【正文】 個程序，那么這個程序有安全性漏洞，也無關緊要 ?定理：對外暴露的計算機，應盡可能少地運行程序，且運行的程序也盡可能地小 ?推論：防火墻基本法則：防火墻必須配置得盡可能地小，才能降低風險。 防火墻需要全程跟蹤 H323協(xié)議過程，可以動態(tài)開放特定端口保證安全與應用相統(tǒng)一。 Permit Password Username 預先可在防火墻上設定用戶 root 123 root 123 Yes admin 883 No 不管那臺電腦都可以用相同的用戶名來登陸防火墻 只需在防火墻設置該用戶的規(guī)則即可 用戶級權限控制 客戶機 A 客戶機 B Inter 192161 192162 192161 192161MAC(A) 192162MAC(B) 內部網(wǎng)絡 IP地址和 MAC地址綁定 防止 IP地址盜用 MAC與 IP綁定規(guī)則的技術挑戰(zhàn) 視頻 H323協(xié)議動態(tài)開放通訊端口 防火墻正常工作狀態(tài)只開放端口1718或 1719(發(fā)向網(wǎng)守的 RAS消息所用端口 )、 1720(呼叫信令消息所用端口 )。 第四階段：具有安全操作系統(tǒng)的防火墻 具有以下特點： ? 防火墻廠商具有操作系統(tǒng)的源代碼 ， 并可實現(xiàn)安全內核； ? 對安全內核實現(xiàn)加固處理 :即去掉不必要的系統(tǒng)特性 ， 加固內核 ，強化安全保護； ? 對每個服務器 、 子系統(tǒng)都作了安全處理 ， 一旦黑客攻破了一個服務器 ， 它將會被隔離在此服務器內 ， 不會對網(wǎng)絡的其它部份構成威脅； ? 在功能上包括了分組過濾 、 應用網(wǎng)關 、 電路級網(wǎng)關 ， 且具有加密與鑒別功能； ? 透明性好 ， 易于使用 。 第三階段：建立在通用操作系統(tǒng)上的防火墻 存在的問題： ? 作為基礎的操作系統(tǒng)及其內核往往不為防火墻管理者所知 ，由于原碼的保密 ， 其安全性無從保證； ? 由于大多數(shù)防火墻廠商并非通用操作系統(tǒng)的廠商 ， 通用操作系統(tǒng)廠商不會對操作系統(tǒng)的安全性負責； ? 從本質上看 ， 第三代防火墻既要防止來自外部網(wǎng)絡的攻擊 ，還要防止來自操作系統(tǒng)廠商的攻擊 。 第二階段：用戶化的防火墻工具套 不足之處： ?配置和維護過程復雜 、 費時； ?對用戶的技術要求高； ?全軟件實現(xiàn) ， 安全性和處理速度均有局限； ?實踐表明 ， 使用中出現(xiàn)差錯的情況很多 。 ?防火墻的規(guī)則設置會大大降低路由器的性能 。 ?路由器上的分組過濾規(guī)則的設置和配置存在安全隱患 。攻擊者完全可以使用一種拒絕策略中沒有定義的服務而被允許并攻擊網(wǎng)絡） ?拒絕所有除明確允許之外的通信或服務（常用，但操作困難，并有可能拒絕網(wǎng)絡用戶的正常需求與合法服務） 防火墻實現(xiàn)策略 作為一個安全策略的設計者，應懂得以下問題的要點： ?哪些 Inter服務是本網(wǎng)絡系統(tǒng)打算使用或提供的？（如 TELNET、 FTP、 HTTP） ?這些 Inter服務在哪或哪個范圍內使用？（如在本地網(wǎng)內、整個 Inter或撥號服務等） ?可能有哪些額外或臨時的服務或需求？（如加密、撥入服務等） ?提供這些服務和訪問有哪些風險和總的花費？ 防火墻實現(xiàn)策略 防火墻發(fā)展歷程 第一階段：基于路由器的防火墻 第二階段：用戶化的防火墻工具套 第三階段：建立在通用操作系統(tǒng)上的防火墻 第四階段：具有安全操作系統(tǒng)的防火墻 對防火墻技術與產品發(fā)展的介紹 第一代防火墻產品的特點是： ?利用路由器本身對分組的解析 ,以訪問控制表（ access list） 方式實現(xiàn)對分組的過濾； ?過濾判決的依據(jù)可以是：地址 、 端口號 、 IP旗標及其它特征； ?只有分組過濾的功能 ， 且防火墻與路由器是一體的 ，對 安全要求低的網(wǎng)絡可采用路由器附帶防火墻功能的方法 ， 對安全性要求高的網(wǎng)絡則可單獨利用一臺路由器作防火墻 。這個策略在設計時必須考慮到防火墻本身的性能、限制及具體協(xié)議如 TCP/IP。 ?允許外部網(wǎng)絡或 Inter訪問部分內部網(wǎng)絡，這些特定的網(wǎng)絡服務是經過嚴格選擇和控制的，如一些信息服務器、電子郵件服務器或域名服務器等等。 ?防火墻設計策略：是低層策略，描述了防火墻如何根據(jù)高層的網(wǎng)絡服務訪問策略中定義的策略來具體地限制訪問和過濾服務。而網(wǎng)絡使用統(tǒng)計對網(wǎng)絡需求分析和威脅分析等而言也是非常重要的。 ?另外，收集一個網(wǎng)絡的使用和誤用情況是非常重要的。 防火墻特征 對網(wǎng)絡存取和訪問進行監(jiān)控審計 ?如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。攻擊者可以知道一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶正在連線上網(wǎng)，這個系統(tǒng)是否在被攻擊時引起注意等等。 Finger顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用 shell類型等。一個內部網(wǎng)絡中不引人注意的細節(jié)可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網(wǎng)絡的某些安全漏洞。 ? 控制對特殊站點的訪問：如有些主機或服務能被外部網(wǎng)絡訪問，而有些則需被保護起來，防止不必要的訪問。比如防火墻可以屏蔽部分主機，使外部網(wǎng)絡無法訪問，同樣可以屏蔽部分主機的特定服務，使得外部網(wǎng)絡可以訪問該主機的其它服務，但無法訪問該主機的特定服務。 例如在網(wǎng)絡訪問時 ， 一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完全可以不必分散在各個主機上 ， 而集中在防火墻一身上 。 防火墻特征 防火墻特征 集中化的安全管理 ?通過以防火墻為中心的安全方案配置 ， 能將所有安全軟件 （ 如口令 、 加密 、 身份認證 、 審計等 ） 配置在防火墻上 。 ?防火墻同時可以保護網(wǎng)絡免受基于路由的攻擊，如 IP選項中的源路由攻擊和 ICMP重定向中的重定向路徑。由于只有經過精心選擇的應用協(xié)議才能通過防火墻，所以網(wǎng)絡環(huán)境變得更安全。 它是不同網(wǎng)絡 （ 安全域 ） 之間的唯一出入口 ， 能根據(jù)企業(yè)的安全政策控制（ 允許 、 拒絕 、 監(jiān)測 ） 出入網(wǎng)絡的信息流 ，且本身具有很高的抗攻擊能力 ， 它是提供信息安全服務 ， 實現(xiàn)網(wǎng)絡和信息安全的基礎設施 。常用網(wǎng)絡安全技術介紹 防火墻技術介紹 漏洞掃描技術介紹 入侵檢測技術介紹 講義內容整體介紹 Firewall Inter DMZ Internal Network 防火墻是在不同安全區(qū)域之間進行訪問控制的一種措施。 什么是防火墻 ? 防火墻概念 防火墻是指設置在不同網(wǎng)絡或網(wǎng)絡安全域 （ 公共網(wǎng)和企業(yè)內部網(wǎng) ） 之間的一系列部件的組合 。 防火墻特征 ?保護脆弱和有缺陷的網(wǎng)絡服務 ?集中化的安全管理 ?加強對網(wǎng)絡系統(tǒng)的訪問控制 ?加強隱私 ?對網(wǎng)絡存取和訪問進行監(jiān)控審計 保護脆弱和有缺陷的網(wǎng)絡服務 ?一個防火墻能極大地提高一個內部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。如防火墻可以禁止諸如眾所周知的不安全的 NFS協(xié)議進出受保護網(wǎng)絡，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內部網(wǎng)絡。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員 。 與將網(wǎng)絡安全問題分散到各個主機上相比 ， 防火墻的集中安全管理更經濟 。 加強對網(wǎng)絡系統(tǒng)的訪問控制 ? 一個防火墻的主要功能是對整個網(wǎng)絡的訪問控制。 ? 防火墻不應向外界提供網(wǎng)絡中任何不需要服務的訪問權，這實際上是安全政策的要求了。 防火墻特征 加強隱私 ? 隱私是內部網(wǎng)絡非常關心的問題。 ? 使用防火墻就可以隱蔽那些透漏內部細節(jié)如 Finger， DNS等服務。但是 Finger顯示的信息非常容易被攻擊者所獲悉。防火墻可以同樣阻塞有關內部網(wǎng)絡中的 DNS信息，這樣一臺主機的域名和 IP地址就不會被外界所 了解 。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶?，并提供網(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。 防火墻特征 防火墻實現(xiàn)策略 對防火墻系統(tǒng)而言，共有兩層網(wǎng)絡安全策略： ?網(wǎng)絡服務訪問策略：是高層策略，定義了受保護網(wǎng)絡明確允許和明確拒絕的網(wǎng)絡服務，分析網(wǎng)絡服務的可用性（包括可用條件）、風險性等。 網(wǎng)絡服務訪問策略 ?不允許外部網(wǎng)絡或 Inter訪問內部網(wǎng)絡，但允許內部網(wǎng)絡訪問外部網(wǎng)絡或Inter。 防火墻實現(xiàn)策略 防火墻設計策略 防火墻設計策略必須針對具體的防火墻，它定義過濾規(guī)則等，以實現(xiàn)高層的網(wǎng)絡服務策略。常用的兩種基本防火墻設計策略是： ?允許所有除明確拒絕之外的通信或服務（很少考慮，因為這樣的防火墻可能帶來許多風