欢迎来到淘文阁 - 分享文档赚钱的网站! | 帮助中心 好文档才是您的得力助手!
淘文阁 - 分享文档赚钱的网站
全部分类
  • 研究报告>
  • 管理文献>
  • 标准材料>
  • 技术资料>
  • 教育专区>
  • 应用文书>
  • 生活休闲>
  • 考试试题>
  • pptx模板>
  • 工商注册>
  • 期刊短文>
  • 图片设计>
  • ImageVerifierCode 换一换

    [精选]计算机网络安全管理课件第8章 防火墙安全管理15204.pptx

    • 资源ID:91100078       资源大小:256.92KB        全文页数:31页
    • 资源格式: PPTX        下载积分:20金币
    快捷下载 游客一键下载
    会员登录下载
    微信登录下载
    三方登录下载: 微信开放平台登录   QQ登录  
    二维码
    微信扫一扫登录
    下载资源需要20金币
    邮箱/手机:
    温馨提示:
    快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。
    如填写123,账号就是123,密码也是123。
    支付方式: 支付宝    微信支付   
    验证码:   换一换

     
    账号:
    密码:
    验证码:   换一换
      忘记密码?
        
    友情提示
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
    5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。

    [精选]计算机网络安全管理课件第8章 防火墙安全管理15204.pptx

    第8章防火墙安全管理8.1防火墙概述8.2防火墙的类型8.3防火墙体系结构8.4防火墙的选择8.5常用防火墙的配置与管理现代网络安全服务一般有两种:一是存取控制,禁止非法的通信和连网;二是通信安全服务,提供授权数据的完整性、可靠性,具有对同级通信者的访问否定权。当用户连上Internet,就可在中间插入一个或几个中介系统的控制关联,防止通过网络进行的攻击,并提供单一的安全和审计的安装控制点,这些中间系统就是防火墙。由于Internet 的开放性,网络安全技术变化很大,Internet 的安全技术包括传统的网络安全技术和分布式网络安全技术,主要技术是解决如何利用Internet 进行安全通信,同时保护内部网络免受外部攻击。而防火墙正能实现这些技术。防火墙是一种被动的防御技术,是一类防范措施的总称,是保护计算机网络安全技术性措施之一,是一种隔离控制技术,在内部专用网和外部网络间设置保护,防止对信息资源的非授权访问,防火墙也是目前在网络安全技术中使用最多、最广泛的,因此我们有必要在网络安全管理中专门来讲述。8.1防火墙概述防火墙(Firewall),是现代网络安全技术中最常用的技术,它使得内部网络与外部网络(包括Internet 等)之间的通信量必须经过防火墙进行筛选,符合标准的分组将被正常转发,不能通过检查的分组就被丢弃。设置防火墙,就形同装置一个防盗门。一般的防火墙由两个组成部分:两个分组筛选器(路由器)和一个应用程序网关。防火墙是用来保护由许多台计算机组成的大型网络,防火墙可以是非常简单的过滤器,也可能是精心配置的应用网关,但它们的原理是一样的,都是监测并过滤所有通向外部网和从外部网传来的信息,防火墙保护着内部敏感的数据不被偷窃和破坏,并用日志记录通信发生的时间和操作。防火墙通常是运行在一台计算机中的软件,它可以识别并屏蔽非法的请求。防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。8.1.1防火墙的特点8.1.2实现防火墙的技术1.包过滤技术(PacketFilter)包过滤是在网络层中对数据包进行有选择的通过。依据系统内事先设定的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址、所用的TCP 端口与TCP 链路状态等因素来确定是否允许数据包通过。包过滤是在IP 层实现的,因此,它可以只用路由器完成。包过滤根据包的源IP 地址、目的IP 地址、源端口、目的端口及报文传递方向等报头信息来判断是否允许报文通过。现在也出现了一种可以分析报文数据区内容的智能型包过滤器。包过滤器的应用非常广泛,因为CPU 用来处理包过滤的时间可以忽略不计。而且这种防护措施对用户透明,合法用户在进出网络时,根本感觉不到它的存在,使用起来很方便。包过滤另一个也是很关键的弱点是不能在用户级别上进行过滤,即不能识别不同的用户和防止IP 地址的盗用。如果攻击者把自己主机的IP 地址设成一个合法主机的IP 地址,就可以很轻易地通过报文过滤器。2.应用网关技术(ApplicationGateway)应用网关技术是利用网络应用层上的协议过滤。它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制,以防有价值的程序和数据被窃取。在实际工作中,应用网关一般由专用工作站系统来完成。3.代理服务(ProxyServer)是设置在Internet 防火墙网关的专用应用级代码。这种代理服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能。包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过,一旦判断条件满足,防火墙内部网络的结构和运行状态便“暴露”在外来用户面前,这就引入了代理服务的概念,即防火墙内外计算机系统应用层的“链接”由两个终止于代理服务的“链接”来实现,这就成功地实现了防火墙内外计算机系统的隔离。同时,代理服务还可用于实施较强的数据流监控、过滤、记录和报告等功能。代理服务技术主要通过专用计算机硬件(如工作站)来承担。代理服务器则是代表网络内部用户的代理者,它实际上是一个应用层上的网关。当用户使用TCP/IP 应用时,给Proxy 提供合法身份和授权信息,Proxy 就和被访问主机联系,并在两个通信点之间中继传递IP 数据包。IP 包处理的过程对用户是透明的。4.IP 通道(IPTunnels)当两个相关的网络相隔很远,要通过Internet 通信的情况下,可以采用IPTunnels 来防止Internet 上的入侵者截取信息,实质是建立虚拟专用网。试分析一下其工作原理。子网A 中一主机(IP 地址为X.X.X.X)欲向子网B 中某主机(IP 地址为Y.Y.Y.Y)发送报文,该报文经过本网防火墙FW1(IP 地址N.N.N.1)时,防火墙判断该报文是否发往子网B,若是,则再增加一报头,变成从此防火墙到子网B 防火墙FW2(N.N.N.2)的IP报文,而将原IP 地址封装在数据区内,同原数据一起加密后经Internet 发往FW2。FW2接收到报文后,若发现源IP 地址是FW1的,则去掉附加报头,解密,在本网上传送。从Internet 上看,就只是两个防火墙的通信。即使黑客伪装了从FW1发往FW2的报文,由于FW2在去掉报头后不能解密,会抛弃报文。5.网络地址转换器(NATNetworkAddressTranslate)当受保护网连到Internet 上时,受保护网用户若要访问Internet,必须使用一个合法的IP 地址。但由于合法InternetIP 地址有限,而且受保护网络往往有自己的一套IP 地址规划(非正式IP 地址)。网络地址转换器就是在防火墙上装一个合法IP 地址集。当内部某一用户要访问Internet 时,防火墙动态地从地址集中选一个未分配的地址分配给该用户,该用户即可使用这个合法地址进行通信。同时,对于内部的某些服务器如Web 服务器,网络地址转换器允许为其分配一个固定的合法地址。外部网络的用户就可通过防火墙来访问内部的服务器。这种技术既缓解了少量的IP 地址和大量的主机之间的矛盾,又对外隐藏了内部主机的IP 地址,提高了安全性。6.隔离域名服务器(SplitDomainNameServer)这种技术是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔离,使外部网的域名服务器只能看到防火墙的IP 地址,无法了解受保护网络的具体情况,这样可以保证受保护网络的IP 地址不被外部网络知悉。8.2防火墙的类型8.2.1网络级防火墙网络级防火墙是基于源地址和目的地址、应用或协议以及每个IP 包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP 包来自何方,去向何处。网络级防火墙可以判断这一点,它可以提供内部信息以说明所通过的连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包。另外,通过定义基于TCP 或UDP 数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet、FTP 连接。8.2.2应用级防火墙应用级网关防火墙你也许不熟悉,它的别名是代理服务器,这种防火墙有较好的访问控制,是目前最安全的防火墙技术,但它对用户是不透明的,用户在受信任的网络上通过防火墙访问Internet 时,经常会发现存在延迟并且必须进行多次登录(Login)才能访问Internet 或Intranet。应用级防火墙应用于特定的Internet 服务,HTTP、NNTP、FTP、Telnet 等。代理服务器通常运行在两个网络之间,它对于客户来说是象是一台真的服务器一样,而对于外界的服务器来说,它又是一台客户机。当代理服务器接受到用户的请求后会检查用户请求的站点是否符合要求,如果允许用户访问该站点的话,代理服务器会象一个客户一样去那个站点取回所需信息再转发给客户。代理服务器都通常拥有一个高速缓存,这个缓存存储有用户经常访问站点的内容,在下一个用户要访问同样的站点时,服务器就用不着重复地去抓同样的内容,既节约了时间也节约了网络资源。代理服务器会象一堵真的墙那样挡在内部用户和外界之间,从外面只能看到代理服务器而看不到任何的内部资源,诸如用户的IP 等。应用级网关比单一的包过滤更为可靠,而且会详细地记录下所有的访问记录。但是应用级网关的访问速度慢,因为它不允许用户直接访问网络。而且应用级网关需要对每一个特定的互联网服务安装相应的代理服务软件,用户不能使用未被服务器支持的服务,它的效率不如网络级防火墙。8.2.3电路级网关防火墙电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session)是否合法,电路级网关是在OSI 模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。实际上电路级网关并非作为一个独立的产品存在,它与其他的应用级网关结合在一起,如TrustInformationSystems 公司的GauntletInternetFirewall;DEC公司的AltaVistaFirewall 等产品。另外,电路级网关还提供一个重要的安全功能:代理服务器(ProxyServer),代理服务器是个防火墙,在其上运行一个叫做 地址转移 的进程,来将所有你公司内部的IP 地址映射到一个 安全 的IP 地址,这个地址是由防火墙使用的。但是,作为电路级网关也存在着一些缺陷,因为该网关是在会话层工作的,它就无法检查应用层级的数据包。8.2.4规则检查防火墙规则检查防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样,规则检查防火墙能够在OSI 网络层上通过IP 地址和端口号,过滤进出的数据包。它也象电路级网关一样,能够检查SYN和ACK 标记和序列数字是否逻辑有序。当然它也象应用级网关一样,可以在OSI 应用层上检查数据包的内容,查看这些内容是否能符合公司网络的安全规则。规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,它并不打破客户机/服务机模式来分析应用层的数据,它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。8.2.5状态监视器状态防火墙的安全特性是非常好的,它采用了一个在网关上执行网络安全策略的软件引擎,称之为检测模块。检测模块在不影响网络正常工作的前提下,采用抽取相关数据的方法对网络通信的各层实施监测,抽取部分数据,即状态信息,并动态地保存起来作为以后制定安全决策的参考。检测模块支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。与其它安全方案不同,当用户访问到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、鉴定或给该通信加密等决定。一旦某个访问违反安全规定,安全报警器就会拒绝该访问,并作记录,向系统管理器报告网络状态。状态监视器的另一个优点是它会监测RPC(RemoteProcedureCall)和(UDP)UserDatagramProtocol 之类的端口信息。包过滤和代理网关都不支持此类端口。这种防火墙无疑是非常坚固的,但它的配置非常复杂,而且会降低网络的速度。8.3防火墙体系结构防火墙体系结构主要有三种:双重宿主主机体系结构;被屏蔽主机体系结构;被屏蔽子网体系结构。8.3.1双重宿主主机体系结构双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的,该计算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器;它能够从一个网络到另一个网络发送IP 数据包。实现双重宿主主机的防火墙体系结构禁止这种发送功能。所以IP 数据包从一个网络并不是直接发送到其它网络。防火墙内部的系统能与双重宿主主机通信,同时防火墙外部的系统能与双重宿主主机通信,但是这些系统不能直接互相通信。它们之间的IP 通信被完全阻止。双重宿主主机的防火墙体系结构是相当简单的:双重宿主主机位于两者之间,并且被连接到因特网和内部的网络。在双重宿体主机体系中应用最广泛的是双穴主机网关,这种网关是用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受保护网和外部网相连。堡垒主机上运行着防火墙软件,可以转发应用程序,提供服务等。8.3.2屏蔽主机体系结构屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务。在这种体系结构中,主要的安全由数据包过滤。在屏蔽的路由器上的数据包过滤是按这样一种方法设置,即堡垒主机是因特网上的主机能连接到内部网络上的系统的桥梁。仅有某些确定类型的连接被允许。任何外部的系统试图访问内部的系统或者服务将必须连接到这台堡垒主机上。堡垒主机需要拥有高等级的安全。在屏蔽路由器中数据包过滤配置的可选方案如下:允许其它的内部主机为了某些服务与因特网上的主机连接。不允许来自内部主机的所有连接。用户可以针对不同的服务混合使用上述手段;某些服务可以被允许直接经由数据包过滤,而其它服务可以被允许仅仅间接地经过代理。这完全取决于用户实行的安全策略。8.3.3屏蔽子网体系结构屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步地把内部网络与Internet 隔离开。堡垒主机是用户的网络上最容易受侵袭的机器。任凭用户尽最大的力气去保护它,它仍是最有可能被侵袭的机器,因为它本质上是能够被侵袭的机器。如果在屏蔽主机体系结构中,用户的内部网络对来自用户的堡垒主机的侵袭门户洞开,那么用户的堡垒主机是非常诱人的攻击目标。在它与用户的其它内部机器之间没有其它的防御手段时。如果有人成功地侵入屏蔽主机体系结构中的堡垒主机,那就毫无阻挡地进入了内部系统。通过在周边网络上隔离堡垒主机,能减少在堡垒主机上侵入的影响。屏蔽子网体系结构的最简单的形式为,两个屏蔽路由器,每一个都连接到周边网。一个位于周边网与内部的网络之间,另一个位于周边网与外部网络之间。为了侵入用这种类型的体系结构构筑的内部网络,入侵者必须要通过两个路由器。即使侵袭者设法侵入堡垒主机,他将仍然必须通过内部路由器。在此情况下,没有损害内部网络的单一的易受侵袭点。作为入侵者,只是进行了一次访问。1.周边网络周边网络是另一个安全层,是在外部网络与用户的被保护的内部网络之间的附加的网络。如果侵袭者成功地侵入用户的防火墙的外层领域,周边网络在那个侵袭者与用户的内部系统之间提供一个附加的保护层。在许多网络设置中,用给定网络上的任何机器来查看这个网络上的每一台机器的通信是可能的;对局域网中所使用的技术,入侵者都很熟悉,入侵者可以通过查看那些在Telnet、FTP 以及rlogin 会话期间使用过的口令成功地探测出口令、电子邮件以用监视网络等。对于周边网络,如果入侵周边网上的堡垒主机,入侵者只能探听到周边网上的通信。因为所有周边网上的通信来自或者通往堡垒主机或Internet。因为没有严格的内部通信能越过周边网。所以,如果堡垒主机被损害,内部的通信仍将是安全的。总的来说,在堡垒主机或者外部的通信,仍然是可监视的。防火墙设计工作的一部分就是确保这种通信不致于机密到阅读它将损害你的站点的完整性。2.堡垒主机在屏蔽的子网体系结构中,用户把堡垒主机连接到周边网;这台主机便是接受来自外界连接的主要入口。对于进来的电子邮件(SMTP)会话,传送电子邮件到站点;对于进来的FTP 连接,转接到站点的匿名FTP 服务器;对于进来的域名服务(DNS)站点查询等等。在外部和内部的路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器。设置代理服务器在堡垒主机上运行(如果用户的防火墙使用代理软件)来允许内部的客户端间接地访问外部的服务器。用户也可以设置数据包过滤来允许内部的客户端在堡垒主机上同代理服务器交谈。但是禁止内部的客户端与外部世界之间直接通信(即拨号入网方式)。3.内部路由器内部路由器(也称阻塞路由器)保护内部的网络使之免受Internet 和周边网的侵犯。内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网到Internet 的有选择的出站服务。这些服务是用户的站点能使用数据包过滤而不是代理服务安全支持和安全提供的服务。内部路由器所允许的在堡垒主机和用户的内部网之间服务可以不同于内部路由器所允许的在Internet 和用户的内部网之间的服务。限制堡垒主机和内部网之间服务的理由是减少由此而导致的受到来自堡垒主机侵袭的机器的数量。4.外部路由器外部路由器(又称访问路由器)保护周边网和内部网使之免受来自Internet 的侵犯。实际上,外部路由器倾向于允许几乎任何东西从周边网出站,并且它们通常只执行非常少的数据包过滤。保护内部机器的数据包过滤规则在内部路由器和外部路由器上基本上应该是一样的;如果在规则中有允许侵袭者访问的错误,错误就可能出现在两个路由器上。外部路由器由外部群组提供,同时用户对它的访问被限制。外部群组可能愿意放入一些通用型数据包过滤规则来维护路由器,但是不愿意使维护复杂或者使用频繁变化的规则组。外部路由器能有效地执行的安全任任务是阻止从Internet 上伪造源地址进来的任何数据包。这样的数据包自称来自内部的网络,但实际上是来自Internet。8.3.4防火墙体系结构的组合形式建造防火墙时,一般很少采用单一的技术,通常是多种解决不同问题的技术的组合。这种组合主要取决于网管中心向用户提供什么样的服务,以及网管中心能接受什么等级风险。采用哪种技术主要取决于经费,投资的大小或技术人员的技术、时间等因素。一般有以下几种形式:使用多堡垒主机;合并内部路由器与外部路由器;合并堡垒主机与外部路由器;合并堡垒主机与内部路由器;使用多台内部路由器;使用多台外部路由器;使用多个周边网络;使用双重宿主主机与屏蔽子网。8.4防火墙的选择在规划网络时,就必须考虑整体网络的安全性,而在这其中,防火墙是第一道防护。防火墙产品很多,如何进行防火墙的选择,是一个必须考虑的问题,建议以下几点。好的防火墙是一个整体网络的保护者好的防火墙是整体网络的保护者,它所保护整个局域网。好的防火墙必须能弥补其他操作系统的不足好的防火墙必须是建立在操作系统之前而不是在操作系统之上,所以操作系统有的漏洞可能并不会影响到一个好的防火墙系统所提供的安全性,由于硬件平台的普及以及执行效率的因素,大部分企业均会把对外提供各种服务的服务器分散至许多操作平台上,但我们在无法保证所有主机安全的情况下,选择防火墙作为整体安全的保护者,这正说明了操作系统提供了B 级或是C 级的安全并不一定会直接对整体安全造成影响,好的防火墙必须能弥补操作系统的不足。好的防火墙应该为使用者提供不同平台的选择由于防火墙并非完全由硬件构成,所以软件(操作系统)所提供的功能以及执行效率一定会影响到整体的表现,而使用者的操作意愿及熟悉程度也是必须考虑的重点。因此一个好的防火墙不但本身要有良好的执行效率,也应该提供多平台的执行方式供使用者选择,毕竟使用者才是完全的控制者,应该选择一套符合现有环境需求的软件,而非为了软件的限制而改变现有环境。好的防火墙应能向使用者提供完善的售后服务由于有新的产品出现,就有人会研究新的破解方法,所以一个好的防火墙提供者就必须有一个庞大的组织作为使用者的安全后盾,也应该有众多的使用者所建立的口碑为防火墙作见证。好的防火墙应该向使用者提供完整的安全检查功能,但是一个安全的网络仍必须依靠-使用者的观察及改进 好的防火墙应该向使用者提供不同平台的选择好的防火墙还能实现IP 转换IP 转换能隐藏内部网络真正的IP,使入侵者无法直接入侵内部网,另外是节省了IP 可作为内部使用。好的防火墙应该有双重DNS 查杀病毒功能大部分防火墙都可以与防病毒防火墙搭配实现查杀病毒功能,有的防火墙则可以直接集成扫毒功能,有的是杀毒由防火墙完成,有的是由另专用的计算机完成。防火墙也是网络上的主机,除了配置防火墙的控制连接以及它自身的服务配置、端口设置以外,还应该考虑到防火墙自身的安全,因为它身身的安全性决定着内部网络的安全性。-防火墙大部分都安装在网络操作系统上,如Linux、Windows 系列等,在防火墙主机上执行的除了防火墙软件外,所有的程序、系统核心,也大多来自于操作系统本身的原有程序。当防火墙上所执行的软件出现安全漏洞时,防火墙本身也将受到威胁。此时,任何的防火墙控制机制都可能失效,因为当入侵者取得了防火墙上的控制权以后,入侵者可以通过防火墙入侵内部网络,所以防火墙自身要具有相当高的安全保护。在其它章节我们详细的讲述了各个网络操作系统的安全配置及管理,你可以在使用相应操作系统的时候作为参考。8.5常用防火墙的配置与管理防火墙配置一般有三种方式:Dual-homed 方式、Screened-host 方式和Screened-subnet 方式。Dual-homed 方式最简单。Dual-homedGateway 放置在两个网络之间,这个Dual-homedGateway 又称为bastionhost。这种结构成本低,但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力,并且它是入侵者的首选目标,它极易被攻破,一旦被攻破,整个网络也就暴露了,所以这种配置方式不利于安全的管理。Screened-host 方式中的Screeningrouter 为保护Bastionhost 的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost,并且只接受来自Bastionhost 的数据作为出去的数据。这种结构依赖Screeningrouter 和Bastionhost,只要有一个失败,整个网络就暴露了。Screened-subnet包含两个Screeningrouter 和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网,称之为“停火区”(DMZ,即DemilitarizedZone),Bastionhost 放置在“停火区”内。这种结构安全性好,只有当两个安全单元被破坏后,网络才被暴露,但是成本也很昂贵。8.5.1配置防火墙1.iptables 语法介绍iptables 的IP 过滤规则由链和对应的处理规则组成,防火墙的规则指定所检查包的特征、目标。若包不匹配则送往该链下一条规则检查;若匹配,则由目标值确定下一条规则。这些目标值可以是:ACCEPT 通过,DROP 删除,QUEUE 排队,RETURN 返回一旦到达了目标,链就结束了。iptables 缺省定义了几个标准链,即INPUT(输入链),OUTPUT(输出链),FORWARD(转发链),PREROUTING 和POSTROUTING。如果你曾经使用过ipchains,那么要注意,iptables 的INPUT 和OUTPUT 的定义和ipchains 不同,现在INPUT 和OUTPUT 只包含事实上进入/离开本机的包,过去的forward 包穿过三条链的情况不再出现了。相当于以前的INPUT 链的链名是PREROUTING,也就是一切通过本机NIC 进入的都要通过PREROUTING,但事实上只有进入本机的才通过INPUT,类似地,所有通过本机NIC 发出的数据都要通过POSTROUTING,但只有本机发出的数据包才通过OUTPUT。配置实例见书P246。8.5.2防火墙的管理1.防火墙的失效状态防火墙能否起到安全防护作用,不仅要看它工作是否正常,能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马迹,而且要看到一旦防火墙被攻破,它的状态如何,按级别来分,它有以下四种状态:未受伤害能够继续正常工作;关闭并重新启动,同时恢复到正常工作状态;关闭并禁止所有的数据通行;关闭并允许所有的数据通行。前两种状态比较理想,而第四种最不安全。但是许多防火墙由于无条件进行失效状态测试和验证,无法确定其失效状态等级,因此网络存在安全隐患。2.防火墙的动态维护防火墙安装和投入使用后,并非万事大吉。要想充分发挥它的安全防护作用,必须对它进行跟踪和维护,要与商家保持密切的联系,时刻注视商家的动态。因为商家一旦发现其产品存在安全漏洞,那么会尽快发布补救(Patch)产品,此时应尽快确认真伪(防止特洛伊木马等病毒),并对防火墙软件进行更新。1.防火墙的失效状态防火墙能否起到安全防护作用,不仅要看它工作是否正常,能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马迹,而且要看到一旦防火墙被攻破,它的状态如何,按级别来分,它有以下四种状态:未受伤害能够继续正常工作;关闭并重新启动,同时恢复到正常工作状态;关闭并禁止所有的数据通行;关闭并允许所有的数据通行。前两种状态比较理想,而第四种最不安全。但是许多防火墙由于无条件进行失效状态测试和验证,无法确定其失效状态等级,因此网络存在安全隐患。2.防火墙的动态维护防火墙安装和投入使用后,并非万事大吉。要想充分发挥它的安全防护作用,必须对它进行跟踪和维护,要与商家保持密切的联系,时刻注视商家的动态。因为商家一旦发现其产品存在安全漏洞,那么会尽快发布补救(Patch)产品,此时应尽快确认真伪(防止特洛伊木马等病毒),并对防火墙软件进行更新。3.防火墙的非法访问-深入分析研究防火墙技术,利用防火墙配置和实现的漏洞,可以对它实施攻击。通常情况下,有效的攻击都是从相关的子网进行的,因为这些网址得到了防火墙的信赖,虽说成功与否尚取决于机遇等其他因素,但对攻击者而言很值得一试。4.防火墙安全的几个威胁防火墙安全防护面临威胁的主要原因有:SOCK 的错误配置;不适当的安全政策;强力攻击;允许匿名的FTP 协议;允许TFTP 协议;允许Rlogin 命令;允许X Windows 或OpenWindows;端口映射;可加载的NFS 协议;允许Win95/NT 文件共享;9、静夜四无 邻,荒居旧 业贫。5 月-235 月-23Saturday,May20,2023 10、雨中黄叶 树,灯下白 头 人。11:10:5711:10:5711:105/20/202311:10:57AM 11、以我独沈久,愧君相 见频。5 月-2311:10:5711:10May-2320-May-23 12、故人江海 别,几度隔山川。11:10:5711:10:5711:10Saturday,May20,2023 13、乍 见 翻疑梦,相悲各 问 年。5 月-235 月-2311:10:5711:10:57May20,2023 14、他 乡 生白 发,旧国 见 青山。20五月202311:10:57 上午11:10:575 月-23 15、比不了得就不比,得不到的就不要。五月2311:10 上午5 月-2311:10May20,2023 16、行 动 出成果,工作出 财 富。2023/5/2011:10:5711:10:5720May2023 17、做前,能 够环视 四周;做 时,你只能或者最好沿着以脚 为 起点的射 线 向前。11:10:57 上午11:10 上午11:10:575 月-23 9、没有失 败,只有 暂时 停止成功!。5 月-235 月-23Saturday,May20,2023 10、很多事情努力了未必有 结 果,但是不努力却什么改 变 也没有。11:10:5711:10:5711:105/20/202311:10:57AM 11、成功就是日复一日那一点点小小努力的 积 累。5 月-2311:10:5711:10May-2320-May-23 12、世 间 成事,不求其 绝对圆满,留一份不足,可得无限完美。11:10:5711:10:5711:10Saturday,May20,2023 13、不知香 积 寺,数里入云峰。5 月-235 月-2311:10:5711:10:57May20,2023 14、意志 坚强 的人能把世界放在手中像泥 块 一 样 任意揉捏。20五月202311:10:57 上午11:10:575 月-23 15、楚塞三湘接,荆门 九派通。五月2311:10 上午5 月-2311:10May20,2023 16、少年十五二十 时,步行 夺 得胡 马骑。2023/5/2011:10:5711:10:5720May2023 17、空山新雨后,天气晚来秋。11:10:57 上午11:10 上午11:10:575 月-23 9、杨 柳散和 风,青山澹吾 虑。5 月-235 月-23Saturday,May20,2023 10、阅读 一切好 书 如同和 过 去最杰出的人 谈话。11:10:5711:10:5711:105/20/202311:10:57AM 11、越是没有本 领 的就越加自命不凡。5 月-2311:10:5711:10May-2320-May-23 12、越是无能的人,越喜 欢 挑剔 别 人的 错 儿。11:10:5711:10:5711:10Saturday,May20,2023 13、知人者智,自知者明。胜 人者有力,自 胜 者 强。5 月-235 月-2311:10:5711:10:57May20,2023 14、意志 坚强 的人能把世界放在手中像泥 块 一 样 任意揉捏。20五月202311:10:57 上午11:10:575 月-23 15、最具挑 战 性的挑 战 莫 过 于提升自我。五月2311:10 上午5 月-2311:10May20,2023 16、业 余生活要有意 义,不要越 轨。2023/5/2011:10:5811:10:5820May2023 17、一个人即使已登上 顶 峰,也仍要自 强 不息。11:10:58 上午11:10 上午11:10:585 月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感 谢 您 的 下 载 观 看专 家告 诉

    注意事项

    本文([精选]计算机网络安全管理课件第8章 防火墙安全管理15204.pptx)为本站会员(muj****520)主动上传,淘文阁 - 分享文档赚钱的网站仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知淘文阁 - 分享文档赚钱的网站(点击联系客服),我们立即给予删除!

    温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。




    关于淘文阁 - 版权申诉 - 用户使用规则 - 积分规则 - 联系我们

    本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

    工信部备案号:黑ICP备15003705号 © 2020-2023 www.taowenge.com 淘文阁 

    收起
    展开