下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、主要内概结主要内概结设计、发展趋势与动典产攻防概2概网的3概网的3了第一道安全防线,正受到越来越多用户的关注在4了第一道安全防线,正受到越来越多用户的关注在4Windows自从WindoswXPsp2开始,系统自带防火Windows自从WindoswXPsp2开始,系统自带防火。5Windows自默认不允许ICMP命打开,切换到“高级”Windows自默认不允许ICMP命打开,切换到“高级”ICMP选项框中的设置,勾选“传入的回显请求”67788的定施网9的定施网9网网第一第二、三的发展简滤(Packetfilter)的DavePresotto第一第二、三的发展简滤(Packetfilter)
2、的DavePresottoHowardTrickey层层(第4、5(3)1992年,USC信的Bob Braden开发出滤(Dynamicpacket第4、5(3)1992年,USC信的Bob Braden开发出滤(Dynamicpacketfilter)技术,后来演变为目前所说的状态监视术。1994年,以色列的公司开发出第一个基于这种技术的商业化的产品(4) 1998年,NAI公司推出了一种自适(Adaptive proxy)技术,并在其产品FirewallforNT中得以实现,类型赋予了全新的意义,可以称之为第五的功是的功是的功能(1) (2 net(3)的功能(1) (2 net(3)的
3、的功能检测和告(5网的功能检测和告(5网根据网络开放系统。2.1 双重宿2.1 双重宿主主机体系结双重宿主主机体系结双重宿主主机体系结器;它能够从一个网络到另一个网络发送IP数据包IP数据包从一个网络(例如,因特网)并不是直接送到其它网络(例如的、被保护的网络)。火的系统能与双重宿主主机通信,同双重宿主主机体系结构是相当简单的:双主机体系结内网的主机体系结内网的问基本上通过垒主机进过滤路由器供主要安主机体系结网主机体系结网子网体系结子网体系结周边网络造成的影子网体系结主机网子网体系结主机网与开通过用周边网堡垒主机,能减少堡垒主机被侵造成的影响。可以说,它只者一的会,但不是全部子网体系结构的最简
4、单的形为,两路由器,每一个都连接到周边网。一位于周边网与被保护网络之间,另一个位于ernet)边网与外部网络之间(通常为了侵入用这种类型的体系结构保护网络,袭者必须要通过两个路由器。即使侵袭者设法侵入垒主机,他将仍然必须通路由器。作者,只是进行了一。体系结构的组合形(1)使用多堡垒主机(体系结构的组合形(1)使用多堡垒主机(2)合(3)合并堡垒主机与外部路由器(4)合并堡垒主机(5)使用多(8)滤滤滤且滤。滤滤滤且滤。滤(PacketFiltering)sControl TableACL)滤滤(PacketFiltering)sControl TableACL)滤滤滤器(Packet Filt
5、er)的存在,除非他是被PacketFilterPacketFilter无法有效地区分同一IP滤滤器(Packet Filter)的存在,除非他是被PacketFilterPacketFilter无法有效地区分同一IP滤模一般有一个包检查模块,可以根据滤据包头中的各项信息来控制站点与站点、站点与网络网络与网络之间的相,但不能控制传输的数内容,因为内容是应用层数据包检查模块应该深入到滤模一般有一个包检查模块,可以根据滤据包头中的各项信息来控制站点与站点、站点与网络网络与网络之间的相,但不能控制传输的数内容,因为内容是应用层数据包检查模块应该深入到操作系统,在操作系或路由器转发包之所有的数据包。滤
6、安装在网关上之后滤检查模块深入到滤位层滤的工作过滤的工作过。是过滤规则是否允许传输否是过滤规则是否阻塞传输否是是是过滤规则是否允许传输否是过滤规则是否阻塞传输否是是否最后一条过滤规则阻塞允许传否应用下一条过滤规分析报头字段:IP、TDP和TCP滤规滤路由器的配滤路由器的配)滤的缺(1) 不能彻底防止地被或滤的缺(1) 不能彻底防止地被或(2制(2制(3(3(4滤Betheley的“r”命令(rcprshNFSNISIYS(4滤Betheley的“r”命令(rcprshNFSNISIYS协议的RPC滤(5滤(5滤4.应(Proxy)分为应用层网关和电路网关的原服务器,是指代表客户处理连接请求的程
7、序。 4.应(Proxy)分为应用层网关和电路网关的原服务器,是指代表客户处理连接请求的程序。 。应工作于应用层,且针对特定应应工作于应用层,且针对特定应用层协议用协议层间提能在用户层和控制,还可用来保一个所有应用程序使用。和控制所有进出流量的能力是应用网关的主要优点之一的工作原理如图9所示图的工作方网客户机C图的工作方网客户机C4.2应用层网关(1应用层网关(ApplicationLevelGateways)型在4.2应用层网关(1应用层网关(ApplicationLevelGateways)型在应用层网关当某用户(应用层网关当某用户(。如果此连接请求符合预定的安全策略或规则,应用层网关应用
8、层网关图网络接口网络接口网络接口应用应用应用传输传输传输因特网因特网因特网图网络接口网络接口网络接口应用应用应用传输传输传输因特网因特网因特网(2)优最突出的优点就是安全,这被。和(2)优最突出的优点就是安全,这被。和从从(3)缺入(3)缺入来是4.3电路层网另一种类型技术称4.3电路层网另一种类型技术称为电路层网(Circuit Level Gateway)或TCP通(TCP Tunnels)这不建立被保护网和外网直接连接,而是通过电路层网关中TCP连接11电路层网电路层网网络接服务客户11电路层网电路层网网络接服务客户自适。服务器(AdaptiveProxyServer)滤器(Dynami
9、cPacketFilter)与自适。服务器(AdaptiveProxyServer)滤器(DynamicPacketFilter)与自适滤自适滤图电路层网图电路层网技术的优因技术的优因技术的优点技术的优点加路由器只是简单察看TCP/IP报头,检查特定的几个域,不作详细分析技术的缺(如HTTP)(路由器只是简单察看TCP/IP报头,检查特定的几个域,不作详细分析技术的缺(如HTTP)(应),(3)技术的缺点,些技术的缺点,些设设设设设 SPI TDI过滤驱动程序,设 SPI TDI过滤驱动程序,NDIS设Linuxkernel设Linuxkernel集成有过滤系大多数linux下统之上开发设都是
10、在这些过滤发展动态和趋。例如不能防范不经的。发展动态和趋。例如不能防范不经的。目前还不能防了的或。件的传输。这只能在每台主机上装。当有些表不能防止数据驱动到还存。当有些表不能防止数据驱动到还存在着安装、管理、配置复,发展趋型发展趋型(2) 可扩展的结构和功系统而言,它的规模和功能应该能网络的规模和安全策略的变化。选择哪(2) 可扩展的结构和功系统而言,它的规模和功能应该能网络的规模和安全策略的变化。选择哪,应服务,例如,如果用户需要型滤(3) 简化的安装与管网的安全性。因此面市场的发展证明了这种趋势。Windows 于基于Unix,但DNS(3) 简化的安装与管网的安全性。因此面市场的发展证明
11、了这种趋势。Windows 于基于Unix,但DNS(4)主动过开发商通过建立功能更强大的过还在它们的。(4)主动过开发商通过建立功能更强大的过还在它们的。(5)与TCPIP和“SYN泛滥”这类更复杂(5)与TCPIP和“SYN泛滥”这类更复杂(6)发展联动技,将(6)发展联动技,将发展趋势总此发展趋势总此如Web页6典介。6典介。Secure/WAN(S/WAN)标RSA数据安全公司与一Microsystems公司、操作性,从而解决了建立虚拟网)。中采用的信息加密技术一致性(即加密算法)Secure/WAN(S/WAN)标RSA数据安全公司与一Microsystems公司、操作性,从而解决了
12、建立虚拟网)。中采用的信息加密技术一致性(即加密算法)FWPD(FirewallProduct制订测试标ComputerSecurity开发商FWPDFWPD(FirewallProduct制订测试标ComputerSecurity开发商FWPD(FirewallProductDeveloper)基于上述标准目前已经有大量产产6.1FireWallFireWall-公Firewall-1和带宽管理解决方FloodGate-1。其全资子公司MetaInfoIP6.1FireWallFireWall-公Firewall-1和带宽管理解决方FloodGate-1。其全资子公司MetaInfoIP状态
13、监测技利用公司创新的状态监测状态监测技利用公司创新的状态监测信息专利的OPSEC(Open Platform for rise Connectivity)技术为各厂Secure专利的OPSEC(Open Platform for rise Connectivity)技术为各厂SecureEnt安全产品的整合提供了方的接口FireWall-1可以有效地集成的安全产品,为企提供、的面、灵活的管,因而覆盖方方面面。甚至可以通过FireWall-1管理CiscoBay、Xylan等网络设备供应商的不同产品FireWall-1(1)企业集中管理下的分布式客户机/服FireWall-1(1)企业集中管理下
14、的分布式客户机/服务器结FireWall-1采用集中控制下的分布式客户机服务器结构,能好,配置灵活。网络可以设置多个Firewall-模块,的安全策略一个GUI工作站负责管,以实现企管理工作站和各模块之间的数据通信采用加密传输,成安全的通信通道。所有的安全策略规则都是通过象的图形用户界面(GUI)定义,可以定义的对象类包括:机、网段、其他网络设备、用户、服务、资源、时间、加密钥等。Firewall-1还提供了图形化的日志、计账功能FireWall-1Firewall-1支持预定义的网络通信协议多达120多种FireWall-1Firewall-1支持预定义的网络通信协议多达120多种,包ern
15、et的主要服务(如HTTP协议),Oracle SQL*Net、Real VDOLive和MS NetMeeting功能强大的编程语言)FireWall-1(3)增强的加密 Firewall-1的用户认FireWall-1(3)增强的加密 Firewall-1的用户认证功 Firewall-1的加密模块可以使您ernet上建立数据全的信道。 Firewall-1的加密模块可以使您ernet上建立数据全的信道。在公共传Firewall-1可以确保灵活性,而费用要比租工作站通信的安全性线路少得多。可选的加密方案有FWZ、ManualIPSec和Skip,加密 Firewall-1的SecuRemo
16、te客户加提供个用户的加密通信。这一过程对用户来说全透明。对网络进的移动用户用是适用 存取控制等。内容安全的新功能紧密集成在Firewall- Firewall-1的防地址转换(NAT)Cisco的路由器提供集中管理系统管理员的传呼设备)利用 FireWall-1支持SunSolaris、Windows系统管理员的传呼设备)利用 FireWall-1支持SunSolaris、WindowsNT 有关的文章可在以找到 HYPERLINK http:/w/ 6.2CiscoSystemsCisco,6.2CiscoSystemsCisco,Cisco技术集成到路由器中是Cisco网将技术集成到路由
17、器中是Cisco网将安全产品的一大特色Cisco在路由器市场的占有率达到80,路由器的IOS中集技术是其他厂无可比拟的,这样做的好处是用户无须外购,可降低网络建设的总成本的产品特的“”的产品特的“”技250000URL过HPOpenView6.3国产天融信“网络卫士产、6.3国产天融信“网络卫士产、认控认控。控。控“网络卫士”系产品特、发,整个系统小于2M,最大程度地确保了系统自身的安“网络卫士”系产品特、发,整个系统小于2M,最大程度地确保了系统自身的安全性和高性能平均无故障时间40000小时。支持双电源、双系统和双机备份功能;支持SNMP模块化结构,多接口设计,可以支持12个接口模块,支持
18、TOPSEC、IDS攻防概自开始部署以来,已保护无数的攻防概自开始部署以来,已保护无数的它们还远远不是确的市场上每产品几乎每年都有安脆弱点被发现。更糟糕的是,大多数防墙往往配置不当且无和监视如果不犯错误,从设计到配置再都做如果不犯错误,从设计到配置再都做得很好事实上大多数差不多是不可渗透的者知道这一点,因通过发掘信任关系和最薄弱环节上的安脆弱点来绕,或者经由拨号账。实来根本避7.1获标几乎每都会有其独特的电子特征7.1获标几乎每都会有其独特的电子特征也就是说。凭借端口扫描、firewalk工具旗标攫取等技巧者能够有效地确的类型、版这种标识之所以重要,是因为一旦标识目标网络,者就能确定它的脆弱点
19、所在,从而尝它们(1)直接扫标识自己(1)直接扫标识自己的Proxy Server则通常在1080和上,1745号TCP端口。掌握这一点后,使用像 nmapnvvp0p256,1080,1745 墙前面的路由器上阻塞这些端口。例如使用以下路由器ACL规则显式地阻s-list101denytcpanyanyeq256log!Fcirevwall-1 墙前面的路由器上阻塞这些端口。例如使用以下路由器ACL规则显式地阻s-list101denytcpanyanyeq256log!Fcirevwall-1 s-list101denytcpanyanyeq257log!Fcirevwall-1 s-li
20、st101denytcpanyanyeq258log!Fcirevwall-1 s-list101denytcpanyanyeq1080log!Sockss-list101denytcpanyanyeq1745log!Winsock当然,如果在边界路由器上阻塞了(256258),将不能通过外部网络(例如因理。(2)路径C:tracertTracing route (2)路径C:tracertTracing route overumof30 12345610 10 10ms 20 20 10 10 10 20 20 10 ncvn29(UN KNOWN)C:ncvn29(UN KNOWN)29 EagleSecureGateway (1)输入(可以(3)如果认证通过,你就拥有了的本权,这时运用一个本地的缓冲区溢出(如rdist)或类似发掘获取权的的(2) 未加认证的外的 (2) 未加认证的外的 (1)选择菜单“工
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 《基于价值链理论的YZ公司成本控制研究》
- 《幼儿园新教师情绪管理现状调查研究》
- 折纸幼儿园课程设计
- 招投标课程设计新的
- 托班日常体能课程设计
- 我要高专课程设计与制作
- 健康管理平台服务介绍
- 《基于lncRNA GAS5-miR-23a-Apaf-1通路研究藤黄酸B对胃癌细胞caspase-3依赖凋亡及焦亡的影响及机制》
- 《交际翻译理论视角下信息类文本长句翻译策略》
- 《一种篮球多功能训练手套的研发及其推广的可行性研究》
- 小学语文作文技巧六年级写人文章写作指导(课堂PPT)
- NLP时间线疗法
- JJG596-2012《电子式交流电能表检定规程》
- 医疗质量检查分析、总结、反馈
- 《APQP培训资料》
- 通信线路架空光缆通用图纸指导
- 家具销售合同,家居订购订货协议A4标准版(精编版)
- 食品加工与保藏课件
- 铜芯聚氯乙烯绝缘聚氯乙烯护套控制电缆检测报告可修改
- 有功、无功控制系统(AGCAVC)技术规范书
- PE拖拉管施工方案(完整版)
评论
0/150
提交评论