信息安全技术（HCIA-Security）（微课版）（第2版） 课件 第5、6章 主机安全防御、防火墙基础

主机防火墙和杀毒软件举办网络安全宣传周、提升全民网络安全意识和技能，是国家网络安全工作的重要内容。国家网络安全工作要坚持网络安全为人民、网络安全靠人民，保障个人信息安全，维护公民在网络空间的合法权益。文字学习全球信息通信网络规模NO.1——中国拓展主题：爱国主义、科技强国、技能强国墙，始于防，忠于守。自古至今，墙予人以安全之意。防火墙，顾名思义，阻挡的是火，这一名词源于建筑领域，其作用是隔离火灾，阻止火势从一个区域蔓延到另一个区域。引入到通信领域，防火墙主要用于保护一个网络免受来自另一个网络的攻击和入侵行为。杀毒软件是一种可以对病毒、木马等一切已知的对计算机有危害的程序代码进行清除的程序工具。学完本课程后，您将能够：描述防火墙的定义和分类描述防火墙的主要功能描述杀毒软件的概念区分杀毒软件和防火墙防火墙概述Windows防火墙Linux防火墙杀毒软件什么是防火墙？所谓“防火墙”，是指一种将内部网络和公众访问网络(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。防火墙分类按照形态分为硬件防火墙软件防火墙按照保护对象分为单机防火墙网络防火墙Windows防火墙Windows防火墙顾名思义就是在Windows系统中自带的软件防火墙。Windows防火墙设置Windows防火墙规则设置允许程序或功能通过Windows防火墙。Windows防火墙通知规则更改通知规则。打开或关闭Windows防火墙初始化Windows防火墙设置还原默认值。Windows防火墙高级设置Windows防火墙规则设置防火墙概述Windows防火墙Linux防火墙杀毒软件iptables简介iptables是一个免费的包过滤防火墙，它伴随着内核的发展而不断演变，基本经历了以下四个阶段：1.1内核，采用了ipfirewall来操作内核包过滤规则。2.0内核，采用了ipfwadm来操作内核包过滤规则。2.2内核，采用了ipchains来操作内核包过滤规则。2.4内核，采用iptables来操作内核包过滤规则。iptables的结构iptables的结构：iptables>表>链>规则。简单地讲，表由链组成，而链又由规则组成。如下图所示。Chain1Chain2Table1Rule1Rule2Rule3Rule1Rule2Rule3Chain1Chain2Table2Rule1Rule2Rule3Rule1Rule2Rule3iptables的基本概念-规则规则一般定义为“如果数据包符合这样的条件，就这样处理这个数据包”在iptables的规则会去指定源地址、目的地址、源端口、目的端口和协议这样的五元组信息。当数据包和规则匹配时，iptables就会根据规则所定义的方法去处理这个数据包，如允许通过和丢弃等。规则源地址：目的地址：any协议：httpiptables的基本概念-链链是数据包传播的路径，每个链包含有一条或多条规则。当一个数据包到达一个链后，iptables会使用这个链中的第一条规则去匹配该数据包，查看该数据包是否符合这个规则所定义的条件，如果满足，就根据该规则所定义的动作去处理该数据包，否则就继续匹配下一条规则，如果该数据包不符合链中的所有规则，则使用该链的默认策略处理。链规则1源地址：

目的地址:any协议:HTTP规则2源地址：

目的地址:any协议:DNS规则3源地址：

目的地址:any协议:ICMP规则4源地址：

目的地址:any协议:ARP规则5源地址：

目的地址:any协议:IGMPiptables的基本概念-表表提供特定的功能，iptables包含四个表：Filter表：数据包中允许或者不允许的策略。NAT表：地址转换的功能。Mangle表：修改报文数据Raw表：决定数据包是否被状态跟踪机制处理。表的处理优先级：raw>mangle>nat>filter。iptables传输数据包的过程PREROUTING链FORWARD链POSTROUTING链INPUT链OUTPUT链内部处理过程流入的数据包流出的数据包iptables规则iptables定义规则的方式比较复杂:格式：iptables[-ttable]COMMANDchainCRETIRIA-jACTION-ttable：4个filternatmanglerawCOMMAND：定义如何对规则进行管理。chain：指定你接下来的规则到底是在哪个链上操作的，当定义策略的时候，是可以省略的。CRETIRIA:指定匹配标准。-jACTION:指定如何进行处理。比如：不允许/16的进行访问。iptables-tfilter-AINPUT-s/16-pudp--dport53-jDROP防火墙概述杀毒软件什么是杀毒软件杀毒软件（anti-virussoftware），也叫反病毒软件或者防毒软件，是用来消除电脑病毒、恶意软件和特洛伊木马等计算机威胁的一类软件。杀毒软件通常带有监控识别、病毒扫描、病毒清除、自动升级、主动防御等功能。杀毒软件的基本功能防范病毒：预防病毒入侵计算机。查找病毒：扫描计算机运行的程序或文件是否存在病毒，并能够对比病毒库准确报出病毒的名称。清除病毒：根据不同类型的病毒对感染对象的修改，并按其感染特性进行恢复。杀毒软件的组成杀毒软件一般由扫描器、病毒库和虚拟机组成，并且由主程序将他们结为一体。杀毒软件扫描组件一扫描组件二病毒库病毒库扫描器1扫描器2扫描器4扫描器3扫描器1扫描器2虚拟机扫描器杀毒软件的关键技术-脱壳技术脱壳技术是杀毒软件中常用的技术，可以对压缩文件、加花文件、加壳文件、分装类文件进行分析的技术。病毒壳A壳B变种病毒B变种病毒A病毒脱壳引擎病毒具有脱壳能力的杀毒软件不具有脱壳能力的杀毒软件加壳病毒杀毒软件的关键技术-

自我保护技术自我保护技术主要是防止病毒结束杀毒软件的运行进程或者篡改杀毒软件文件。杀毒软件的关键技术-修复技术杀毒软件在查杀病毒的时候一般是把被感染的文件直接删除，这样就可能出现误删一些系统文件，最后导致系统崩溃，无法启动。而杀毒软件的修复技术可以对损坏的文件进行修复。杀毒软件的关键技术-实时升级技术病毒和杀毒软件就像是矛和盾一样，只不过矛的发展更为迅速，因此杀毒软件的病毒库一般是滞后于计算机病毒的。那么病毒库的实时更新就显得尤为重要了。杀毒软件的关键技术-

主动防御技术杀毒软件还可以通过仿真反病毒系统对程序的动作和一些文件进行监控，实现自动判断病毒，进行主动防御。国内主流杀毒软件瑞星赛门铁克卡巴斯基江民SUSEMcAfee360用户需要怎样的杀毒软件操作界面杀毒速度占用资源杀毒效果杀毒软件常识杀毒软件不可能查杀所有病毒；杀毒软件能查到的病毒，不一定能杀掉；一台电脑每个操作系统下不必同时安装两套或两套以上的杀毒软件（除非有兼容或绿色版，其实很多杀软兼容性很好，国产杀软几乎不用担心兼容性问题），另外建议查看不兼容的程序列表；杀毒软件对被感染的文件杀毒有多种方式：1.清除、2.删除、3.禁止访问、4.隔离、5.不处理。Windows防火墙属于以下哪些分类（）硬件防火墙软件防火墙单机防火墙网络防火墙以下哪些是杀毒软件的组成部分（）扫描器病毒库虚拟机防火墙

防火墙概述杀毒软件防火墙介绍网络安全为人民，网络安全靠人民，维护网络安全是全社会共同的责任，需要政府、企业、社会组织、广大网民共同参与，共筑网络安全防线。文字学习建设网络强国，推进经济高质量发展拓展主题：爱国主义、科技强国、技能强国在数据通信过程中，由于网络中的不安全因素将会导致信息泄密、信息不完整，信息不可用等问题，因此在部署网络时需要用到防火墙设备。本章主要介绍华为防火墙的发展历史、特点、典型组网方式、应用场景和技术指标。学完本课程后，您将能够:了解防火墙基本概念理解防火墙安全策略掌握防火墙安全策略配置防火墙概述防火墙转发原理防火墙安全策略及应用ASPF技术防火墙特征逻辑区域过滤器隐藏内网网络结构自身安全保障主动防御攻击内网防火墙路由器未经防火墙流量的可防护吗？防火墙分类按照访问控制方式分为：包过滤防火墙代理防火墙状态检测防火墙防火墙分类-包过滤防火墙TCP层数据链路层IP层TCP层数据链路层IP层TCP层应用层IP层只检测报文头部1.无法关联数据包之间关系2.无法适应多通道协议3.通常不检查应用层数据防火墙分类-代理防火墙发送连接请求外网终端代理防火墙内网Server向Server发送报文A’对请求进行安全检查，不通过则阻断连接通过检查后与Server建立连接通过检查后与Client建立连接向防火墙发送报文A向防火墙发送回应报文B向终端发送回应报文B’1.处理速度慢2.升级困难防火墙分类-状态检测防火墙安全策略检查记录会话信息状态错误，丢弃1.处理后续包速度快2.安全性高SYN(seq=1134)ACK(seq=1135)SYN`(seq=2287)ACK’(seq=30000)ACK’(seq=2288)HostServer防火墙组网方式TrustUntrustUntrustTrust/30/30/3029/30/3033/30防火墙概述防火墙转发原理防火墙安全策略及应用ASPF技术包过滤技术对需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。实现包过滤的核心技术是访问控制列表。公司总部内部网络未授权用户办事处防火墙安全策略定义安全策略是按一定规则控制设备对流量转发以及对流量进行内容安全一体化检测的策略。规则的本质是包过滤。主要应用对跨防火墙的网络互访进行控制。对设备本身的访问进行控制。入数据流出数据流防火墙安全策略的原理BBAABBBAAAA

AAAAAAPolicy0：允许A后续操作Policy1：拒绝B后续操作防火墙安全策略防火墙安全策略作用：根据定义的规则对经过防火墙的流量进行筛选，并根据关键字确定筛选出的流量如何进行下一步操作。步骤1：入数据流经过防火墙步骤2：查找防火墙安全策略判断是否允许下一步操作步骤３：防火墙根据安全策略定义规则对数据包进行处理默认策略操作防火墙域间转发防火墙客户端服务器查路由表,基于接口所属域间及方向,查域间包过滤规则Policy0：permit源为Policy1：deny源为……缺省域间包过滤规则为禁止未命中会话表执行首包流程非首包，查找会话表命中会话表执行后续包流程Untrusttrust查询和创建会话查询会话表匹配会话表安全性检查刷新会话表检查是否可以创建会话查看ServerMap表查找路由表包过滤规则NAT创建会话表转发报文是否状态检测机制状态检测机制开启状态下，只有首包通过设备才能建立会话表项，后续包直接匹配会话表项进行转发。状态检测机制关闭状态下，即使首包没有经过设备，后续包只要通过设备也可以生成会话表项。HostServerTCPSYNTCPACK’会话表项源IP地址源端口目的IP地址目的端口协议用户应用2000023TCPabcTelnet源IP地址源端口目的IP地址目的端口协议用户应用2320000TCPabcTelnetServerClientSession:TCP:20000

:23ClientServer创建会话表命中会话表该报文通过Server:23Host:20000查看会话表信息显示会话表简要信息displayfirewallsessiontable

显示会话表详细信息displayfirewallsessiontableverbose<sysname>displayfirewallsessiontableCurrentTotalSessions:2telnetVPN:public-->public:2855-->:23httpVPN:public-->public:2559-->00:80<sysname>displayfirewallsessiontableverboseCurrentTotalSessions:1httpVPN:public-->publicID:a48f3648905d02c0553591da1Zone:trust-->localTTL:00:20:00Left:00:19:56Output-interface:InLoopBack0NextHop:MAC:00-00-00-00-00-00<--packets:3073bytes:3251431-->packets:2881bytes:705651:1864-->51:80PolicyName:test防火墙概述防火墙转发原理防火墙安全策略及应用ASPF技术安全策略的匹配原则防火墙客户端服务器首包流程，做安全策略过滤。Rule0：permit源为……Rule1：deny源为…………缺省default策略动作为禁止。未命中会话表执行首包流程后续包流程，不做安全策略过滤。命中会话表执行后续包流程trustUntrust安全策略匹配流程安全策略应用非信任区域信任区域公司内网/16市场部研发部允许流量通过禁止流量通过安全策略1源地址：any目的地址：any用户：市场部应用：IM、Game动作：禁止安全策略2源地址：any目的地址：any用户：研发部协议：http动作：允许配置安全区域(WEB)系统缺省已经创建了四个安全区域。如果用户还需要划分更多的安全等级，可以自行创建新的安全区域并定义其安全级别。配置安全策略(WEB)安全策略主要包含的配置内容:策略匹配条件：源安全域，目的安全域，源地址，目的地址，用户，服务，应用，时间段。策略动作：允许，禁止。内容安全Profile（可选）：反病毒，入侵防御，URL过滤，文件过滤，内容过滤，应用行为控制，邮件过滤。配置地址和地址组(WEB)地址是IPv4/IPv6地址或MAC地址的集合，地址组是地址的集合。地址包含一个或若干个IPv4/IPv6地址或MAC地址，它类似于一个基础组件，只需定义一次，就可以被各种策略（例如安全策略、NAT策略）多次引用。配置地区和地区组(WEB)地区是以地区为单位的IP地址对象，每个地区是当前地区的公网IP地址集合。为方便扩展和复用，设备还支持配置地区组供策略引用。地区组中可以包含多个地区、嵌套的地区组，配置灵活。配置服务和服务组(WEB)服务是通过协议类型和端口号来确定的应用协议类型，服务组是服务和服务组的集合。预定义服务：指系统缺省已经存在、可以直接选择的服务类型。自定义服务：通过指定协议类型（例如TCP、UDP或ICMP）和端口号等信息来定义的一些应用协议类型。配置应用和应用组(WEB)应用是指用来执行某一特殊任务或用途的计算机程序。应用组是指多个应用的集合。配置时间段(WEB)时间段定义了时间范围，定义好的时间段被策略引用后，可以对某一时间段内流经NGFW的流量进行匹配和控制。配置安全策略(WEB)在安全策略中可以引用已经创建好的对象。安全策略配置举例组网需求在某企业中允许/24网段的员工访问Internet，但是在此网段中、和的这几台PC对安全性要求较高，不允许上网。Trust区域Untrust区域/24Internet内网

/24配置安全策略流程关键配置(命令行)创建拒绝特殊的几个IP地址访问Internet的安全策略规则。创建允许/24网段访问Internet的安全策略规则。[NGFW]security-policy[NGFW-policy-security]rulenamecelue[NGFW-policy-security-rule-celue]source-zonetrust[NGFW-policy-security-rule-celue]destination-zoneuntrust[NGFW-policy-security-rule-celue]source-address32[NGFW-policy-security-rule-celue]source-address32[NGFW-policy-security-rule-celue]source-address32[NGFW-policy-security-rule-celue]actiondeny[NGFW]security-policy[NGFW-policy-security]rulenamecelue2[NGFW-policy-security-rule-celue2]source-zonetrust[NGFW-policy-security-rule-celue2]destination-zoneuntrust[NGFW-policy-security-rule-celue2]source-address24[NGFW-policy-security-rule-celue2]actionpermit关键配置(WEB)-(1)配置名称为ip_deny的地址组。关键配置(WEB)-(2)配置拒绝特殊地址组ip_deny内IP地址访问Internet的安全策略。关键配置(WEB)-(3)配置允许/24网段访问Internet的安全策略。防火墙概述防火墙转发原理防火墙安全策略及应用ASPF技术多通道协议技术单通道协议：通信过程中只需占用一个端口的协议。如：WWW只需占用80端口。多通道协议：通信过程中需占用两个或两个以上端口的协议。如FTP被动模式下需占用21号端口以及一个随机端口。使用单纯的包过滤方法，如何精确定义（端口级别）多通道协议所使用的端口呢？遇到使用随机协商端口的协议，单纯的包过滤方法无法进行数据流定义。ASPF概述ASPF(ApplicationSpecificPacketFilter)是一种高级通信过滤，它检查应用层协议信息并且监控连接的应用层协议状态。对于特定应用协议的所有连接，每一个连接状态信息都将被ASPF维护并用于动态的决定数据包是否被允许通过防火墙或丢弃。监视通信过程中的报文动态创建和删除过滤规则ASPF对多通道协议的支持ASPF（ApplicationSpecificPacketFilter）是针对应用层的包过滤。我使用4952端口与你建立数据通道。ServerMap表-----------------------------------------------------------Inside-Address:PortGlobal-Address:PortPro