【正文】 墻發(fā) 展 歷 程主要 經(jīng)歷 了三個 階 段：n 基于路由器的防火 墻n 基于通用操作系 統(tǒng) 的防火 墻n 基于安全操作系 統(tǒng) 的防火 墻56防火 墻 分 類按 實現(xiàn) 技 術(shù) 分 類 ：q 包 過濾 型q 代理型防火 墻按體系 結(jié) 構(gòu)分 類 ：q 雙宿 /多宿主機防火 墻q 屏蔽主機防火 墻q 屏蔽子網(wǎng)防火 墻q 混合 結(jié) 構(gòu)57包 過濾 防火 墻n 包 過濾 防火 墻q 在決定能否及如何 傳 送數(shù)據(jù)包之外， 還 根據(jù)其規(guī)則 集，看是否 應(yīng)該傳 送 該 數(shù)據(jù)包n 普通路由器q 當(dāng)數(shù)據(jù)包到達 時 ， 查 看 IP包 頭 信息，根據(jù)路由表決定能否以及如何 傳 送數(shù)據(jù)包 58靜 態(tài) 包 過濾 防火 墻 傳輸層 傳輸層 傳輸層 59路由與包 過濾n 路由 進 行 轉(zhuǎn)發(fā) ， 過濾進 行 篩選源地址 目標(biāo)地址 協(xié)議 是否允許Host A Sever X TCP YESHost A Sever X UDP NOHost A外部網(wǎng)絡(luò)目標(biāo) 路由Sever X 接口 1…… ………… ……Sever X60包 過濾 所 檢查 的內(nèi)容n 源和目的的 IP地址 n IP選項 n IP的上 層協(xié)議類 型（ TCP/UDP/ICMP） n TCP和 UDP的源及目的端口 n ICMP的 報 文 類 型和代 碼 我 們 稱 這 種 對 包 頭 內(nèi)容 進 行 簡單過濾 的方式 為 靜 態(tài) 包 過濾61包 過濾 配置包 過濾 防火 墻 配置步 驟 ：q 知道什么是 應(yīng)該 和不 應(yīng) 被允 許 ，制定安全策略q 規(guī) 定允 許 的包 類 型、包字段的 邏輯 表達q 用防火 墻 支持的 語 法重寫表達式62規(guī)則 制定的策略n 拒 絕 任何 訪問 ，除非被 規(guī)則 特 別 允 許 n 允 許 任何 訪問 ，除非 規(guī)則 特 別 地禁止 允許拒絕允許 拒絕63規(guī)則 制定的策略過濾 的兩種基本方式n 按服 務(wù)過濾 ：根據(jù)安全策略決定是否允 許或拒 絕 某一種服 務(wù)n 按 規(guī)則過濾 ： 檢查 包 頭 信息，與 過濾規(guī)則 匹配，決定是否 轉(zhuǎn)發(fā)該 數(shù)據(jù)包64依 賴 于服 務(wù) 的 過濾 多數(shù)服 務(wù)對應(yīng) 特定的端口，如要封 鎖輸 Tel 、SMTP的 連 接， 則 Router丟 棄端口 值為 23和 25的所有數(shù)據(jù)包。安全網(wǎng)域一 安全網(wǎng)域二52防火 墻 主要功能n 過濾進 、出網(wǎng) 絡(luò) 的數(shù)據(jù) 。n 在網(wǎng) 絡(luò) 安全 領(lǐng) 域中，防火 墻 用來指 應(yīng) 用于 內(nèi)部網(wǎng)絡(luò) （局域網(wǎng)）和 外部網(wǎng) 絡(luò) （ Inter）之 間 的，用來 保 護 內(nèi)部網(wǎng) 絡(luò) 免受非法 訪問 和破壞的網(wǎng) 絡(luò) 安全系 統(tǒng) 。47亂序 掃 描n 亂序 掃 描也是一種常 見 的 掃 描技 術(shù) ， 掃 描器 掃 描的 時 候不是 進 行有序的 掃 描， 掃 描端口號的 順 序是隨機 產(chǎn) 生的，每次 進 行 掃描的 順 序都完全不一 樣 ， 這 種方式能有效地欺 騙 某些入侵 檢測 系 統(tǒng) 而不會被 發(fā)覺 。使用慢速 掃 描的目的也就是 這樣 ， 騙過 防火 墻 和入侵 檢測 系 統(tǒng) 而收集信息。即使 掃 描能穿過 防火 墻 ， 掃 描的行 為 仍然有可能會被防火 墻記錄 下來。NULL掃描建立連接成功NULL掃描建立連接未成功43Xmas tree掃 描 （ 圣 誕樹掃 描 ）n XMAS掃 描原理和 NULL掃 描的 類 似，將 TCP數(shù)據(jù)包中的ACK、 FIN、 RST、 SYN、URG、 PSH標(biāo) 志位置 1后 發(fā) 送給 目 標(biāo) 主機。若目 標(biāo) 端口開放，目 標(biāo) 主機將不返回任何信息。根據(jù)返回的RST數(shù)據(jù)包有兩種方法可以得到端口的信息。q 當(dāng) connect返回 0時 ， 連 接成功n 基本的 掃 描方法即 TCP Connect掃 描q 優(yōu) 點p 實現(xiàn)簡單p 可以用普通用 戶權(quán) 限 執(zhí) 行q 缺點p 容易被防火 墻檢測 ，也會目 標(biāo)應(yīng) 用所 記錄34端口 掃 描n 隱 秘 掃 描服務(wù)器端 客戶端connect35端口 掃 描n TCP的 連 接建立 過 程客戶機 服務(wù)器發(fā)送 SYN seq=x 接收 SYN報文 發(fā)送 SYN seq = y,ACK ack = x+1 接收 SYN+ACK 發(fā)送 ACK ack = y+1 接受 ACK報文段 36端口 掃 描n SYN掃 描客戶機 服務(wù)器發(fā)送 SYN seq=x 如果接收到 SYN+ACK，表明服務(wù)器端口可連接如果服務(wù)器端口打開，則返回 SYN+ACK如果服務(wù)器端口未打開，則返回 RSTSYN+ACK如果接收到 RST，表明服務(wù)器端口不可連接 RST37端口 掃 描n SYN掃 描的 實現(xiàn)q WinSock2 接口 Raw Sock方式，允 許 自定 義 IP包p SockRaw = socket(AF_INET , SOCK_RAW , IPPROTO_IP)。12應(yīng) 用 層 要解決的安全 問題 包括n 非法用 戶 利用 應(yīng) 用系 統(tǒng) 的后 門 或漏洞， 強行 進 入系 統(tǒng)n 用 戶 身份假冒n 非授 權(quán)訪問n 數(shù)據(jù)竊取n 數(shù)據(jù) 篡 改n 數(shù)據(jù)重放攻 擊n 抵 賴13網(wǎng) 絡(luò) 安全解決方案14電 子政 務(wù) 網(wǎng) 絡(luò) 拓撲概述內(nèi)部核心子網(wǎng)INTERNET分支機構(gòu) 1 分支機構(gòu) 215電 子政 務(wù) 網(wǎng) 絡(luò) 拓撲 詳細 分析領(lǐng)導(dǎo)層子網(wǎng)分支機構(gòu) 2業(yè)務(wù)處室子網(wǎng)公共處室子網(wǎng)服務(wù)處室子網(wǎng)直屬人事機構(gòu)處室子網(wǎng)共享數(shù)據(jù)庫子網(wǎng)INTERNET分支機構(gòu) 116電 子政 務(wù) 網(wǎng) 絡(luò)風(fēng)險 及需求分析領(lǐng)導(dǎo)層子網(wǎng)分支機構(gòu) 2業(yè)務(wù)處室子網(wǎng)公共處室子網(wǎng)服務(wù)處室子網(wǎng)直屬人事機構(gòu)處室子網(wǎng)共享數(shù)據(jù)庫子網(wǎng)INTERNET分支機構(gòu) 1此人正試圖進入網(wǎng)絡(luò)監(jiān)聽并竊取敏感信息分支機構(gòu)工作人員正試圖在領(lǐng)導(dǎo)層子網(wǎng)安裝木馬分支機構(gòu)工作人員正試圖越權(quán)訪問業(yè)務(wù)子網(wǎng)安裝木馬非內(nèi)部人員正試圖篡改公共網(wǎng)絡(luò)服務(wù)器的數(shù)據(jù)17電 子政 務(wù) 網(wǎng) 絡(luò) 內(nèi)網(wǎng)基 礎(chǔ) 網(wǎng) 絡(luò) 平臺安全領(lǐng)導(dǎo)層子網(wǎng) 業(yè)務(wù)處室子網(wǎng) 公共處室子網(wǎng) 服務(wù)處室子網(wǎng)直屬人事機構(gòu)處室子網(wǎng)共享數(shù)據(jù)庫子網(wǎng)分支機構(gòu) 2分支機構(gòu) 1NEsec300 FW 2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源NEsec300 FW 2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源INTERNETNEsec300 FW 2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源防火墻 FW1 防火墻 FW2 防火墻 FW3安全認證服務(wù)器安全管理器安全網(wǎng)關(guān) SG1安全網(wǎng)關(guān) SG2 安全網(wǎng)關(guān) SG3路由器路由器路由器交換機NEsec300 FW 2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源18內(nèi)網(wǎng)核心網(wǎng) 絡(luò) 與各 級 子網(wǎng) 間 的安全 設(shè)計分支機構(gòu) 2INTERNET分支機構(gòu) 1NEsec300 FW 2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源 內(nèi)部核心子網(wǎng)NEsec300 FW 2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源NEsec300 FW 2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源NEsec300 FW 2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源交換機安全網(wǎng)關(guān) SG1安全網(wǎng)關(guān) SG2 安全網(wǎng)關(guān) SG3路由器路由器 路由器安全管理器安全認證服務(wù)器19內(nèi)網(wǎng)網(wǎng) 絡(luò) 漏洞 掃 描系 統(tǒng)設(shè)計分支機構(gòu) 2INTERNET分支機構(gòu) 1NEsec300 FW 2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源 內(nèi)部核心子網(wǎng)NEsec300 FW 2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源NEsec300 FW 2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源NEsec300 FW 2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源交換機安全網(wǎng)關(guān) SG1安全網(wǎng)關(guān) SG2 安全網(wǎng)關(guān) SG3路由器路由器 路由器安全管理器安全認證服務(wù)器網(wǎng)絡(luò)漏洞掃描器20內(nèi)網(wǎng)網(wǎng) 絡(luò) 入侵 檢測 系 統(tǒng)設(shè)計分支機構(gòu) 2INTERNET分支機構(gòu) 1NEsec300 FW 2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源 內(nèi)部核心子網(wǎng)NEsec300 FW 2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源NEsec300 FW 2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源NEsec300 FW 2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源交換機安全網(wǎng)關(guān) SG1安全網(wǎng)關(guān) SG2 安全網(wǎng)關(guān) SG3路由器路由器 路由器安全管理器安全認證服務(wù)器網(wǎng)絡(luò)入侵檢測探頭 網(wǎng)絡(luò)入侵策略管理器21電 子政 務(wù) 外網(wǎng)基 礎(chǔ) 平臺安全 設(shè)計INTERNET辦公廳辦公業(yè)務(wù)網(wǎng) （簡稱 “內(nèi)網(wǎng) ”）路由器交換機安全管理器防火墻 FW物理隔離器（ K1)EMAIL服務(wù)器應(yīng)用服務(wù)器數(shù)據(jù)庫服務(wù)器22外網(wǎng)網(wǎng) 絡(luò) 漏洞 掃 描系 統(tǒng)設(shè)計INTERNET辦公廳辦公業(yè)務(wù)網(wǎng) （簡稱 “內(nèi)網(wǎng) ”）路由器交換機安全管理器防火墻 FW物理隔離器（ K1)EMAIL服務(wù)器應(yīng)用服務(wù)器數(shù)據(jù)庫服務(wù)器網(wǎng)絡(luò)漏洞掃描器23外網(wǎng)網(wǎng) 絡(luò) 入侵 檢測 系 統(tǒng)設(shè)計INTERNET辦公廳辦公業(yè)務(wù)網(wǎng) （簡稱 “內(nèi)網(wǎng) ”）路由器交換機安全管理器物理隔離器（ K1)EMAIL服務(wù)器應(yīng)用服務(wù)器數(shù)據(jù)庫服務(wù)器網(wǎng)絡(luò)漏洞掃描器網(wǎng)絡(luò)入侵檢測探頭網(wǎng)絡(luò)入侵策略管理器防火墻 FW24外網(wǎng) WEB 服 務(wù) 器安全 設(shè)計INTERNET辦公廳辦公業(yè)務(wù)網(wǎng) （簡稱 “內(nèi)網(wǎng) ”）路由器交換機安全管理器物理隔離器（ K2)EMAIL服務(wù)器應(yīng)用服務(wù)器數(shù)據(jù)庫服務(wù)器防火墻 FW物理隔離器（ K1)辦公廳辦公業(yè)務(wù)網(wǎng)（簡稱 內(nèi)網(wǎng) ）政府系統(tǒng)辦公業(yè)務(wù)資源網(wǎng)（簡稱 “專網(wǎng) ”）Web 網(wǎng)站監(jiān)測 自動修復(fù)系統(tǒng) 25內(nèi)網(wǎng)、外網(wǎng)和 專 網(wǎng)的隔離系 統(tǒng)設(shè)計 INTERNET辦公廳辦公業(yè)務(wù)網(wǎng) （簡稱 “內(nèi)網(wǎng) ”）路由器交換機安全管理器物理隔離器（ K2)EMAIL服務(wù)器應(yīng)用服務(wù)器數(shù)據(jù)庫服務(wù)器防火墻 FW物理隔離器（ K1)辦公廳辦公業(yè)務(wù)網(wǎng)（簡稱 內(nèi)網(wǎng) ）政府系統(tǒng)辦公業(yè)務(wù)資源網(wǎng)（簡稱“專網(wǎng) ”）26其它網(wǎng) 絡(luò) 安全 設(shè)備n 撥 號 檢測 系 統(tǒng)n 上網(wǎng)行 為 管理系 統(tǒng)n DDOS防御網(wǎng)關(guān)n VPN網(wǎng)關(guān)n 防病毒網(wǎng)關(guān)27安全 掃 描技 術(shù)28IP掃 描n IP掃 描 ——Ping Sweepingq Ping使用 ICMP協(xié)議進 行工作29IP掃 描n ICMP協(xié)議負責(zé) 差 錯 的 報 告與控制。10網(wǎng) 絡(luò)層 需求分析n 網(wǎng) 絡(luò)層 安全需求是保 護 網(wǎng) 絡(luò) 不受攻 擊 ，確保網(wǎng) 絡(luò) 服 務(wù) 的可用性。 對 于基于 TCP / IP協(xié)議 的網(wǎng) 絡(luò) 系 統(tǒng) 來 說 ，安全 層 次是與TCP/IP協(xié)議層 次相 對應(yīng) 的。q 技 術(shù) 是關(guān) 鍵q 策略是核心q 管理是保 證n 在整個網(wǎng) 絡(luò) 安全解決方案中，始 終 要體 現(xiàn)出 這 三個方面的關(guān)系。q 總 體來 說 ，網(wǎng) 絡(luò) 安全解決方案涉及安全操作系統(tǒng) 技 術(shù) 、防火 墻 技 術(shù) 、病毒防 護 技 術(shù) 、入侵 檢測 技 術(shù) 、安全 掃 描技 術(shù) 、 認證 和數(shù)字 簽 名技術(shù) 、 VPN技 術(shù) 等多方面的安全技 術(shù) 。q 社會的法律政策、 規(guī) 章制度措施q 技 術(shù) 措施q 審計 和管理措施5網(wǎng) 絡(luò) 安全 設(shè)計 的基本原 則n 要使信息系 統(tǒng) 免受攻 擊 ，關(guān) 鍵 要建立起安全防御體系，從信息的保密性，拓展到信息的完整性、信息的可用性、信息的可控性、信息的不可否 認性等。1網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署2主要內(nèi)容n 內(nèi)網(wǎng)安全架構(gòu)的 設(shè)計 與安全 產(chǎn) 品的部署n 安全 掃 描技 術(shù)