计算机网络课件：第9章 网络安全与网络管理

1、第9章 网络安全与网络管理,中国国家计算机安全规范,计算机的安全大致可分为三类： 1）实体安全。包括机房、线路、主机等； 2）网络安全。包括网络的畅通、准确以及网上信息的安全； 3）应用安全。包括程序开发运行、I/O、数据库等的安全。,什么是网络安全？ 网络安全主要解决数据保密和认证的问题。 数据保密:采取复杂多样的措施对数据加以保护，以防止数据被有意或无意地泄露给无关人员。 认证: 信息认证(报文鉴别)和用户认证（实体鉴别） 信息认证：是指信息从发送到接收整个通路中没有被第三者修改和伪造， 用户认证：是指用户双方都能证实对方是这次通信的合法用户。,？,在物理层上，可以在包容电缆的密封套中充入

2、高压的氖气，当网络入侵者刺破密封套进行线路窃听时，由于气体泄露导致压力下降，从而触发告警装置； 在链路层上可以进行所谓的链路加密，即将每个帧编码后再发出，当到达另一端时再解码恢复出来； 在网络层上可以使用防火墙技术过滤一部分有嫌疑的数据报； 在传输层上甚至整个连接都可以被加密。,面对网络安全问题可能采取的措施可如：,网络安全:网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 （l）运行系统安全，即保证信息处理和传输系统的安全。 （2）网络上系统信息的安全。 （3）网络上信息传播的安全，即信息传播后果的安全。

3、（4）网络上信息内容的安全，即我们讨论的狭义的“信息安全”。,网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，都是网络安全所要研究的领域。,保密性，信息不泄露给非授权的用户、实体或过程，或供其利用的特性； 完整性，数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性； 可用性，可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息； 可控性：对信息的传播及内容具有控制能力。,网络安全应具备四个特征,（1）非授权访问（unauthorized access）： 一

4、个非授权的人的入侵。 （2）信息泄露（disclosure of information）： 造成将有价值的和高度机密的信息暴露给无权访问该信息的人的所有问题。 （3）拒绝服务（denial of service）： 使得系统难以或不可能继续执行任务的所有问题。,主要的网络安全的威胁,网络安全问题已经成为信息化社会的一个焦点问题； 每个国家只能立足于本国，研究自己的网络安全技术，培养自己的专门人才，发展自己的网络安全产业，才能构筑本国的网络与信息安全防范体系。,9.1 网络安全的重要性,主机安全技术 身份认证技术 访问控制技术 密码技术 防火墙技术 病毒防治技术 安全审计技术 安全管理技术,9

5、.2 网络安全技术研究的基本问题,9.2.1 构成对网络安全威胁的主要因素与相关技术的研究 网络防攻击问题 网络安全漏洞与对策问题 网络中的信息安全保密问题 网络内部安全防范问题 网络防病毒问题 网络数据备份与恢复、灾难恢复问题,服务攻击: 对网络提供某种服务的服务器发起攻击，造成该网络的“拒绝服务”，使网络工作不正常; 非服务攻击: 不针对某项具体应用服务，而是基于网络层等低层协议而进行的，使得网络通信设备工作严重阻塞或瘫痪。,1、网络防攻击问题,网络可能遭到哪些人的攻击？ 攻击类型与手段可能有哪些？ 如何及时检测并报告网络被攻击？ 如何采取相应的网络安全策略与网络安全防护体系？,网络防攻击

6、主要问题需要研究的几个问题,计算机硬件与操作系统 网络硬件与网络软件 数据库管理系统 应用软件 网络通信协议,网络运行,安全漏洞,2、网络安全漏洞与对策的研究,信息存储安全 保证静态存储在连网计算机中的信息不会被未授权的网络用户非法使用； 信息传输安全 保证信息在网络传输的过程中不被泄露与不被攻击；,3、网络中的信息安全保密,截获,篡改,伪造,中断,被动攻击,主 动 攻 击,目的站,源站,源站,源站,源站,目的站,目的站,目的站,信息被攻击的4种类型,攻击者只是观察和分析某一个协议数据单元 PDU 而不干扰信息流。,攻击者对某个连接中通过的 PDU 进行各种处理。如更改报文流 、拒绝报文服务

7、、 伪造连接初始化 。,(1) 计算机病毒会“传染”其他程序的程序，“传染”是通过修改其他程序来把自身或其变种复制进去完成的。 (2) 计算机蠕虫通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。 (3) 特洛伊木马一种程序，它执行的功能超出所声称的功能。 (4) 逻辑炸弹一种当运行环境满足某种特定条件时执行其他特殊功能的程序。,特殊的主动攻击：恶意程序类型,(1) 防止析出报文内容； (2) 防止通信量分析； (3) 检测更改报文流； (4) 检测拒绝报文服务； (5) 检测伪造初始化连接。,针对被动攻击：加密技术 针对主动攻击：加密技术+适当的认证鉴别技术,计算机网络通信

8、安全的目标,将明文变换成密文的过程称为加密； 将密文经过逆变换恢复成明文的过程称为解密。,数据加密与解密,明文 X,截获,密文 Y,一般的数据加密模型,加密密钥 K,明文 X,密文 Y,截取者,篡改,A,B,E 运算 加密算法,D 运算 解密算法,因特网,解密密钥 K,Y=Ek(X),Dk(Y)=Dk(Ek(X)=X,密码编码学(cryptography)是密码体制的设计学 密码分析学(cryptanalysis)则是在未知密钥的情况下从密文推演出明文或密钥的技术,密码学(cryptology)。,理论上是不可破的 如果不论截取者获得了多少密文，但在密文中都没有足够的信息来唯一地确定出对应的明

9、文，则这一密码体制称为无条件安全的,56位长的密钥：256=7.6*1016 假设1s搜索一次，只搜索密钥空间的一半即可找到密钥，需时1000年 128位长的密钥： 假设1 s搜索一百万次，需时5.4*1018年,一批合作者在1999年，借助近25万美元的专用计算机，用时约22 小时破译56位密钥，由此推算如使用100万美元或1000万美元的计算机，预期用时3.5小时和21 分钟,计算上是安全的 如果密码体制中的密码不能被可使用的计算资源破译,例1：数据加密标准 DES,IBM研制，于1977被 定为联邦信息标准，也曾作为ISO数据加密标准 是一种分组密码，即在加密前，先对整个明文进行分组。每

10、一个组长为 64 位。 然后对每一个 64 位 二进制数据进行加密处理，产生一组 64 位密文数据。 最后将各组密文串接起来，即得出整个的密文。 使用的密钥为 64 位（实际密钥长度为 56 位，有 8 位用于奇偶校验)。,对称密钥密码体制：也称常规密钥密码体制，即加密密钥与解密密钥是相同的密码体制,例1 ：数据加密标准DES,DES 的保密性,DES 的保密性仅取决于对密钥的保密，而算法是公开的。 DES 是世界上第一个公认的实用密码算法标准。 目前较为严重的问题是 DES 的密钥的长度。 现在已经设计出来搜索 DES 密钥的专用芯片。,例2：国际数据加密算法IDEA（Internation

11、al Data Encryption Algorithm）,128位密钥,公钥密码体制,概念的最早提出：Stanford大学，Diffie与 Hellman，1976 加密密公钥密码体制使用不同的加密密钥与解密密钥，是一种“由已知钥推导出解密密钥在计算上是不可行的”密码体制 产生原因 常规密钥密码体制的密钥分配问题 对数字签名的需求。 现有最著名的公钥密码体制是RSA 体制，由美国三位科学家 Rivest, Shamir 和 Adleman 于 1976 年提出并在 1978 年正式发表的,在公钥密码体制中，加密密钥(即公钥) PK 是公开信息，而解密密钥(即私钥或秘钥) SK 是需要保密的。

12、 加密算法 E 和解密算法 D 也都是公开的。 虽然秘钥 SK 是由公钥 PK 决定的，但却不能根据 PK 计算出 SK。,加密密钥与解密密钥,公钥密码体制,密文Y,E 运算 加密算法,D 运算 解密算法,加密,解密,明文 X,明文 X,A,B,B 的私钥 SKB,密文Y,因特网,B 的公钥 PKB,公钥密码体制的加密、解密过程特点： 1、密钥对产生器产生出接收者B的一对密钥：加密密钥PKB和解密密钥SKB，发送者A使用的加密密钥PKB就是接收者B的公钥，向公众公开。而B所用的解密密钥SKB就是接收者的私钥，对其它人保密,密文Y,E 运算 加密算法,D 运算 解密算法,加密,解密,明文 X,明

13、文 X,A,B,B 的私钥 SKB,密文Y,因特网,B 的公钥 PKB,2、发送者 A 用 B 的公钥 PKB 通过E 运算后对明文 X进行加密，形成明文Y，发送给B，B用自己的私钥SKB通过D运算进行解密，恢复出明文X，即：,密文Y,E 运算 加密算法,D 运算 解密算法,加密,解密,明文 X,明文 X,A,B,B 的私钥 SKB,密文Y,因特网,B 的公钥 PKB,3、在计算机上可容易地产生成对的 PK 和 SK。但从已知的 PK 实际上不可能推导出 SK，即从 PK 到 SK 是“计算上不可能的” 4、公钥可以用来加密，但不能用来解密，即,密文Y,E 运算 加密算法,D 运算 解密算法,

14、加密,解密,明文 X,明文 X,A,B,B 的私钥 SKB,密文Y,因特网,B 的公钥 PKB,5、加密和解密算法都是公开的 6、加密和解密的运算可以对调，即,数字签名必须保证做到以下三点： (1) 报文鉴别：接收者能够核实发送者对报文的签名； (2) 报文的完整性：接收者能够核实报文晃否被篡改的签名 (3) 不可否认：发送者事后不能抵赖对报文的签名；接收者不能伪造对报文的签名。,数字签名,密文,D 运算,明文 X,明文 X,A,B,A 的私钥 SKA,因特网,签名,核实签名,E 运算,密文,A 的公钥 PKA,运算不是为了解密和加密，只是为了进行签名和核实签名,数字签名的实现,数字签名三功能

15、的实现,因为除 A 外没有别人能具有 A 的私钥，所以除 A 外没有别人能产生这个密文。因此 B 相信报文 X 是 A 签名发送的。 若 A 要抵赖曾发送报文给 B，B 可将明文和对应的密文出示给第三者。第三者很容易用 A 的公钥去证实 A 确实发送 X 给 B。反之，若 B 将 X 伪造成 X，则 B 不能在第三者前出示对应的密文。这样就证明了 B 伪造了报文。 其他人如果篡改过报文，但无法得到A的私钥SKA来对X进行加密，B对篡改过的报文进行解密时，将会得出不可读的明文，就知道被 篡改过,报文 鉴别,不 可 否 认,报文 完整性,具有保密性的数字签名,核实签名,解密,加密,签名,E 运算,

16、D 运算,明文 X,明文 X,A,B,A 的私钥 SKA,因特网,E 运算,B 的私钥 SKB,D 运算,加密与解密,签名与核实签名,B 的公钥 PKB,A 的公钥 PKA,密文,定义：验证通信的对方的确是自己所要通信的对象，而不是其他冒充者，包括 报文鉴别：使得通信的接收方能够验证所收到的报文（发送者和报文内容、发送时间、序列等）的真伪。 实体鉴别：鉴别具体的一个人或一个进程或一个客户或一个服务器等,认证或鉴别,A 将报文 X 经过报文摘要算法运算后得出很短的报文摘要 H。然后用自己的私钥对 H 进行 D 运算，即进行数字签名。得出已签名的报文摘要 D(H)后，并将其追加在报文 X 后面发送

17、给 B。 B 收到报文后首先把已签名的 D(H) 和报文 X 分离。然后再做两件事。 用A的公钥对 D(H) 进行E运算，得出报文摘要 H 。 对报文 X 进行报文摘要运算，看是否能够得出同样的报文摘要 H。如一样，就能以极高的概率断定收到的报文是 A 产生的。否则就不是。,报文鉴别方法 ：报文摘要 MD(Message Digest),A,比较,签名,核实签名,报文 X,H,D 运算,D(H),A 的私钥,报文 X,D(H),B,报文摘要,报文 X,D(H),发送,E 运算,H,签名的报文摘要,H,报文摘要 运算,A 的公钥,报文摘要 运算,报文摘要,报文摘要,因特网,报文摘要的实现,仅对短

18、得多的定长报文摘要 H 进行数字签名要比对整个长报文进行数字签名要简单得多，所耗费的计算资源也小得多。 但对鉴别报文 X 来说，效果是一样的。也就是说，报文 X 和已签名的报文摘要 D(H) 合在一起是不可伪造的，是可检验的和不可否认的。,报文摘要的优点,A 发送给 B 的报文的被加密，使用的是对称密钥 KAB。 B 收到此报文后，用共享对称密钥 KAB 进行解密，因而鉴别了实体 A 的身份。,A,B,A, 口令,KAB,实体鉴别,A,B,A, 口令,KAB,C,漏洞： 重放攻击 IP欺骗,一个不重复使用的大随机数，即“一次一数”,A,B,时间,对策：使用不重数进行鉴别,报文鉴别是对每一个收到

19、的报文都要鉴别报文的发送者 实体鉴别是在系统接入的全部持续时间内对和自己通信的对方实体只需验证一次。,实体鉴别VS报文鉴别,“防抵赖”问题：防止内部具有合法身份的用户有意或无意地做出对网络与信息安全有害的行为； 对网络与信息安全有害的行为包括：有意或无意地泄露网络用户或网络管理员口令；违反网络安全规定，绕过防火墙，私自和外部网络连接，造成系统安全漏洞；违反网络使用规定，越权查看、修改和删除系统文件、应用程序及数据；违反网络使用规定，越权修改网络系统配置，造成网络工作不正常； 技术与管理两方面入手。,4、网络内部安全防范问题,目前，70%的病毒发生在计算机网络上； 连网微型机病毒的传播速度是单机

20、的20倍，网络服务器消除病毒所花的时间是单机的40倍； 电子邮件病毒可以轻易地使用户的计算机瘫痪，有些网络病毒甚至会破坏系统硬件。,5、网络防病毒问题,如果出现网络故障造成数据丢失，数据能不能被恢复？ 如果出现网络因某种原因被损坏，重新购买设备的资金可以提供，但是原有系统的数据能不能恢复？,6、网络数据备份与恢复、灾难恢复问题,网络安全服务应该提供的基本服务功能： 数据保密（data confidentiality） 认证（authentication） 数据完整（data integrity） 防抵赖（non-repudiation） 访问控制（access control）,9.2.2 网

21、络安全服务的主要内容,电子计算机系统安全规范，1987年10月 计算机软件保护条例，1991年5月 计算机软件著作权登记办法，1992年4月 中华人民共和国计算机信息与系统安全保护条例，1994年2月 计算机信息系统保密管理暂行规定，1998年2月 关于维护互联网安全决定，全国人民代表大会常 务委员会通过，2000年12月,9.2.3 网络安全标准,美国国防部黄皮书：可信计算机系统评估准则TC-SEC-NCSC，1983年公布 1985年，公布可信网络说明（TNI）； 可信计算机系统评估准则将计算机系统安全等级分为4类7个等级，即D、C1、C2、B1、B2、B3与A1； D级系统的安全要求最低

22、，A1级系统的安全要求最高。,安全级别的分类,企业内部网有哪些网络资源与服务需要提供给外部用户访问？ 企业内部用户有哪些需要访问外部网络资源与服务？ 可能对网络资源与服务安全性构成威胁的因素有哪些？ 哪些资源需要重点保护？ 可以采取什么方法进行保护？ 发现网络受到攻击之后如何处理？,9.3 网络安全策略的设计,网络安全策略包括技术与制度两个方面； 在制定网络安全策略时，一定要注意限制的范围； 网络安全策略首先要保证用户能有效地完成各自的任务同时，也不要引发用户设法绕过网络安全系统，钻网络安全系统空子的现象； 一个好的网络安全策略应能很好地解决网络使用与网络安全的矛盾，应该使网络管理员与网络用户

23、都乐于接受与执行。,9.3.1 网络安全策略与网络用户的关系,制定网络安全策略的两种思想：一是凡是没有明确表示允许的就要被禁止，二是凡是没有明确表示禁止的就要被允许； 规定用户在网络访问“最小权限”的原则，给予用户能完成任务所“必要”的访问权限与可以使用的服务类型，又便于网络的管理。,9.3.2 制定网络安全策略的两种思想,规定网络管理员与网络用户各自的责任； 网络安全问题来自外部、内部两个方面； 任何一个网点的内部网络安全策略的变化都会影响到另一个相关网点用户的使用，这就存在多个网点之间的网络安全与管理的协调问题； 多个网点之间要相互访问，因此带来了内部用户与外部用户两方面的管理问题。,9.

24、3.3 网络用户组成、网点结构与网络安全策略的关系,要求网络管理员与网络用户能够严格地遵守网络管理规定与网络使用方法，正确地使用网络； 要求从技术上对网络资源进行保护；,9.3.4 网络安全教育与网络安全策略,Internet网点与Intranet网点的网络管理中心的网络管理员，对网点的日常网络管理、网络安全策略与使用制度的修改和发布负有全部责任； 当网点的网络安全策略的修改涉及其他网点时，相关网点的网络管理员之间需要通过协商，协调网络管理、网络安全策略与使用制度的修改问题； 网络管理中心应该定期或不定期地发布网点的网络安全策略、网络资源、网络服务与网络使用制度的变化情况。,9.3.5 网络安

25、全策略的修改、完善与网络安全制度的发布,9.4 网络安全策略制定的方法与基本内容,制定安全策略涉及四方面 网络用户的安全责任：该策略可以要求用户每隔一段时间改变其口令；使用符合一定准则的口令；执行某些检查，以了解其账户是否被别人访问过等。重要的是，凡是要求用户做到的，都应明确地定义。 系统管理员的安全责任：该策略可以要求在每台主机上使用专门的安全措施、登录标题报文、监测和记录过程等，还可列出在连接网络的所有主机中不能运行的应用程序。 正确利用网络资源：规定谁可以使用网络资源，他们可以做什么，他们不应该做什么等。如果用户的单位认为电子邮件文件和计算机活动的历史记录都应受到安全监视，就应该非常明确

26、地告诉用户，这是其政策。 检测到安全问题时的对策：当检测到安全问题时应该做什么？应该通知谁？这些都是在紧急的情况下容易忽视的事情。,设计网络安全策略需要回答以下问题： 打算要保护哪些网络资源？ 哪类网络资源可以被哪些用户使用？ 什么样的人可能对网络构成威胁？ 如何保证能可靠及时地实现对重要资源的保护？ 在网络状态变化时，谁来负责调整网络安全策略？,9.4.1 网络资源的定义,分析网络中有哪些资源是重要的，什么人可以使用这些资源，哪些人可能会对资源构成威胁，以及如何保护这些资源； 对可能对网络资源构成威胁的因素下定义，以确定可能造成信息丢失和破坏的潜在因素，确定威胁的类型； 了解对网络资源安全构

27、成威胁的来源与类型，才能针对这些问题提出保护方法。,9.4.2 网络使用与责任的定义,定义网络使用与责任定义需要回答以下问题： 允许哪些用户使用网络资源； 允许用户对网络资源进行哪些操作； 谁来批准用户的访问权限； 谁具有系统用户的访问权限； 网络用户与网络管理员的权利、责任是什么。,9.4.3 用户责任的定义,网络攻击者要入侵网络，第一关是要通过网络访问控制的用户身份认证系统； 保护用户口令主要需要注意两个问题。一是选择口令，二是保证口令不被泄露，并且不容易被破译； 网络用户在选择自己的口令时，应该尽量避免使用自己与亲人的名字、生日、身份证号、电话号码等容易被攻击者猜测的字符或数字序列。,用

28、户责任主要包括以下基本内容： 用户只使用允许使用的网络资源与服务，不能采用不正当手段使用不应使用的资源； 用户了解在不经允许让其他用户使用他的账户后可能造成的危害与他应该承担的责任； 用户了解告诉他人自己的账户密码或无意泄露账户密码后可能造成的后果以及用户要承担的责任； 用户了解为什么需要定期或不定期地更换账户密码； 明确用户数据是用户自己负责备份，还是由网络管理员统一备份，凡属于用户自己负责备份的数据，用户必须按规定执行备份操作； 明白泄露信息可能危及网络系统安全，了解个人行为与系统安全的关系。,9.4.4 网络管理员责任的定义,网络管理员对网络系统安全负有重要的责任； 网络管理员需要对网络

29、结构、网络资源分布、网络用户类型与权限以及网络安全检测方法有更多知识。,网络管理员应该注意的几个问题：,对网络管理员的口令严格保密 网络管理员在建立网络文件系统、用户系统、管理系统与安全系统方面有特殊的权力，网络管理员口令的泄露对网络安全会构成极其严重的威胁。 对网络系统运行状态要随时进行严格的监控 网络管理员必须利用各种网络运行状态监测软件与设备，对网络系统运行状态进行监视、记录与处理。 对网络系统安全状况进行严格的监控 了解网络系统所使用的系统软件、应用软件，以及硬件中可能存在的安全漏洞，了解在其他网络系统中出现的各种新的安全事件，监视网络关键设备、网络文件系统与各种网络服务的工作状态，审

30、计状态记录，发现疑点问题与不安全因素立即处理。,9.4.5 网络安全受到威胁时的行动方案,保护方式 当网络管理员发现网络安全遭到破坏时，立即制止非法入侵者的活动，恢复网络的正常工作状态，并进一步分析这次安全事故的性质与原因，尽量减少这次安全事故造成的损害； 跟踪方式 发现网络存在非法入侵者的活动时，不是立即制止入侵者的活动，而是采取措施跟踪非法入侵者的活动，检测非法入侵者的来源、目的、非法访问的网络资源，判断非法入侵的危害，确定处理此类非法入侵活动的方法。,9.5 网络安全问题的鉴别,鉴别网络安全问题可以从5个方面进行： 访问点（access points） 系统配置（system confi

31、guration） 软件缺陷（software bugs） 内部威胁（insider threats） 物理安全性（physical security）,9.6 网络防火墙技术,9.6.1 防火墙的基本概念 防火墙是由软件、硬件构成的系统，是一种特殊编程的路由器，用来在两个网络之间实施接入安全控制策略。接入控制策略是由使用防火墙的单位自行制订的，为的是可以最适合本单位的需要。 设置防火墙的目的是保护内部网络资源不被外部非授权用户使用，防止内部受到外部非法用户的攻击。 本质上，它遵循的是一种对数据进行过滤的网络通信安全机制，只允许授权的通信，而禁止非授权的通信。,防火墙在互连网络中的位置,G,内

32、联网,可信赖的网络,不可信赖的网络,分组过滤 路由器 R,分组过滤 路由器 R,应用网关,外局域网,内局域网,防火墙,因特网,防火墙的功能,防火墙技术分类,部署防火墙应该满足以下规则： 所有进出网络的通信流都应该通过防火墙。 所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。,理论上说，防火墙是不会被攻破的,不能防范恶意的知情者 不能防范不通过它的连接的， 不能防止内部人员的攻击， 也不能防范病毒。,防火墙通过检查所有进出内部网络的数据包，检查数据包的合法性，判断是否会对网络安全构成威胁，为内部网络建立安全边界； 构成防火墙系统的两个基本部件是：包过滤路由器（packet filter

33、ing router）和应用级网关（application gateway）； 最简单的防火墙由一个包过滤路由器组成，而复杂的防火墙系统由包过滤路由器和应用级网关组合而成； 由于组合方式有多种，因此防火墙系统的结构也有多种形式。,1双重宿主主机 围绕具有双重宿主的计算机而构筑的。该计算机至少有两个网络接口，两个IP地址，这样的主机可以充当与之相连的网络之间的路由器，并能够在网络之间转发IP数据包。,双重宿主主机防火墙的结构,防火墙的主要类型,内网过滤结构包含两个过滤路由器和一个或多个应用网关 两个过滤路由器，每一个都连接到内部网络，一个位于内部网络与企业网络之间，另一个位于内部网络与外部网络之

34、间。,2内网过滤结构,过滤路由器的作用是检查每个进来或出去的分组，只有满足某种准则的分组才被转发，不满足条件的分组则被丢弃。 应用网关的主要功能是：接收进入和出去的应用层数据，对其内容进行分析，然后再根据安全策略决定是否将其送往指定的目的地。,3. 包过滤路由器 包过滤路由器按照系统内部设置的包过滤规则（即访问控制表），检查每个分组的源IP地址、目的IP地址，决定该分组是否应该转发；,包过滤规则一般是基于部分或全部报头的内容。例如，对于TCP报头信息可以是：源IP地址、目的IP地址、协议类型 、IP选项内容 、源TCP端口号 、目的TCP端口号 、TCP ACK标识等。,例如，包过滤能让我们实

35、施类似以下情况的控制： 不让任何用户从外部网使用Telnet登录内部服务器； 允许任何外部网络用户使用SMTP协议往内部网发电子邮件； 只允许外部网络用户访问内部网的WWW服务器，而不允许访问数据库服务器。 包过滤不能对包中的应用数据进行过滤。例如，下述操作是包过滤所不能实现的： 允许某个用户从外部网用Telnet登录而不允许其它用户进行这种操作。 允许用户传送MS Word文件而不允许用户传送MP3文件。 禁止传输含有公司机密信息的JPEG图像文件。,包过滤的优缺点,优点： 简单、易于实现、对用户透明、路由器免费提供此功能。 仅用一个放置在内部网与因特网边界上的包过滤路由器就可保护整个内部网

36、络。,缺点：,编制逻辑上严密无漏洞的包过滤规则比较困难，对编制好的规则进行测试也较麻烦。 维护复杂的包过滤规则也是一件很麻烦的事情，网络管理员必须根据防火墙的包过滤规则理解和评估网络每天的变化。如果网络中增加了一台服务器又没有加入保护它的包过滤规则，可能它就会成为黑客的攻破点。 包过滤规则的判别会降低路由器的转发速度，规则集越大，判别过程花的时间就越多，何况随着时间的推移，规则集还会不断增长。 它总是假定包头部信息是合法有效的。实际上包头部信息很容易被精通网络的人篡改，使得包过滤器认为包是来自合法的用户。例如，入侵者总是把他们伪装成来自于内部网。 以上这些缺点使得包过滤技术通常不单独使用，而是

37、作为其他安全技术的一种补充。,包过滤处理流程,首先要明确哪些数据是必须保护的，这些数据的被侵入会导致什么样的后果及网络不同区域需要什么等级的安全级别。不管采用原始设计还是使用现成的防火墙产品，对于防火墙的安全标准，首先需根据安全级别确定。 其次，设计或选用防火墙必须与网络接口匹配，要防止你所能想到的威胁。防火墙可以是软件或硬件模块，并能集成于路由器和网关等设备之中。,设计和选用防火墙,选择防火墙的原则,1防火墙自身的安全性 2. 特殊的要求： IP地址转换（IP Address Translation）， 双重DNS 虚拟企业网络（VPN） 病毒扫描功能 特殊控制需求,应用级网关,多归属主机又

38、称为多宿主主机，它具有两个或两个以上的网络接口，每个网络接口与一个网络连接，具有在不同网络之间交换数据的路由能力。 如果多归属主机连接了两个网络，它可以叫做双归属主机。只要能确定应用程序访问控制规则，就可以采用双归属主机作为应用级网关，在应用层过滤进出内部网络特定服务的用户请求与响应。 应用代理是应用级网关的另一种形式，它是以存储转发方式检查和确定网络服务请求的用户身份是否合法，决定是转发还是丢弃该服务请求。,应用级网关的结构,应用代理的工作原理,应用代理服务,代理服务就是指定一台有访问因特网能力的主机作为网络中客户端的代理去与因特网中的主机进行通信。 代理服务器判断从客户端来的请求并决定哪些

39、请求允许传送而哪些应被拒绝。当某个请求被允许时，代理服务器就代表客户与真正的服务器进行交谈，并将从客户端来的请求传送给真实服务器，将真实服务器的回答传送给客户。 代理服务器作为内部网络用户的”代言人”，必须是用户网络中具有合法因特网IP地址的主机。这意味着只有具有访问因特网能力的主机才可以作为代理服务器。同时，因为代理服务器的合法因特网IP地址不属于内部网络，这样就使得内部网络完全被隐藏起来。,代理服务的优缺点：,优点 它使得一些不能访问因特网的主机通过代理服务也可以完成访问因特网的工作。 缺点 代理服务速度落后于非代理服务；每个代理服务要求不同的服务器；代理服务一般要求对客户或程序进行修改；代理服务不能消除由于协议本身缺点所造成的一些限制。,代理服务器分类,1应用级与电路级代理 应用级代理在应用级别上对进出网络的信息的行为进行监视。它可以解释应用协