防火墻知識(shí)點(diǎn)

1、第一章1. 防火墻定義：防火墻是位于兩個(gè)（或多個(gè)）網(wǎng)絡(luò)之間，實(shí)施訪問(wèn)控制策略的一個(gè)或一組組件的集合。（或者防火墻是設(shè)置在本地計(jì)算機(jī)或內(nèi)聯(lián)網(wǎng)絡(luò)與外聯(lián)網(wǎng)絡(luò)之間，保護(hù)本地網(wǎng)絡(luò)或內(nèi)聯(lián)網(wǎng)絡(luò)免遭來(lái)自外部網(wǎng)絡(luò)的威脅和入侵的一道屏障。）2. 防火墻位置：物理位置，安裝在內(nèi)聯(lián)網(wǎng)絡(luò)與外聯(lián)網(wǎng)絡(luò)的交界點(diǎn)上；對(duì)于個(gè)人防火墻來(lái)說(shuō)，是指安裝在單臺(tái)主機(jī)硬盤(pán)上的軟件系統(tǒng)。邏輯位置：防火墻與網(wǎng)絡(luò)協(xié)議相對(duì)應(yīng)的邏輯層次關(guān)系。3. 防火墻理論特性：根據(jù)信息安全理論對(duì)其提出的要求而設(shè)置的安全功能，是各種防火墻的共性作用。防火墻從理論上講是分離器、限制器和分析器，即防火墻要實(shí)現(xiàn)四類(lèi)控制功能：方向控制：防火墻能夠控制特定的服務(wù)請(qǐng)求通過(guò)它的方

2、向；服務(wù)控制：防火墻可以控制用戶可以訪問(wèn)的網(wǎng)絡(luò)服務(wù)類(lèi)型；行為控制：防火墻能夠控制使用特定服務(wù)的方式；用戶控制：防火墻能夠控制能夠進(jìn)行網(wǎng)絡(luò)訪問(wèn)的用戶。4. 防火墻規(guī)則（1） 過(guò)濾規(guī)則（2） 設(shè)計(jì)原則：a.拒絕訪問(wèn)一切未予特許的服務(wù)：這個(gè)原則也被稱(chēng)為限制性原則，在該規(guī)則下，防火墻阻斷所有的數(shù)據(jù)流，只允許符合開(kāi)放規(guī)則的數(shù)據(jù)流進(jìn)出。b.允許訪問(wèn)一切未被特許拒絕的服務(wù)：該規(guī)則也被稱(chēng)為連通性原則，在該規(guī)則下，防火墻只禁止符合屏蔽規(guī)則的數(shù)據(jù)流，而允許轉(zhuǎn)發(fā)其他所有數(shù)據(jù)流。5. 防火墻分類(lèi)按采用的主要技術(shù)劃分：包過(guò)濾型防火墻、代理型防火墻按具體實(shí)現(xiàn)劃分：（1）多重宿主主機(jī)：安放在內(nèi)聯(lián)網(wǎng)絡(luò)和外聯(lián)網(wǎng)絡(luò)接口上的一臺(tái)堡

3、壘主機(jī)，它提供最少兩個(gè)網(wǎng)絡(luò)接口，一個(gè)與內(nèi)聯(lián)網(wǎng)絡(luò)連接，另一個(gè)與外聯(lián)網(wǎng)絡(luò)連接。（2） 篩選路由器：用一臺(tái)放置在內(nèi)聯(lián)網(wǎng)絡(luò)與外聯(lián)網(wǎng)絡(luò)之間的路由器來(lái)實(shí)現(xiàn)。它對(duì)進(jìn)出內(nèi)聯(lián)網(wǎng)絡(luò)的所有信息進(jìn)行分析，并按照一定的信息過(guò)濾規(guī)則對(duì)進(jìn)出內(nèi)聯(lián)網(wǎng)絡(luò)的信息進(jìn)行限制，允許授權(quán)信息通過(guò)，拒絕非授權(quán)信息通過(guò)。（3） 屏蔽主機(jī)：由內(nèi)聯(lián)網(wǎng)絡(luò)和外聯(lián)網(wǎng)絡(luò)之間的一臺(tái)過(guò)濾路由器和一臺(tái)堡壘主機(jī)構(gòu)成。它強(qiáng)迫所有外部主機(jī)與堡壘主機(jī)相連接，而不讓他們與內(nèi)部主機(jī)直接相連。（4） 屏蔽子網(wǎng)：它對(duì)網(wǎng)絡(luò)的安全保護(hù)通過(guò)兩臺(tái)包過(guò)濾路由器和在這兩個(gè)路由器之間構(gòu)筑的子網(wǎng)來(lái)實(shí)現(xiàn)。6. 防火墻的優(yōu)點(diǎn)（1） 防火墻是網(wǎng)絡(luò)安全的屏障（2） 防火墻實(shí)現(xiàn)了對(duì)內(nèi)網(wǎng)系統(tǒng)的訪問(wèn)控制（

4、3） 部署NAT機(jī)制（4） 提供整體安全解決平臺(tái)（5） 防止內(nèi)部信息外泄（6） 監(jiān)控和審計(jì)網(wǎng)絡(luò)行為（7） 防火墻系統(tǒng)具有集中安全性（8） 在防火墻上可以很方便的監(jiān)視網(wǎng)絡(luò)的信息流，并產(chǎn)生警告信息。7. 防火墻的缺點(diǎn)（1） 限制網(wǎng)絡(luò)服務(wù)（2） 對(duì)內(nèi)部用戶防范不足（3） 不能防范旁路連接（4） 不適合進(jìn)行病毒檢測(cè)（5） 無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型攻擊（6） 無(wú)法防范所有威脅（7） 配置問(wèn)題。防火墻管理人員在配置過(guò)濾規(guī)則時(shí)經(jīng)常出錯(cuò)。（8） 無(wú)法防范內(nèi)部人員泄露機(jī)密信息（9） 速度問(wèn)題（10） 單失效點(diǎn)問(wèn)題第二章1. TCP/IP包頭2. 包過(guò)濾技術(shù)（1） 概念：又稱(chēng)為報(bào)文過(guò)濾技術(shù)，執(zhí)行邊界訪問(wèn)控制功能，即對(duì)網(wǎng)

5、絡(luò)通信數(shù)據(jù)進(jìn)行過(guò)濾。（2） 技術(shù)原理：（3） 過(guò)濾對(duì)象：a.針對(duì)IP的過(guò)濾，查看每個(gè)IP數(shù)據(jù)包的包頭，將包頭數(shù)據(jù)與規(guī)則集相比較，轉(zhuǎn)發(fā)規(guī)則集允許的數(shù)據(jù)包，拒絕規(guī)則集不允許的數(shù)據(jù)包。b.針對(duì)ICMP的過(guò)濾。阻止存在泄漏用戶網(wǎng)絡(luò)敏感信息的危險(xiǎn)的ICMP數(shù)據(jù)包進(jìn)出網(wǎng)絡(luò)；拒絕所有可能會(huì)被攻擊者利用、對(duì)用戶網(wǎng)絡(luò)進(jìn)行破壞的ICMP數(shù)據(jù)包。c.針對(duì)TCP的過(guò)濾，常見(jiàn)的為端口過(guò)濾和對(duì)標(biāo)志位的過(guò)濾。d.針對(duì)UDP的過(guò)濾，要么阻塞某個(gè)端口，要么聽(tīng)之任之。（4） 優(yōu)點(diǎn)：包過(guò)濾技術(shù)實(shí)現(xiàn)簡(jiǎn)單、快速； 包過(guò)濾技術(shù)的實(shí)現(xiàn)對(duì)用戶是透明的； 包過(guò)濾技術(shù)的檢查規(guī)則相對(duì)簡(jiǎn)單，因此操作耗時(shí)極短，執(zhí)行效率非常高（5） 缺點(diǎn)：包過(guò)濾技術(shù)過(guò)

6、濾思想簡(jiǎn)單，對(duì)信息的處理能力有限；當(dāng)過(guò)濾規(guī)則增多時(shí)，對(duì)過(guò)濾規(guī)則的維護(hù)是一個(gè)非常困難得問(wèn)題；包過(guò)濾技術(shù)控制層次較低，不能實(shí)現(xiàn)用戶級(jí)控制。3. 狀態(tài)檢測(cè)技術(shù)（1） 技術(shù)原理：狀態(tài)檢測(cè)技術(shù)根據(jù)連接的“狀態(tài)”進(jìn)行檢查，當(dāng)一個(gè)連接的初始數(shù)據(jù)報(bào)文到達(dá)執(zhí)行狀態(tài)檢測(cè)的防火墻時(shí)，首先要檢查該報(bào)文是否符合安全過(guò)濾規(guī)則的規(guī)定。如果該報(bào)文與規(guī)定相符合，則將該連接的信息記錄下來(lái)并自動(dòng)添加一條允許該連接通過(guò)的過(guò)濾規(guī)則，然后向目的地轉(zhuǎn)發(fā)該報(bào)文。以后凡是屬于該連接的數(shù)據(jù)防火墻一律予以放行，包括從內(nèi)向外和從外向內(nèi)的雙向數(shù)據(jù)流。在通信結(jié)束、釋放該連接以后，防火墻將自動(dòng)刪除該連接的過(guò)濾規(guī)則。動(dòng)態(tài)過(guò)濾規(guī)則存儲(chǔ)在連接狀態(tài)表中，并由防火

7、墻維護(hù)。（2） 狀態(tài)：狀態(tài)根據(jù)使用的協(xié)議的不同而有不同的形式，可以根據(jù)相應(yīng)協(xié)議的有限狀態(tài)機(jī)來(lái)定義，一般包括NEW ,ESTABLISHED ,RELATED ,CLOSED。（3） 狀態(tài)檢測(cè)技術(shù)的優(yōu)點(diǎn)安全性比靜態(tài)包過(guò)濾技術(shù)高；與靜態(tài)包過(guò)濾技術(shù)相比，提高了防火墻的性能。（4） 狀態(tài)檢測(cè)技術(shù)的缺點(diǎn)主要工作在網(wǎng)絡(luò)層和傳輸層，對(duì)報(bào)文的數(shù)據(jù)部分檢查很少，安全性還不夠高；檢查內(nèi)容多，對(duì)防火墻的性能提出了更高的要求。4. 代理技術(shù)（1） 代理的執(zhí)行分為以下兩種情況：一種情況是代理服務(wù)器監(jiān)聽(tīng)來(lái)自內(nèi)聯(lián)網(wǎng)絡(luò)的服務(wù)請(qǐng)求；另一種情況是內(nèi)部主機(jī)只接收代理服務(wù)器轉(zhuǎn)發(fā)的信息而不接收任何外部地址主機(jī)發(fā)送的信息。（2） 代理代

8、碼：（3） 代理服務(wù)器的實(shí)現(xiàn)：雙宿主網(wǎng)關(guān)的IP路由功能被嚴(yán)格禁止，網(wǎng)卡間所有需要轉(zhuǎn)發(fā)的數(shù)據(jù)必須通過(guò)安裝在雙宿主網(wǎng)關(guān)上的代理服務(wù)器程序控制。由此實(shí)現(xiàn)內(nèi)聯(lián)網(wǎng)絡(luò)的單接入點(diǎn)和網(wǎng)絡(luò)隔離。（4） 代理技術(shù)優(yōu)點(diǎn)：代理服務(wù)提供了高速緩存；代理服務(wù)器屏蔽了內(nèi)聯(lián)網(wǎng)絡(luò)，所以阻止了一切對(duì)內(nèi)聯(lián)網(wǎng)絡(luò)的探測(cè)活動(dòng)；代理服務(wù)在應(yīng)用層上建立，可以更有效的對(duì)內(nèi)容進(jìn)行過(guò)濾；代理服務(wù)器禁止內(nèi)聯(lián)網(wǎng)絡(luò)與外聯(lián)網(wǎng)絡(luò)的直接連接，減少了內(nèi)部主機(jī)直接受到攻擊的危險(xiǎn)；代理服務(wù)可以提供各種身份認(rèn)證手段，從而加強(qiáng)服務(wù)的安全性；代理防火墻不易受IP地址欺騙的攻擊；代理服務(wù)位于應(yīng)用層，提供了詳細(xì)的日志記錄，有助于進(jìn)行細(xì)致的日志分析和審計(jì)；代理防火墻的過(guò)濾規(guī)則

9、比包過(guò)濾防火墻的過(guò)濾規(guī)則更簡(jiǎn)單。（5） 代理技術(shù)的缺點(diǎn)代理服務(wù)程序很多都是專(zhuān)用的，不能夠很好的適應(yīng)網(wǎng)絡(luò)服務(wù)和協(xié)議的發(fā)展；在訪問(wèn)數(shù)據(jù)流量較大的情況下，代理技術(shù)會(huì)增加訪問(wèn)的延時(shí)，影響系統(tǒng)的性能；應(yīng)用層網(wǎng)關(guān)需要用戶改變自己的行為模式，不能夠?qū)崿F(xiàn)用戶的透明訪問(wèn)；應(yīng)用層代理還不能夠支持所有的協(xié)議；代理系統(tǒng)對(duì)操作系統(tǒng)有明顯的依賴性，必須基于某個(gè)特定的系統(tǒng)及其協(xié)議；相對(duì)于包過(guò)濾技術(shù)來(lái)說(shuō)，代理技術(shù)執(zhí)行的速度較慢。第三章1. 過(guò)濾路由器的實(shí)現(xiàn)：過(guò)濾路由器對(duì)經(jīng)過(guò)它的所有數(shù)據(jù)流進(jìn)行分析，按照預(yù)定義的過(guò)濾規(guī)則，也就是網(wǎng)絡(luò)安全策略的具體實(shí)現(xiàn)，對(duì)進(jìn)出內(nèi)聯(lián)網(wǎng)絡(luò)的信息進(jìn)行限制。允許經(jīng)過(guò)授權(quán)的信息通過(guò)，拒絕非授權(quán)的信息通過(guò)。2

10、. 過(guò)濾路由器優(yōu)缺點(diǎn)（1） 過(guò)濾路由器優(yōu)點(diǎn)：快速、性能高、透明、容易實(shí)現(xiàn)過(guò)濾路由器是從普通路由器發(fā)展而來(lái)，繼承了普通路由器轉(zhuǎn)發(fā)速率快的優(yōu)點(diǎn)；購(gòu)買(mǎi)過(guò)濾路由器比單獨(dú)購(gòu)買(mǎi)獨(dú)立的防火墻產(chǎn)品具有更大的成本優(yōu)勢(shì)；過(guò)濾路由器對(duì)用戶來(lái)說(shuō)是完全透明的；過(guò)濾路由器的實(shí)現(xiàn)極其簡(jiǎn)單。（2） 缺點(diǎn)：過(guò)濾路由器配置復(fù)雜，維護(hù)困難；過(guò)濾路由器只針對(duì)數(shù)據(jù)包本身進(jìn)行檢測(cè)，只能檢測(cè)出部分攻擊行為；過(guò)濾路由器無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)式攻擊；過(guò)濾路由器只針對(duì)到達(dá)它的數(shù)據(jù)包的各個(gè)字段進(jìn)行檢測(cè)，無(wú)法確定數(shù)據(jù)包發(fā)出者的真實(shí)性；隨著過(guò)濾規(guī)則的增加，路由器的吞吐量會(huì)下降；過(guò)濾路由器無(wú)法對(duì)數(shù)據(jù)流進(jìn)行全面的控制，不能理解特定服務(wù)的上下文和數(shù)據(jù)。2. 過(guò)濾

11、規(guī)則（1） 表31給圖填數(shù)據(jù)（2） 由規(guī)則生成策略（協(xié)議具有雙向性，一寫(xiě)就寫(xiě)倆）（3） 逐條匹配深入原則（填空）3. 屏蔽沖突：當(dāng)排在過(guò)濾規(guī)則表后面的一條規(guī)則能匹配的所有數(shù)據(jù)包也能被排在過(guò)濾規(guī)則表前面的一條過(guò)濾規(guī)則匹配的時(shí)候，后面的這條過(guò)濾規(guī)則將永遠(yuǎn)無(wú)法得以執(zhí)行，這種沖突稱(chēng)為屏蔽沖突。4. 堡壘主機(jī)（1） 定義：堡壘主機(jī)是一種網(wǎng)絡(luò)完全機(jī)制，也是安全訪問(wèn)控制實(shí)施的一種基礎(chǔ)組件。通常情況下堡壘主機(jī)由一臺(tái)計(jì)算機(jī)擔(dān)當(dāng)，并擁有兩塊或者多塊網(wǎng)卡分別連接各內(nèi)聯(lián)網(wǎng)絡(luò)和外聯(lián)網(wǎng)絡(luò)。（2） 作用：隔離內(nèi)聯(lián)網(wǎng)絡(luò)和外聯(lián)網(wǎng)絡(luò)，為內(nèi)聯(lián)網(wǎng)絡(luò)設(shè)立一個(gè)檢查點(diǎn)，對(duì)所有進(jìn)出內(nèi)聯(lián)網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行過(guò)濾，集中解決內(nèi)聯(lián)網(wǎng)絡(luò)的安全問(wèn)題。（3）

12、 設(shè)計(jì)原則：a. 最小服務(wù)原則：盡可能減少堡壘主機(jī)提供的服務(wù)，對(duì)于必須設(shè)置的服務(wù)，只能授予盡可能低的權(quán)限；b. 預(yù)防原則：用戶必須加強(qiáng)與堡壘主機(jī)的聯(lián)系，對(duì)堡壘主機(jī)的安全情況進(jìn)行持續(xù)不斷的監(jiān)測(cè)，仔細(xì)分析堡壘主機(jī)的日志，及時(shí)對(duì)攻擊行為作出響應(yīng)。（4） 類(lèi)型a. 內(nèi)部堡壘主機(jī)b. 外部堡壘主機(jī)c. 犧牲主機(jī)5. 多重宿主主機(jī)防火墻實(shí)現(xiàn)方法采用一臺(tái)堡壘主機(jī)作為連接內(nèi)聯(lián)網(wǎng)絡(luò)和外聯(lián)網(wǎng)絡(luò)的通道，在這臺(tái)堡壘主機(jī)中安裝多塊網(wǎng)卡，每一塊網(wǎng)卡都連接不同的內(nèi)聯(lián)子網(wǎng)和外聯(lián)網(wǎng)絡(luò)，信息的交換通過(guò)應(yīng)用層數(shù)據(jù)共享或者應(yīng)用層代理服務(wù)實(shí)現(xiàn)，而網(wǎng)絡(luò)層直接的信息交換是被絕對(duì)禁止的。與此同時(shí)，在堡壘主機(jī)上還要安裝訪問(wèn)控制軟件，用以實(shí)現(xiàn)對(duì)

13、交換信息的過(guò)濾和控制功能。多重宿主主機(jī)有兩種經(jīng)典的實(shí)現(xiàn)：第一種是采用應(yīng)用層數(shù)據(jù)共享技術(shù)的雙宿主主機(jī)防火墻，另一種是采用應(yīng)用層代理服務(wù)器技術(shù)的雙宿主網(wǎng)關(guān)防火墻。6. 雙宿主主機(jī)防火墻（1） 優(yōu)點(diǎn)：作為內(nèi)聯(lián)網(wǎng)絡(luò)與外聯(lián)網(wǎng)絡(luò)的唯一接口，易于實(shí)現(xiàn)網(wǎng)絡(luò)安全策略； 使用堡壘主機(jī)實(shí)現(xiàn)，成本較低。（2） 缺點(diǎn)：a.用戶賬戶的存在給入侵者提供了一種入侵途徑，入侵者可以通過(guò)諸如竊聽(tīng)、破譯等多種手段獲取用戶的賬號(hào)和密碼進(jìn)而登錄防火墻；b.雙宿主主機(jī)防火墻上存在用戶賬戶數(shù)據(jù)庫(kù)，當(dāng)數(shù)據(jù)庫(kù)的記錄數(shù)量逐漸增多時(shí)，管理員需要花費(fèi)大量的精力和時(shí)間對(duì)其進(jìn)行管理和維護(hù)，這項(xiàng)工作是非常復(fù)雜的，容易出錯(cuò)；c.用戶賬戶數(shù)據(jù)庫(kù)的頻繁存取將耗

14、費(fèi)大量系統(tǒng)資源，會(huì)降低堡壘主機(jī)本身的穩(wěn)定性和可靠性，容易出現(xiàn)系統(tǒng)運(yùn)行速度低下甚至崩潰等現(xiàn)象；d.允許用戶登錄到防火墻主機(jī)上，對(duì)主機(jī)的安全性是一個(gè)很大的威脅。用戶的行為是不可預(yù)知的，各種有意或者無(wú)意的破壞都將給主機(jī)帶來(lái)麻煩，而且這些行為也很難進(jìn)行有效的監(jiān)控和記錄。（3） 雙宿主主機(jī)構(gòu)成（填空）：雙宿主主機(jī)防火墻是一臺(tái)具有安全控制功能的雙網(wǎng)卡堡壘主機(jī)，兩塊網(wǎng)卡中的一塊負(fù)責(zé)連接內(nèi)聯(lián)網(wǎng)絡(luò)，另一塊負(fù)責(zé)連接外聯(lián)網(wǎng)絡(luò)。7. 雙宿主網(wǎng)關(guān)（1） 工作原理：在防火墻主機(jī)上安裝各種網(wǎng)絡(luò)服務(wù)的代理服務(wù)器程序。當(dāng)內(nèi)聯(lián)網(wǎng)絡(luò)中的主機(jī)意圖訪問(wèn)外聯(lián)網(wǎng)絡(luò)時(shí)，只需要將請(qǐng)求發(fā)送至雙宿主網(wǎng)關(guān)防火墻相應(yīng)的代理服務(wù)器上，通過(guò)過(guò)濾規(guī)則的檢測(cè)

15、并獲得允許后，再由代理服務(wù)器程序代為轉(zhuǎn)發(fā)至外聯(lián)網(wǎng)絡(luò)指定主機(jī)上。而外聯(lián)網(wǎng)絡(luò)中的主機(jī)所有對(duì)內(nèi)聯(lián)網(wǎng)絡(luò)的請(qǐng)求都由（2） 優(yōu)點(diǎn)a. 無(wú)需管理和維護(hù)用戶賬戶數(shù)據(jù)庫(kù)b. 由于采用代理服務(wù)器技術(shù)，防火墻提供的服務(wù)具有良好的可擴(kuò)展性c. 信息通過(guò)代理服務(wù)器轉(zhuǎn)發(fā)，屏蔽了內(nèi)聯(lián)網(wǎng)絡(luò)的主機(jī)，阻止了信息泄露現(xiàn)象的發(fā)生（3） 缺點(diǎn)a.入侵者只要攻破堡壘主機(jī)就可以直接面對(duì)內(nèi)聯(lián)網(wǎng)絡(luò)，因此防火墻主機(jī)的安全配置非常復(fù)雜且重要b.防火墻本身的性能是影響系統(tǒng)整體性能的瓶頸c.單點(diǎn)失效，一旦防火墻主機(jī)停止運(yùn)行，則內(nèi)聯(lián)網(wǎng)絡(luò)的鏈接將全部中斷d.靈活性較差8屏蔽主機(jī)（1）工作原理過(guò)濾路由器的路由表是定制的，將所有外聯(lián)網(wǎng)絡(luò)對(duì)內(nèi)聯(lián)網(wǎng)絡(luò)的請(qǐng)求都定向

16、到堡壘主機(jī)處，而堡壘主機(jī)上運(yùn)行著各種網(wǎng)絡(luò)服務(wù)的代理服務(wù)器組件，外聯(lián)網(wǎng)絡(luò)的主機(jī)不能直接訪問(wèn)內(nèi)聯(lián)網(wǎng)絡(luò)的主機(jī)，對(duì)內(nèi)聯(lián)網(wǎng)絡(luò)的所有請(qǐng)求必須要由堡壘主機(jī)上的代理服務(wù)器進(jìn)行轉(zhuǎn)發(fā)，對(duì)于內(nèi)聯(lián)網(wǎng)絡(luò)到發(fā)起的連接或由過(guò)濾路由器重新定向到堡壘主機(jī)，對(duì)于特定的主機(jī)和特定的服務(wù)，則直接訪問(wèn)（2）優(yōu)點(diǎn)：a.安全性更高 b.可擴(kuò)展性高 c.屏蔽主機(jī)本身是可靠穩(wěn)定的（3）缺點(diǎn)：在堡壘主機(jī)和其他內(nèi)聯(lián)網(wǎng)絡(luò)的主機(jī)放置在一起，他們之間沒(méi)有一道安全隔離屏障，如果堡壘主機(jī)被攻破，那么內(nèi)聯(lián)網(wǎng)絡(luò)將全部曝光于攻擊者的面前9 屏蔽子網(wǎng)（1）非軍事區(qū)DMZ：又稱(chēng)屏蔽子網(wǎng)，在用戶內(nèi)聯(lián)網(wǎng)絡(luò)和外聯(lián)網(wǎng)絡(luò)之間構(gòu)建的一個(gè)緩沖區(qū)域，目的是最大限度地減少外部入侵者對(duì)

17、內(nèi)聯(lián)網(wǎng)絡(luò)的侵害，內(nèi)部部署了安全代理網(wǎng)關(guān)（執(zhí)行安全代理功能）和各種公用的信息服務(wù)器（執(zhí)行網(wǎng)絡(luò)層包過(guò)濾）在邊界上，通過(guò)內(nèi)部過(guò)濾器與內(nèi)聯(lián)網(wǎng)絡(luò)相聯(lián)，通過(guò)外部過(guò)濾路由器與外部網(wǎng)絡(luò)相聯(lián)。（2）優(yōu)點(diǎn)：a.內(nèi)聯(lián)網(wǎng)絡(luò)實(shí)現(xiàn)了與外聯(lián)網(wǎng)絡(luò)的隔離，內(nèi)部結(jié)構(gòu)無(wú)法探測(cè)，外聯(lián)網(wǎng)絡(luò)只能知道外部路由器和非軍事區(qū)的存在，而不知道內(nèi)部路由器的存在，也就無(wú)法探測(cè)到內(nèi)部路由器后面的內(nèi)聯(lián)網(wǎng)絡(luò)了b.內(nèi)聯(lián)網(wǎng)絡(luò)安全防護(hù)嚴(yán)密c.降低了堡壘主機(jī)處理的負(fù)載量，減輕了堡壘主機(jī)的壓力，增強(qiáng)了堡壘主機(jī)的可靠性和安全性d.將用戶網(wǎng)絡(luò)的信息流量明確地劃分成不同的等級(jí)，通過(guò)內(nèi)部路由器的隔離作用，機(jī)密信息流受到嚴(yán)密的保護(hù)，減少了信息泄露的發(fā)生（3）缺點(diǎn) 第四章1防

18、火墻性能指標(biāo)（1）可靠性（2）可用性（3）可擴(kuò)展性（4）可審計(jì)性（5）可管理性（6）成本耗費(fèi)2防火墻的評(píng)估參數(shù)（1）吞吐量（2）時(shí)延（3）丟包率（4）并發(fā)連接數(shù)（5）工作模式：路由模式，NAT模式，透明模式（6）配置管理（7）接口的數(shù)量和類(lèi)型（8）日志和審計(jì)參數(shù)3防火墻技術(shù)的發(fā)展趨勢(shì)（1）分布式執(zhí)行和集中式管理：分布式或分層的安全策略執(zhí)行，集中式管理（2）深度過(guò)濾：正常化，雙向負(fù)載檢測(cè)，應(yīng)用層加密和解密，協(xié)議一致性（3）建立以防火墻為核心的綜合安全體系（4）防火墻本身的多功能化，變被動(dòng)防御為主動(dòng)防御（5）強(qiáng)大的審計(jì)與自動(dòng)日志分析功能（6）硬件化（7）專(zhuān)用化第六章 入侵檢測(cè)1入侵檢測(cè)：對(duì)企圖入侵

19、，正在進(jìn)行的入侵或者已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別的過(guò)程2入侵檢測(cè)的作用：（1）識(shí)別并阻斷系統(tǒng)活動(dòng)中存在的已知攻擊行為，防止入侵行為對(duì)受保護(hù)系統(tǒng)造成損害（2）識(shí)別并阻斷系統(tǒng)用戶的違法操作行為或者越權(quán)操作行為，防止用戶對(duì)受保護(hù)系統(tǒng)有意或者無(wú)意的破壞（3）檢查受保護(hù)系統(tǒng)的重要組成部分及各種數(shù)據(jù)文件的完整性（4）審計(jì)并彌補(bǔ)系統(tǒng)中存在的弱點(diǎn)和漏洞，其中最重要的一點(diǎn)是審計(jì)并糾正錯(cuò)誤的系統(tǒng)配置信息（5）記錄并分析用戶和系統(tǒng)的行為，描述這些行為變化的正常區(qū)域，進(jìn)而識(shí)別異常的活動(dòng)（6）通過(guò)蜜罐等技術(shù)手段記錄入侵者的信息，分析入侵者的目的和行為特征，優(yōu)化系統(tǒng)安全策略（7）加強(qiáng)組織或機(jī)構(gòu)對(duì)系統(tǒng)和用戶的監(jiān)督與控制能力，提高

20、管理水平和管理質(zhì)量3入侵檢測(cè)按數(shù)據(jù)來(lái)源劃分： （1）基于主機(jī)的入侵檢測(cè)：通過(guò)分析特定主機(jī)上的行為來(lái)發(fā)現(xiàn)入侵，判斷的依據(jù)是系統(tǒng)內(nèi)的各種數(shù)據(jù)及其相關(guān)記錄優(yōu)點(diǎn)：能夠確定攻擊是否成功 不需要額外的硬件來(lái)主持 能夠適合加密的環(huán)境 可監(jiān)視特定的系統(tǒng)文件缺點(diǎn)：額外產(chǎn)生的安全問(wèn)題 不具有平臺(tái)無(wú)關(guān)性，可移植性差 實(shí)時(shí)性差 依賴性強(qiáng)，檢測(cè)效果取決于日志系統(tǒng) 占用主機(jī)資源，影響主機(jī)性能 如果主機(jī)數(shù)目多，維護(hù)和管理代價(jià)大 隱蔽性差，對(duì)入侵者不透明（2）基于網(wǎng)絡(luò)的入侵檢測(cè)優(yōu)點(diǎn)：具有平臺(tái)無(wú)關(guān)性 不影響受保護(hù)主機(jī)的性能 對(duì)主機(jī)來(lái)說(shuō)是透明的 檢測(cè)范圍廣，監(jiān)測(cè)主機(jī)數(shù)量大時(shí)相對(duì)成本低 實(shí)時(shí)檢測(cè)和響應(yīng) 可檢測(cè)基于底層協(xié)議的攻擊行為缺點(diǎn)：很難發(fā)現(xiàn)應(yīng)用層的攻擊行為 很難處理加密傳輸 對(duì)于交換網(wǎng)絡(luò)的不足 不能及時(shí)有效的分析處理大規(guī)模的數(shù)據(jù) 容易受到拒絕服務(wù)攻擊 很難進(jìn)行復(fù)雜攻擊的檢測(cè)（3）混合式的入侵檢測(cè)4入侵檢測(cè)按檢測(cè)方法劃分：異常檢測(cè)和濫用檢測(cè)（1）異常檢測(cè)根據(jù)系統(tǒng)或者用戶的非正常行為或者對(duì)于計(jì)算機(jī)