jù)完整性服務、不可否認服務和訪問控制服務。 ? 計算機密碼是網(wǎng)絡信息安全的核心技術， 有對稱密鑰密碼與公鑰密碼兩種。為解決公鑰的真實性問題，出現(xiàn)了 PKI技術，公鑰不再單獨保存，而是存儲在數(shù)字證書中。 ? 身份認證與訪問控制密不可分。 ? 在 網(wǎng)絡通信過程中， 各類安 全技術必須綜合起來運用，形成完善的安全協(xié)議，才能保證網(wǎng)絡通信的安全。 ? 很多協(xié)議存在安全漏洞，被攻擊者所利用。很多程序與系統(tǒng)的設置也存在漏洞，同樣能夠被攻擊者所利用。 ? 防火墻在網(wǎng)絡安全中具有舉足輕重的地位，它是設置在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的一道屏障。 ? 隨著計算機網(wǎng)絡的普及，越來越多的病毒以經(jīng)濟利益為目的，竊取用戶的機密數(shù)據(jù)。 第 7章 網(wǎng)絡安全 Computer works Thanks！