防火牆
防火牆的安全規則:
防火牆的規則處理方式
Accept:允許數據包或信息通過
Reject:拒絕數據包或信息通過,并且通知信息源該信息被禁止
Drop:直接将數據包或信息丢棄,并且不通知信息源
防火牆缺省規則:
默認拒絕:指一切未被允許的就是禁止的;其安全規則處理方式一般為Accept;
默認允許:指一切未被禁止的就是允許的;其安全規則的處理方式一般為Rejectak Drop。
防火牆的功能:
防火牆的訪問控制内容
服務控制:決定哪些内部或外部的服務可以被訪問
方向控制:決定内部或外部的服務請求哪個可以被發起并通過防火牆
用戶控制:決定哪些用戶可以訪問特定服務
行為控制:決定哪些具體的服務内容是否符合安全策略
防火牆的功能:
防火牆設立了單一阻塞點,可以使未授權用戶無法進入網絡
防火牆提供了一個監控安全事件的地點
防火牆可以提供地址轉換及網絡管理功能
防火牆可以作為IPSec的平台,可以用來實現虛拟專用網絡
防火牆的局限性
防火牆不能防禦繞過它的攻擊
防火牆不能消除來自内部的威脅
防火牆不能防止病毒感染過和程序和文件進出網絡
防火牆的分類
包過濾防火牆
當防火牆在網絡層實現信息過濾與控制時,主要針對TCP/IP協議中的IP數據包頭部制定規則的匹配條件實施過濾。
IP源地址:IP數據包的發送主機地址
IP目的地址:IP數據包的接收主機地址
協議:IP數據包封裝的協議類型,包括TCP、UDP或ICMP包等
當防火牆工作在傳輸層,則可以處理傳輸層協議,如TCP或UDP。
源端口:發送TCP或UDP數據包應用程序的綁定端口
目的端口:接收TCP或UDP數據包應用程序的綁定端口
ACK碼字:TCP協議的狀态标志位,标記IP數據報是第一個還是後續的
對端口運算包括“=”“>”“<”等。如:目的端口=21
應用層防火牆:也稱之為代理服務器。
将所有跨越防火牆的網絡通信鍊路分為兩段
内外網用戶的訪問都是通過代理服務器上的“鍊接”來實現
優點:在應用層對數據進行檢查,比較安全
缺點:增加防火牆的負載
現實生産環境中所使用的防火牆一般都是二者合體,即先檢查網絡數據,通過之後再送到應用層去檢查
電路層網關防火牆
防火牆的體系結構
雙重宿主主機體系結構
以一台雙重宿主主機作為防火牆系統的主體,執行分離外部網絡與内部網絡的任務。
特點:該計算機至少有兩個網絡接口,這樣的主機可以充當與這些接口相連的網絡之間的路由器
它能夠從一個網絡到另一個網絡發送IP數據包,實現雙重宿主主機的防火牆體系結構禁止這種發送功能。
IP數據包從一個網絡(例如外部網)并不是直接發送到其它網絡(例如内部的被保護的網絡)。
防火牆内部的系統能與雙重宿主主機通信,同時防火牆外部的系統能與雙重宿主主機通信,但是這些系統不能直接互相通信,它們之間的IP通信被完全阻止。
屏蔽主機體系結構
由包過濾路由器和堡壘主機構成防火牆。
在這種體系結構中,主要的安全由數據包過濾提供(例如,數據包過濾用于防止人們繞過代理服務器直接相連)。
在屏蔽的路由器上的數據包過濾是按這樣一種方法設置的:即堡壘主機是數據包過濾也允許堡壘主機開放可允許的連接(什麼是“可允許”将由用戶的站點的安全策略決定)到外部世界。
堡壘主機需要擁有高等級的安全:
1)允許其它的内部主機為了某些服務與Internet上的主機連接(即允許那些已經由數據包過濾的服務)。
2)不允許來自内部主機的所有連接(強迫那些主機經由堡壘主機使用代理服務)。
多數情況下,被屏蔽的主機體系結構提供比雙重宿主主機體系結構具有更好的安全性和可用性。
堡壘主機(BastionHost):堡壘主機是指可能直接睦對外部用戶攻擊的主闆系統。在防火牆體系結構中,特指那些處于内部網絡的邊緣,并且暴露于外部網絡用戶面前的主機系統。一般來說,堡壘主機上提供的服務越少越好,因為每增加一種服務就增加了被攻擊的可能性。
屏蔽子網體系結構
采用了兩個包過濾路由器和一個堡壘主機,在内外網絡之間建立一個被隔離的子網。
這種結構安全性高,但結構複雜,成本也相對較高
(1)周邊網絡(DMZ非軍事區)
用邊網絡是位于非安全、不可信的外部網絡與安全、可信的内部網絡之間的一個附加網絡。周邊網絡與外部網絡、周邊網絡與内部網絡之間都是通過屏蔽路由器實現邏輯隔離的,因此外部用戶必須穿越兩道屏蔽路由器才能訪問内部網絡。
(2)外部路由器
外部路由器的主要作用在于保護周邊網絡和内部網絡,是屏蔽子網體系結構的第一道屏障。在其上設置了對周邊網絡和内部網絡進行訪問的過濾規則,該規則主要針對外網用戶。例如限制外網用戶僅能訪問周邊網絡而不能訪問内部網絡,或者僅能訪問内部網絡中的部分主機。
(3)内部路由器
内部路由器用于隔離周邊網絡和内部網絡,是屏蔽子網體系結構的第二道屏障。在其上設置了針對内部用戶的訪問過濾規劃,對内部用戶訪問周邊網絡和外部網絡進行限制。例如部分内部網絡用戶隻能訪問周邊網絡而不能訪問外部網絡等。
(4)堡壘主機
在被屏蔽子網結構中,堡壘主機位于周邊網絡,可以内外部用戶提供www、FTP等服務,接受來自外部網絡用戶的服務資源訪問請求。同時堡壘主機也可以向内部網絡用戶提供DNS 、電子郵件、www代理、FTP代理等多種服務,提供内部網絡用戶訪問外部資源的接口。
屏蔽子網防火牆能夠幫助建立一個非防護區,這種類型防火牆利用堡壘主機夾在兩個路由器中間是最安全的防火牆系統。
練習:
防火牆作為一種被廣泛使用的網絡安全防禦技術,其自身有一些限制,安不能阻止()。
A. 内部威脅和病毒威脅
B. 外部攻擊
C. 外部攻擊、外部威脅和病毒威脅
D. 外部攻擊和外部威脅
答案:A。
包過濾技術防火牆在過濾數據包時,一般不關心()。
A. 數據包的源地址
B. 數據包的協議類型
C. 數據包的目的地址
D. 數據包的内容
答案:D。檢查數據包頭信息,但不關心内包内容。
以下不屬于防火牆的體系結構的是()。
A. 雙重宿主主機體系結構
B. 被屏蔽主機體系結構
C. 堡壘主機
D. 被屏蔽子網體系結構
答案:C。
關于屏蔽子網防火牆,下列說法錯誤的是()。
A. 屏蔽子網防火牆是幾種防火牆類型中最安全的
B. 屏蔽子網防火牆既支持應用級網關也支持電路級網關
C. 内部網對于Internet來說是不可見的
D. 内部用戶可以不通過DMZ直接訪問Internet
入侵檢測系統IDS與入侵防護系統IPS
入侵檢測與防護技術
入侵檢測系統(IDS),注重的是網絡安全狀況的監管。
入侵防護系統(IPS),傾向于提供主動防護,注重對入侵行為的控制。
入侵檢測P2DR模型
動态安全模型
P2DR模型是在整體的安全策略的控制和指導下,綜全應用防護工具的同時,利用檢測工具了解和評估系統的安全狀态,通過适當的響應将系統調整到“最安全”和“風險最低”的狀态。
|
類型 |
區别 |
|
基于主機型 |
最早期的入侵檢測系統結構,檢測的目标主要是主機系統和系統本地用戶。 檢測原理:根據主機的審計數據和系統的日志發現可疑事件,檢測系統可以運行在被檢測的主機或單獨的主機上。 弱點:易受攻擊,入侵者可通過使用某些系統特權或調用比審計本身更低級的操作來逃避審計。不能通過分析主機的審計記錄來檢測網絡攻擊(域名欺騙、端口掃描) |
|
基于網絡型 |
一定程度上可以克服基于主機型的弱點。 檢測原理:根據網絡流量、協議分析、簡單網絡管理協議信息等數據檢測系統。 |
|
基于主體型 |
檢測原理:采用相互獨立運行的進程組(稱為自治主體)分别負責檢測,通過訓練這些主體,并觀察系統行為,然後将這些主體認為是異常的行為标記出來,并将檢測結果傳送到檢測中心。 |
入侵檢測原理
入侵檢測系統(IDS)的構成:
信息采集部件,用于采信原始信息的部件。
入侵分析部件,是入侵檢測系統的核心部件。
入侵響應部件,是入侵檢測系統的功能性部件。
練習:
通過分析主機的審計記錄來檢測網絡攻擊的是()。
A.基于主機的入侵檢測系統 B.基于網絡的入侵檢測系統
C.基于主體的入侵檢測系統 D.基于應用的入侵檢測系統
答案:A。
P2DR模型不包括()。
A.防護 B.檢測
C.響應 D.預警
答案:D。
入侵檢測系統放置在防火牆内部所帶來的好處是()。
A. 減少對防火牆的攻擊
B. 降低入侵檢測系統的誤報率
C. 增加對低層次攻擊的檢測
D. 增加檢測能力和檢測範圍
答案:B。
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
