计算机系统安全 第九章 防火墙
1 计算机系统安全 第九章 防火墙
一、防火墙概述 什么是防火墙( Firewal)? 内部网络 外部网络 公司的防火墙 图1 防火墙:在两个信任程度不同的网络之间设 置的、用于加强访问控制的软硬件保护设施
2 一、防火墙概述 什么是防火墙(Firewall) ? 防火墙:在两个信任程度不同的网络之间设 置的、用于加强访问控制的软硬件保护设施
一、防火墙概述 防火墙的用途 1)作为“扼制点”,限制信息的进入或离开; 2)防止侵入者接近并破坏你的内部设施; 3)监视、记录、审查重要的业务流; 4)实施网络地址转换,缓解地址短缺矛盾。 防火墙只允许已授权的业务流通过,而且本身 也应抵抗渗透攻击。 建立防火墙必须全面考虑安全策略,否则形同 虚设
3 一、防火墙的用途 一、防火墙概述 1)作为“扼制点” ,限制信息的进入或离开; 2)防止侵入者接近并破坏你的内部设施; 3)监视、记录、审查重要的业务流; 4)实施网络地址转换,缓解地址短缺矛盾。 防火墙只允许已授权的业务流通过,而且本身 也应抵抗渗透攻击。 建立防火墙必须全面考虑安全策略,否则形同 虚设
一、防火墙概述 好的防火墙系统 1)内部网络和外部网络之间传输的数据必须 通过防火墙; 2)只有防火墙系统中安全策略允许的数据可 以通过防火墙 3)防火墙本身不受各种攻击的影响
4 二、好的防火墙系统 一、防火墙概述 1)内部网络和外部网络之间传输的数据必须 通过防火墙; 2)只有防火墙系统中安全策略允许的数据可 以通过防火墙; 3)防火墙本身不受各种攻击的影响
一、防火墙概述 防火墙的优点 1防止易受攻击的服务 通过过滤不安全的服务来降低子网上主系统 的风险。 可以禁止某些易受攻击的服务(如NS)进入或 离开受保护的子网。 可以防护基于路由选择的攻击,如源路由选 择和企图通过ICM改向把发送路径转向遭致 损害的网点
5 三、防火墙的优点 一、防火墙概述 1.防止易受攻击的服务 通过过滤不安全的服务来降低子网上主系统 的风险。 可以禁止某些易受攻击的服务(如NFS)进入或 离开受保护的子网。 可以防护基于路由选择的攻击,如源路由选 择和企图通过ICMP改向把发送路径转向遭致 损害的网点
一、防火墙概述 2控制访问网点系统 可以提供对系统的访问控制。如允许从外部访问某 些主机( Mail server和 Web server),同时禁止访问另 外的主机。 3.集中安全性 防火墙定义的安全规则可用于整个内部网络系统,而 无须在内部网每台机器上分别设立安全策略。 可以定义不同的认证方法,而不需要在每台机器上分 别安装特定的认证软件。外部用户只需要经过一次认 证即可访问内部网。例如对于密码口令系统或其他的 身份认证软件等,放在防火墙系统中更是优于放在每 个 Internet能访问的机器上
6 一、防火墙概述 2.控制访问网点系统 可以提供对系统的访问控制。如允许从外部访问某 些主机(Mail Server和Web Server) ,同时禁止访问另 外的主机。 3.集中安全性 防火墙定义的安全规则可用于整个内部网络系统,而 无须在内部网每台机器上分别设立安全策略。 可以定义不同的认证方法,而不需要在每台机器上分 别安装特定的认证软件。外部用户只需要经过一次认 证即可访问内部网。例如对于密码口令系统或其他的 身份认证软件等,放在防火墙系统中更是优于放在每 个Internet能访问的机器上
一、防火墙概述 4.增强的保密、强化私有权 使用防火墙系统,站点可以防止 finger以及DNS域名 服务。 Finger能列出当前用户,上次登录时间,以及 是否读过邮件等 5.有关网络使用、滥用的记录和统计 防火墙可以记录各次访问,并提供有关网络使用率等 有价值的统计数字 网络使用率统计数字可作为网络需求研究和风险分析 的依据;收集有关网络试探的证据,可确定防火墙上 的控制措施是否得当,能否抵御试探和攻击
7 一、防火墙概述 4.增强的保密、强化私有权 使用防火墙系统,站点可以防止finger 以及DNS域名 服务。Finger能列出当前用户,上次登录时间,以及 是否读过邮件等。 5.有关网络使用、滥用的记录和统计 防火墙可以记录各次访问,并提供有关网络使用率等 有价值的统计数字。 网络使用率统计数字可作为网络需求研究和风险分析 的依据;收集有关网络试探的证据,可确定防火墙上 的控制措施是否得当,能否抵御试探和攻击
一、防火墙概述 四、防火墙的局限性 1)防火墙防外不防内 防火墙可以禁止系统用户经过网络连接发送 专有的信息,但用户可以将数据复制到磁盘 磁带上,放在公文包中带出去。如果入侵者 已经在防火墙内部,防火墙是无能为力的。 内部用户偷窃数据,破坏硬件和软件,并且 巧妙地修改程序而不接近防火墙。对于来自 知情者的威胁只能要求加强内部管理,如主 机安全和用户教育、管理、制度等
8 四、防火墙的局限性 一、防火墙概述 1)防火墙防外不防内 防火墙可以禁止系统用户经过网络连接发送 专有的信息,但用户可以将数据复制到磁盘、 磁带上,放在公文包中带出去。如果入侵者 已经在防火墙内部,防火墙是无能为力的。 内部用户偷窃数据,破坏硬件和软件,并且 巧妙地修改程序而不接近防火墙。对于来自 知情者的威胁只能要求加强内部管理,如主 机安全和用户教育、管理、制度等
一、防火墙概述 2)不能防范绕过防火墙的攻击 防火墙能够有效地防止通过它进行传输信息, 然而不能防止不通过它而传输的信息。例如, 如果站点允许对防火墙后面的内部系统进行拨 号访问,那么防火墙绝对没有办法阻止入侵者 进行拨号入侵。 3)防火墙配置复杂,容易岀现安全漏洞 4)防火墙往往只认机器(P地址)不认人 用户身份),并且控制粒度较粗
9 一、防火墙概述 2)不能防范绕过防火墙的攻击 防火墙能够有效地防止通过它进行传输信息, 然而不能防止不通过它而传输的信息。例如, 如果站点允许对防火墙后面的内部系统进行拨 号访问,那么防火墙绝对没有办法阻止入侵者 进行拨号入侵。 3)防火墙配置复杂,容易出现安全漏洞 4)防火墙往往只认机器(IP地址)不认人 (用户身份),并且控制粒度较粗
一、防火墙概述 5)防火墙不能防范病毒 防火墙不能防止感染了病毒的软件或文件的 传输。这只能在每台主机上装反病毒软件。 6)防火墙不能防止数据驱动式攻击。 当有些表面看来无害的数据被邮寄或复制到 内部网主机上并被执行而发起攻击时,就会 发生数据驱动攻击。特别是随着Java、 Javascript、 Activex的应用,这一问题更加 突出
10 一、防火墙概述 5)防火墙不能防范病毒 防火墙不能防止感染了病毒的软件或文件的 传输。这只能在每台主机上装反病毒软件。 6)防火墙不能防止数据驱动式攻击。 当有些表面看来无害的数据被邮寄或复制到 内部网主机上并被执行而发起攻击时,就会 发 生 数据 驱 动攻 击 。特 别是 随 着 Java、 JavaScript、ActiveX的应用,这一问题更加 突出