网络安全技术与实践第10章防火墙技术ppt课件.ppt

《网络安全技术与实践第10章防火墙技术ppt课件.ppt》由会员分享，可在线阅读，更多相关《网络安全技术与实践第10章防火墙技术ppt课件.ppt（39页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用第第第第10101010章章章章 防火墙技术防火墙技术防火墙技术防火墙技术经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用目目

2、录录 10.2 10.2 防火墙类型防火墙类型2 10.3 10.3 防火墙的主要应用防火墙的主要应用3 10.4 10.4 防火墙安全应用实验防火墙安全应用实验4 10.1 10.1 防火墙概述防火墙概述1 10.5 10.5 本章小结本章小结 5上海市精品课程上海市精品课程上海市精品课程上海市精品课程网络安全技术网络安全技术网络安全技术网络安全技术经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或

3、接受服务的费用教教 学学 目目 标标 掌握掌握掌握掌握防火墙的概念防火墙的概念防火墙的概念防火墙的概念 掌握掌握掌握掌握防火墙的功能防火墙的功能防火墙的功能防火墙的功能 了解了解了解了解防火墙的不同分类防火墙的不同分类防火墙的不同分类防火墙的不同分类 掌握掌握掌握掌握SYN FloodSYN Flood攻击的方式攻击的方式攻击的方式攻击的方式 掌握掌握掌握掌握用防火墙阻止用防火墙阻止用防火墙阻止用防火墙阻止SYN FloodSYN Flood攻击的方法攻击的方法攻击的方法攻击的方法重点重点重点重点重点重点重点重点教学目标教学目标上海市精品课程上海市精品课程上海市精品课程上海市精品课程网络安全技

4、术网络安全技术网络安全技术网络安全技术经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用10.1.1 防火墙的概念防火墙的概念 防火墙防火墙防火墙防火墙是指设置在不同网络（如可信任的企业内部网和不可是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的网络或网

5、络安全域之间信息的唯一唯一唯一唯一出入口出入口，能根据企业的安全，能根据企业的安全策策略略控制（允许、拒绝、监测）出入网络的信息流，且本身具有较控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的的基础设施基础设施。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用10.1

6、.1 防火墙的概念防火墙的概念 根据已经根据已经设置好的安全规则设置好的安全规则，防火墙决定是允许（，防火墙决定是允许（allowallow）或）或者拒绝（者拒绝（denydeny）内部网络和外部网络的连接）内部网络和外部网络的连接经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用10.1.2 防火墙的功能防火墙的功能防火墙的功能防火墙的功能n建立一个集中的监视点建立一个集中的监视点n隔

7、绝内、外网络，保护内部网络隔绝内、外网络，保护内部网络n强化网络安全策略强化网络安全策略n对网络存取和访问进行监控审计对网络存取和访问进行监控审计n实现网络地址变换的理想平台实现网络地址变换的理想平台经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用10.1.3 防火墙的主要优点防火墙的主要优点n（1 1）防火墙能强化安全策略）防火墙能强化安全策略n每时每刻在Internet上都有上百万

8、人在收集信息、交换信息，防火墙执行站点的安全策略，仅仅容许认可的和符合规则的请求通过。n（2 2）防火墙能有效地记录）防火墙能有效地记录InternetInternet上的活动上的活动n因为所有进出信息都必须通过防火墙，所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为唯一的访问点，防火墙能在被保护的网络和外部网络之间进行记录n（3 3）防火墙限制暴露用户点）防火墙限制暴露用户点n防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。n（4 4）防火墙是一个安全策略的检查站）防火墙是一个安全策略的检查站n所有进出的信息都必须通过防火墙，防火墙便

9、成为安全问题的检查点，使可疑的访问被拒绝于门外。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用10.1.4 防火墙的主要缺陷与不足防火墙的主要缺陷与不足防火墙的主要缺陷与不足防火墙的主要缺陷与不足n不能防范恶意的知情者不能防范恶意的知情者n不能防范不通过它的连接不能防范不通过它的连接n不能防御全部的威胁不能防御全部的威胁n防火墙不能防范病毒防火墙不能防范病毒n讨论思考讨论思考n（1

10、1）什么是防火墙？现实生活中有没有类似于防火墙功能的生活现象？）什么是防火墙？现实生活中有没有类似于防火墙功能的生活现象？n（2 2）使用防火墙构建企业网络体系后，管理员是否可以高枕无忧？）使用防火墙构建企业网络体系后，管理员是否可以高枕无忧？n（3 3）能够提出一种思路，来快速响应网络攻击行为？）能够提出一种思路，来快速响应网络攻击行为？经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费

11、用10.2 防火墙类型防火墙类型n按照按照软硬件形式分类软硬件形式分类n软件防火墙n硬件防火墙n芯片级防火墙n按照技术分类按照技术分类n包过滤防火墙n应用代理防火墙n应用网关防火墙n电路级防火墙n状态检测防火墙经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用包过滤防火墙包过滤防火墙 包过滤设备包过滤设备通常是根据通常是根据IPIP、TCPTCP或或UDPUDP包头信息如源地址、目包头信

12、息如源地址、目的地址和端口号、协议类型等标志来确定是否允许数据包通过。的地址和端口号、协议类型等标志来确定是否允许数据包通过。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用包过滤防火墙包过滤防火墙-静态静态n无状态数据包过滤无状态数据包过滤n也常被称作是第一代静态包过滤类型防火墙。无状态数据包过滤在做出是否丢弃一个数据包的决定时，并不关心连接的状态。但是无状态数据包过滤在需要完全阻塞

13、从子网络和其他网络过来的通信时非常有用，并且数据包转发速度极快。过滤方法是建立规则集，这包含如下六个方面：n按IP数据包报头标准过滤n按照TCP或UDP端口号过滤n按照ICMP消息类型过滤n按段标记过滤n按ACK标记过滤n可疑的入站数据包的过滤经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用包过滤防火墙包过滤防火墙-动态动态n动态包过滤动态包过滤n动态包过滤试图将数据包的上下文联系起来

14、，建立一种基于状态的包过滤机制。对于新建的应用连接，防火墙检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，这些相关信息构成一个状态表。这样，当一个新的数据包到达，如果属于已经建立的连接，则检查状态表，参考数据流上下文决定当前数据包通过与否；如果是新建连接，则检查静态规则表。n动态包过滤通过在内存中动态地建立和维护一个状态表，数据包到达时，对该数据包的处理方式将综合静态安全规则和数据包所处的状态进行。n克服了传统包过滤仅仅孤立的检查单个数据包和安全规则静态不可变的缺陷，使得防火墙的安全控制力度更为细致经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔

15、偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用包过滤防火墙包过滤防火墙-其他技术其他技术n深度包检测深度包检测n深入检测数据包有效载荷，执行基于应用层的内容过滤，以此提高系统应用防御能力。应用防御的技术问题主要包括：需要对有效载荷知道得更清楚；也需要高速检查它的能力。n流过滤技术流过滤技术n以状态包过滤的形态实现应用层的保护能力；通过内嵌的专门实现的TCPIP协议栈，实现了透明的应用信息过滤机制。流过滤技术的关键在于其架构中的专用TCPIP协议

16、栈，这个协议栈是一个标准的TCP协议的实现，依据TCP协议的定义对出入防火墙的数据包进行了完整的重组，重组后的数据流交给应用层过滤逻辑进行过滤，从而可以有效地识别并拦截应用层的攻击企图。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用应用代理防火墙应用代理防火墙 应用代理型防火墙应用代理型防火墙是工作在是工作在OSIOSI的应用层。特点是完全的应用层。特点是完全“阻隔阻隔”了网络通信流

17、，通过对每种应用服务编制专门的代理程序，实了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用现监视和控制应用层通信流的作用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用第一代应用网关型防火墙第一代应用网关型防火墙 从内部发出的数据包经过这样的防火墙处理后，就好像是源从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到

18、隐藏内部网结构的作用。于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙，它的墙，它的核心技术核心技术就是代理服务器技术。就是代理服务器技术。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用第二代自适应代理型防火墙第二代自适应代理型防火墙 结合代理类型防火墙的安全性和

19、包过滤防火墙的高速度等优结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高点，在毫不损失安全性的基础之上将代理型防火墙的性能提高1010倍以上倍以上，组成这种类型防火墙的组成这种类型防火墙的基本要素基本要素有两个：自适应代理服有两个：自适应代理服务器与动态包过滤器务器与动态包过滤器。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用

20、应用网关防火墙应用网关防火墙 应用网关防火墙应用网关防火墙的是通过打破传统的客户机的是通过打破传统的客户机/服务器模式实现服务器模式实现的，可伸缩性较差。每个客户机的，可伸缩性较差。每个客户机/服务器通信服务器通信需要两个连接需要两个连接：一个：一个是从客户端到防火墙，另一个是从防火墙到服务器。每个代理需要是从客户端到防火墙，另一个是从防火墙到服务器。每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须要添加针对此应用的服务程序，否则不能用该服务用必须要添加针对此应用的服务程序，否则不能用该服务。经营者提供商品或

21、者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用电路级防火墙电路级防火墙 电路级防火墙电路级防火墙通过在通过在TCPTCP三次握手建立连接的过程中，检查双三次握手建立连接的过程中，检查双方的方的SYNSYN、ACKACK和序号是否合乎逻辑来判断该请求的会话是否合法。和序号是否合乎逻辑来判断该请求的会话是否合法。一旦防火墙认为该会话是合法的，就为双方建立连接并维护一张一旦防火墙认为该会话是合法的，就为双

22、方建立连接并维护一张合法会话连接表，当会话信息与表中的条目匹配时才允许数据通合法会话连接表，当会话信息与表中的条目匹配时才允许数据通过。会话结束后，表中相应的条目就被删除。过。会话结束后，表中相应的条目就被删除。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用状态检测防火墙状态检测防火墙 当用户访问请求到达防火墙时，当用户访问请求到达防火墙时，状态检测器状态检测器要抽取有关的数要抽取有

23、关的数据进行分析，结合网络配置和安全规定完成接纳拒绝身份认证报据进行分析，结合网络配置和安全规定完成接纳拒绝身份认证报警或加密等处理动作。防火墙根据警或加密等处理动作。防火墙根据IPIP包头的信息与安全策略来决包头的信息与安全策略来决定是否转发定是否转发IPIP包。通常的包过滤机制在接到每一个包。通常的包过滤机制在接到每一个IPIP包时，包时，IPIP包包是被单独匹配和检查的。是被单独匹配和检查的。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受

24、到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用10.2 防火墙类型防火墙类型-按体系结构按体系结构n双重宿主主机体系结构双重宿主主机体系结构经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用10.2 防火墙类型防火墙类型-按体系结构按体系结构n被屏蔽主机体系结构被屏蔽主机体系结构经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为

25、消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用10.2 防火墙类型防火墙类型-按体系结构按体系结构n被屏蔽子网体系结构被屏蔽子网体系结构经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用10.2 防火墙类型防火墙类型-按体系结构按体系结构n云火墙云火墙n云火墙”是目前最

26、新的一种防火墙形式，它的基础是“云计算”、“云安全”。思科公司把云安全和防火墙结合到了一起，提出了“云火墙”的概念n云火墙具有以下特点特点：n基于SensorBase动态更新策略n利用IPS（Intrusion Prevention System，入侵防御系统）模块建立信誉的关联协作n提供虚拟云端的移动安全接入讨论思考讨论思考（1）软件防火墙、硬件防火墙和芯片防火墙的主要区别是什么？）软件防火墙、硬件防火墙和芯片防火墙的主要区别是什么？（2）包过滤防火墙工作在）包过滤防火墙工作在OSI模型的哪一层？模型的哪一层？（3）应用代理防火墙为什么比包过滤防火墙的性能要好？）应用代理防火墙为什么比包过滤

27、防火墙的性能要好？（4）什么是）什么是DMZ（隔离区）？有什么作用？有什么作用？经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用10.3 防火墙的主要应用防火墙的主要应用n企业网络体系结构企业网络体系结构n边界网络：此网络通过路由器直接面向 Internet，应该以基本网络通信筛选的形式提供初始层面的保护。路由器通过外围防火墙将数据一直提供到外围网络。n外围网络：此网络通常称为 DMZ

28、或者边缘网络，它将外来用户与 Web 服务器或其他服务链接起来。然后，Web 服务器将通过内部防火墙链接到内部网络。n内部网络：内部网络则链接各个内部服务器（如 SQL Server）和内部用户。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用10.3.2 内部防火墙系统应用内部防火墙系统应用内部防火墙规则内部防火墙规则n默认情况下，阻止所有数据包。默认情况下，阻止所有数据包。n在外围

29、接口上，阻止看起来好像来自内部在外围接口上，阻止看起来好像来自内部 IP IP 地址的传入数据包，以阻止欺骗。地址的传入数据包，以阻止欺骗。n在内部接口上，阻止看起来好像来自外部在内部接口上，阻止看起来好像来自外部 IP IP 地址的传出数据包以限制内部攻击。地址的传出数据包以限制内部攻击。n允许从内部允许从内部 DNS DNS 服务器到服务器到 DNS DNS 解析程序堡垒主机的基于解析程序堡垒主机的基于 UDP UDP 的查询和响应。的查询和响应。n允许从允许从 DNS DNS 解析程序堡垒主机到内部解析程序堡垒主机到内部 DNS DNS 服务器的基于服务器的基于 UDP UDP 的查询和

30、响应。的查询和响应。n允许从内部允许从内部 DNS DNS 服务器到服务器到 DNS DNS 解析程序堡垒主机的基于解析程序堡垒主机的基于 TCP TCP 的查询，包括对这些查的查询，包括对这些查询的响应。询的响应。n允许从允许从 DNS DNS 解析程序堡垒主机到内部解析程序堡垒主机到内部 DNS DNS 服务器的基于服务器的基于 TCP TCP 的查询，包括对这些查的查询，包括对这些查询的响应。询的响应。n允许从内部允许从内部 SMTP SMTP 邮件服务器到出站邮件服务器到出站 SMTP SMTP堡垒主机的传出邮件。堡垒主机的传出邮件。n允许从入站允许从入站 SMTP SMTP 堡垒主机

31、到内部堡垒主机到内部 SMTP SMTP 邮件服务器的传入邮件。邮件服务器的传入邮件。n允许来自允许来自 VPN VPN 服务器上后端的通信到达内部主机并且允许响应返回到服务器上后端的通信到达内部主机并且允许响应返回到 VPN VPN 服务器。服务器。n允许验证通信到达内部网络上的允许验证通信到达内部网络上的 RADUIS RADUIS 服务器并且允许响应返回到服务器并且允许响应返回到 VPN VPN 服务器。服务器。n来自内部客户端的所有出站来自内部客户端的所有出站 Web Web 访问将通过代理服务器，并且响应将返回客户端。访问将通过代理服务器，并且响应将返回客户端。n在所有连接的网段之间

32、路由通信，而不使用网络地址转换。在所有连接的网段之间路由通信，而不使用网络地址转换。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用内部防火墙的可用性内部防火墙的可用性n单一防火墙单一防火墙n容错防火墙容错防火墙经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消

33、费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用外围防火墙系统设计外围防火墙系统设计n 外围防火墙外围防火墙的的目的目的是为保护企业基础结构不受来自是为保护企业基础结构不受来自 Internet Internet 的不安全网络流量威胁而设计的防火墙解决方案。的不安全网络流量威胁而设计的防火墙解决方案。外围防火墙部署位置如前图外围防火墙部署位置如前图10-1310-13所示，入侵者必须破坏该防所示，入侵者必须破坏该防火墙才能进一步进入内部网络，因此，它将成为明显的攻击目火墙才能进一步进入内部网络，因此，它将成为明显的攻击目标，特别容易受到外部攻击。标，特别容易

34、受到外部攻击。n 边界位置中使用的防火墙是通向外部世界的通道。在很多边界位置中使用的防火墙是通向外部世界的通道。在很多大型组织中，此处实现的防火墙类别通常是高端硬件防火墙或大型组织中，此处实现的防火墙类别通常是高端硬件防火墙或者服务器防火墙，但是某些组织使用的是路由器防火墙。者服务器防火墙，但是某些组织使用的是路由器防火墙。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用用智能防火墙阻

35、止攻击用智能防火墙阻止攻击nSYN FloodSYN Flood攻击原理攻击原理 SYN Flood SYN Flood攻击所利用的是攻击所利用的是TCPTCP协议存在的漏洞协议存在的漏洞三次握手三次握手n假设一个用户向服务器发送了假设一个用户向服务器发送了SYNSYN报文后突然死机或掉线，那报文后突然死机或掉线，那么服务器在发出么服务器在发出SYN+ACKSYN+ACK应答报文后是无法收到客户端的应答报文后是无法收到客户端的ACKACK报报文的文的(第三次握手无法完成第三次握手无法完成)，这种情况下服务器端一般会重试，这种情况下服务器端一般会重试(再次发送再次发送SYN+ACKSYN+ACK

36、给客户端给客户端)并等待一段时间后丢弃这个未完并等待一段时间后丢弃这个未完成的连接成的连接。n如果有大量的等待丢失的情况发生，服务器端将为了维护一个如果有大量的等待丢失的情况发生，服务器端将为了维护一个非常大的半连接请求而消耗非常多的资源非常大的半连接请求而消耗非常多的资源而导致系统崩溃，从而导致系统崩溃，从而拒绝正常用户的访问（而拒绝正常用户的访问（DoSDoS）。）。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消

37、费者购买商品的价款或接受服务的费用用智能防火墙阻止攻击用智能防火墙阻止攻击n应用代理型防火墙应用代理型防火墙的的防御方法防御方法是客户端要与防火墙建立是客户端要与防火墙建立TCPTCP连连接的三次握手过程中，因为它位于客户端与服务器端接的三次握手过程中，因为它位于客户端与服务器端(通常分通常分别位于外、内部网络别位于外、内部网络)中间，充当代理角色，这样客户端要与中间，充当代理角色，这样客户端要与服务器端建立一个服务器端建立一个TCPTCP连接，就必须先与防火墙进行三次连接，就必须先与防火墙进行三次TCPTCP握握手，当客户端和防火墙三次握手成功之后，再由防火墙与客户手，当客户端和防火墙三次握

38、手成功之后，再由防火墙与客户端进行三次端进行三次TCPTCP握手，完成后再进行一个握手，完成后再进行一个TCPTCP连接的三次握手。连接的三次握手。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用用智能防火墙阻止攻击用智能防火墙阻止攻击n包过滤型防火墙包过滤型防火墙是是工作于工作于IPIP层或者层或者IPIP层之下层之下，对于外来的数据，对于外来的数据报文，它只是起一个过滤的作用。当数

39、据包合法时，它就直接报文，它只是起一个过滤的作用。当数据包合法时，它就直接将其转发给服务器，起到的是转发作用。将其转发给服务器，起到的是转发作用。n在包过滤型防火墙中，客户端同服务器的三次握手直接进行，在包过滤型防火墙中，客户端同服务器的三次握手直接进行，并不需要通过防火墙来代理进行。并不需要通过防火墙来代理进行。包过滤型防火墙效率包过滤型防火墙效率要较网要较网关型防火墙高，允许数据流量大。但是这种防火墙如果配置不关型防火墙高，允许数据流量大。但是这种防火墙如果配置不当的话，会让攻击者绕过防火墙而直接攻击到服务器。而且允当的话，会让攻击者绕过防火墙而直接攻击到服务器。而且允许数据量大会更有利于

40、许数据量大会更有利于SYN FloodSYN Flood攻击。这种防火墙适合于大攻击。这种防火墙适合于大流量的服务器，但是需要设置妥当才能保证服务器具有较高的流量的服务器，但是需要设置妥当才能保证服务器具有较高的安全性和稳定性。安全性和稳定性。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用防御防御SYN Flood攻击的防火墙设置攻击的防火墙设置nSYNSYN网关网关：在这种方式中：

41、在这种方式中,防火墙收到客户端的防火墙收到客户端的SYNSYN包时包时,直接转发给服务器直接转发给服务器;防火墙收到服务器的防火墙收到服务器的SYN/ACKSYN/ACK包后，一方面将包后，一方面将SYN/ACKSYN/ACK包转发给客户端包转发给客户端,另一另一方面以客户端的名义给服务器回送一个方面以客户端的名义给服务器回送一个ACKACK包包,完成一个完整的完成一个完整的TCPTCP三次握手三次握手,让服务器端由半连接状态进入连接状态。当客户端真正的让服务器端由半连接状态进入连接状态。当客户端真正的ACKACK包到达时，有包到达时，有数据则转发给服务器，否则丢弃该包。由于服务器在连接状态要

42、比在半连接数据则转发给服务器，否则丢弃该包。由于服务器在连接状态要比在半连接状态能承受得更多，所以这种方法能有效地减轻对服务器的攻击。状态能承受得更多，所以这种方法能有效地减轻对服务器的攻击。n被动式被动式SYNSYN网关网关：在这种方式中，设置防火墙的：在这种方式中，设置防火墙的SYNSYN请求超时参数，让它远小请求超时参数，让它远小于服务器的超时期限。防火墙负责转发客户端发往服务器的于服务器的超时期限。防火墙负责转发客户端发往服务器的SYNSYN包，包括服包，包括服务器发往客户端的务器发往客户端的SYN/ACKSYN/ACK包和客户端发往服务器的包和客户端发往服务器的ACKACK包。这样，

43、如果客户包。这样，如果客户端在防火墙计时器到期时还没发送端在防火墙计时器到期时还没发送ACKACK包，防火墙将往服务器发送包，防火墙将往服务器发送RSTRST包，以包，以使服务器从队列中删去该半连接。由于防火墙的超时参数远小于服务器的超使服务器从队列中删去该半连接。由于防火墙的超时参数远小于服务器的超时期限，因此这样也能有效防止时期限，因此这样也能有效防止SYN FloodSYN Flood攻击。攻击。nSYNSYN中继中继：在这种方式中，防火墙在收到客户端的：在这种方式中，防火墙在收到客户端的SYNSYN包后，并不向服务器转包后，并不向服务器转发而是记录该状态信息，然后主动给客户端回送发而是

44、记录该状态信息，然后主动给客户端回送SYN/ACKSYN/ACK包。包。若若收到客户端收到客户端的的ACKACK包，表明是正常访问，由防火墙向服务器发送包，表明是正常访问，由防火墙向服务器发送SYNSYN包并完成三次握手。包并完成三次握手。这样由防火墙作为代理来实现客户端和服务器端的连接，可以将发往服务器这样由防火墙作为代理来实现客户端和服务器端的连接，可以将发往服务器的不可用连接完全过滤。的不可用连接完全过滤。讨论思考：讨论思考：（1）什么是个人防火墙？其主要作用是什么？）什么是个人防火墙？其主要作用是什么？（2）分析瑞星云安全中心有什么作用？）分析瑞星云安全中心有什么作用？（3）列举）列举

45、2个以上其他类型的防火墙，并说明其优缺点。个以上其他类型的防火墙，并说明其优缺点。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用10.4 防火墙安全应用实验防火墙安全应用实验n实验目的与要求实验目的与要求1 1理解防火墙的基本工作原理和基本概念。理解防火墙的基本工作原理和基本概念。2.2.掌握瑞星个人防火墙的使用和设置掌握瑞星个人防火墙的使用和设置n实验环境实验环境Microsoft

46、 Windows 7Microsoft Windows 7及以上版本及以上版本 、瑞星个人防火墙瑞星个人防火墙V16V16n实验内容和步骤实验内容和步骤1 1瑞星个人防火墙瑞星个人防火墙V16V16的下载、安装以及安装设置向导的下载、安装以及安装设置向导2 2瑞瑞星个人防火墙的使用和设置星个人防火墙的使用和设置3 3防范防范“震荡波震荡波”病毒病毒经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受

47、服务的费用n n启动防火墙启动防火墙启动防火墙启动防火墙10.4 防火墙安全应用实验防火墙安全应用实验经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用10.4 防火墙安全应用实验防火墙安全应用实验n n防火墙设置防火墙设置防火墙设置防火墙设置n n允许程序通过防火墙允许程序通过防火墙允许程序通过防火墙允许程序通过防火墙经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受

48、到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用10.4 防火墙安全应用实验防火墙安全应用实验n n防火墙打开防火墙打开防火墙打开防火墙打开/关闭关闭关闭关闭n n防火墙高级设置防火墙高级设置防火墙高级设置防火墙高级设置经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商

49、品的价款或接受服务的费用n n问题描述：问题描述：问题描述：问题描述：公司内的某台计算机中了公司内的某台计算机中了“震荡波震荡波”病毒，系统运病毒，系统运行缓慢并且不停的进行倒计时重启。在该计算机上配置天网个行缓慢并且不停的进行倒计时重启。在该计算机上配置天网个人防火墙，防范震荡波病毒，震荡波使用协议人防火墙，防范震荡波病毒，震荡波使用协议TCPTCP，监听端口，监听端口为为10681068和和55545554。增加自定义规则，禁止端口增加自定义规则，禁止端口10681068访问本机访问本机。“名称名称”为为“防范震荡波规则防范震荡波规则1”1”；“规则应用于：规则应用于：”设置为设置为 ；“

50、远程远程IPIP地址地址”设置为设置为 ；“本地本地IPIP地址地址”设置为设置为 ；“协议类型：协议类型：”设置为设置为 ；“本地端口本地端口”设置为设置为“从从 到到 ”；“当满足上面条件时当满足上面条件时”选择选择“”。10.4 防火墙安全应用实验防火墙安全应用实验经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用增加自定义规则，禁止端口增加自定义规则，禁止端口55545554访问