电子商务安全技术:第七章 防火墙的构造与选择_第1页
电子商务安全技术:第七章 防火墙的构造与选择_第2页
电子商务安全技术:第七章 防火墙的构造与选择_第3页
电子商务安全技术:第七章 防火墙的构造与选择_第4页
电子商务安全技术:第七章 防火墙的构造与选择_第5页
已阅读5页,还剩61页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

第七章防火墙的构造与选择7.1防火墙概述

7.2防火墙的基本体系结构7.3防火墙的选择与实施

7.4主要的防火墙产品7.1

防火墙概述防火墙(Firewall)的定义:

——防火墙是用来限制被保护的网络与互联网络之间,或者与其他网络之间相互进行信息存取、传递操作的部件或部件集。防火墙应具备的条件:内部和外部之间的所有网络数据流必须经过防火墙只有符合安全策略的数据流才能通过防火墙防火墙——隔离内部网和Internet的有效安全机制

服务控制:确定哪些服务可以被访问方向控制:对于特定的服务,可以确定允许哪个方向能够通过防火墙用户控制:根据用户来控制对服务的访问行为控制:控制一个特定的服务的行为防火墙的控制能力定义了一个必经之点挡住未经授权的访问流量实施保护,以避免各种IP欺骗和路由攻击防火墙提供了一个监视各种安全事件的位置,所以,可以在防火墙上实现审计和报警对于有些Internet功能来说,防火墙也可以是一个理想的平台,比如地址转换(NAT),Internet日志,甚至计费功能防火墙的作用构筑防火墙之前,需要制定一套有效的安全策略防火墙的策略网络服务访问策略

一种高层次的具体到事件的策略,主要用于定义在网络中允许或禁止的服务。防火墙设计策略一切未被允许的就是禁止的——安全性好,但是用户所能使用的服务范围受到严格限制。一切未被禁止的都是允许的——可以为用户提供更多的服务,但是在日益增多的网络服务面前,很难为用户提供可靠的安全防护。包过滤型(PacketFilter)代理服务器型(ProxyService)复合型防火墙(Hybrid)防火墙的基本类型基本思想对于每个进来的包适用一组规则,然后决定转发或丢弃该包包过滤型如何过滤过滤的规则以IP层和运输层的头中的字段为基础过滤器往往建立一组规则,根据IP包是否匹配规则中指定的条件来作出决定:如果匹配到一条规则,则根据此规则决定转发或者丢弃如果所有规则都不匹配,则根据缺省策略网络层链路层外部网络内部网络包过滤路由器示意图包过滤型判断依据:数据包协议类型:TCP、UDP、ICMP等源IP、目的IP地址源端口、目的端口:FTP、TELNET、HTTP等IP选项:源路由、记录路由等TCP选项:SYN、ACK、FIN等数据包流向:in或out数据包流经网络接口:eth0、eth1包过滤路由器设置实例规则方向源地址目的地址动作A出内部网络拒绝B入内部网络拒绝按地址按服务规则方向源地址源端口目的地址目的端口动作注释A入外部*E-MAIL25拒绝不信任B出****允许允许C双向****拒绝默认状态clientserver外部内部往外包的特性(用户操作信息)IP源是内部地址目标地址为serverTCP协议,目标端口23源端口>1023往内包的特性(显示信息)IP源是server目标地址为内部地址TCP协议,源端口23目标端口>1023包过滤路由器设置实例从内往外的telnet服务包过滤型防火墙的特点优点:逻辑简单,对网络性能的影响较小;与应用层无关,无须改动任何客户机和主机上的应用程序,易于安装和使用。缺点:配置基于包过滤方式的防火墙,需要对IP、TCP、UDP、ICMP等各种协议有深入的了解;允许外部客户和内部主机的直接连接;不提供用户的鉴别机制。基本思想代理服务是运行在防火墙主机上的一些特定的应用程序或者服务器程序。这些程序将用户对互联网络的服务请求依据已制定的安全规则向外提交,代理服务替代了用户与互联网络的直接连接。代理服务器也称为应用层网关。

代理服务器型应用层网关结构示意图应用层网关的协议栈结构应用层运输层外部网络内部网络链路层网络层HTTPFTPTelnetSmtp代理服务器的特点优点:易于配置,界面友好透明性——“直接”访问Internet的假象不允许内外网主机的直接连接可以实现基于用户的认证可以提供比包过滤更详细的日志记录可以隐藏内部IP地址可以与认证、授权等安全手段方便的集成代理服务器的特点缺点:代理速度比包过滤慢新的服务不能及时地被代理每个被代理的服务要求专门的代理软件有些服务要求建立直接连接,无法使用代理代理服务不能避免协议本身的缺陷7.2

防火墙的基本体系结构三种体系结构:双宿主主机结构主机过滤结构子网过滤结构堡垒主机(BastionHost):指一个计算机系统,它对外部网络暴露,同时又是内部网络用户的主要连接点。几个相关概念双宿主主机(Dual-homedHost):至少有两个网络接口的通用计算机系统。DMZ(DemilitarizedZone,非军事区或者停火区):在内部网络和外部网络之间增加的一个子网,也称为参数网络。双宿主主机结构

——拥有两个或多个连接到不同网络上的网络接口,通常用一台装有两块或多块网卡的堡垒主机做防火墙,分别与受保护网和外部网相连。双宿主主机结构优点:结构简单可以提供很高的网络控制缺点:需要用户认证,使用不方便主机过滤结构

——主机过滤结构由包过滤路由器和堡垒主机组成,堡垒主机仅仅与内部网相连。任何外部网的主机都只能与内部网的堡垒主机建立连接,任何外部系统对内部网络的操作都必须经过堡垒主机。主机过滤结构优点:两层保护:包过滤+应用层网关;比单独的包过滤或应用网关代理更安全;可以进行灵活配置。缺点:一旦包过滤路由器被攻破,堡垒主机就可能被越过,使内部网络完全暴露。子网过滤结构

——采用了两个包过滤路由器和一个堡垒主机,在内外网络之间建立了一个被隔离的子网,定义为“非军事区”(DMZ),使得内部网与外部网之间有三层防护。子网过滤结构优点:三层防护,安全性高外部路由器只向Internet暴露子网中的主机内部路由器只向内部网暴露子网中的主机即使堡垒主机被入侵者控制,内部网仍受到内部包过滤路由器的保护7.3

防火墙的选择与实施防火墙不能防止内部的攻击;对于绕过防火墙的攻击,它无能为力;防火墙不能防止被病毒感染的程序或者邮件等;作为一种被动的防护手段,防火墙不能防范因特网上不断出现的新的威胁和攻击。防火墙的局限性确立网络安全保护策略要保护的内部网的规模内部网的主要用途,用户的结构和需求内部网有无安全级别的要求怎样选择合适的防火墙对防火墙进行评价、分析

对防火墙的各种类型的优缺点要有所了解防火墙的稳定性和它所支持平台种类愿意为防火墙投资多少经费本单位的技术力量能否支持维护7.4主要的防火墙产品国外:CheckPoint公司防火墙NetScreen公司防火墙三星公司secuiWALL防火墙国内:北京天融信公司系列防火墙第八章计算机病毒及其防治技术8.1计算机病毒的概念

8.2计算机病毒的分析8.3计算机病毒的防治8.4网络病毒的防治技术8.1计算机病毒的概念计算机病毒(ComputerVirus)的定义:1984年,最早由计算机病毒之父弗雷德·科恩博士(FredCohen)定义为:“计算机病毒是一种计算机程序,它通过修改其它程序把自身或其演化体插入它们中,从而感染它们。”国外最流行的定义为:“计算机病毒,是一段附着在其他程序上的可以实现自我繁殖的程序代码。”1994年2月18日,《中华人民共和国计算机信息系统安全保护条例》定义:

——计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用,并且能够自我复制的一组计算机指令或者程序代码”。我国对计算机病毒的定义“磁芯大战”(corewar)——60年代,贝尔实验室

DouglasMcllroy、VictorVysottsky以及RobertT.Morris计算机病毒的发展历史1983年,世界上第一例被证实的计算机病毒,同时出现了计算机病毒传播的研究报告1984年,美国人Thompson开发出了针对UNIX操作系统的病毒程序1988年11月3日,美国六千多台计算机(占当时整个互联网十分之一)被WORM病毒感染。美国康奈尔大学研究生RobertMorris(罗伯特·莫里斯)感染性:病毒的基本特征,自我复制能力。破坏性:病毒会对系统产生不同程度的影响。

隐藏性:用户通常感觉不到病毒的存在。潜伏性:一般不会马上发作。可激活性:病毒因某个事件或数值的出现而发作。针对性:病毒的编制者往往有特殊的破坏目的。

计算机病毒的特征按攻击的对象分:攻击微型机攻击小型机攻击大型机攻击计算机网络

计算机病毒的分类按寄生的方式分:覆盖式寄生病毒:破坏合法程序的部分或全部功能

代替式寄生病毒:使病毒程序以“合法”身份运行

链接式寄生病毒:将自身程序附加在宿主程序之后

添充式寄生病毒:侵占宿主程序的空闲存储空间

转储式寄生病毒:将宿主程序代码改变存储位置计算机病毒的分类按感染的方式分:引导扇区病毒:引导扇区病毒用它自己的数据来代管硬盘的原始引导扇区,并将病毒装入内存。

文件感染病毒:文件感染病毒将病毒代码加到可运行的程序文件中,在运行程序时即被激活。

综合型感染病毒:是指既感染磁盘引导区程序,又感染系统文件的综合病毒。计算机病毒的分类按侵入的途径分:源码病毒:指病毒在源程序被编译前就被插入到源程序中。

操作系统病毒:指病毒程序将自身加入或替代操作系统工作。入侵病毒:用自身代替正常程序中的部分模块或堆栈区。外壳病毒:将自身程序放在主程序的周围,一般不对原来的程序进行修改。计算机病毒的分类计算机病毒的一般构成引导模块病毒的初始化部分,作用是将病毒由外存引入内存,使后两个模块处于活动状态。驻留内存程序驻留将病毒代码移到内存最高端对内存的病毒代码采取保护措施对内存中的病毒代码设定某种激活方式传染模块将病毒代码传染到其他对象上去传染过程驻入内存。病毒停留在内存中,监视以后系统的运行,选择机会进行传染。引导模块完成。判断传染条件。传染模块被激活后,会马上对攻击目标进行判断,以决定是否传染之。传染。通过适当的方式把病毒写入磁盘,同时保证被攻击的对象仍可正常运行。破坏/表现模块实施病毒的破坏作用。特洛伊木马蠕虫病毒宏病毒脚本病毒恶意网页病毒结合黑客技术的病毒常见计算机病毒的类型

由来:源于希腊对特洛伊城的战争;寓意“一经进入,后患无穷”。特洛伊木马(TrojanHorse)定义:特洛伊木马是一种程序,它提供了一些有用的功能,通常是一些用户不希望的功能,诸如在你不了解的情况下拷贝文件或窃取你的密码,或直接将重要资料转送出去,或破坏系统等等。2013年上半年共有8.77亿人次网民被病毒感染,有1,985万台电脑遭到病毒攻击,人均病毒感染次数为44.2次。木马病毒依然是主要流行病毒,蠕虫病毒有大幅增长。

概述:特洛伊木马是一种或是直接由一个黑客,或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限,安装此程序的人就可以直接远程控制目标系统。特洛伊木马(TrojanHorse)特点:隐蔽性,难以察觉客户端/服务器模式木马类型网络游戏木马网银木马即时通讯软件木马发送消息型盗号型传播自身型网页点击类木马下载类木马代理类木马根据中国互联网络信息中心CNNIC《中国互联网络发展状况统计报告》显示,截至2013年6月底,中国网络游戏网民规模达到3.45亿,较2012年底增长了964万人

特洛伊木马(TrojanHorse)防御:用网络扫描软件定期监视内部主机上的TCP服务,定期检查注册表,定期用防病毒软件查杀等。警惕:不要轻易打开陌生人的信件附件不要轻易接收网友的小程序或打开网址不要到一些小的网站或者黑客网站下载软件

由来:一种体积很小、繁殖很快、爬行迟缓的小虫子感染的计算机运行起来像蠕虫爬行那样缓慢蠕虫病毒(WormVirus)定义:蠕虫病毒是一种能自我复制的程序,并能通过计算机网络进行传播,它大量消耗系统资源,使其它程序运行减慢以至停止,最后导致系统和网络瘫痪。

特点:传播速度快,感染范围广

反复感染,难以根除隐蔽性好破坏性大著名的蠕虫病毒:1988年,Morris,第一个蠕虫病毒

2001年,“尼姆达”病毒(Nimda)2001年,“求职信”病毒(wantjob)2003年,“2003蠕虫王”病毒蠕虫病毒(WormVirus)

宏病毒(MacroVirus)宏:是一系列自己编写或录制的命令和指令,用来实现任务执行的自动化。宏病毒:是一种存在Word或模版中的计算机病毒,一旦打开这样的文档,宏病毒就会被激活,传染到其它计算机上,并驻留在Normal模版中,此后,自动保存的文档都会被感染。

宏病毒(MacroVirus)宏病毒的特征:宏病毒会感染.DOC文档和.DOT模板文件。宏病毒的传染通常是Word在打开一个带宏病毒的文档或模板时,激活宏病毒。多数宏病毒包含AutoExec、AutoOpen和AutoNew等自动宏,通过这些自动宏病毒取得文档(模板)操作权。

宏病毒(MacroVirus)宏病毒的防治方法:保护Word模板文件。查看“可疑”的宏。小心使用外来的Word文档。屏蔽自动执行宏。利用专业杀毒软件查杀宏病毒。

脚本病毒VBS脚本病毒:VBS病毒由VBScript编写而成,更甚于宏病毒。VBS脚本病毒的特征:编写简单破坏力大传播范围大病毒源码容易被获取,变种多著名脚本病毒:爱虫病毒防止恶意脚本通用的方法

可以通过打开“我的电脑”,依次点击[查看]→[文件夹选项]→[文件类型]在文件类型中将后缀名为“VBS、VBE、JS、JSE、WSH、WSF”的所有针对脚本文件的操作均删除。这样这些文件就不会被执行了。

在IE设置中将ActiveX插件和控件以及Java相关全部禁止掉也可以避免一些恶意代码的攻击。方法是:打开IE,点击[工具]→[Internet选项]→[安全]→[自定义级别],在“安全设置”对话框中,将其中所有的ActiveX插件和控件以及与Java相关的组件全部禁止即可及时升级系统和IE并打补丁。

恶意网页病毒恶意网页病毒:

利用IE的ActiveX漏洞的病毒修改用户的IE设置、注册表选项下载木马、恶意程序或病毒格式化用户硬盘或删除用户的文件具有主动攻击性著名恶意网页病毒:爱情森林

结合黑客技术的病毒黑客技术+病毒:

同黑客技术结合的网络病毒将成为计算机病毒的主流传统的计算机病毒:主要依靠某种媒介进行传播,比如软盘、光盘或者电子邮件等。结合黑客技术的病毒:只要你的系统有后门,有漏洞,就可能感染病毒。

结合黑客技术的病毒红色代码病毒:利用Windows服务器的系统漏洞使用主动传播方式,发动DoS(拒绝服务)攻击遭到攻击的计算机上植入木马程序,远程控制服务器(web目录的\scripts下将生成一个root.exe)冲击波病毒:完全主动地直接扫描互联网上的计算机,一旦发现其存在RPC漏洞,就立即进入并开始发作。8.2计算机病毒的分析病毒的破坏手段:攻击系统数据区主引导扇区等

破坏计算机硬件攻击文件系统文件、用户数据等攻击内存占用大量内存等干扰系统运行不执行命令、死机等速度下降盗取信息窃取密码等软盘——软盘作为最常用的交换媒介,在计算机应用的早期对病毒的传播发挥了巨大的作用。光盘——光盘因为容量大,存储了大量的可执行文件,大量的病毒就有可能藏身于光盘。硬盘——由于带病毒的硬盘在本地或移到其他地方使用、维修等,将干净的软盘传染并再扩散。计算机病毒的传播途径网络——通过BBS、EMAIL等网络方式进行传播,是现代病毒的最主要传播途径。计算机系统的运行速

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论