第五章网络安全结构设计

1、在在1995年，计算机安全机构年，计算机安全机构csi（computer security institute）对全球）对全球财富财富500家企业中的家企业中的 242家进行了调查发现。家进行了调查发现。12%的企业因为网络的非法的企业因为网络的非法 入侵而遭受过损失，平均损失入侵而遭受过损失，平均损失45万美元，总共损失将万美元，总共损失将 近近5000万美元。万美元。1996年对美国年对美国5000家私有企业、金家私有企业、金 融机构和大学进行计算机犯罪和安全调查发现，融机构和大学进行计算机犯罪和安全调查发现，42% 的调查者回答，在过去的的调查者回答，在过去的12个月中，他们的计算机系个

2、月中，他们的计算机系 统不同程度的经历过非授权使用。统不同程度的经历过非授权使用。 本章重点 51 影响网络安全的隐患影响网络安全的隐患 52 网络安全技术概述网络安全技术概述 53 网络安全结构设计网络安全结构设计 54 防火墙防火墙 55 网络操作系统安全性概述网络操作系统安全性概述 网络安全基本知识 515 计算机病毒 计算机病毒其实就是一种程序，只不过这种程计算机病毒其实就是一种程序，只不过这种程 序能破坏计算机系统，并且能潜伏在计算机中序能破坏计算机系统，并且能潜伏在计算机中 ，复制，感染其它的程序和文件。，复制，感染其它的程序和文件。 影响网络影响网络 安全的隐安全的隐 患患 p1

3、11 5152病毒的危害 系统速度变慢甚至资源耗尽而死机。常驻内存系统速度变慢甚至资源耗尽而死机。常驻内存 并在内存中执行，占用额外的并在内存中执行，占用额外的cpu时间时间 硬盘容量减小。病毒为了感染其它程序和文件硬盘容量减小。病毒为了感染其它程序和文件 ，还会大量复制，导致磁盘空间减少。如，还会大量复制，导致磁盘空间减少。如 nimda病毒。病毒。 网络系统崩溃网络系统崩溃 数据破坏和硬件损坏。如数据破坏和硬件损坏。如cih病毒。病毒。 影响网络影响网络 安全的隐安全的隐 患患 p112 5153病毒的分类 文件型病毒。（只感染可执行文件，附在正常的程序文件上成为其中的一文件型病毒。（只感

4、染可执行文件，附在正常的程序文件上成为其中的一 部分。）部分。） 引导扇区病毒。（磁盘的第一个扇区存放的是引导信息，当引导扇区被改引导扇区病毒。（磁盘的第一个扇区存放的是引导信息，当引导扇区被改 写，系统将无法正常引导。还可能导致分区信息丢失。）写，系统将无法正常引导。还可能导致分区信息丢失。） 混合型病毒混合型病毒 宏病毒宏病毒 木马病毒木马病毒 蠕虫病毒蠕虫病毒 网页病毒网页病毒 影响网络影响网络 安全的隐安全的隐 患患 p112 目前网络上传播的目前网络上传播的 多半是这三种类型多半是这三种类型 的病毒，日常工作的病毒，日常工作 中尤其要引起注意中尤其要引起注意 mbr又称为主引导记录,

5、占用boot sector的前446个字节(00 x1bd),存放 系统主引导程序(它负责从活动分区中 装载并且运行系统引导程序). dpt即主分区表占用64个字节 (0 x1be0 x1fd),记录磁盘的基本分区 信息.主分区表分为四个分区项,每项16 个字节,分别记录每个主分区的信息 (因此最多可以有四个主分区). boot record id即引导区标记占用两个 字节(0 x1fe0 x1ff),对于合法引导区, 它等于0 xaa55,这是判别引导区是否合 法的标志). 516系统漏洞 系统漏洞实际上是软件设计中的缺陷，也被称系统漏洞实际上是软件设计中的缺陷，也被称 为为bug，但由于这

6、些漏洞被，但由于这些漏洞被hacker用来设计病用来设计病 毒或实施攻击，因此，人们就把漏洞和安全问毒或实施攻击，因此，人们就把漏洞和安全问 题联系起来了。管理员要想解决漏洞的危害必题联系起来了。管理员要想解决漏洞的危害必 须学会如何查漏和补漏，经常访问须学会如何查漏和补漏，经常访问internet上上 的安全公告，及的安全公告，及时下载相关安全补丁堵漏时下载相关安全补丁堵漏。 影响网络影响网络 安全的隐安全的隐 患患 p113 52网络安全技术概述 521身份验证技术（确认合法的用户名、密码和身份验证技术（确认合法的用户名、密码和 访问权限）访问权限） 522数据完整性技术（通过数据完整性技

7、术（通过hash得到唯一的信得到唯一的信 息摘要以验证信息的完整性）息摘要以验证信息的完整性） 523跟踪审计技术（记录所有的网络登录信息，跟踪审计技术（记录所有的网络登录信息， 形成日志，便于就爱你查登录的合法性）形成日志，便于就爱你查登录的合法性） 524信息加密技术信息加密技术 525 防火墙技术防火墙技术 网络安全网络安全 技术概述技术概述 p114 5.3 网络安全结构设计网络安全结构设计 531 网络结构划分 按照对网络数据安全等级的标准，可以将网络结按照对网络数据安全等级的标准，可以将网络结 构划分为外部网（简称为外网）、内部网（简构划分为外部网（简称为外网）、内部网（简 称为内

8、网）和公共子网。称为内网）和公共子网。 网络安全网络安全 结构设计结构设计 p114 外网 不属于本部门的网络设备和主机都可以不属于本部门的网络设备和主机都可以 称为外网用户。称为外网用户。 设计上：主要是在控制网络出入的路由设计上：主要是在控制网络出入的路由 器上对进出的数据包进行粗粒度的访问器上对进出的数据包进行粗粒度的访问 控制，过滤非法入内的数据包，实现第控制，过滤非法入内的数据包，实现第 一层的安全保护。一层的安全保护。 内网 一般指隔离在内部防火墙之内的私有网部一般指隔离在内部防火墙之内的私有网部 分。分。 实际上，对系统破坏最大的来自于内部泄实际上，对系统破坏最大的来自于内部泄

9、密用户。即使外部用户也想尽各种办法试密用户。即使外部用户也想尽各种办法试 图伪装成内部用户窃取信息。图伪装成内部用户窃取信息。 设计上：信息加密、身份认证、授权访问、设计上：信息加密、身份认证、授权访问、 广播隔离等，还要加强对内网用户的安全广播隔离等，还要加强对内网用户的安全 培训。培训。 3公共子网 在一种网络安全结构的划分中，将一部分可以向在一种网络安全结构的划分中，将一部分可以向 internet用户提供公共服务的服务器设备单独从内网用户提供公共服务的服务器设备单独从内网 中隔离出来，即允许外部用户访问也允许内部用户访中隔离出来，即允许外部用户访问也允许内部用户访 问，这就是公共子网，

10、也称作问，这就是公共子网，也称作军事管制区军事管制区（ demilitarized zone，dmz）。该子网是内部用户和）。该子网是内部用户和 外部用户都唯一能到达的网络区域，提供对内和对外外部用户都唯一能到达的网络区域，提供对内和对外 的各种服务，负责传递或代理外部对内部的访问和内的各种服务，负责传递或代理外部对内部的访问和内 部对外部的访问。部对外部的访问。 网络安全网络安全 结构设计结构设计 p115 532双宿主机结构 双宿主机是一台具有多个网络接口的主机，它双宿主机是一台具有多个网络接口的主机，它 可以进行内部网络与外部网络之间的寻径，可可以进行内部网络与外部网络之间的寻径，可 以

11、充当与这台主机相连的若干网络之间的路由以充当与这台主机相连的若干网络之间的路由 器。器。 网络安全网络安全 结构设计结构设计 p115 533主机过滤结构 主机主机过滤结构防火墙过滤结构防火墙由由过滤路由器过滤路由器和堡垒主机共同组成。和堡垒主机共同组成。 过滤路由器的过滤规则规定，任何外部网络的主机只能与堡过滤路由器的过滤规则规定，任何外部网络的主机只能与堡 垒主机建立连接。垒主机建立连接。 网络安全网络安全 结构设计结构设计 p116 534子网过滤结构 网络安全网络安全 结构设计结构设计 p117 由两个包过滤路由器组成，在内网和外网之间设立dmz. 534子网过滤结构 在这种结构中，有

12、两台过滤器连接到公共子网，一台在这种结构中，有两台过滤器连接到公共子网，一台 位于公共子网与内部网络之间，而另一台位于参数网位于公共子网与内部网络之间，而另一台位于参数网 络与外部网络之间。络与外部网络之间。 这样，入侵者必须通过两台路由器和堡垒主机的安全这样，入侵者必须通过两台路由器和堡垒主机的安全 控制才能抵达网络，同时还可以限制某些服务使之只控制才能抵达网络，同时还可以限制某些服务使之只 能在指定的主机上与内部网络站点之间传递。能在指定的主机上与内部网络站点之间传递。 这种方式大大增强了网络的安全性能，并且由于路由这种方式大大增强了网络的安全性能，并且由于路由 器控制数据包流向，提高了网

13、络的吞吐能力，但是系器控制数据包流向，提高了网络的吞吐能力，但是系 统设置较为复杂。统设置较为复杂。 网络安全网络安全 结构设计结构设计 p116 532防火墙体系结构 为了实现安全需求，防火墙体系结构一般设计为了实现安全需求，防火墙体系结构一般设计 得比较复杂，可以是上述结构中的一种或者是得比较复杂，可以是上述结构中的一种或者是 几种的结合：几种的结合： 1使用多堡垒主机使用多堡垒主机 2合并内部路由器与边界路由器合并内部路由器与边界路由器 3合并堡垒主机与内部路由器合并堡垒主机与内部路由器 4使用多台内部路由器使用多台内部路由器 5使用多台外部路由器使用多台外部路由器 6使用多个周边网络使

14、用多个周边网络 7使用双重宿主主机与使用双重宿主主机与dmz子网子网 网络安全网络安全 结构设计结构设计 p117 541防火墙概述 防火墙是一种在内部网和外部网之间实施的安防火墙是一种在内部网和外部网之间实施的安 全防范措施，可以认为它是一种访问机制，用全防范措施，可以认为它是一种访问机制，用 于确定哪些内部服务可以提供给外部服务器，于确定哪些内部服务可以提供给外部服务器， 以及哪些外部服务器可以访问内部网资源。以及哪些外部服务器可以访问内部网资源。 一般来说，防火墙存在的形式只有两种。一种一般来说，防火墙存在的形式只有两种。一种 是以软件的形式运行在计算机上，另外一种就是以软件的形式运行在

15、计算机上，另外一种就 是以硬件的形式存在。是以硬件的形式存在。 防火墙防火墙 p117 541防火墙概述 总的来说，一个好的防火墙系统应具有以下几个方面的总的来说，一个好的防火墙系统应具有以下几个方面的 特性和功能：特性和功能： （1）所有在该内部网和外部网之间交换的数据都可以所有在该内部网和外部网之间交换的数据都可以 而且只能经过该防火墙；而且只能经过该防火墙； （2）只有被防火墙检测后合格，即防火墙系统中安全只有被防火墙检测后合格，即防火墙系统中安全 策略允许的数据才可以自由出入防火墙，其它不合格策略允许的数据才可以自由出入防火墙，其它不合格 的数据一律被禁止通过；的数据一律被禁止通过；

16、（3）防火墙的技术是最新安全的技术，和时代是同步防火墙的技术是最新安全的技术，和时代是同步 的；的； （4）防火墙本身不受任何攻击；防火墙本身不受任何攻击； 人机界面友好，易于操作，易于系统管理员进行配置和人机界面友好，易于操作，易于系统管理员进行配置和 控制。控制。 防火墙防火墙 p118 542防火墙技术 防火墙根据内部所使用的技术一般可以分为防火墙根据内部所使用的技术一般可以分为 ：包过滤防火墙包过滤防火墙、应用级网关应用级网关和和电路级网电路级网 关关。 防火墙防火墙 p118 5421包过滤防火墙 包过滤器的工作是检查包过滤器的工作是检查每个包的头部中的有关每个包的头部中的有关 字段

17、字段。网络管理员可以配置包过滤器，指定要。网络管理员可以配置包过滤器，指定要 检测哪些字段以及如何处理等等。检测哪些字段以及如何处理等等。 防火墙防火墙 p118 h hh h h hh h 包过滤器包过滤器 12812810100 00 01921925 548480 0 定义好过滤规定义好过滤规, 审查每个数据包审查每个数据包. 过滤规则基于数据包的报头信息进行制订。过滤规则基于数据包的报头信息进行制订。 报头信息中包括报头信息中包括ip源地址、源地址、ip目标地址、目标地址、 传输协议传输协议(tcp、udp、icmp等等等等)、 tcp/udp目标端口、目标端口、icmp消息类型等消息

18、类型等。 ip包格式 包过滤防火墙一般在路由器上实现，用以过滤包过滤防火墙一般在路由器上实现，用以过滤 用户定义的内容，如用户定义的内容，如ip地址。地址。 系统在网络层检查数据包，与应用层无关。这系统在网络层检查数据包，与应用层无关。这 样系统就具有很好的传输性能，可扩展能力强。样系统就具有很好的传输性能，可扩展能力强。 但是，包过滤防火墙的安全性有一定的缺陷，但是，包过滤防火墙的安全性有一定的缺陷， 因为系统对应用层信息无感知，也就是说，防因为系统对应用层信息无感知，也就是说，防 火墙不理解通信的内容，所以可能被黑客所攻火墙不理解通信的内容，所以可能被黑客所攻 破。破。 缺陷：缺陷： 通信

19、信息：包过滤防火墙只能访问部分数据包通信信息：包过滤防火墙只能访问部分数据包 的头信息；的头信息； 通信和应用状态信息：包过滤防火墙是无状态通信和应用状态信息：包过滤防火墙是无状态 的，所以它不可能保存来自于通信和应用的状的，所以它不可能保存来自于通信和应用的状 态信态信. 普通的路由器只检查数据包的目标地址，并选普通的路由器只检查数据包的目标地址，并选 择一个达到目的地址的最佳路径。它处理数据择一个达到目的地址的最佳路径。它处理数据 包是以目标地址为基础的，存在着两种可能性：包是以目标地址为基础的，存在着两种可能性： 若路由器可以找到一个路径到达目标地址则发若路由器可以找到一个路径到达目标地

20、址则发 送出去；若路由器不知道如何发送数据包则通送出去；若路由器不知道如何发送数据包则通 知数据包的发送者知数据包的发送者“数据包不可达数据包不可达”。 带包过滤的路由器带包过滤的路由器 带包过滤的路由器会更加仔细地检查数据包，除了决定是否有到达目带包过滤的路由器会更加仔细地检查数据包，除了决定是否有到达目 标地址的路径外，还要决定是否应该发送数据包。这些决定是路由器标地址的路径外，还要决定是否应该发送数据包。这些决定是路由器 的过滤策略决定并强行执行的。的过滤策略决定并强行执行的。 路由器的过滤策略主要有：路由器的过滤策略主要有： 1. 拒绝来自某主机或某网段的所有连接。拒绝来自某主机或某网

21、段的所有连接。 2. 允许来自某主机或某网段的所有连接。允许来自某主机或某网段的所有连接。 3. 拒绝来自某主机或某网段的指定端口的连接。拒绝来自某主机或某网段的指定端口的连接。 4. 允许来自某主机或某网段的指定端口的连接。允许来自某主机或某网段的指定端口的连接。 5. 拒绝本地主机或本地网络与其它主机或其它网络的所有连接。拒绝本地主机或本地网络与其它主机或其它网络的所有连接。 6. 允许本地主机或本地网络与其它主机或其它网络的所有连接。允许本地主机或本地网络与其它主机或其它网络的所有连接。 7. 拒绝本地主机或本地网络与其它主机或其它网络的指定端口的连接。拒绝本地主机或本地网络与其它主机或

22、其它网络的指定端口的连接。 8. 允许本地主机或本地网络与其它主机或其它网络的指定端口的连接。允许本地主机或本地网络与其它主机或其它网络的指定端口的连接。 netfilter / iptables 1）内核空间。）内核空间。netfilter组件也称为内核空间组件也称为内核空间 （kernelspace），是内核的一部分，由一些），是内核的一部分，由一些“表表” （table）组成，每个表由若干）组成，每个表由若干“链链”组成，而每条链组成，而每条链 中可以有一条或数条规则（中可以有一条或数条规则（rule）。）。 （2）用户空间。）用户空间。iptables组件是一种工具，也称为用组件是一种

23、工具，也称为用 户空间（户空间（userspace），它使插入、修改和除去信息），它使插入、修改和除去信息 包过滤表中的规则变得容易。包过滤表中的规则变得容易。 1. 用户使用用户使用iptables命令在用户空间设置过滤规则。这些规则存命令在用户空间设置过滤规则。这些规则存 储在内核空间的信息包过滤表中。这些规则告诉内核对来自储在内核空间的信息包过滤表中。这些规则告诉内核对来自 某些源、前往某些目的地或具有某些协议类型的信息包做些某些源、前往某些目的地或具有某些协议类型的信息包做些 什么。什么。 2. 如果某个信息包与规则匹配，那么使用目标如果某个信息包与规则匹配，那么使用目标 accept

24、允许该允许该 信息包通过。还可以使用目标信息包通过。还可以使用目标drop或或reject来阻塞并拒绝来阻塞并拒绝 信息包。信息包。 3. 根据规则所处理的信息包的类型，可以将规则分组在根据规则所处理的信息包的类型，可以将规则分组在3个链中。个链中。 处理入站信息包的规则被添加到处理入站信息包的规则被添加到input链中。链中。 处理出站信息包的规则被添加到处理出站信息包的规则被添加到output链中。链中。 处理正在转发的信息包的规则被添加到处理正在转发的信息包的规则被添加到forward链中。链中。 4. 当规则建立并将链放在当规则建立并将链放在filter表之后，表之后， 就可以开始进行

25、真正的就可以开始进行真正的 信息包过滤工作了。这时内核空间从用户空间接管工作。信息包过滤工作了。这时内核空间从用户空间接管工作。 工作原理 常见的攻击形式 ip地址欺骗地址欺骗：攻击者从外部发送数据包，：攻击者从外部发送数据包， 但在传输时，将其源但在传输时，将其源ip地址改成内部网地址改成内部网 络中的络中的 某个某个ip地址。然后通过假地址。然后通过假ip渗透渗透 系统。系统。 解决方法：对所有来自外部的，但是解决方法：对所有来自外部的，但是ip 地址是内部的数据包制定信任的范围。地址是内部的数据包制定信任的范围。 源路由攻击：源路由攻击： i pv4在在i p报头中定义了一个可选项：报头

26、中定义了一个可选项： loose source and record route option。 这个可选项列出了一个或多个中间目的地址，这个可选项列出了一个或多个中间目的地址， 要求数据包在到达最终的目的地址前必须经要求数据包在到达最终的目的地址前必须经 过这几个中间地址。过这几个中间地址。 利用这个选项可以指定路由，从而绕过防火利用这个选项可以指定路由，从而绕过防火 墙，避免一系列的安全检查。墙，避免一系列的安全检查。 解决的方法解决的方法：丢弃那些包含源路由选项的数：丢弃那些包含源路由选项的数 据包。据包。 例 主机主机a向目的主机向目的主机b发送数据包，但它想让数据包经过从源发送数据包

27、，但它想让数据包经过从源 到目的地的路径上的一台特定路由器到目的地的路径上的一台特定路由器. 这台源主机将那台路由器的地址放在目的这台源主机将那台路由器的地址放在目的i p地址域中，而将地址域中，而将 目的主机的目的主机的 i p地址放在地址放在 loose source and record route option中，这时，数据包将被送到目的中，这时，数据包将被送到目的 i p地址域中标示的地址域中标示的 那台路由器上。那台路由器上。 当路由器接收到数据包后，它检查可选项，发现自己只是一当路由器接收到数据包后，它检查可选项，发现自己只是一 个中间目的地，于是，将个中间目的地，于是，将loo

28、se source and record route option 中的主机中的主机b的地址取出，然后将数据包送给的地址取出，然后将数据包送给 去往目的主机的下一跳地址。去往目的主机的下一跳地址。 当目的主机对源主机进行回答时，也要在它的数据包中包含当目的主机对源主机进行回答时，也要在它的数据包中包含 loose source and record route option。当然，目的主。当然，目的主 机应包含的是机应包含的是“反向反向”的源路由。在这个例子中，目的主机的源路由。在这个例子中，目的主机 在向原来的源主机发送数据包时，会在在向原来的源主机发送数据包时，会在loose source

29、 and record route option 中包含作为中间目的地的那台路由中包含作为中间目的地的那台路由 器的地址。器的地址。 微小碎片攻击微小碎片攻击： 链路层最大传输单元链路层最大传输单元mtu限制了数据帧的最大长度，不限制了数据帧的最大长度，不 同同 的网络类型都有一个上限值。以太网的的网络类型都有一个上限值。以太网的mtu是是1500字节。字节。 如果如果ip层有数据包要传，而且数据包的长度超过了层有数据包要传，而且数据包的长度超过了mtu， 那么那么ip层就要对数据层就要对数据 包进行分片（包进行分片（fragmentation）操作，）操作， 使每一片的长度都小于或等于使每一

30、片的长度都小于或等于mtu。 我们假设要传我们假设要传 输一个输一个udp数据包，以太网的数据包，以太网的mtu为为1500 字节，一般字节，一般ip首部为首部为20字节（没有选项字段），字节（没有选项字段），udp首部首部 为为8字节，字节， 数据的净荷（数据的净荷（payload）部分预留是）部分预留是1500-20- 8=1472字节。如果数据部分大于字节。如果数据部分大于1472字字 节，就会出现分节，就会出现分 片现象。片现象。 原理：原理： 在在ip的分片包中，所有的分片包用一个分片偏移字段标的分片包中，所有的分片包用一个分片偏移字段标 志分片包的顺序。但是，只有第一个分片包含有志

31、分片包的顺序。但是，只有第一个分片包含有tcp端端 口号的信息。口号的信息。 当当ip分片包通过过滤防火墙时，防火墙只根据第一个分分片包通过过滤防火墙时，防火墙只根据第一个分 片包的片包的tcp信息判断是否允许通过，而其他后续的分片信息判断是否允许通过，而其他后续的分片 不作防火墙检测，直接让它们通过。不作防火墙检测，直接让它们通过。 这样，攻击者就可以通过先发送第一个合法的这样，攻击者就可以通过先发送第一个合法的ip分片，分片， 骗过防火墙的检测，接着封装了恶意数据的后续分片包骗过防火墙的检测，接着封装了恶意数据的后续分片包 就可以直接穿透防火墙，直接到达内部网络主机，从而就可以直接穿透防火

32、墙，直接到达内部网络主机，从而 威胁网络和主机的安全。威胁网络和主机的安全。 解决的方法解决的方法：在网络边界上禁止碎片包通过，或者用：在网络边界上禁止碎片包通过，或者用 iptables限制每秒通限制每秒通 过碎片包的数目过碎片包的数目 。 木马攻击木马攻击 包过滤防火墙一般只过滤低端口包过滤防火墙一般只过滤低端口(1-1024)，而，而 高端口他不可能过滤的高端口他不可能过滤的(因为一些服务要用到因为一些服务要用到 高端口，因此防火墙不能关闭高端口的高端口，因此防火墙不能关闭高端口的)，所，所 以很多的木马都在高端口打开等待。以很多的木马都在高端口打开等待。 但是木马攻击的前提是必须先上传

33、，运行木马。但是木马攻击的前提是必须先上传，运行木马。 基于状态检测的包过滤 状态检测就是从状态检测就是从tcp连接的建立到终止都跟踪检测的技术。连接的建立到终止都跟踪检测的技术。 原先的包过滤，是拿一个一个单独的数据包来匹配规则的。原先的包过滤，是拿一个一个单独的数据包来匹配规则的。 可是我们知道，同一个可是我们知道，同一个tcp连接，他的数据包是前后关联的。连接，他的数据包是前后关联的。 数据包的前后序列号是相关的数据包的前后序列号是相关的。 如果割裂这些关系，单独的过滤数据包，很容易被精心够如果割裂这些关系，单独的过滤数据包，很容易被精心够 造的攻击数据包欺骗造的攻击数据包欺骗. 状态检

34、测防火墙，他在发起连接就判断，如果符合规则，状态检测防火墙，他在发起连接就判断，如果符合规则， 就在内存登记了这个连接的状态信息就在内存登记了这个连接的状态信息,后续的属于同一个连后续的属于同一个连 接的数据包，就不需要在检测了接的数据包，就不需要在检测了,直接通过。而一些精心够直接通过。而一些精心够 造的攻击数据包由于没有在内存登记相应的状态信息，都造的攻击数据包由于没有在内存登记相应的状态信息，都 被丢弃，不能饶过防火墙。被丢弃，不能饶过防火墙。 5422应用级网关 应用级网关防火墙安装在应用级网关防火墙安装在网络应用层上网络应用层上，它是，它是 一种比包过滤防火墙更加安全的防火墙技术。一

35、种比包过滤防火墙更加安全的防火墙技术。 防火墙防火墙 p119 intranet 应用层 自定义 http 物理层 internet 自定义 ftp 80 23 80 23 运输层 对于每一种所希望的服务，要将这种服务的代对于每一种所希望的服务，要将这种服务的代 码安装在网关上。每当添加一种新的，需要保码安装在网关上。每当添加一种新的，需要保 护的服务，必须为其编制相应的程序代码，否护的服务，必须为其编制相应的程序代码，否 则该服务就不能通过。则该服务就不能通过。 应用级网关防火墙允许用户访问服务代码，但应用级网关防火墙允许用户访问服务代码，但 绝对不允许用户登录到该网关上，否则用户可绝对不允

36、许用户登录到该网关上，否则用户可 能获得权限，从而通过安装木马来获得口令，能获得权限，从而通过安装木马来获得口令， 并修改防火墙的配置。并修改防火墙的配置。 不用担心包过滤防火墙中不同过滤规则之间的不用担心包过滤防火墙中不同过滤规则之间的 交互影响，也不用担心大量对外提供服务的主交互影响，也不用担心大量对外提供服务的主 机中的安全漏洞，只要仔细检查选择的数个程机中的安全漏洞，只要仔细检查选择的数个程 序就可以了。序就可以了。 包过滤防火墙是过滤规则，而应用级网关是特包过滤防火墙是过滤规则，而应用级网关是特 定的应用程序代码。他们都是依靠特定的逻辑定的应用程序代码。他们都是依靠特定的逻辑 来判断

37、是否建立连接。来判断是否建立连接。 一旦满足逻辑判断，外部网络用户就可以直接一旦满足逻辑判断，外部网络用户就可以直接 穿透防火墙了解内部网络的结构和运行状态。穿透防火墙了解内部网络的结构和运行状态。 这有利于黑客实施非法访问和攻击。这有利于黑客实施非法访问和攻击。 另外，由于透明性差，限制严格等特点会给用另外，由于透明性差，限制严格等特点会给用 户带来使用上的麻烦。户带来使用上的麻烦。 5423电路级网关 它的主要技术特点是不允许直接建立端对端的它的主要技术特点是不允许直接建立端对端的 连接，而是将跨越防火墙的网络通信链路分为连接，而是将跨越防火墙的网络通信链路分为 两段，通过代理服务器建立两

38、个两段，通过代理服务器建立两个tcp连接。连接。 防火墙防火墙 p120 代理服务器 客户机 服务器 请求 转发应答 转发请求 应答 8080 80 8023 23 8025 25 ftp 代代理理 smtp 代代理理 http 代代理理 5423电路级网关 代理服务是运行在网络主机上的一个软件应用程序，它就像代理服务是运行在网络主机上的一个软件应用程序，它就像 外部网和内部网之间的中间媒介，筛选进出的数据。外部网和内部网之间的中间媒介，筛选进出的数据。 运行代理服务的网络主机称为代理服务器或网关。运行代理服务的网络主机称为代理服务器或网关。 对于外部网络，代理服务器相当于内部网络的一台服务器

39、，对于外部网络，代理服务器相当于内部网络的一台服务器， 实际上，它只是内部网络的一台过滤设备。实际上，它只是内部网络的一台过滤设备。 代理服务器的安全性除了表现在它可以隔断内部和外部网络代理服务器的安全性除了表现在它可以隔断内部和外部网络 的直接连接，还可以防止外部网络发现内部网络的地址。的直接连接，还可以防止外部网络发现内部网络的地址。 例如例如，内部用户发送邮件，该邮件会先到达代理服务器，该，内部用户发送邮件，该邮件会先到达代理服务器，该 代理会对数据重新打包，不是使用内部用户的代理会对数据重新打包，不是使用内部用户的ip地址，而是地址，而是 使用代理服务器的使用代理服务器的ip地址作为源

40、地址并进行发送。地址作为源地址并进行发送。 缺点是速度相对比较慢缺点是速度相对比较慢 防火墙防火墙 p120 5424新型防火墙技术 新型防火墙，既有新型防火墙，既有包过滤包过滤的功能，又能在的功能，又能在应用层应用层进行代理。进行代理。 它具有以下特点：它具有以下特点： （1）综合包过滤和代理技术，克服二者在安全方面的缺陷。）综合包过滤和代理技术，克服二者在安全方面的缺陷。 （2）能从数据链路层一直到应用层施加全方位的控制。）能从数据链路层一直到应用层施加全方位的控制。 （3）实现）实现tcp/ip协议的协议的微内核微内核，从而在，从而在tcp/ip协议层进行各项协议层进行各项 安全控制。安

41、全控制。 （4）基于上述微内核，使速度超过传统的包过滤防火墙。）基于上述微内核，使速度超过传统的包过滤防火墙。 （5）提供透明代理模式，减轻客户端的配置工作。）提供透明代理模式，减轻客户端的配置工作。 （6）支持数据加密、解密（）支持数据加密、解密（des和和rsa），提供对虚拟网），提供对虚拟网vpn 的强大支持。的强大支持。 （7）内部信息完全隐藏。）内部信息完全隐藏。 防火墙防火墙 p120 5432防火墙产品介绍 1cisco pix 515e防火墙防火墙 23com的的superstack防火墙防火墙 3天融信网络卫士天融信网络卫士ngfw4000 4东软的东软的neteye 3.2 防火墙防火墙 p122 图图5-11 cisco pix 515e5-11 cisco pix 515e防火墙外观图防火墙外观图 544架设防火墙的步骤 1制定安全策略制定安全策略 2搭建安全体系结构搭建安全体系结构 3制定规则次序制定规则次序 4落实规则集落实规则集 5注意更换控制注意更换控制 6做好审计工作做好审计工作 防火