网络系统安全网络安全防护ppt课件.pptx

《网络系统安全网络安全防护ppt课件.pptx》由会员分享，可在线阅读，更多相关《网络系统安全网络安全防护ppt课件.pptx（116页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络系统安全网络系统安全网络安全防护网络安全防护南京师范大学计算机科学与技术学院南京师范大学计算机科学与技术学院南京师范大学计算机科学与技术学院南京师范大学计算机科学与技术学院陈陈 波波在日常生活中，随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费，也许你认为浪费这一点点算不了什么2v本讲我们学习了解网络安全防护的主要设备本讲我们学习了解网络安全防护的主要设备本讲我们学习了解网络安全防护的主要设备本讲我们学习了解网络安全防护的主要设备v在前面课程中我们学习了信息安全防护的在前面课程中我们学习了信息安全防护的在前面课程中我们学习了信息安全防护的在前面课程中我们学习了信息安全防护的PDRR

2、PDRRPDRRPDRR模模模模型，就是安全防护分为防护、检测、响应和恢复四型，就是安全防护分为防护、检测、响应和恢复四型，就是安全防护分为防护、检测、响应和恢复四型，就是安全防护分为防护、检测、响应和恢复四个主要环节，这一模型体现了安全防护的整体性和个主要环节，这一模型体现了安全防护的整体性和个主要环节，这一模型体现了安全防护的整体性和个主要环节，这一模型体现了安全防护的整体性和分层性原则。分层性原则。分层性原则。分层性原则。v这一这一这一这一讲我们主要介绍网络安全防护中的边界防护和讲我们主要介绍网络安全防护中的边界防护和讲我们主要介绍网络安全防护中的边界防护和讲我们主要介绍网络安全防护中的

3、边界防护和安全检测两个主要方法。安全检测两个主要方法。安全检测两个主要方法。安全检测两个主要方法。v首先我们看一看生活当中火车站、汽车站或者地铁首先我们看一看生活当中火车站、汽车站或者地铁首先我们看一看生活当中火车站、汽车站或者地铁首先我们看一看生活当中火车站、汽车站或者地铁是如何进行安全防护的。是如何进行安全防护的。是如何进行安全防护的。是如何进行安全防护的。在日常生活中，随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费，也许你认为浪费这一点点算不了什么3v例如，在火车站的入口，工作人员首先核对我们的例如，在火车站的入口，工作人员首先核对我们的例如，在火车站的入口，工作人员首先核对我

4、们的例如，在火车站的入口，工作人员首先核对我们的身份证和火车票，那些票证不符的人不能进入车站身份证和火车票，那些票证不符的人不能进入车站身份证和火车票，那些票证不符的人不能进入车站身份证和火车票，那些票证不符的人不能进入车站v接着，在火车站门内，工作人员会对我们进行安检，接着，在火车站门内，工作人员会对我们进行安检，接着，在火车站门内，工作人员会对我们进行安检，接着，在火车站门内，工作人员会对我们进行安检，用仪器扫描我们的身体，要求随身携带的包裹通过用仪器扫描我们的身体，要求随身携带的包裹通过用仪器扫描我们的身体，要求随身携带的包裹通过用仪器扫描我们的身体，要求随身携带的包裹通过安检仪器。这样

5、那些携带危险品的人被禁止进入站安检仪器。这样那些携带危险品的人被禁止进入站安检仪器。这样那些携带危险品的人被禁止进入站安检仪器。这样那些携带危险品的人被禁止进入站内内内内v进入车站大厅以后，在上火车之前还会检票，那些进入车站大厅以后，在上火车之前还会检票，那些进入车站大厅以后，在上火车之前还会检票，那些进入车站大厅以后，在上火车之前还会检票，那些票有问题的人又被拎出来被禁止上车票有问题的人又被拎出来被禁止上车票有问题的人又被拎出来被禁止上车票有问题的人又被拎出来被禁止上车v经过这样在边界（站内和站外）以及内部不同安全经过这样在边界（站内和站外）以及内部不同安全经过这样在边界（站内和站外）以及内

6、部不同安全经过这样在边界（站内和站外）以及内部不同安全域之间（候车大厅和站台）的安全检查，可以很大域之间（候车大厅和站台）的安全检查，可以很大域之间（候车大厅和站台）的安全检查，可以很大域之间（候车大厅和站台）的安全检查，可以很大程度上确保我们乘车的安全。程度上确保我们乘车的安全。程度上确保我们乘车的安全。程度上确保我们乘车的安全。在日常生活中，随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费，也许你认为浪费这一点点算不了什么4 4安全防护安全防护在日常生活中，随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费，也许你认为浪费这一点点算不了什么5 5v除了安全检查措施以外，大家可

7、能还主要到，在火除了安全检查措施以外，大家可能还主要到，在火除了安全检查措施以外，大家可能还主要到，在火除了安全检查措施以外，大家可能还主要到，在火车站的外部、大厅内部、站台等很多区域，还设置车站的外部、大厅内部、站台等很多区域，还设置车站的外部、大厅内部、站台等很多区域，还设置车站的外部、大厅内部、站台等很多区域，还设置了监控探头。了监控探头。了监控探头。了监控探头。v安保人安保人安保人安保人员通过监视监控探头可以及时发现出现的安员通过监视监控探头可以及时发现出现的安员通过监视监控探头可以及时发现出现的安员通过监视监控探头可以及时发现出现的安全问题和各种突发情况。全问题和各种突发情况。全问题

8、和各种突发情况。全问题和各种突发情况。v这些监控措施又极大地提高了车站的安全和服务能这些监控措施又极大地提高了车站的安全和服务能这些监控措施又极大地提高了车站的安全和服务能这些监控措施又极大地提高了车站的安全和服务能力。力。力。力。在日常生活中，随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费，也许你认为浪费这一点点算不了什么6 6安全检测安全检测在日常生活中，随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费，也许你认为浪费这一点点算不了什么7 7v对应到我们这一讲的研究对象：网络，实际上也可对应到我们这一讲的研究对象：网络，实际上也可对应到我们这一讲的研究对象：网络，实际上也

9、可对应到我们这一讲的研究对象：网络，实际上也可以从边界防护和安全监测两个主要方面着手。以从边界防护和安全监测两个主要方面着手。以从边界防护和安全监测两个主要方面着手。以从边界防护和安全监测两个主要方面着手。在日常生活中，随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费，也许你认为浪费这一点点算不了什么本讲要点：本讲要点：8v1.1.1.1.网络安全防护：网络安全防护：网络安全防护：网络安全防护：防防防防火墙火墙火墙火墙v2.2.2.2.网络安全检测：入侵网络安全检测：入侵网络安全检测：入侵网络安全检测：入侵检检检检测系统测系统测系统测系统v3.3.3.3.防护和检测技术的发展与融合防护

10、和检测技术的发展与融合防护和检测技术的发展与融合防护和检测技术的发展与融合v4.4.4.4.防护技术应用实例：防护技术应用实例：防护技术应用实例：防护技术应用实例：家用无线路由安全设置家用无线路由安全设置家用无线路由安全设置家用无线路由安全设置 手机手机手机手机VPNVPNVPNVPN设置设置设置设置在日常生活中，随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费，也许你认为浪费这一点点算不了什么1.1.网络网络安全防护：防火墙安全防护：防火墙9 9v（1 1 1 1）防火墙）防火墙）防火墙）防火墙的概念的概念的概念的概念v防火墙，顾名思义，是指阻隔火的蔓延的，人们在防火墙，顾名思义，是

11、指阻隔火的蔓延的，人们在防火墙，顾名思义，是指阻隔火的蔓延的，人们在防火墙，顾名思义，是指阻隔火的蔓延的，人们在需要防火的一边与外部边界之间修筑的一堵墙，以需要防火的一边与外部边界之间修筑的一堵墙，以需要防火的一边与外部边界之间修筑的一堵墙，以需要防火的一边与外部边界之间修筑的一堵墙，以防止在外部火灾发生时火蔓延进受保护的一边。防止在外部火灾发生时火蔓延进受保护的一边。防止在外部火灾发生时火蔓延进受保护的一边。防止在外部火灾发生时火蔓延进受保护的一边。在日常生活中，随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费，也许你认为浪费这一点点算不了什么1.1.网络安全防护：网络安全防护：防火

12、墙防火墙10v（1 1 1 1）防火墙）防火墙）防火墙）防火墙的概念的概念的概念的概念v国家标准国家标准国家标准国家标准GB/T GB/T GB/T GB/T 20281-201520281-201520281-201520281-2015信息信息信息信息安全技术安全技术安全技术安全技术 防火墙防火墙防火墙防火墙技术要求和测试评价方法技术要求和测试评价方法技术要求和测试评价方法技术要求和测试评价方法给出的防火墙定义给出的防火墙定义给出的防火墙定义给出的防火墙定义是：是：是：是：v部署于不同安全域之间，具备网络层访问控制及过部署于不同安全域之间，具备网络层访问控制及过部署于不同安全域之间，具备网

13、络层访问控制及过部署于不同安全域之间，具备网络层访问控制及过滤功能，并具备应用层协议分析、控制及内容检测滤功能，并具备应用层协议分析、控制及内容检测滤功能，并具备应用层协议分析、控制及内容检测滤功能，并具备应用层协议分析、控制及内容检测等功能，能够适用于等功能，能够适用于等功能，能够适用于等功能，能够适用于IPv4IPv4IPv4IPv4、IPv6IPv6IPv6IPv6等不同网络环境的等不同网络环境的等不同网络环境的等不同网络环境的安全网关产品。安全网关产品。安全网关产品。安全网关产品。在日常生活中，随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费，也许你认为浪费这一点点算不了什么1

14、.1.网络安全防护：网络安全防护：防火墙防火墙11v（1 1 1 1）防火墙）防火墙）防火墙）防火墙的概念的概念的概念的概念v部署：部署：部署：部署：是在不同安全控制域之间建立的安全控制点是在不同安全控制域之间建立的安全控制点是在不同安全控制域之间建立的安全控制点是在不同安全控制域之间建立的安全控制点v工作原理：工作原理：工作原理：工作原理：根据预先制定的访问控制策略和安全防根据预先制定的访问控制策略和安全防根据预先制定的访问控制策略和安全防根据预先制定的访问控制策略和安全防护策略，解析和过滤流经防火墙的数据流，实现向护策略，解析和过滤流经防火墙的数据流，实现向护策略，解析和过滤流经防火墙的数

15、据流，实现向护策略，解析和过滤流经防火墙的数据流，实现向被保护的安全域提供访问控制、审计等服务请求。被保护的安全域提供访问控制、审计等服务请求。被保护的安全域提供访问控制、审计等服务请求。被保护的安全域提供访问控制、审计等服务请求。v保护的资产：保护的资产：保护的资产：保护的资产：是安全控制点内部的网络服务和资源是安全控制点内部的网络服务和资源是安全控制点内部的网络服务和资源是安全控制点内部的网络服务和资源等、防火墙本身及其内部的重要数据。等、防火墙本身及其内部的重要数据。等、防火墙本身及其内部的重要数据。等、防火墙本身及其内部的重要数据。在日常生活中，随处都可以看到浪费粮食的现象。也许你并未

16、意识到自己在浪费，也许你认为浪费这一点点算不了什么1.1.网络安全防护：网络安全防护：防火墙防火墙12v（1 1 1 1）防火墙）防火墙）防火墙）防火墙的概念的概念的概念的概念v防火墙可以是软件、硬件或软硬件的组合。防火墙可以是软件、硬件或软硬件的组合。防火墙可以是软件、硬件或软硬件的组合。防火墙可以是软件、硬件或软硬件的组合。v软件防火墙就像其它的软件产品一样需要在计算机软件防火墙就像其它的软件产品一样需要在计算机软件防火墙就像其它的软件产品一样需要在计算机软件防火墙就像其它的软件产品一样需要在计算机上安装并做好配置才可以发挥作用，例如上安装并做好配置才可以发挥作用，例如上安装并做好配置才可

17、以发挥作用，例如上安装并做好配置才可以发挥作用，例如WindowsWindowsWindowsWindows系统自带的软件防火墙和著名安全公司系统自带的软件防火墙和著名安全公司系统自带的软件防火墙和著名安全公司系统自带的软件防火墙和著名安全公司Check PointCheck PointCheck PointCheck Point推出的推出的推出的推出的ZoneAlarm Pro ZoneAlarm Pro ZoneAlarm Pro ZoneAlarm Pro 软件防火墙软件防火墙软件防火墙软件防火墙。在日常生活中，随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费，也许你认为浪费这一

18、点点算不了什么1.1.网络安全防护：网络安全防护：防火墙防火墙13v如图所示，为如图所示，为如图所示，为如图所示，为WindowsWindowsWindowsWindows中自带的防火墙设置界面。中自带的防火墙设置界面。中自带的防火墙设置界面。中自带的防火墙设置界面。v如图所示，为如图所示，为如图所示，为如图所示，为ZoneAlarm ProZoneAlarm ProZoneAlarm ProZoneAlarm Pro防火墙软件控制界防火墙软件控制界防火墙软件控制界防火墙软件控制界面。面。面。面。v软件软件软件软件形式的防火墙具有安装灵活，便于升级扩展形式的防火墙具有安装灵活，便于升级扩展形式

19、的防火墙具有安装灵活，便于升级扩展形式的防火墙具有安装灵活，便于升级扩展等优点，缺点是安全性受制于其支撑操作系统平等优点，缺点是安全性受制于其支撑操作系统平等优点，缺点是安全性受制于其支撑操作系统平等优点，缺点是安全性受制于其支撑操作系统平台，性能不高台，性能不高台，性能不高台，性能不高。在日常生活中，随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费，也许你认为浪费这一点点算不了什么1.1.网络安全防护：网络安全防护：防火墙防火墙14 4v如图所示，为如图所示，为如图所示，为如图所示，为我国华为公司的硬件防火墙我国华为公司的硬件防火墙我国华为公司的硬件防火墙我国华为公司的硬件防火墙产品

20、。产品。产品。产品。v目前目前目前目前市场上大多数防火墙是硬件防火墙。这类防火市场上大多数防火墙是硬件防火墙。这类防火市场上大多数防火墙是硬件防火墙。这类防火市场上大多数防火墙是硬件防火墙。这类防火墙一般基于墙一般基于墙一般基于墙一般基于PCPCPCPC架构，也就是说这类防火墙和普通架构，也就是说这类防火墙和普通架构，也就是说这类防火墙和普通架构，也就是说这类防火墙和普通PCPCPCPC类似类似类似类似。v还有还有还有还有基于特定用途集成电路（基于特定用途集成电路（基于特定用途集成电路（基于特定用途集成电路（Application Specific Application Specific A

21、pplication Specific Application Specific Integrated CircuitIntegrated CircuitIntegrated CircuitIntegrated Circuit，ASICASICASICASIC）、基于网络处理器）、基于网络处理器）、基于网络处理器）、基于网络处理器（Network ProcessorNetwork ProcessorNetwork ProcessorNetwork Processor，NPNPNPNP）以及基于现场可编程）以及基于现场可编程）以及基于现场可编程）以及基于现场可编程门阵列（门阵列（门阵列（门阵列（

22、Field-Programmable Gate ArrayField-Programmable Gate ArrayField-Programmable Gate ArrayField-Programmable Gate Array，FPGAFPGAFPGAFPGA）的防火墙。这类防火墙采用专用操作系统，）的防火墙。这类防火墙采用专用操作系统，）的防火墙。这类防火墙采用专用操作系统，）的防火墙。这类防火墙采用专用操作系统，因此防火墙本身的漏洞比较少，而且由于基于专门因此防火墙本身的漏洞比较少，而且由于基于专门因此防火墙本身的漏洞比较少，而且由于基于专门因此防火墙本身的漏洞比较少，而且由于基于专

23、门的硬件平台，因而处理能力强、性能高。的硬件平台，因而处理能力强、性能高。的硬件平台，因而处理能力强、性能高。的硬件平台，因而处理能力强、性能高。在日常生活中，随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费，也许你认为浪费这一点点算不了什么1.1.网络安全防护：网络安全防护：防火墙防火墙15 5v（2 2 2 2）防火墙）防火墙）防火墙）防火墙的工作原理的工作原理的工作原理的工作原理v防火墙总体来讲可分为防火墙总体来讲可分为防火墙总体来讲可分为防火墙总体来讲可分为“包过滤型包过滤型包过滤型包过滤型”和和和和“应用代理应用代理应用代理应用代理型型型型”两大类两大类两大类两大类。v包包包

24、包过滤防火墙工作在网络层和传输层，它根据通过过滤防火墙工作在网络层和传输层，它根据通过过滤防火墙工作在网络层和传输层，它根据通过过滤防火墙工作在网络层和传输层，它根据通过防火墙的每个数据包的防火墙的每个数据包的防火墙的每个数据包的防火墙的每个数据包的源源源源IPIPIPIP地址、目标地址、目标地址、目标地址、目标IPIPIPIP地址、端口地址、端口地址、端口地址、端口号、协议类型号、协议类型号、协议类型号、协议类型等信息来决定是将让该数据包通过还等信息来决定是将让该数据包通过还等信息来决定是将让该数据包通过还等信息来决定是将让该数据包通过还是丢弃，从而达到对进出防火墙的数据进行检测和是丢弃，从

25、而达到对进出防火墙的数据进行检测和是丢弃，从而达到对进出防火墙的数据进行检测和是丢弃，从而达到对进出防火墙的数据进行检测和限制的目的限制的目的限制的目的限制的目的。在日常生活中，随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费，也许你认为浪费这一点点算不了什么1.1.网络安全防护：网络安全防护：防火墙防火墙16 6v（2 2 2 2）防火墙）防火墙）防火墙）防火墙的工作原理的工作原理的工作原理的工作原理v包包包包过滤方式是一种过滤方式是一种过滤方式是一种过滤方式是一种通用通用通用通用、廉价廉价廉价廉价和和和和有效有效有效有效的安全手段的安全手段的安全手段的安全手段。v之所以之所以之所以

26、之所以通用通用通用通用，是因为它不是针对各个具体的网络服，是因为它不是针对各个具体的网络服，是因为它不是针对各个具体的网络服，是因为它不是针对各个具体的网络服务采取特殊的处理方式，而是适用于所有网络服务务采取特殊的处理方式，而是适用于所有网络服务务采取特殊的处理方式，而是适用于所有网络服务务采取特殊的处理方式，而是适用于所有网络服务；v之所以之所以之所以之所以廉价廉价廉价廉价，是因为大多数路由器都提供数据包过，是因为大多数路由器都提供数据包过，是因为大多数路由器都提供数据包过，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的滤功能，所以这类防火墙多数是由路由器集成的滤

27、功能，所以这类防火墙多数是由路由器集成的滤功能，所以这类防火墙多数是由路由器集成的；v之所以之所以之所以之所以有效有效有效有效，是因为它能很大程度上满足了绝大多，是因为它能很大程度上满足了绝大多，是因为它能很大程度上满足了绝大多，是因为它能很大程度上满足了绝大多数企业安全要求。数企业安全要求。数企业安全要求。数企业安全要求。在日常生活中，随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费，也许你认为浪费这一点点算不了什么1.1.网络安全防护：网络安全防护：防火墙防火墙17 7v（2 2 2 2）防火墙）防火墙）防火墙）防火墙的工作原理的工作原理的工作原理的工作原理v包过滤技术在发展中出现

28、了两种不同版本，第一包过滤技术在发展中出现了两种不同版本，第一包过滤技术在发展中出现了两种不同版本，第一包过滤技术在发展中出现了两种不同版本，第一代称为静态包过滤，第二代称为动态包过滤代称为静态包过滤，第二代称为动态包过滤代称为静态包过滤，第二代称为动态包过滤代称为静态包过滤，第二代称为动态包过滤。在日常生活中，随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费，也许你认为浪费这一点点算不了什么1.1.网络安全防护：网络安全防护：防火墙防火墙18v1 1 1 1）静态包过滤技术）静态包过滤技术）静态包过滤技术）静态包过滤技术。v这这这这类防火墙几乎是与路由器同时产生的，它根据定类防火墙几

29、乎是与路由器同时产生的，它根据定类防火墙几乎是与路由器同时产生的，它根据定类防火墙几乎是与路由器同时产生的，它根据定义好的过滤规则审查每个数据包，以便确定其是否义好的过滤规则审查每个数据包，以便确定其是否义好的过滤规则审查每个数据包，以便确定其是否义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配与某一条包过滤规则匹配与某一条包过滤规则匹配与某一条包过滤规则匹配。v过滤过滤过滤过滤规则基于数据包规则基于数据包规则基于数据包规则基于数据包的包头的包头的包头的包头信息进行制订信息进行制订信息进行制订信息进行制订。v这些这些这些这些规则常称为数据包过滤访问控制列表（规则常称为数据包过

30、滤访问控制列表（规则常称为数据包过滤访问控制列表（规则常称为数据包过滤访问控制列表（ACLACLACLACL）。v各个各个各个各个厂商的防火墙产品都有自己的语法用于创建规厂商的防火墙产品都有自己的语法用于创建规厂商的防火墙产品都有自己的语法用于创建规厂商的防火墙产品都有自己的语法用于创建规则。则。则。则。在日常生活中，随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费，也许你认为浪费这一点点算不了什么1.1.网络安全防护：网络安全防护：防火墙防火墙22v访问控制列表的配置有两种方式：访问控制列表的配置有两种方式：访问控制列表的配置有两种方式：访问控制列表的配置有两种方式：v严严严严策略。

31、接受受信任的策略。接受受信任的策略。接受受信任的策略。接受受信任的IPIPIPIP包，拒绝其他所有包，拒绝其他所有包，拒绝其他所有包，拒绝其他所有IPIPIPIP包；包；包；包；v宽宽宽宽策略。拒绝不受信任的策略。拒绝不受信任的策略。拒绝不受信任的策略。拒绝不受信任的IPIPIPIP包，接受其他所有包，接受其他所有包，接受其他所有包，接受其他所有IPIPIPIP包。包。包。包。v显然，前者相对保守，但是相对安全。后者仅可以显然，前者相对保守，但是相对安全。后者仅可以显然，前者相对保守，但是相对安全。后者仅可以显然，前者相对保守，但是相对安全。后者仅可以拒绝有限的可能造成安全隐患的拒绝有限的可能

32、造成安全隐患的拒绝有限的可能造成安全隐患的拒绝有限的可能造成安全隐患的IPIPIPIP包，网络攻击者包，网络攻击者包，网络攻击者包，网络攻击者可以改变可以改变可以改变可以改变IPIPIPIP地址轻松绕过防火墙，导致包过滤技术地址轻松绕过防火墙，导致包过滤技术地址轻松绕过防火墙，导致包过滤技术地址轻松绕过防火墙，导致包过滤技术在实际应用中失效。所以，在实际应用中一般都应在实际应用中失效。所以，在实际应用中一般都应在实际应用中失效。所以，在实际应用中一般都应在实际应用中失效。所以，在实际应用中一般都应采用严策略来设置防火墙规则。采用严策略来设置防火墙规则。采用严策略来设置防火墙规则。采用严策略来设

33、置防火墙规则。表中所表中所表中所表中所示即应用了示即应用了示即应用了示即应用了严策略。严策略。严策略。严策略。在日常生活中，随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费，也许你认为浪费这一点点算不了什么1.1.网络安全防护：网络安全防护：防火墙防火墙26 6v（2 2 2 2）防火墙）防火墙）防火墙）防火墙的工作原理的工作原理的工作原理的工作原理v2 2 2 2）状态包过滤技术）状态包过滤技术）状态包过滤技术）状态包过滤技术。v跟跟跟跟传统包过滤只有一张过滤规则表不同，状态包过传统包过滤只有一张过滤规则表不同，状态包过传统包过滤只有一张过滤规则表不同，状态包过传统包过滤只有一张过滤

34、规则表不同，状态包过滤同时维护过滤规则表和状态表。过滤规则表是静滤同时维护过滤规则表和状态表。过滤规则表是静滤同时维护过滤规则表和状态表。过滤规则表是静滤同时维护过滤规则表和状态表。过滤规则表是静态的，而状态表中保留着当前活动的合法连接，它态的，而状态表中保留着当前活动的合法连接，它态的，而状态表中保留着当前活动的合法连接，它态的，而状态表中保留着当前活动的合法连接，它的内容是动态变化的，随着数据包来回经过设备而的内容是动态变化的，随着数据包来回经过设备而的内容是动态变化的，随着数据包来回经过设备而的内容是动态变化的，随着数据包来回经过设备而实时更新。当新的连接通过验证，在状态表中则添实时更新

35、。当新的连接通过验证，在状态表中则添实时更新。当新的连接通过验证，在状态表中则添实时更新。当新的连接通过验证，在状态表中则添加该连接条目，而当一条连接完成它的通信任务后，加该连接条目，而当一条连接完成它的通信任务后，加该连接条目，而当一条连接完成它的通信任务后，加该连接条目，而当一条连接完成它的通信任务后，状态表中的该条目将自动删除。状态表中的该条目将自动删除。状态表中的该条目将自动删除。状态表中的该条目将自动删除。在日常生活中，随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费，也许你认为浪费这一点点算不了什么1.1.网络安全防护：网络安全防护：防火墙防火墙27 7v（2 2 2 2）

36、防火墙）防火墙）防火墙）防火墙的工作原理的工作原理的工作原理的工作原理v2 2 2 2）状态包过滤）状态包过滤）状态包过滤）状态包过滤技术的局限。技术的局限。技术的局限。技术的局限。v基于网络层和传输层实现的包过滤防火墙难以实现基于网络层和传输层实现的包过滤防火墙难以实现基于网络层和传输层实现的包过滤防火墙难以实现基于网络层和传输层实现的包过滤防火墙难以实现对应用层服务的过滤。对应用层服务的过滤。对应用层服务的过滤。对应用层服务的过滤。对于包过滤防火墙而言，数对于包过滤防火墙而言，数对于包过滤防火墙而言，数对于包过滤防火墙而言，数据包来自远端主机。由于防火墙不是数据包的最终据包来自远端主机。由

37、于防火墙不是数据包的最终据包来自远端主机。由于防火墙不是数据包的最终据包来自远端主机。由于防火墙不是数据包的最终接收者，仅仅能够对数据包网络层和传输层信息头接收者，仅仅能够对数据包网络层和传输层信息头接收者，仅仅能够对数据包网络层和传输层信息头接收者，仅仅能够对数据包网络层和传输层信息头等控制信息进行分析，所以难以了解数据包是由哪等控制信息进行分析，所以难以了解数据包是由哪等控制信息进行分析，所以难以了解数据包是由哪等控制信息进行分析，所以难以了解数据包是由哪个应用程序发起。目前的网络攻击和木马程序往往个应用程序发起。目前的网络攻击和木马程序往往个应用程序发起。目前的网络攻击和木马程序往往个应

38、用程序发起。目前的网络攻击和木马程序往往伪装成常用的应用层服务的数据包逃避包过滤防火伪装成常用的应用层服务的数据包逃避包过滤防火伪装成常用的应用层服务的数据包逃避包过滤防火伪装成常用的应用层服务的数据包逃避包过滤防火墙的检查，这也正是包过滤技术难以解决的问题之墙的检查，这也正是包过滤技术难以解决的问题之墙的检查，这也正是包过滤技术难以解决的问题之墙的检查，这也正是包过滤技术难以解决的问题之一一一一。在日常生活中，随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费，也许你认为浪费这一点点算不了什么1.1.网络安全防护：网络安全防护：防火墙防火墙28v（2 2 2 2）防火墙）防火墙）防火墙

39、）防火墙的工作原理的工作原理的工作原理的工作原理v2 2 2 2）状态包过滤）状态包过滤）状态包过滤）状态包过滤技术的局限。技术的局限。技术的局限。技术的局限。v访问访问访问访问控制列表的配置和维护困难。控制列表的配置和维护困难。控制列表的配置和维护困难。控制列表的配置和维护困难。包过滤技术的实包过滤技术的实包过滤技术的实包过滤技术的实现依赖于详细和正确的访问控制列表。在实际应用现依赖于详细和正确的访问控制列表。在实际应用现依赖于详细和正确的访问控制列表。在实际应用现依赖于详细和正确的访问控制列表。在实际应用中，对于一个大型的网络，由于可信任的中，对于一个大型的网络，由于可信任的中，对于一个大

40、型的网络，由于可信任的中，对于一个大型的网络，由于可信任的IPIPIPIP数目巨数目巨数目巨数目巨大而且经常变动，而防火墙的安全性能与访问控制大而且经常变动，而防火墙的安全性能与访问控制大而且经常变动，而防火墙的安全性能与访问控制大而且经常变动，而防火墙的安全性能与访问控制列表中的配置规则出现的先后顺序有关，网络安全列表中的配置规则出现的先后顺序有关，网络安全列表中的配置规则出现的先后顺序有关，网络安全列表中的配置规则出现的先后顺序有关，网络安全策略维护将变得非常繁杂。而且，基于策略维护将变得非常繁杂。而且，基于策略维护将变得非常繁杂。而且，基于策略维护将变得非常繁杂。而且，基于IPIPIPI

41、P地址的包地址的包地址的包地址的包过滤技术，即使采用严策略的防火墙规则也无法避过滤技术，即使采用严策略的防火墙规则也无法避过滤技术，即使采用严策略的防火墙规则也无法避过滤技术，即使采用严策略的防火墙规则也无法避免免免免IPIPIPIP地址欺骗的攻击地址欺骗的攻击地址欺骗的攻击地址欺骗的攻击。在日常生活中，随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费，也许你认为浪费这一点点算不了什么1.1.网络安全防护：网络安全防护：防火墙防火墙29 9v（2 2 2 2）防火墙）防火墙）防火墙）防火墙的工作原理的工作原理的工作原理的工作原理v2 2 2 2）状态包过滤）状态包过滤）状态包过滤）状态

42、包过滤技术的局限。技术的局限。技术的局限。技术的局限。v对对对对安全管理人员的要求高安全管理人员的要求高安全管理人员的要求高安全管理人员的要求高，在建立安全规则时，必，在建立安全规则时，必，在建立安全规则时，必，在建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深须对协议本身及其在不同应用程序中的作用有较深须对协议本身及其在不同应用程序中的作用有较深须对协议本身及其在不同应用程序中的作用有较深入的了解。入的了解。入的了解。入的了解。v包包包包过滤防火墙难以详细了解主机之间的会话关系。过滤防火墙难以详细了解主机之间的会话关系。过滤防火墙难以详细了解主机之间的会话关系。过滤防火墙难以详

43、细了解主机之间的会话关系。包过滤防火墙处于网络边界并根据流经防火墙的数包过滤防火墙处于网络边界并根据流经防火墙的数包过滤防火墙处于网络边界并根据流经防火墙的数包过滤防火墙处于网络边界并根据流经防火墙的数据包进行网络会话分析，生成会话连接状态表。由据包进行网络会话分析，生成会话连接状态表。由据包进行网络会话分析，生成会话连接状态表。由据包进行网络会话分析，生成会话连接状态表。由于包过滤防火墙并非会话连接的发起者，所以对网于包过滤防火墙并非会话连接的发起者，所以对网于包过滤防火墙并非会话连接的发起者，所以对网于包过滤防火墙并非会话连接的发起者，所以对网络会话连接的上下文关系难以详细了解，容易受到络

44、会话连接的上下文关系难以详细了解，容易受到络会话连接的上下文关系难以详细了解，容易受到络会话连接的上下文关系难以详细了解，容易受到欺骗欺骗欺骗欺骗。在日常生活中，随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费，也许你认为浪费这一点点算不了什么1.1.网络安全防护：网络安全防护：防火墙防火墙30v（2 2 2 2）防火墙）防火墙）防火墙）防火墙的工作原理的工作原理的工作原理的工作原理v2 2 2 2）状态包过滤）状态包过滤）状态包过滤）状态包过滤技术的局限。技术的局限。技术的局限。技术的局限。v大多数大多数大多数大多数过滤器中缺少审计和报警机制，只能依据包过滤器中缺少审计和报警机制，只

45、能依据包过滤器中缺少审计和报警机制，只能依据包过滤器中缺少审计和报警机制，只能依据包头信息，而不能对用户身份进行验证，头信息，而不能对用户身份进行验证，头信息，而不能对用户身份进行验证，头信息，而不能对用户身份进行验证，很容易遭受很容易遭受很容易遭受很容易遭受欺骗型攻击。欺骗型攻击。欺骗型攻击。欺骗型攻击。在日常生活中，随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费，也许你认为浪费这一点点算不了什么1.1.网络安全防护：网络安全防护：防火墙防火墙31v（2 2 2 2）防火墙）防火墙）防火墙）防火墙的工作原理的工作原理的工作原理的工作原理v3 3 3 3）应用应用应用应用代理技术代理

46、技术代理技术代理技术v采用应用代理技术的防火墙工作在应用层。其特点采用应用代理技术的防火墙工作在应用层。其特点采用应用代理技术的防火墙工作在应用层。其特点采用应用代理技术的防火墙工作在应用层。其特点是完全是完全是完全是完全“阻隔阻隔阻隔阻隔”了网络通信流，通过对每种应用服了网络通信流，通过对每种应用服了网络通信流，通过对每种应用服了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通务编制专门的代理程序，实现监视和控制应用层通务编制专门的代理程序，实现监视和控制应用层通务编制专门的代理程序，实现监视和控制应用层通信流的作用。信流的作用。信流的作用。信流的作用。v应用代理技术

47、的发展也经历了两个版本，第一代的应用代理技术的发展也经历了两个版本，第一代的应用代理技术的发展也经历了两个版本，第一代的应用代理技术的发展也经历了两个版本，第一代的应用层网关（应用层网关（应用层网关（应用层网关（Application GatewayApplication GatewayApplication GatewayApplication Gateway）技术，第二代）技术，第二代）技术，第二代）技术，第二代的自适应代理（的自适应代理（的自适应代理（的自适应代理（Adaptive ProxyAdaptive ProxyAdaptive ProxyAdaptive Proxy）技术。）技

48、术。）技术。）技术。在日常生活中，随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费，也许你认为浪费这一点点算不了什么1.1.网络安全防护：网络安全防护：防火墙防火墙32v（2 2 2 2）防火墙）防火墙）防火墙）防火墙的工作原理的工作原理的工作原理的工作原理v3 3 3 3）应用应用应用应用代理技术代理技术代理技术代理技术v应用层应用层应用层应用层网关可分网关可分网关可分网关可分3 3 3 3种类型种类型种类型种类型：双双双双宿主主机网关宿主主机网关宿主主机网关宿主主机网关；屏蔽屏蔽屏蔽屏蔽主机网关主机网关主机网关主机网关；屏蔽屏蔽屏蔽屏蔽子网网关子网网关子网网关子网网关。这这这这三种

49、网关都要求有一台主机，通常称为三种网关都要求有一台主机，通常称为三种网关都要求有一台主机，通常称为三种网关都要求有一台主机，通常称为“堡垒堡垒堡垒堡垒主机主机主机主机”（Bastion HostBastion HostBastion HostBastion Host），它起着防火墙的作用，），它起着防火墙的作用，），它起着防火墙的作用，），它起着防火墙的作用，即隔离内外网的作用。即隔离内外网的作用。即隔离内外网的作用。即隔离内外网的作用。在日常生活中，随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费，也许你认为浪费这一点点算不了什么1.1.网络安全防护：网络安全防护：防火墙防火墙33v

50、（2 2 2 2）防火墙）防火墙）防火墙）防火墙的工作原理的工作原理的工作原理的工作原理v3 3 3 3）应用应用应用应用代理技术：双代理技术：双代理技术：双代理技术：双宿主主机宿主主机宿主主机宿主主机网关网关网关网关v特点特点特点特点：堡垒：堡垒：堡垒：堡垒主机充当应用层网关。在主机中需主机充当应用层网关。在主机中需主机充当应用层网关。在主机中需主机充当应用层网关。在主机中需要插入两块网卡，用于将主机分别连接到被保要插入两块网卡，用于将主机分别连接到被保要插入两块网卡，用于将主机分别连接到被保要插入两块网卡，用于将主机分别连接到被保护的内网和外网上。在主机上运行防火墙软件，护的内网和外网上。