【正文】 實(shí)際上是安全政策的要求了。 安全講座 12 加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)的訪問(wèn)控制 ? 一個(gè)防火墻的主要功能是對(duì)整個(gè)網(wǎng)絡(luò)的訪問(wèn)控制。 防火墻特征 安全講座 11 防火墻特 集中化的安全管理 ?通過(guò)以防火墻為中心的安全方案配置 ， 能將所有安全軟件 （ 如口令 、 加密 、 身份認(rèn)證 、 審計(jì)等 ） 配置在防火墻上 。 ? 防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如 IP選項(xiàng)中的源路由攻擊和 ICMP重定向中的重定向路徑。 安全講座 9 防火墻特征 ?保護(hù)脆弱和有缺陷的網(wǎng)絡(luò)服務(wù) ?集中化的安全管理 ?加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)的訪問(wèn)控制 ?加強(qiáng)隱私 ?對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì) 安全講座 10 保護(hù)脆弱和有缺陷的網(wǎng)絡(luò)服務(wù) ? 一個(gè)防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。防火墻技術(shù)與產(chǎn)品 安全講座 2 ? 防火墻概念 ? 防火墻特征 ? 防火墻功能 ? 協(xié)議與服務(wù) ? 防火墻技術(shù)內(nèi)容 ? 防火墻體系結(jié)構(gòu) ? 防火墻實(shí)現(xiàn)策略 ? 對(duì)防火墻技術(shù)與產(chǎn)品發(fā)展的介紹 ? 對(duì)防火墻技術(shù)的展望 內(nèi)容提要 安全講座 3 Server Client 防火墻（ Firewall） 安全講座 4 為什么需要防火墻 安全講座 5 ? 所有軟件都是有錯(cuò)的 ? 通常情況下 %無(wú)錯(cuò)的程序很少會(huì)出問(wèn)題 ? 同安全相關(guān)的 %無(wú)錯(cuò)的程序可以確信會(huì)被人利用那 %的錯(cuò)誤 ? %安全問(wèn)題等于 100%的失敗 Why Security is Harder than it Looks 安全講座 6 內(nèi)部網(wǎng)特點(diǎn) ? 組成結(jié)構(gòu)復(fù)雜 ? 各節(jié)點(diǎn)通常自主管理 ? 信任邊界復(fù)雜，缺乏有效管理 ? 有顯著的內(nèi)外區(qū)別 ? 機(jī)構(gòu)有整體的安全需求 ? 最薄弱環(huán)節(jié)原則 安全講座 7 為什么需要防火墻 ? 保護(hù)內(nèi)部不受來(lái)自 Inter的攻擊 ? 為了創(chuàng)建安全域 ? 為了增強(qiáng)機(jī)構(gòu)安全策略 安全講座 8 防火墻概念 防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域 （ 公共網(wǎng)和企業(yè)內(nèi)部網(wǎng) ） 之間的一系列部件的組合 。 它是不同網(wǎng)絡(luò) （ 安全域 ） 之間的唯一出入口 ， 能根據(jù)企業(yè)的安全政策控制 （ 允許 、 拒絕 、 監(jiān)測(cè) ） 出入網(wǎng)絡(luò)的信息流 ， 且本身具有很高的抗攻擊能力 ， 它是提供信息安全服務(wù) ， 實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施 。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員 。 與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比 ，防火墻的集中安全管理更經(jīng)濟(jì) 。比如防火墻可以屏蔽部分主機(jī)，使外部網(wǎng)絡(luò)無(wú)法訪問(wèn)，同樣可以屏蔽部分主機(jī)的特定服務(wù)，使得外部網(wǎng)絡(luò)可以訪問(wèn)該主機(jī)的其它服務(wù)，但無(wú)法訪問(wèn)該主機(jī)的特定服務(wù)。 ? 控制對(duì)特殊站點(diǎn)的訪問(wèn)：如有些主機(jī)或服務(wù)能被外部網(wǎng)絡(luò)訪問(wèn)，而有些則需被保護(hù)起來(lái)，防止不必要的訪問(wèn)。一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。 防火墻特征 安全講座 14 對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì) ?如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。 ?另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況是非常重要的。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。 ? 數(shù)據(jù)鏈路層：分為介質(zhì)訪問(wèn)控制（ MAC）和邏輯鏈路控制（ LLC）兩個(gè)子層。LLC的主要任務(wù)是將有噪聲的物理信道變成無(wú)傳輸差錯(cuò)的通信信道，提供數(shù)據(jù)成幀、差錯(cuò)控制、流量控制和鏈路控制等功能。 安全講座 17 協(xié)議－－ ISO/OSI協(xié)議分層 ?傳輸層：主要目的在于彌補(bǔ)網(wǎng)絡(luò)層服務(wù)與用戶需求之間的差距。傳輸層的主要任務(wù)是提供進(jìn)程間通信機(jī)制和保證數(shù)據(jù)傳輸?shù)目煽啃?。主要任?wù)包括會(huì)話管理、傳輸同步以及活動(dòng)管理等。 ?應(yīng)用層：提供最常用且通用的應(yīng)用程序，包括電子郵件（ Email）和文電傳輸?shù)?。 用戶完全可以在 “ 網(wǎng)間網(wǎng) ” 之上 （ 即傳輸層之上） ， 建立自己的專用應(yīng)用程序 ， 這些專用應(yīng)用程序要用到 TCP/IP， 但不屬于 TCP/IP。其功能包括：格式化信息流及提供可靠傳輸。 ?網(wǎng)間網(wǎng)層（ IP）： 負(fù)責(zé)相鄰計(jì)算機(jī)之間的通信。 ?網(wǎng)絡(luò)接口層： TCP/IP協(xié)議的最低層，負(fù)責(zé)接收 IP數(shù)據(jù)報(bào)并通過(guò)網(wǎng)絡(luò)發(fā)送，或者從網(wǎng)絡(luò)上接收物理幀，抽出 IP數(shù)據(jù)包，交給 IP層。 ? TELNET 可以遠(yuǎn)程登陸到網(wǎng)絡(luò)的每個(gè)主機(jī)上，直接使用他的資源。 ? DNS Domain Name Service, 被 TELNET、 FTP、 WWW及其它服務(wù)所用，可以把主機(jī)名字轉(zhuǎn)換為 IP 地址。 TCP/IP服務(wù) 安全講座 23 ? RPC 遠(yuǎn)程過(guò)程調(diào)用服務(wù)。 ? NIS Network Information Services, 網(wǎng)絡(luò)信息服務(wù)容許多個(gè)系統(tǒng)共享數(shù)據(jù)庫(kù) ,如 password file容許集中管理。 ? Rlogin、 rsh、及 其它 “ r”服務(wù) 。 TCP/IP服務(wù) 安全講座 24 IP ? IP協(xié)議的主要內(nèi)容包括無(wú)連接數(shù)據(jù)報(bào)傳送、數(shù)據(jù)報(bào)尋徑及差錯(cuò)處理三部分。 ? IP數(shù)據(jù)報(bào)分為報(bào)頭和數(shù)據(jù)區(qū)兩部分， IP報(bào)頭由 IP協(xié)議處理，是 IP協(xié)議的體現(xiàn)；數(shù)據(jù)體則用于封裝傳輸層數(shù)據(jù)或差錯(cuò)和控制報(bào)文（ ICMP） 數(shù)據(jù)，由 TCP協(xié)議或ICMP協(xié)議處理。面向連接的 TCP要求在進(jìn)行實(shí)際數(shù)據(jù)傳輸前，必須在信源端與信宿端建立一條連接。 ? TCP采用可變窗口進(jìn)行流量控制和擁塞控制以保證可靠性。 安全講座 26 UDP ? UDP是傳輸層的重要協(xié)議之一； ? 基于 UDP的服務(wù)包括 NIS、 NFS、 NTP及 DNS等 。 安全講座 27 TCP與 UDP端口 ? 一個(gè) TCP或 UDP連接由下述要素唯一確定：源 IP地址、目的地 IP地址、源端口、目的地端口。應(yīng)用程序（即進(jìn)程）通過(guò)系統(tǒng)調(diào)用與某些端口建立連接后，傳輸層傳給該端口的數(shù)據(jù)被相應(yīng)進(jìn)程所接收。每個(gè)端口擁有一個(gè)叫端口號(hào)的 16位整數(shù)標(biāo)識(shí)符，用于區(qū)分不同端口。 ? 端口有兩部分，一部分是保留端口（端口號(hào)小于 1024，對(duì)應(yīng)于服務(wù)器進(jìn)程），一部分是自由端口（以本地方式分配）。如 SMTP為 25， X WINDOWS為 6000。 TCP與 UDP端口 安全講座 29 防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點(diǎn)的不同而分為很多種類型 ,總體來(lái)講可分為三大類： ? 分組過(guò)濾 ? 應(yīng)用代理 ? 電路中繼 防火墻技術(shù)內(nèi)容 安全講座 30 ? 分組過(guò)濾（ Packet filtering） ： 作用在網(wǎng)絡(luò)層和傳輸層，它根據(jù)分組包頭源地址，目的地址和端口號(hào)、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過(guò)。 ? 應(yīng)用代理 （ Application Proxy）： 也叫應(yīng)用網(wǎng)關(guān)（ Application Gateway） ,它作用在應(yīng)用層，其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流，通過(guò)對(duì)每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。 ? 電路中繼 (Circuit Relay) 也叫電路網(wǎng)關(guān) (Circuit Gateway)或 TCP代理（ TCP － Proxy） ,其工作原理與應(yīng)用代理類似，不同之處是該代理程序是專門為傳輸層的 TCP協(xié)議編制的。 ? 防火墻設(shè)計(jì)策略：是低層策略，描述了防火墻如何根據(jù)高層的網(wǎng)絡(luò)服務(wù)訪問(wèn)策略中定義的策略來(lái)具體地限制訪問(wèn)和過(guò)濾服務(wù)。 ? 允許外部網(wǎng)絡(luò)或 Inter訪問(wèn)部分內(nèi)部網(wǎng)絡(luò)，這些特定的網(wǎng)絡(luò)服務(wù)是經(jīng)過(guò)嚴(yán)格選擇和控制的，如一些信息服務(wù)器、電子郵件服務(wù)器或域名服務(wù)器等等。這個(gè)策略在設(shè)計(jì)時(shí)必須考慮到防火墻本身的性能、限制及具體協(xié)議如 TCP/IP。攻擊者完全可以使用一種拒絕策略中沒(méi)有定義的服務(wù)而被允許并攻擊網(wǎng)絡(luò)） ? 拒絕所有除明確允許之外的通信或服務(wù)（常用，但操作困難，并有可能拒絕網(wǎng)絡(luò)用戶的正常需求與合法服務(wù)） 防火墻實(shí)現(xiàn)策略 安全講座 51 作為一個(gè)安全策略的設(shè)計(jì)者，應(yīng)懂得以下問(wèn)題的要點(diǎn)： ? 哪些 Inter服務(wù)是本網(wǎng)絡(luò)系統(tǒng)打算使用或提供的？（如 TELNET、 FTP、 HTTP） ? 這些 Inter服務(wù)在哪或哪個(gè)范圍內(nèi)使用？（如在本地網(wǎng)內(nèi)、整個(gè) Inter或撥號(hào)服務(wù)等） ? 可能有哪些額外或臨時(shí)的服