【正文】 實際地址隱蔽起來 ， 外部用戶很難知道內部的 IP地址 ， 因而難以攻擊 。 第四代防火墻的抗攻擊能力 (cont.) 抗特洛伊木馬攻擊 特洛伊木馬能將病毒或破壞性程序傳入計算機網絡 ，且通常是將這些惡意程序隱蔽在正常的程序 ， 尤其是熱門程序或游戲之中 ， 一些用戶下載并執(zhí)行這一程序 ，其中的病毒便會發(fā)作 。 第四代防火墻是建立在安全的操作系統(tǒng)之上的 ， 其安全內核中不能執(zhí)行下載的程序 ，故而可防止特洛伊木馬的發(fā)生 。 必須指出的是 ， 防火墻能抗特洛伊木馬的攻擊并不表明受其保護的某個主機也能防止這類攻擊 。 事實上 ， 內部用戶可通過防火墻下載程序 ， 并執(zhí)行下載的程序 。 第四代防火墻的抗攻擊能力 (cont.) 抗口令字探尋攻擊 在網絡中探尋口令字的方法很多 ， 最常見的是口令字嗅探和口令字解密 。 嗅探是通過監(jiān)測網絡通信 ，截獲用戶傳給服務器的口令字 ， 記錄下來 ， 以便使用；解密是指采用強力攻擊 、 猜測或截獲含有加密口令字的文件 ， 并設法解密 。 此外 ， 攻擊者還常常利用一些常用口令字直接登錄 。 第四代防火墻采用了一次性口令字和禁止直接登錄防火墻的措施 ， 能有效防止對口令字的攻擊 。 第四代防火墻的抗攻擊能力 (cont.) 抗網絡安全性分析 網絡安全性分析工具本是供管理人員分析網絡安全性之用的 ， 一旦這類工具用作攻擊網絡的手段 ， 則能較方便地探測到內部網絡的安全缺陷和弱點所在 ，目前 ， SATAN軟件可以從網上免費獲得 ， Inter Scanner 可從市面上購買 ， 這些分析工具給網絡安全構成了直接威脅 。 第四代防火墻采用了地址轉換技術 ，將內部網絡隱蔽起來 ， 使網絡安全分析工具無法從外部對內部網作分析 。 第四代防火墻的抗攻擊能力 (cont.) 抗郵件詐騙攻擊 郵件詐騙也是越來越突出的攻擊方式 ， 第四代防火墻不接收任何郵件 ， 故難以采用這種方式對它攻擊 ，同樣值得一提的是 ， 防火墻不接受郵件 ， 并不表示它不讓郵件通過 ， 實際上用戶仍可收發(fā)郵件 ， 內部用戶要防郵件詐騙 ， 最終的解決辦法是對郵件加密 。 第四代防火墻的抗攻擊能力 (cont.) 對防火墻技術的展望： 幾點趨勢 ? 防火墻將從目前對子網或內部網管理的方式向遠程上網集中管理的方式發(fā)展； ? 過濾深度不斷加強 ,從目前的地址 、 服務過濾 ， 發(fā)展到 URL（ 頁面 ） 過濾 ， 關鍵字過濾和對 Active X、 Java等的過濾 ， 并逐漸有病毒掃除功能 。 ? 單向防火墻 （ 又叫網絡二極管 ） 將作為一種產品門類而出現(xiàn) ； ? 利用防火墻建立專用網 (VPN)是較長一段時間的用戶使用的主流 ， IP的加密需求越來越強 ， 安全協(xié)議的開發(fā)是一大熱點； ? 對網絡攻擊的檢測和告警將成為防火墻的重要功能； ? 安全管理工具不斷完善 ， 特別是可疑活動的日志分析工具等將成為防火墻產品中的一部分 。 對防火墻技術的展望： 幾點趨勢 (cont.) 對防火墻技術的展望： 需求的變化 根據上述趨勢 ， 人們選擇防火墻的標準將集 中在以下幾個方面： ?易于管理性； ?應用透明性； ?鑒別與加密功能； ?操作環(huán)境和硬件要求； ? VPN的功能與 CA的功能； ?接口的數量； ?成本。 ? Linux IP防火墻及其原理簡介 ? 常見防火墻的配置模式 ? 常見防火墻的基本工作總結 Inter/ 公網 內部網 路由器 NEsec300 FW 2 0 3 5 9 6 8 ? 告 警 內網接口 外網接口 電 源 控制臺 服務器 服務器 服務器 主機 主機 內外網絡隔離 ? 截取 IP包，根據安全策略控制其進 /出 ? 雙向網絡地址轉換（ NAT） ? 基于一次性口令對移動訪問進行身份識別和控制 ? IPMAC捆綁，防止 IP地址的濫用 安全記錄 ? 通信事件記錄 ? 操作事件記錄 ? 違規(guī)事件記錄 ? 異常情況告警 移動用戶 撥號用戶 局域網用戶 防火墻 （內部地址） （內部地址） 路由器 HTTP服務器 DNS服務器 Email服務器 防火墻 DMZ區(qū) （ Demilitarized Zone） 內部專用網絡 Inter DDN PSTN ATM ISDN 幀中繼 防火墻管理器 外部網絡 安裝方式之一 防火墻 防火墻管理工作站 分支機構 受保護局域網 防火墻 防火墻 資源子網 路由器 路由器 路由器 分支機構 受保護局域網 公共網絡 總部 路由器 路由器 安裝方式之二 安裝方式之三 ? 隔離內外網絡通信 ? 控制外部用戶進入內部專網 ? 限制內部用戶出訪 ?鑒別移動或異地辦公用戶的網絡訪問 ? 支持內部網絡主機和服務器采用私有地址，對外界隱藏內部網絡拓撲 ? 防止內部主機 IP地址的濫用和誤用 ? 對來自外部、內部的網絡違規(guī)和入侵行為進行檢測和集中監(jiān)控 ? 系統(tǒng)安全審計對違規(guī)通信、安全事件進行實時報警和處置 ? 統(tǒng)計網絡通信流量，并根據策略進行流量控制 ? 采用基于策略的方式對防火墻設備進行配置 產品應用功能 安全公理 /定理 /推理 公理： 所有的程序都有缺陷（摩菲定理） 大程序定律：大程序的缺陷甚至比它包含的內容還多 推理： 一個安全相關程序有安全性缺陷 定理： 只要不運行這個程序，那么這個程序有缺陷，也無關緊要 推理： 只要不運行這個程序，那么這個程序有安全性漏洞，也無關緊要 定理： 對外暴露的計算機，應盡可能少地運行程序，且運行的程序也盡可 能地小 推論： 防火墻基本法則：防火墻必須配置得盡可能地小，才能降低風險。 防火墻配置策略的基本準則 一切未被允許的就是禁止的 。 防火墻缺省封鎖所有的信息流 ， 然后對希望提供的服務逐項開放 。 優(yōu)點 : 實用 ,安全 ， 可靠性高 。 按規(guī)則鏈來進行匹配 使用源地址、目的地址、源端口、目的端口、協(xié)議、時間段進行匹配 從頭到尾的匹配方式 匹配成功馬上停止 立刻使用該規(guī)則的”接受、禁止、拒絕…… ” 防火墻 網絡地址轉換 內部網絡地址 外部網絡 /Inter地址 網絡地址轉換 Inter 內部網 E_Mail Server FTP Server SFH02 FW Alarm 2 0 3 5 9 6 8 ? E1 E0 Power 防火墻 重定向（反向 NAT） 00:88:CC:A0:2C:4D 88:88:88:88:88:88 ?PASS ?NO IP包 IP包 IP / MAC 地址對應 安全日志 記錄用戶訪問的開始和終止時間 記錄用戶的通信事件，例如主機地址、訪問時間、協(xié)議等信息 記錄安全管理員的操作事件 記錄違規(guī)事件 ? 成都市黨政網 ? 國家人事部 ? 檢察日報社 ? 國家林業(yè)局 ? 北京市公安局 ? 四川省移動通信公司 ? 中國工程院 防火墻應用案例 謝謝！ 演講完畢，謝謝觀看！