信息安全和防火墙.pptx
《信息安全和防火墙.pptx》由会员分享,可在线阅读,更多相关《信息安全和防火墙.pptx(122页珍藏版)》请在咨信网上搜索。
1、111.2.1信息安全的概念和模型信息安全的概念和模型1网络安全的基本因素保密性:确保信息不暴露给未授权的实体或进程。完整性:只有得到允许的人才能修改数据,并能判别出数据是否已被篡改判别出数据是否已被篡改。可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作(修一条马路,不能堵车)。合法性:每个想获得访问的实体都必须经过鉴别或身份验证(相互确认身份)。2网络安全的组成物理安全、人员安全、符合瞬时电磁脉冲辐射标准、数据安全操作安全、通信安全、计算机安全、工业安全23网络安全模型网络安全模型34网络安全的基本任务网络安全的基本任务(1)设计加密算法,进行安全性相关
2、的转换;(2)生成算法使用的保密信息;(3)开发分发和共享保密信息的方法;(4)指定两个主体要使用的协议,并利用安全算法和保密信息来实现特定的安全服务。黑客和黑客手段黑客和黑客手段黑客黑客(英语:Hacker,或称骇客骇客),是指对计算机科学、编程和设计方面具高度理解的人。依照RFC1392,“黑客”是“一位热衷于研究 系统和计算机(特别是计算机网络)内部运作秘密的人”。根据此定义黑客也可以包括很多计算机和互联网技术创造者。比如说linus。黑客的特征黑客的特征误区:为了避免误解,必须明确的区分开Hacker与cracker的概念:Hacker1.一个对(某领域内的)编程语言有足够了解,对软件
3、开发乐此不疲的人。2.喜爱编程(Coding)并享受在其中,变得更擅长于编程的人。3.一个试图破解某系统或网络以提醒该系统所有者的电脑安全漏洞。这群人往往被称做“白帽黑客”或“思匿客(sneaker)”。Hacker是一个通过知识或猜测而对某段程序做出(往往是好的)修改,并改变(或增强)该程序用途的人。cracker“骇客”(cracker)一词一般有以下意义:一个恶意(一般是非法地)试图破解或破坏某个程序、系统及网络安全的人。“cracker”不同于“Hacker”。“cracker”没有“Hacker”精神,也没有道德标准。“Hacker”们建设,而“cracker”们破坏。脚本小子(脚本
4、小子(scriptkiddie)“脚本小子”则指那些完全没有或仅有一点点黑客技巧,而只是按照指示或运行某种骇客程序来达到破解目的的人。脚本小子是利用他人所编辑的程序来发起网络攻击的网络闹事者,他们通常不懂得攻击对象的设计和攻击程序的原理,不能自己调试系统发现漏洞,实际职业知识远远不如他们通常冒充的黑帽黑客。811.2.2安全威胁(安全威胁(对应网络安全基本对应网络安全基本因素因素)安全威胁是指某个人、物、事件或概念对某一资源的机密性、完整性、可用性(DoS)或合法性(非授权访问)所造成的危害。某种攻击就是某种威胁的具体实现。91基本的威胁基本的威胁信息泄漏或丢失针对信息机密性的威胁,它指敏感数
5、据在有意或无意中被泄漏出去或丢失包括:信息在传输中丢失或泄漏(如“黑客”们利用电磁泄漏或塔线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,推出有用信息,如用户口令、账号等重要信息);信息在存储介质中丢失或泄漏;通过建立隐蔽通道等窃取敏感信息等。破坏数据完整性以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加、修改数据,以干扰用户的正常使用。拒绝服务不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服
6、务。非授权访问没有预先经过同意就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。主要形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。安全威胁的分类:安全威胁可分为植入和渗入。安全威胁可分为故意的(如黑客渗透)和偶然的(如信息被发往错误的地址)两类。故意威胁又可进一步分为被动和主动两类。11渗入威胁和植入威胁渗入威胁和植入威胁渗入威胁假冒某个未授权实体使守卫者相信它是一个合法的实体,从而攫取该合法用户的特权。旁路控制攻击者通过各种手段发现本应保密却又暴露出来的一些系统“特征”。
7、利用这些“特征”,攻击者绕过防线守卫者渗入系统内部。授权侵犯也称为“内部威胁”,授权用户将其权限用于其他未授权的目的。植入威胁特洛伊木马在正常的软件中隐藏一段用于其他目的的程序,这段隐藏的程序段常常以安全攻击作为其最终目标。陷门在某个系统或某个文件中设置的“机关”,使得在提供特定的输人数据时,允许违反安全策略。1211.2.3安全攻击安全攻击1安全攻击的手段132被动攻击和主动攻击被动攻击对信息的保密性进行攻击,即通过窃听网络上传输的信息并加以分析从而获得有价值的情报,但它并不修改信息的内容目标是获得正在传送的信息,其特点是偷听或监视信息的传递被动攻击主要手段:信息内容泄露(不小心):信息在通
8、信过程中因被监视窃听而泄露,或者信息从电子或机电设备所发出的无线电磁波中被提取出来而泄露。通信量分析:通过确定通信位置和通信主机的身份,观察交换消息的频度和长度,并利用这些信息来猜测正在进行的通信特性。142被动攻击和主动攻击被动攻击和主动攻击主动攻击攻击信息来源的真实性、信息传输的完整性和系统服务的可用性有意对信息进行修改、插入和删除主动攻击主要手段:假冒:一个实体假装成另一个实体。假冒攻击通常包括一种其他形式的主动攻击。重放:涉及被动捕获数据单元及其后来的重新传送,以产生未经授权的效果。修改消息:改变了真实消息的部分内容,或将消息延迟或重新排序,导致未授权的操作。拒绝服务:禁止通信实体的正
9、常使用或管理。153服务攻击和非服务攻击(高层协议)服务攻击和非服务攻击(高层协议)服务攻击针对某种特定网络服务的攻击例如:针对E-mail服务、Telnet、FTP、HTTP等服务的专门攻击原因:TCP/IP协议缺乏认证、保密措施。非服务攻击(针对于操作系统和协议)不针对某项具体应用服务,而是基于网络层等低层协议而进行原因:TCP/IP协议(尤其是IPv4)自身的安全机制不足164安全策略与安全管理安全策略与安全管理1安全策略的组成威严的法律先进的技术严格的管理2安全管理原则多人负责原则任期有限原则职责分离原则(会计和出纳)3安全管理实现根据工作的重要程度,确定该系统的安全等级根据确定的安全
10、等级,确定安全管理的范围制订相应的机房出入管理制度制订严格的操作规程制订完备的系统维护制度制订应急措施11.3防火墙技术防火墙技术1811.3.1防火墙的基本概念防火墙的基本概念1防火墙的定义防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全政策,控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。防火墙可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是
11、一个分析器,它有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。2.防火墙的主要功能防火墙的主要功能l集中的网络安全集中的网络安全l安全警报安全警报防火墙允许网络管理员定义一个中心(阻塞点)来防止非法用户进防火墙允许网络管理员定义一个中心(阻塞点)来防止非法用户进入内部网络,禁止存在不安全因素的访问进出网络,并抗击来自各种入内部网络,禁止存在不安全因素的访问进出网络,并抗击来自各种线路的攻击。线路的攻击。通过防火墙可以方便地监视网络的安全性,并产生报警信号。通过防火墙可以方便地监视网络的安全性,并产生报警信号。l重新部署网络地址转换(重新部署网络地址转换(NAT)接入接
12、入Internet的机构,可以通过网络地址转换(的机构,可以通过网络地址转换(NAT)来完成内部来完成内部私有地址到外部注册地址的映射,而防火墙正是部署私有地址到外部注册地址的映射,而防火墙正是部署NAT的理想位置。的理想位置。l监视监视Internet的使用情况的使用情况防火墙也是审查和记录内部人员对防火墙也是审查和记录内部人员对Internet使用的一个最佳位置,可以在此对内部使用的一个最佳位置,可以在此对内部访问访问Internet的情况进行记录的情况进行记录(根据根据cs模式的访问特点模式的访问特点)。l向外发布信息向外发布信息防火墙同样还是部署防火墙同样还是部署WWW服务器和服务器和
13、FTP服务器的理想位置。它允许服务器的理想位置。它允许Internet上的上的其它用户访问上述服务器,而禁止访问内部受保护的其它系统(其它用户访问上述服务器,而禁止访问内部受保护的其它系统(因为可能有其它服因为可能有其它服务务)。)。2111.3.2防火墙的设计策略防火墙的设计策略1防火墙的设计策略两种基本的设计策略:允许任何服务除非被明确禁止(黑名单)禁止任何服务除非被明确允许(白名单)按照其特征,防火墙的设计策略网络策略服务访问策略222防火墙的技术防火墙的技术服务控制确定在围墙外面和里面可以访问的因特网服务类型方向控制。确定数据包的流向用户控制根据请求访问的用户来确定是否提供该服务行为控
14、制控制如何使用某种特定的服务233防火墙的部署防火墙的部署在局域网内的VLAN之间控制信息流向时加入防火墙。Intranet与Internet之间连接时加入防火墙。在广域网系统中,总部局域网与分支机构一般通过公共网(如DDN、FrameRelay)连接,需要采用防火墙隔离,并利用某些软件提供的功能构成虚拟专网VPN。如果总部的局域网和分支机构的局域网是通过Internet连接的,需要各自安装防火墙,并组成虚拟专网。在远程用户拨号访问时,需要加入防火墙。利用一些防火墙软件提供的负载平衡功能,ISP可在公共访问服务器和客户端间加入防火墙进行负载分担、存取控制、用户认证、流量控制、日志记录等功能。两
15、网对接时可利用硬件防火墙作为网关设备实现地址转换(NAT)、地址映射(MAP)、网络隔离(DMZ,De-MilitarizedZone,非军事区)、存取安全控制,消除传统软件防火墙的瓶颈问题。11.2.2防火墙的主要类型防火墙的主要类型典型的防火墙系统通常由一个或多个构件组成,相应地,实现防火典型的防火墙系统通常由一个或多个构件组成,相应地,实现防火墙的技术包括以下四大类:墙的技术包括以下四大类:1.包过滤防火墙(包过滤防火墙(PacketFilteringFirewall)l包过滤防火墙,又称网络级防火墙,包过滤防火墙,又称网络级防火墙,工作在网络层工作在网络层,通常由一台路,通常由一台路由
16、器或一台充当路由器的计算机组成,如图由器或一台充当路由器的计算机组成,如图11-2所示。所示。图图11-2包过滤防火墙功能模型包过滤防火墙功能模型lInternet/Intranet上的所有信息都是以上的所有信息都是以IP数据包的形式传输的,包数据包的形式传输的,包过滤路由器负责对所接收的每个数据包的过滤路由器负责对所接收的每个数据包的IP地址,地址,TCP或或UDP分组头分组头信息进行审查,以便确定其是否与某一条包过滤规则匹配。信息进行审查,以便确定其是否与某一条包过滤规则匹配。l包过滤防火墙检查每一条过滤规则,如果找到一个匹配,且规则允包过滤防火墙检查每一条过滤规则,如果找到一个匹配,且规
17、则允许该数据包通过,则该数据包根据路由表中的信息向前转发;如果找许该数据包通过,则该数据包根据路由表中的信息向前转发;如果找到一个匹配,且规则拒绝此数据包,则该数据包将被舍弃。到一个匹配,且规则拒绝此数据包,则该数据包将被舍弃。l包过滤防火墙对用户来说是全透明的,其优点是只需在一个关键位包过滤防火墙对用户来说是全透明的,其优点是只需在一个关键位置设置一个包过滤路由器就可以保护整个网络,使用起来非常简洁、置设置一个包过滤路由器就可以保护整个网络,使用起来非常简洁、方便,且速度快、费用低。方便,且速度快、费用低。l包过滤防火墙也有其自身的缺点和局限性包过滤防火墙也有其自身的缺点和局限性,例如它只检
18、查地址和端,例如它只检查地址和端口,对应用层上的黑客行为无能为力;包过滤规则配置比较复杂;口,对应用层上的黑客行为无能为力;包过滤规则配置比较复杂;包包过滤没法检测具有数据驱动攻击这一类潜在危险的数据包等。过滤没法检测具有数据驱动攻击这一类潜在危险的数据包等。2.应用级网关(应用级网关(ApplicationLevelGateway)l应用级网关主要控制对应用程序的访问,它能够对进出的数据包进应用级网关主要控制对应用程序的访问,它能够对进出的数据包进行分析、统计,行分析、统计,防止在受信任的服务器与不受信任的主机间直接建立防止在受信任的服务器与不受信任的主机间直接建立联系联系。而且它还提供一种
19、监督控制机制,。而且它还提供一种监督控制机制,使得网络内、外部的访问请使得网络内、外部的访问请求在监督机制下得到保护求在监督机制下得到保护,其功能模型如图,其功能模型如图11-3所示。所示。图图11-3应用级网关的功能模型应用级网关的功能模型l和包过滤防火墙一样,应用级网关也是仅仅依靠特定的逻辑判断来和包过滤防火墙一样,应用级网关也是仅仅依靠特定的逻辑判断来决定是否允许数据包通过。一旦防火墙内外的计算机系统建立起直决定是否允许数据包通过。一旦防火墙内外的计算机系统建立起直接联系,它外部的用户便有可能直接了解防火墙内部的网络结构和接联系,它外部的用户便有可能直接了解防火墙内部的网络结构和运行状态
20、,这有利于实施非法访问和攻击。运行状态,这有利于实施非法访问和攻击。l应用级网关具有较强的访问控制功能,是目前最安全的防火墙技术应用级网关具有较强的访问控制功能,是目前最安全的防火墙技术之一。但其每一种协议都需要相应的代理软件,实现起来比较困难,之一。但其每一种协议都需要相应的代理软件,实现起来比较困难,效率不如网络级防火墙高,而且对用户缺乏效率不如网络级防火墙高,而且对用户缺乏“透明度透明度”。3.电路级网关(电路级网关(CircuitLevelGateway)l电路级网关通常工作在在电路级网关通常工作在在OSI参考模型中的会话层上,它只依赖于参考模型中的会话层上,它只依赖于TCP连接,而并
21、不关心任何应用协议,也不进行任何的包处理或过滤。连接,而并不关心任何应用协议,也不进行任何的包处理或过滤。它它就像电线一样,只是在内部连接和外部连接之间来回拷贝字节。由就像电线一样,只是在内部连接和外部连接之间来回拷贝字节。由于连接要穿过防火墙,因而其隐藏了受保护网络的有关信息。于连接要穿过防火墙,因而其隐藏了受保护网络的有关信息。l电路级网关往往不是一个独立的产品,它要和其它一些应用级网关电路级网关往往不是一个独立的产品,它要和其它一些应用级网关结合在一起使用。其最大的优点是主机可以被设置成混合网关,内部结合在一起使用。其最大的优点是主机可以被设置成混合网关,内部用户使用起来很方便,另外,电
22、路级网关还可将所有内部的用户使用起来很方便,另外,电路级网关还可将所有内部的IP地址映地址映射到一个防火墙专用的、安全的射到一个防火墙专用的、安全的IP地址。地址。4.代理服务防火墙(代理服务防火墙(ProxySeverFirewall)l代理服务防火墙又称链路级网关代理服务防火墙又称链路级网关,通常指运行通常指运行代理服务器代理服务器软件的一软件的一台计算机。代理服务器(台计算机。代理服务器(ProxySever)运行在运行在Intranet和和Internet之之间,是内、外网络的隔离点,起着监视和隔绝应用层通信流的作用,间,是内、外网络的隔离点,起着监视和隔绝应用层通信流的作用,其功能模
23、型如图其功能模型如图11-4所示。所示。图图11-4代理服务防火墙功能模型代理服务防火墙功能模型代理服务器:定义:代理服务器代理服务器(英文:Proxy),是一种重要的电脑安全功能,也是特殊的网络服务,允许客户端通过它与另一个网络服务进行非直接的连接,也称“网络代理”。代理服务器有利于保障网络安全,防止攻击。图解:左边和右边的电脑在通讯时候,需要经过中间的电脑中转,而图解:左边和右边的电脑在通讯时候,需要经过中间的电脑中转,而中间的那部电脑就是代理服务器。中间的那部电脑就是代理服务器。代理服务器的功能代理服务器的功能1.提高访问速度:通常代理服务器都设置一个较大的缓冲区,当有外界的信息通过时,
24、同时也将其保存到缓冲区中,当其他用户再访问相同的信息时,则直接由缓冲区中取出信息,传给用户,以提高访问速度。2.控制对内部资源的访问,如某大学FTP(前提是该代理地址在该资源的允许访问范围之内),使用教育网内地址段免费代理服务器,就可以用于对教育网开放的各类FTP下载上传,以及各类资料查询共享等服务。3.过滤内容,例如限制对特定计算机的访问,将一种语言的数据翻译成另一种语言,或是防御代理服务器两边的攻击性访问。4.突破自身IP访问限制,访问国外站点。中国教育网和169网等网络用户可以通过代理访问国外网站。5.隐藏真实IP:上网者也可以通过代理服务器隐藏自己的IP,免受攻击。l代理服务器收到用户
25、对某站点的访问请求后,便立即检查该请求是否符合规则。若规则允许用户访问该站点,代理服务器便会以客户身份登录目的站点,取回所需的信息再发回给客户。l代理服务器将所有跨越防火墙的通信链路分为两段,外部用户只能看到该代理服务器而无法获知任何内部资料,如IP地址,从而起到了隔离防火墙内、外计算机系统的作用。防火墙代理的原理防火墙代理的原理l代理服务软件要分析网络数据包并作出访问控制决定,从而在一定程度上影响了网络的性能,且代理服务器需要为每个网络用户专门设计,安装使用较复杂,成本也相对较高。5.复合型防火墙(复合型防火墙(CompoundFirewall)由于对更高安全性的要求,常常把基于包过滤的防火
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 防火墙
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【胜****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【胜****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。