第5章 防火墙应用技术.ppt_第1页
第5章 防火墙应用技术.ppt_第2页
第5章 防火墙应用技术.ppt_第3页
第5章 防火墙应用技术.ppt_第4页
第5章 防火墙应用技术.ppt_第5页
已阅读5页,还剩52页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

第5章防火墙应用技术,主讲:耿杰,二.技能目标:,1.掌握防火墙的概念、功能特点及安全性,2.掌握设置天网个人防火墙保护系统安全的应用,三.知识链接:,1,防火墙概念与作用,2,3,常用防火墙系统简介,防火墙技术的分类常见防火墙系统结构,课堂讨论:,你使用过防火墙没有?你用过的防火墙是什么公司的?你感觉防火墙有什么好处?。,三.知识链接:,【案例1】微软计划下周发布八个补丁,其中五个修复严重漏洞2008年4月7日,微软称,它计划在4月8日(美国当地时间)发布八个安全补丁。其中五个严重等级的安全补丁是修复windows和ie浏览器中的远程执行代码安全漏洞。黑客利用这些安全漏洞能够控制用户的计算机。这些安全补丁适用于windowsvista、windowsxp、windows2000、windowsserver2003和windowsserver2008等操作系统软件以及ie浏览器。用户在安装这些补丁之后需要重新启动计算机。微软还计划修复两个“重要”等级的安全漏洞。这些安全漏洞能够让windows受到欺骗或者用户非法提升权限的攻击。利用这些安全漏洞能够在office软件中远程执行代码。,51防火墙技术应用基础,三.知识链接:,防火墙(firewall)是一种能将内部网和公众网分开的方法。它能限制被保护的网络与互联网络及其他网络之间进行的信息存取、传递等操作。在构建安全的网络环境过程中,防火墙作为第一道安全防线,正受到越来越多用户关注。,三.知识链接:,【知识1】防火墙概念与作用1防火墙概念“防火墙”原来是指在建筑物中用来隔离不同的房间,防止火灾蔓延的隔断墙,现在,人们引用这个概念,把用于保护计算机网络中敏感数据不被窃取和篡改的计算机软硬系统叫做“防火墙”。防火墙是设置在不同网络(如可信任的企业内部网和不可信任的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。,三.知识链接:,防火墙实际上是一种访问控制技术,它在一个被认为是安全和可信的内部网络和一个被认为是不那么安全和可信的外部网络之间设置障碍,阻止对信息资源的非法访问,也可以阻止保密信息从受保护网络上被非法输出。它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之网外。换句话说,如果不通过防火墙,可信网络内部和外部的人就无法进行通信。,三.知识链接:,防火墙是一类防范措施的总称,不是一个单独的计算机程序或设备。在物理上,它通常是一组硬件设备和软件的多种组合。防火墙是不同网络或网络安全域之间信息的唯一出入口,能根据一定的安全政策控制出入网络的信息流。防火墙本身具有较强的抗攻击能力,是提供信息安全服务,实现网络和信息安全的基础设施。图5-1为防火墙示意图:,三.知识链接:,提示:防火墙可分为软件防火墙和硬件防火墙。2防火墙的作用防火墙一方面对经过它的网络通信进行扫描,过滤掉一些可能攻击内部网络的数据。另一方面防火墙可以关闭不使用的端口,能禁止特定端口听通信,封锁特洛伊木马。它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。具体来说,防火墙的作用主要体现在以下几个方面:1)防火墙是网络安全的屏障一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。2)防火墙可以强化网络安全策略通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、密码、身份认证、审计等)配置在防火墙上。3)网络存取和访问监控审计4)防止内部信息的外泄5)防火墙支持具有internet服务特性的企业内部网络技术体系vpn,三.知识链接:,【知识2】常用防火墙系统简介1天网防火墙天网防火墙是国内第一款针对个人用户的软件防火墙,拥有强大的访问控制、信息过滤和自定义规则设置等功能,通过对不同的网络环境灵活选择适当的安全方案,可以有效抵御木马、后门病毒、黑客攻击以及ie、系统漏洞等安全隐患带来的威胁。最新版本的包过滤引擎内核,数据处理速度更快,占用系统资源极低,能在正常上网的同时最大限度地保障您机器的安全,是个人上网用户防止个人文件和私密信息泄露的必备安全软件。天网防火墙主要特色:1)严密的实时监控。监控来自外部的安全威胁,过滤所有未授权连接,时刻保护用户的系统安全。2)灵活的安全规则。防火墙规则可方便地增加、删除和修改,并根据自身网络环境设置合适的安全规则。3)应用程序规则设置。拒绝未经授权的内部程序连接网络,防止木马病毒泄露秘密信息。4)详细的访问记录和完善的报警系统。遇到安全威胁即发出报警并记录该威胁的详细信息,让您在第一时间了解系统安全状态。5)独创的扩展安全级别。针对新出现的病毒木马,官方定期为用户更新防御规则,保证您的防火墙能够随时抵御新的威胁。6)完善的密码保护措施。凡查看、修改或者关闭防火墙,均需提供密码,防止病毒、黑客或他人修改用户的防火墙设置。,三.知识链接:,2瑞星防火墙2008版简介瑞星个人防火墙2008版,加强了未知木马识别、多帐户管理(家长控制)、ie浏览器监控等功能,在专业性和易用性上有了很大的提高,与瑞星杀毒软件2008相配合,可以有更好的防护效果。瑞星防火墙2008版主要特色:1)防火墙多账号管理,方便用户管理自己的电脑2)未知木马识别,防范未知木马的攻击3)ie功能调用拦截,使ie浏览器不被病毒利用4)提供强大的反钓鱼、防木马病毒网站功能5)模块检查功能,阻止木马通过网络发送信息,三.知识链接:,【案例1】天网防火墙系统设置,操作步骤:,第1步:在安装好天网防火墙之后,打开【天网防火墙个人版】窗口,如图5-2所示.,操作步骤:,第2步:如果右击桌面右下角【天网防火墙】图标,并在弹出的快捷菜单中选择【退出】选项,则可退出【天网防火墙个人版】程序。第3步:单击主窗口中的【应用程序规则】按纽,即可打开【应用程序规则】对话框,从中可以设置允许()、提示(?)、禁止()三种方式来判断是否允许访问网络资源,如图5-3所示。,操作步骤:,第4步:选择其中一个程序(如”qq游戏”),单击【删除】按钮,既可打开【天网防火墙提示信息】对话框,如图5-4所示。,操作步骤:,第5步:单击【确定】按纽之后,将禁止qq游戏使用网络资源,如果此时再运行qq游戏,将打开【天网防火墙警告信息】对话框,如图5-5所示。只有取消勾选【该程序以后都按照这次的操作运行】复选框并单击【允许】按纽,该qq游戏程序才可以使用网络资源。,操作步骤:,第6步:在【应用程序规则】对话框选择一项并双击【选项】按纽,即可打开【应用程序规则高级设置】对话框,如图5-6所示。,操作步骤:,第7步:如果选取了“端口范围”单选按纽,从中即可设定该程序访问网络的端口范围(本对话框中内容表示firefox程序只能使用01024之间的端口),如图5-7所示。,操作步骤:,第8步:选择【端口列表】单选按钮,在右侧列表框处列出了该程序可使用的端口,如图5-8所示。,操作步骤:,第9步:在【应用程序规则】对话框单击【ip规则管理】按纽,即可打开【自定义ip规则】对话框,单击其中任一项,即可在列表框中出现对该规则的描述,如图5-9所示。,操作步骤:,第10步:在【应用程序规则】对话框单击【系统设置】按纽并勾选“启动”选项组中的“开机后自动启动防火墙”复选框,则以后每次启动计算机时,都将自动运行天网防火墙。如果单击【重置】按纽,则会打开【天网防火墙提示信息】对话框,如图5-10所示。单击【确定】按纽,即可删除所有后来加入的新规则,而所有被修改的规则都将变成初始的默认设置。,操作步骤:,第11步:单击【向导】按纽,即可打开【天网防火墙设置向导】对话框,如图5-11所示。,操作步骤:,第12步:单击【下一步】按纽,即可进入【安全级别设置】对话框,从中选择所要使用的安全级别,如图5-12所示。,操作步骤:,第13步:单击【下一步】按纽,即可进入【常用应用程序设置】对话框,在其中可以选择防火墙允许访问网络的程序。第14步:单击【下一步】按纽,即可进入【局域网信息设置】对话框。其中勾选【开机的时候自动启动防火墙】复选框,即可让防火墙在开机的时候自动开始对电脑进行保护。在“我的局域网的地址是”文本框中,只要输入要设定ip地址即可。第15步:在完成设置之后,单击【结束】按纽,即可完成对天网防火墙的系统设置。,操作步骤:,(2)限制不必要的用户数量去掉所有的duplicateuser帐户、测试用帐户、共享帐号和普通部门帐号等。用户组策略设置之不理相应权限,并且经常检查系统的帐户,删除已经不再使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到的合法用户权限的可能性一般也就越大。国内的windowsnt/2000主机,如果系统帐户超过10个,一般都能找出一二个弱口令帐户。(3)创建两个管理员用帐号创建一个只有一般权限的帐号用来收信以及处理一些日常事物,另一个拥有administrators权限的帐户只在需要的时候使用。,操作步骤:,(4)系统administrator帐号改名windows2000的administrator帐户改名可以有效地防止攻击。只是不要使用admin之类的名字,这样改了等于没改,尽量把它伪装成普通用户。(5)创建一个陷阱帐号创建一个名为”administrator”的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以增加那些入侵的难度,即使口令被破解,入侵者也会无所作为,并且可以借此发现它们的入侵企图。,操作步骤:,第2步:密码管理(1)使用安全密码一个好的密码对于一个网络是非常重要的,但是它是最容易被忽略的。一些管理员创建帐号的时候往往习惯用公司名、计算机名、或者一些很容易猜中的东西作为用户名,然后又把这些帐户的密码设置得很简单,比如“welcome”、“iloveyou”、“letmein”或者和用户名相同等。这样的帐户应该要求用户在第一次登录的时候更改成复杂的密码,还要注意经常更改密码。安全期内无法破解出来的密码就是好密码,也就是说,如果人家得到了密码文档,必须花43天或者更长的时间才能破解出来,而密码策略可能是42天必须更改密码。(2)设置屏幕保护密码设置屏幕保护密码也是防止内部人员破坏服务器的一个安全屏障。还有一点,所有系统用户使用的机器也最好加上屏幕保护密码。,操作步骤:,第3步:合理设置浏览器的安全属性(1)防止microsoftactivex攻击在ie中打开【工具】的【internet选项】,在【安全】选项中选择【internet】区域,将代表安全等级滑动条上移到合适位置,推荐设为high,然后手工使用【自定义级别】按钮,禁止activex的活动。(2)合理选择网站的安全等级慎用可信站点,只有非常可靠的站点才能列为可信站点。在浏览器中选择【工具】菜单,然后在【internet选项】的【高级】菜单项中设置好安全属性。,三.知识链接:,【知识1】防火墙技术的分类防火墙是近十几年发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,在网络边界上通过建立起来的相应网络监控系统来隔离内部和外部网络,以阻挡外部网络的侵入。目前的防火墙主要有以下2大类:包过防火墙和代理防火墙。1包过滤防火墙技术数据包过滤(facketfiltering)技术是防火墙为系统提供安全保障的主要技术,它依据系统内事先设定的过滤逻辑,通过设备对进出网络的数据流进行有选择的控制与操作。,52防火墙技术应用,三.知识链接:,数据包过滤技术作为防火墙的应用有3种。第一种是路由设备在完成路由选择和数据转发的同时进行包过滤。第2种是在工作站上使用软件进行包过滤。第3种是在一种称为屏蔽路由器的路由设备上启动包过滤功能。目前较常用的方式是第一种。用户可以设定一系列的规则,指定允许哪些类型的数据包可以流入或流出内部网络,哪些类型的数据包的传输应该被拦截。包过滤作用在网络层和传输层,以ip包信息为基础,对通过防火墙的ip包的源,目的地址,tcp/udp的端口标识符及icmp等进行检查。规定了哪些网络节点何时可通过防火墙访问外部网络,哪些网络节点可访问内部网络。或者哪些用户只能使用e-mail,而不能使用telnet和ftp,哪些用户只能使用telnet,而不能使用ftp等.可以利用安全策略形式语言描述安全配置规则,并进行一致性检查,达到灵活方便配置安全策略的目的。,52防火墙技术应用,三.知识链接:,2代理防火墙技术代理防火墙的主要是因为代理服务器(proxyserver)。代理服务器是指代理内部网络用户与外部网络服务器进行信息交换的程序。它可以将内部用户的请求确认后送达外部服务器,同时将外部服务器的响应再送给用户。这种技术经常被用于在web服务器上高速缓存信息,扮演着web客户和web服务器之间的中介角色。它主要保存internet上最常用和最近访问过的内容,可为用户提供更快的访问速度,并且提高了网络安全性。由于代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离的作用,因此又把它叫做代理防火墙。代理防火墙作用在应用层,用来提供应用层服务的控制,其特点是完全阻隔了网络通信流,通过对每种应用服务编制专门的代理程序。实现监视和控制应用层通信流的作用。所以代理防火墙又被称为应用代理或应用层网关型防火墙。提示:在实际应用中,很少把以上一种技术当作单独的安全解决方案,通常是与其他防火墙技术柔和使用,共同组成防火墙系统。,52防火墙技术应用,三.知识链接:,【知识2】常见防火墙系统结构出于对更高安全性的要求,通常的防火墙系统是多种解决不同问题的技术的有机组合。例如,把基于包过滤的方法与基于应用代理的方法结合起来。就形成复合型防火墙产品。目前常见的配置有以下几种:1屏蔽路由器屏蔽路由器是防火墙最基本的构件,是最简单也是最常见的防火墙。屏蔽路由器作为内外连接的唯一通道,要求所有的报文都必须在此通过检查。路由器上可以安装基于ip层的报文过滤软件,实现报文过滤功能。许多路由器本身带有报文过滤配置选项,但一般比较简单。这种配置的优点是:容易实现、费用少,并且对用户的要求较少,使用方便。其缺点是:日志记录能力不强,规则表庞大、复杂,整个系统依靠单一的部件来进行保护,一旦被攻击,系统管理员很难确定系统是否正在被入侵或已经被入侵了。,三.知识链接:,2双宿主主机网关双宿主主机是一台安装有有两块网卡的计算机,每块网卡有各自的ip地址,并分别与受保护网和外部网相连。如果外部网络上的计算机想与内部网络上的计算机进行通信,它就必须与双宿主主机上与外部相连的ip地址联系,代理服务器软件再通过另一块网卡与内部网络相连接。如图5-13所示。,三.知识链接:,3屏蔽主机网关屏蔽主机网关由屏蔽路由器和应用网关组成,屏蔽路由器的作用是包过滤,应用网关的作用是代理服务。这样,在内部网络和外部网络之间建立了两道安全屏障,既实现了网络层安全,又实现了应用层安全。如图5-14所示。,三.知识链接:,4屏蔽子网屏蔽子网系统结构是在屏蔽主机网关的基础上再加上一个屏蔽路由器,两个路由器放在子网的两端,三者形成了一个被称为“非军事区”的子网。如图5-15所示。,三.知识链接:,【案例2】应用天网防火墙防范木马,操作步骤:,在全面了解天网防火墙的设置之后,再来讲述一下其防范木马的主要情况。对于木马程序第一次运行的情况,可采用如下防御方法:第1步:如果在天网防火墙运行时,木马服务器程序要打开网络端口,此时会弹出【天网防火墙警告信息】对话框,即可很容易检测到自己运行的程序是否被绑定了木马。,操作步骤:,第2步:如果要想防止某程序使用网络资源,则单击【天网防火墙警告信息】信息提示框中的【禁止】按纽即可,这样,攻击者就无法通过木马服务器程序来对被攻击者的机器进行远程控制了。而对于那些已经被植入木马到计算机中的用户,则可以采用如下的防御方法。,操作步骤:,第3步:在天网防火墙主窗口中单击【增加规则】按纽,即可打开【增加ip规则】对话框,在【规则】选项组的“名称”文本框中输入“禁止冰河木马的侵入”,在“说明文本框中输入“记录冰河木马入侵,方法是记录7626端口的访问情况,在发现有冰河木马入侵的时候,同时发声”。在【数据包方向】下拉列表框中选择【接收】选项,再在【对方ip地址】下拉列表框中选择“任何地址”项,如图5-16所示。,操作步骤:,第4步:在【数据包协议类型】下拉列表框中选择“tcp”选项之后,即可出现tcp类型框,在【本地端口】选项组中设定端口为从7626到7626,如图5-17所示。在【数据包协议类型】下拉列表框中选择udp项之后,将出现udp类型框,在【本地端口】选项组中设定端口为从7626到7626,如图5-18所示。,这两处(tcp/udp)的设置主要是为了监听7626端口而进行的,因为冰河木马服务器程序就是使用这个端口与客户端程序进行通信的。,操作步骤:,第5步:在【当满足上面条件时】下拉列表框中选择【通行】选项之后,再在【同时还】中勾选【记录】复选框和【发声】复选框,如图5-19所示。此时,在自定义ip规则列表框中就可以看到已经出现【禁止冰河木马的侵入】规则了,如图5-20所示。,操作步骤:,经过上述设置之后,只要有其他计算机想通过冰河客户端程序控制本地计算机,本地计算机可出现“!”在【天网防火墙】图标上下不断闪烁,并同时还发出警报声音。单击【日志】按纽之后,天网防火墙可显示是哪些ip通过木马访问本地计算机的提示信息。,操作步骤:,【案例3】应用天网防火墙开放bt端口【案例说明】bt使用的端口为68816889端口这九个端口,而防火墙的默认设置是不允许访问这些端口的,它只允许bt软件访问网络,所以有时在一定程度上影响了bt下载速度。下面打开68816889端口。【操作步骤】第1步:在在天网防火墙主窗口中单击【增加规则】按纽后,按如下图5-21设置,点击确定完成新规则的建立,新规则命名为bt。,操作步骤:,【案例4】打开21和80端口很多人都使用了ftp服务器软件和web服务器,放火墙不仅限制本机访问外部的服务器,也限制外部计算机访问本机。为了web和ftp服务器能正常使用,我们就必须设置防火墙【操作步骤】第1步:按图5-22设置打开web服务80端口的ip规则。,操作步骤:,第2步:点击确定,并使其生效。第3步:按图5-23设置打开ftp服务21端口的ip规则。,9防火墙技术的发展趋势防火墙技术在经历了从静态过滤到状态检测过滤,从网络层分析到应用层分析的演变后,发展方向会更多地集中在对特定网络服务和协议的分析处理,以及与其他网络安全设备的配合与协作上面。,9防火墙技术的发展趋势防火墙技术在经历了从静态过滤到状态检测过滤1深度包检测传统的包过滤防火墙主要工作于网络层,分析的是数据报的报头信息,不对数据报内容做分析。由于网络服务和协议趋于多样化和复杂化,单纯根据报头信息已不能提供很好的安全性与可用性。应用网关使用的代理技术可以将分析做到应用层,针对不同的应用协议做出控制。但是代理程序一般着眼于“代理”服务,缺乏安全性考虑和可扩展性考虑。而且代理程序一般工作在操作系统的用户级,在大负荷网络环境下很容易不堪重负,成为网络的信息处理瓶颈。深度包检测是指对数据报的分析深人到内存,充分理解各种应用协议的流程以及脆弱性所在,以做出针对性的检测和保护。实际上在状态检测包过滤中已经用到了一些深皮包检测技术,比如对ftp协议做状态检测时,就需要分析到port命令数据报的内容。,从网络层分析到应用层分析的演变后,发展方向会更多地集中在对特定网络服务和协议的分析处理,以及与其他网络安全设备的配合与协作上面。,深度包检测将成为防火墙发展的下一个阶段。例如最具破坏性的网络攻击如红色代码和尼姆达都利用了应用存在的漏洞,这加大了对应用防火墙的需求。说到保护系统免受类似尼姆达的攻击,众多的应用代理收效甚微。在未来,只依靠代理或状态包检测防火墙的企业遭到应用层攻击破坏的几率将大大增加。代理系统对阻挡将来的攻击并非至关重要。将来防火墙需要更加深入监控信息包流,查出恶意行为,并加以阻挡。市场上的包检测解决方案必须增添功能(如特征检测)寻找己知攻击,并知道什么是“正常”流量(基于行为的系统),以及什么是阻挡协议的异常行为。从防火墙厂商的动态来观察,也有迹象表明,防火墙的这个发展阶段已经到来。,2网络安全产品的系统化现在有一种提法,叫做“建立以防火墙为核心的网络安全体系”,主要是依据目前网络安全产品的不断推出和防火墙在实际使用中表现出的越来越大的局限性而提出的。一般情况下,由于内外网交界的位置非常关键,因此为了降低网络传输延迟,只有不得不置于这个位置的设备(如防火墙)才会放置在这里(一般必需的还有病毒检测设备等等),其他设备如入侵检测系统只能置于旁路位置。而在实际使用中,人侵检测系统的任务不仅在于检测,很多时候在发现入侵行为以后,也需要入侵检测系统本身对人侵行为及时遏止。显然,处于旁路侦听的入侵检测系统天法独立完成这个任务,同时主线路又不能串接太多类似设备。在这种情况下,防火墙和入侵检测、病毒检测等相关安全产品联合起来,充分发挥各自的长处,协同配合,共同建立一个有效的安全防范体系,系统网络的安全性得以明显提升。,日前主要有两种解决办法。一种是把入侵检测、病毒检测部分直接做到防火墙中,使防火墙具有(简单的)入侵检测和病毒检测设备的功能;另一种方法是各个产品分立,但是通过某种通信方式形成一个整体,即相关检测系统专用于某一类安全事件的检测,一旦发现安全事件,则立即通知防火墙,由防火墙完成过滤和报告。第一种方法似乎前途不明确,因为人侵检测本身也是一个非常复杂的系统,即使成为防火墙的一部分,这样一个防火墙的效率也

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论