【正文】 對網(wǎng)絡的攻擊目的。由于第四代防火墻知道網(wǎng)絡內外的 IP地址，它會丟棄所有來自網(wǎng)絡外部但卻有內部地址的分組，再之防火墻已將網(wǎng)內的實際地址隱蔽起來，外部用戶很難知道內部的 IP地址，因而難以攻擊。 第四代防火墻的抗攻擊能力 (cont.)抗特洛伊木馬攻擊 特洛伊木馬能將病毒或破壞性程序傳入計算機網(wǎng)絡，且通常是將這些惡意程序隱蔽在正常的程序，尤其是熱門程序或游戲之中，一些用戶下載并執(zhí)行這一程序，其中的病毒便會發(fā)作。第四代防火墻是建立在安全的操作系統(tǒng)之上的，其安全內核中不能執(zhí)行下載的程序，故而可防止特洛伊木馬的發(fā)生。必須指出的是，防火墻能抗特洛伊木馬的攻擊并不表明受其保護的某個主機也能防止這類攻擊。事實上，內部用戶可通過防火墻下載程序，并執(zhí)行下載的程序。第四代防火墻的抗攻擊能力 (cont.)抗口令字探尋攻擊 在網(wǎng)絡中探尋口令字的方法很多，最常見的是口令字嗅探和口令字解密。嗅探是通過監(jiān)測網(wǎng)絡通信，截獲用戶傳給服務器的口令字，記錄下來，以便使用；解密是指采用強力攻擊、猜測或截獲含有加密口令字的文件，并設法解密。此外，攻擊者還常常利用一些常用口令字直接登錄。 第四代防火墻采用了一次性口令字和禁止直接登錄防火墻的措施，能有效防止對口令字的攻擊。 第四代防火墻的抗攻擊能力 (cont.)抗網(wǎng)絡安全性分析 網(wǎng)絡安全性分析工具本是供管理人員分析網(wǎng)絡安全性之用的，一旦這類工具用作攻擊網(wǎng)絡的手段，則能較方便地探測到內部網(wǎng)絡的安全缺陷和弱點所在，目前， SATAN軟件可以從網(wǎng)上免費獲得， Inter Scanner 可從市面上購買，這些分析工具給網(wǎng)絡安全構成了直接威脅。第四代防火墻采用了地址轉換技術，將內部網(wǎng)絡隱蔽起來，使網(wǎng)絡安全分析工具無法從外部對內部網(wǎng)作分析。第四代防火墻的抗攻擊能力 (cont.)抗郵件詐騙攻擊 郵件詐騙也是越來越突出的攻擊方式，第四代防火墻不接收任何郵件，故難以采用這種方式對它攻擊，同樣值得一提的是，防火墻不接受郵件，并不表示它不讓郵件通過，實際上用戶仍可收發(fā)郵件，內部用戶要防郵件詐騙，最終的解決辦法是對郵件加密。第四代防火墻的抗攻擊能力 (cont.)對防火墻技術的展望： 幾點趨勢l 防火墻將從目前對子網(wǎng)或內部網(wǎng)管理的方式向遠程上網(wǎng)集中管理的方式發(fā)展；l 過濾深度不斷加強 ,從目前的地址、服務過濾，發(fā)展到 URL（頁面）過濾，關鍵字過濾和對 Active X、 Java等的過濾，并逐漸有病毒掃除功能。l 單向防火墻（又叫網(wǎng)絡二極管）將作為一種產(chǎn)品門類而出現(xiàn) ； l 利用防火墻建立專用網(wǎng) (VPN)是較長一段時間的用戶使用的主流， IP的加密需求越來越強，安全協(xié)議的開發(fā)是一大熱點；l 對網(wǎng)絡攻擊的檢測和告警將成為防火墻的重要功能；l 安全管理工具不斷完善，特別是可疑活動的日志分析工具等將成為防火墻產(chǎn)品中的一部分 。對防火墻技術的展望： 幾點趨勢 (cont.) 對防火墻技術的展望： 需求的變化 根據(jù)上述趨勢，人們選擇防火墻的標準將集中在以下幾個方面：4 易于管理性；4 應用透明性；4 鑒別與加密功能；4 操作環(huán)境和硬件要求；4VPN的功能與 CA的功能；4 接口的數(shù)量；4 成本。lLinux IP防火墻及其原理簡介l 常見防火墻的配置模式l 常見防火墻的基本工作總結Inter/公網(wǎng)內部網(wǎng)路由器NEsec300 FW 2035968?告 警內網(wǎng)接口外網(wǎng)接口電 源控制臺服務器 服務器 服務器 主機 主機內外網(wǎng)絡隔離 ? 截取 IP包，根據(jù)安全策略控制其進 /出 ? 雙向網(wǎng)絡地址轉換（ NAT） ? 基于一次性口令對移動訪問進行身份識別和控制 ? IPMAC捆綁，防止 IP地址的濫用安全記錄 ? 通信事件記錄 ? 操作事件記錄 ? 違規(guī)事件記錄 ? 異常情況告警移動用戶撥號用戶局域網(wǎng)用戶防火墻（內部地址） （內部地址）路由器HTTP服務器DNS服務器Email服務器防火墻DMZ區(qū)（ Demilitarized Zone）內部專用網(wǎng)絡InterDDNPSTN ATMISDN 幀中繼防火墻管理器外部網(wǎng)絡安裝方式之一防火墻防火墻管理工作站分支機構受保護局域網(wǎng)防火墻防火墻資源子網(wǎng)路由器路由器路由器分支機構受保護局域網(wǎng)公共網(wǎng)絡總部路由器 路由器安裝方式之二安裝方式之三 隔離內外網(wǎng)絡通信 控制外部用戶進入內部專網(wǎng) 限制內部用戶出訪鑒別移動或異地辦公用戶的網(wǎng)絡訪問 支持內部網(wǎng)絡主機和服務器采用私有地址，對外界隱藏內部網(wǎng)絡拓撲 防止內部主機 IP地址的濫用和誤用 對來自外部、內部的網(wǎng)絡違規(guī)和入侵行為進行檢測和集中監(jiān)控 系統(tǒng)安全審計對違規(guī)通信、安全事件進行實時報警和處置 統(tǒng)計網(wǎng)絡通信流量，并根據(jù)策略進行流量控制 采用基于策略的方式對防火墻設備進行配置產(chǎn)品應用功能產(chǎn)品應用功能安全公理 /定理 /推理公理： 所有的程序都有缺陷（摩菲定理）大程序定律：大程序的缺陷甚至比它包含的內容還多推理： 一個安全相關程序有安全性缺陷定理： 只要不運行這個程序，那么這個程序有缺陷，也無關緊要推理： 只要不運行這個程序，那么這個程序有安全性漏洞，也無關緊要定理： 對外暴露的計算機，應盡可能少地運行程序，且運行的程序也盡可能地小推論： 防火墻基本法則：防火墻必須配置得盡可能地小，才能降低風險。防火墻配置策略的基本準則一切未被允許的就是禁止的 。防火墻缺省封鎖所有的信息流，然后對希望提供的服務逐項開放。優(yōu)點 : 實用 ,安全，可靠性高。按規(guī)則鏈來進行匹配使用源地址、目的地址、源端口、目的端口、協(xié)議、時間段進行匹配從頭到尾的匹配方式匹配成功馬上停止立刻使用該規(guī)則的 ” 接受、禁止、拒絕……”防火墻網(wǎng)絡地址轉換內部網(wǎng)絡地址外部網(wǎng)絡 /Inter地址網(wǎng)絡地址轉換網(wǎng)絡地址轉換Inter內部網(wǎng)E_Mail ServerFTP Server SFH02 FW Alarm 2035968?E1E0Power 防火墻重定向（反向重定向（反向 NAT））00:88:CC:A0:2C:4D88:88:88:88:88:88uPASS uNOIP包IP包IP / MAC 地址對應地址對應安全日志記錄用戶訪問的開始和終止時間記錄用戶的通信事件，例如主機地址、訪問時間、協(xié)議等信息記錄安全管理員的操作事件記錄違規(guī)事件 成都市黨政網(wǎng) 國家人事部 檢察日報社 國家林業(yè)局 北京市公安局 四川省移動通信公司 中國工程院防火墻應用案例謝謝！謝謝！演講完畢，謝謝觀看！