【正文】 墻發(fā) 展 歷 程主要 經(jīng)歷 了三個(gè) 階 段：n 基于路由器的防火 墻n 基于通用操作系 統(tǒng) 的防火 墻n 基于安全操作系 統(tǒng) 的防火 墻56防火 墻 分 類按 實(shí)現(xiàn) 技 術(shù) 分 類 ：q 包 過(guò)濾 型q 代理型防火 墻按體系 結(jié) 構(gòu)分 類 ：q 雙宿 /多宿主機(jī)防火 墻q 屏蔽主機(jī)防火 墻q 屏蔽子網(wǎng)防火 墻q 混合 結(jié) 構(gòu)57包 過(guò)濾 防火 墻n 包 過(guò)濾 防火 墻q 在決定能否及如何 傳 送數(shù)據(jù)包之外， 還 根據(jù)其規(guī)則 集，看是否 應(yīng)該傳 送 該 數(shù)據(jù)包n 普通路由器q 當(dāng)數(shù)據(jù)包到達(dá) 時(shí) ， 查 看 IP包 頭 信息，根據(jù)路由表決定能否以及如何 傳 送數(shù)據(jù)包 58靜 態(tài) 包 過(guò)濾 防火 墻 傳輸層 傳輸層 傳輸層 59路由與包 過(guò)濾n 路由 進(jìn) 行 轉(zhuǎn)發(fā) ， 過(guò)濾進(jìn) 行 篩選源地址 目標(biāo)地址 協(xié)議 是否允許Host A Sever X TCP YESHost A Sever X UDP NOHost A外部網(wǎng)絡(luò)目標(biāo) 路由Sever X 接口 1…… ………… ……Sever X60包 過(guò)濾 所 檢查 的內(nèi)容n 源和目的的 IP地址 n IP選項(xiàng) n IP的上 層協(xié)議類 型（ TCP/UDP/ICMP） n TCP和 UDP的源及目的端口 n ICMP的 報(bào) 文 類 型和代 碼 我 們 稱 這 種 對(duì) 包 頭 內(nèi)容 進(jìn) 行 簡(jiǎn)單過(guò)濾 的方式 為 靜 態(tài) 包 過(guò)濾61包 過(guò)濾 配置包 過(guò)濾 防火 墻 配置步 驟 ：q 知道什么是 應(yīng)該 和不 應(yīng) 被允 許 ，制定安全策略q 規(guī) 定允 許 的包 類 型、包字段的 邏輯 表達(dá)q 用防火 墻 支持的 語(yǔ) 法重寫表達(dá)式62規(guī)則 制定的策略n 拒 絕 任何 訪問(wèn) ，除非被 規(guī)則 特 別 允 許 n 允 許 任何 訪問(wèn) ，除非 規(guī)則 特 別 地禁止 允許拒絕允許 拒絕63規(guī)則 制定的策略過(guò)濾 的兩種基本方式n 按服 務(wù)過(guò)濾 ：根據(jù)安全策略決定是否允 許或拒 絕 某一種服 務(wù)n 按 規(guī)則過(guò)濾 ： 檢查 包 頭 信息，與 過(guò)濾規(guī)則 匹配，決定是否 轉(zhuǎn)發(fā)該 數(shù)據(jù)包64依 賴 于服 務(wù) 的 過(guò)濾 多數(shù)服 務(wù)對(duì)應(yīng) 特定的端口，如要封 鎖輸 Tel 、SMTP的 連 接， 則 Router丟 棄端口 值為 23和 25的所有數(shù)據(jù)包。安全網(wǎng)域一 安全網(wǎng)域二52防火 墻 主要功能n 過(guò)濾進(jìn) 、出網(wǎng) 絡(luò) 的數(shù)據(jù) 。n 在網(wǎng) 絡(luò) 安全 領(lǐng) 域中，防火 墻 用來(lái)指 應(yīng) 用于 內(nèi)部網(wǎng)絡(luò) （局域網(wǎng)）和 外部網(wǎng) 絡(luò) （ Inter）之 間 的，用來(lái) 保 護(hù) 內(nèi)部網(wǎng) 絡(luò) 免受非法 訪問(wèn) 和破壞的網(wǎng) 絡(luò) 安全系 統(tǒng) 。47亂序 掃 描n 亂序 掃 描也是一種常 見(jiàn) 的 掃 描技 術(shù) ， 掃 描器 掃 描的 時(shí) 候不是 進(jìn) 行有序的 掃 描， 掃 描端口號(hào)的 順 序是隨機(jī) 產(chǎn) 生的，每次 進(jìn) 行 掃描的 順 序都完全不一 樣 ， 這 種方式能有效地欺 騙 某些入侵 檢測(cè) 系 統(tǒng) 而不會(huì)被 發(fā)覺(jué) 。使用慢速 掃 描的目的也就是 這樣 ， 騙過(guò) 防火 墻 和入侵 檢測(cè) 系 統(tǒng) 而收集信息。即使 掃 描能穿過(guò) 防火 墻 ， 掃 描的行 為 仍然有可能會(huì)被防火 墻記錄 下來(lái)。NULL掃描建立連接成功NULL掃描建立連接未成功43Xmas tree掃 描 （ 圣 誕樹掃 描 ）n XMAS掃 描原理和 NULL掃 描的 類 似，將 TCP數(shù)據(jù)包中的ACK、 FIN、 RST、 SYN、URG、 PSH標(biāo) 志位置 1后 發(fā) 送給 目 標(biāo) 主機(jī)。若目 標(biāo) 端口開放，目 標(biāo) 主機(jī)將不返回任何信息。根據(jù)返回的RST數(shù)據(jù)包有兩種方法可以得到端口的信息。q 當(dāng) connect返回 0時(shí) ， 連 接成功n 基本的 掃 描方法即 TCP Connect掃 描q 優(yōu) 點(diǎn)p 實(shí)現(xiàn)簡(jiǎn)單p 可以用普通用 戶權(quán) 限 執(zhí) 行q 缺點(diǎn)p 容易被防火 墻檢測(cè) ，也會(huì)目 標(biāo)應(yīng) 用所 記錄34端口 掃 描n 隱 秘 掃 描服務(wù)器端 客戶端connect35端口 掃 描n TCP的 連 接建立 過(guò) 程客戶機(jī) 服務(wù)器發(fā)送 SYN seq=x 接收 SYN報(bào)文 發(fā)送 SYN seq = y,ACK ack = x+1 接收 SYN+ACK 發(fā)送 ACK ack = y+1 接受 ACK報(bào)文段 36端口 掃 描n SYN掃 描客戶機(jī) 服務(wù)器發(fā)送 SYN seq=x 如果接收到 SYN+ACK，表明服務(wù)器端口可連接如果服務(wù)器端口打開，則返回 SYN+ACK如果服務(wù)器端口未打開，則返回 RSTSYN+ACK如果接收到 RST，表明服務(wù)器端口不可連接 RST37端口 掃 描n SYN掃 描的 實(shí)現(xiàn)q WinSock2 接口 Raw Sock方式，允 許 自定 義 IP包p SockRaw = socket(AF_INET , SOCK_RAW , IPPROTO_IP)。12應(yīng) 用 層 要解決的安全 問(wèn)題 包括n 非法用 戶 利用 應(yīng) 用系 統(tǒng) 的后 門 或漏洞， 強(qiáng)行 進(jìn) 入系 統(tǒng)n 用 戶 身份假冒n 非授 權(quán)訪問(wèn)n 數(shù)據(jù)竊取n 數(shù)據(jù) 篡 改n 數(shù)據(jù)重放攻 擊n 抵 賴13網(wǎng) 絡(luò) 安全解決方案14電 子政 務(wù) 網(wǎng) 絡(luò) 拓?fù)涓攀鰞?nèi)部核心子網(wǎng)INTERNET分支機(jī)構(gòu) 1 分支機(jī)構(gòu) 215電 子政 務(wù) 網(wǎng) 絡(luò) 拓?fù)?詳細(xì) 分析領(lǐng)導(dǎo)層子網(wǎng)分支機(jī)構(gòu) 2業(yè)務(wù)處室子網(wǎng)公共處室子網(wǎng)服務(wù)處室子網(wǎng)直屬人事機(jī)構(gòu)處室子網(wǎng)共享數(shù)據(jù)庫(kù)子網(wǎng)INTERNET分支機(jī)構(gòu) 116電 子政 務(wù) 網(wǎng) 絡(luò)風(fēng)險(xiǎn) 及需求分析領(lǐng)導(dǎo)層子網(wǎng)分支機(jī)構(gòu) 2業(yè)務(wù)處室子網(wǎng)公共處室子網(wǎng)服務(wù)處室子網(wǎng)直屬人事機(jī)構(gòu)處室子網(wǎng)共享數(shù)據(jù)庫(kù)子網(wǎng)INTERNET分支機(jī)構(gòu) 1此人正試圖進(jìn)入網(wǎng)絡(luò)監(jiān)聽(tīng)并竊取敏感信息分支機(jī)構(gòu)工作人員正試圖在領(lǐng)導(dǎo)層子網(wǎng)安裝木馬分支機(jī)構(gòu)工作人員正試圖越權(quán)訪問(wèn)業(yè)務(wù)子網(wǎng)安裝木馬非內(nèi)部人員正試圖篡改公共網(wǎng)絡(luò)服務(wù)器的數(shù)據(jù)17電 子政 務(wù) 網(wǎng) 絡(luò) 內(nèi)網(wǎng)基 礎(chǔ) 網(wǎng) 絡(luò) 平臺(tái)安全領(lǐng)導(dǎo)層子網(wǎng) 業(yè)務(wù)處室子網(wǎng) 公共處室子網(wǎng) 服務(wù)處室子網(wǎng)直屬人事機(jī)構(gòu)處室子網(wǎng)共享數(shù)據(jù)庫(kù)子網(wǎng)分支機(jī)構(gòu) 2分支機(jī)構(gòu) 1NEsec300 FW 2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源NEsec300 FW 2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源INTERNETNEsec300 FW 2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源防火墻 FW1 防火墻 FW2 防火墻 FW3安全認(rèn)證服務(wù)器安全管理器安全網(wǎng)關(guān) SG1安全網(wǎng)關(guān) SG2 安全網(wǎng)關(guān) SG3路由器路由器路由器交換機(jī)NEsec300 FW 2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源18內(nèi)網(wǎng)核心網(wǎng) 絡(luò) 與各 級(jí) 子網(wǎng) 間 的安全 設(shè)計(jì)分支機(jī)構(gòu) 2INTERNET分支機(jī)構(gòu) 1NEsec300 FW 2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源 內(nèi)部核心子網(wǎng)NEsec300 FW 2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源NEsec300 FW 2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源NEsec300 FW 2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源交換機(jī)安全網(wǎng)關(guān) SG1安全網(wǎng)關(guān) SG2 安全網(wǎng)關(guān) SG3路由器路由器 路由器安全管理器安全認(rèn)證服務(wù)器19內(nèi)網(wǎng)網(wǎng) 絡(luò) 漏洞 掃 描系 統(tǒng)設(shè)計(jì)分支機(jī)構(gòu) 2INTERNET分支機(jī)構(gòu) 1NEsec300 FW 2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源 內(nèi)部核心子網(wǎng)NEsec300 FW 2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源NEsec300 FW 2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源NEsec300 FW 2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源交換機(jī)安全網(wǎng)關(guān) SG1安全網(wǎng)關(guān) SG2 安全網(wǎng)關(guān) SG3路由器路由器 路由器安全管理器安全認(rèn)證服務(wù)器網(wǎng)絡(luò)漏洞掃描器20內(nèi)網(wǎng)網(wǎng) 絡(luò) 入侵 檢測(cè) 系 統(tǒng)設(shè)計(jì)分支機(jī)構(gòu) 2INTERNET分支機(jī)構(gòu) 1NEsec300 FW 2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源 內(nèi)部核心子網(wǎng)NEsec300 FW 2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源NEsec300 FW 2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源NEsec300 FW 2035968?告 警內(nèi)網(wǎng)接口外網(wǎng)接口電 源交換機(jī)安全網(wǎng)關(guān) SG1安全網(wǎng)關(guān) SG2 安全網(wǎng)關(guān) SG3路由器路由器 路由器安全管理器安全認(rèn)證服務(wù)器網(wǎng)絡(luò)入侵檢測(cè)探頭 網(wǎng)絡(luò)入侵策略管理器21電 子政 務(wù) 外網(wǎng)基 礎(chǔ) 平臺(tái)安全 設(shè)計(jì)INTERNET辦公廳辦公業(yè)務(wù)網(wǎng) （簡(jiǎn)稱 “內(nèi)網(wǎng) ”）路由器交換機(jī)安全管理器防火墻 FW物理隔離器（ K1)EMAIL服務(wù)器應(yīng)用服務(wù)器數(shù)據(jù)庫(kù)服務(wù)器22外網(wǎng)網(wǎng) 絡(luò) 漏洞 掃 描系 統(tǒng)設(shè)計(jì)INTERNET辦公廳辦公業(yè)務(wù)網(wǎng) （簡(jiǎn)稱 “內(nèi)網(wǎng) ”）路由器交換機(jī)安全管理器防火墻 FW物理隔離器（ K1)EMAIL服務(wù)器應(yīng)用服務(wù)器數(shù)據(jù)庫(kù)服務(wù)器網(wǎng)絡(luò)漏洞掃描器23外網(wǎng)網(wǎng) 絡(luò) 入侵 檢測(cè) 系 統(tǒng)設(shè)計(jì)INTERNET辦公廳辦公業(yè)務(wù)網(wǎng) （簡(jiǎn)稱 “內(nèi)網(wǎng) ”）路由器交換機(jī)安全管理器物理隔離器（ K1)EMAIL服務(wù)器應(yīng)用服務(wù)器數(shù)據(jù)庫(kù)服務(wù)器網(wǎng)絡(luò)漏洞掃描器網(wǎng)絡(luò)入侵檢測(cè)探頭網(wǎng)絡(luò)入侵策略管理器防火墻 FW24外網(wǎng) WEB 服 務(wù) 器安全 設(shè)計(jì)INTERNET辦公廳辦公業(yè)務(wù)網(wǎng) （簡(jiǎn)稱 “內(nèi)網(wǎng) ”）路由器交換機(jī)安全管理器物理隔離器（ K2)EMAIL服務(wù)器應(yīng)用服務(wù)器數(shù)據(jù)庫(kù)服務(wù)器防火墻 FW物理隔離器（ K1)辦公廳辦公業(yè)務(wù)網(wǎng)（簡(jiǎn)稱 內(nèi)網(wǎng) ）政府系統(tǒng)辦公業(yè)務(wù)資源網(wǎng)（簡(jiǎn)稱 “專網(wǎng) ”）Web 網(wǎng)站監(jiān)測(cè) 自動(dòng)修復(fù)系統(tǒng) 25內(nèi)網(wǎng)、外網(wǎng)和 專 網(wǎng)的隔離系 統(tǒng)設(shè)計(jì) INTERNET辦公廳辦公業(yè)務(wù)網(wǎng) （簡(jiǎn)稱 “內(nèi)網(wǎng) ”）路由器交換機(jī)安全管理器物理隔離器（ K2)EMAIL服務(wù)器應(yīng)用服務(wù)器數(shù)據(jù)庫(kù)服務(wù)器防火墻 FW物理隔離器（ K1)辦公廳辦公業(yè)務(wù)網(wǎng)（簡(jiǎn)稱 內(nèi)網(wǎng) ）政府系統(tǒng)辦公業(yè)務(wù)資源網(wǎng)（簡(jiǎn)稱“專網(wǎng) ”）26其它網(wǎng) 絡(luò) 安全 設(shè)備n 撥 號(hào) 檢測(cè) 系 統(tǒng)n 上網(wǎng)行 為 管理系 統(tǒng)n DDOS防御網(wǎng)關(guān)n VPN網(wǎng)關(guān)n 防病毒網(wǎng)關(guān)27安全 掃 描技 術(shù)28IP掃 描n IP掃 描 ——Ping Sweepingq Ping使用 ICMP協(xié)議進(jìn) 行工作29IP掃 描n ICMP協(xié)議負(fù)責(zé) 差 錯(cuò) 的 報(bào) 告與控制。10網(wǎng) 絡(luò)層 需求分析n 網(wǎng) 絡(luò)層 安全需求是保 護(hù) 網(wǎng) 絡(luò) 不受攻 擊 ，確保網(wǎng) 絡(luò) 服 務(wù) 的可用性。 對(duì) 于基于 TCP / IP協(xié)議 的網(wǎng) 絡(luò) 系 統(tǒng) 來(lái) 說(shuō) ，安全 層 次是與TCP/IP協(xié)議層 次相 對(duì)應(yīng) 的。q 技 術(shù) 是關(guān) 鍵q 策略是核心q 管理是保 證n 在整個(gè)網(wǎng) 絡(luò) 安全解決方案中，始 終 要體 現(xiàn)出 這 三個(gè)方面的關(guān)系。q 總 體來(lái) 說(shuō) ，網(wǎng) 絡(luò) 安全解決方案涉及安全操作系統(tǒng) 技 術(shù) 、防火 墻 技 術(shù) 、病毒防 護(hù) 技 術(shù) 、入侵 檢測(cè) 技 術(shù) 、安全 掃 描技 術(shù) 、 認(rèn)證 和數(shù)字 簽 名技術(shù) 、 VPN技 術(shù) 等多方面的安全技 術(shù) 。q 社會(huì)的法律政策、 規(guī) 章制度措施q 技 術(shù) 措施q 審計(jì) 和管理措施5網(wǎng) 絡(luò) 安全 設(shè)計(jì) 的基本原 則n 要使信息系 統(tǒng) 免受攻 擊 ，關(guān) 鍵 要建立起安全防御體系，從信息的保密性，拓展到信息的完整性、信息的可用性、信息的可控性、信息的不可否 認(rèn)性等。1網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署2主要內(nèi)容n 內(nèi)網(wǎng)安全架構(gòu)的 設(shè)計(jì) 與安全 產(chǎn) 品的部署n 安全 掃 描技 術(shù)