文档介绍:第九章防火墙与入侵检测2内容提要本章介绍两部分的内容:防火墙和入侵检测技术。介绍防火墙的基本概念,常见防火墙类型以及如何使用规则集实现防火墙。介绍入侵检测系统的基本概念以及入侵检测的常用方法如何编写入侵检测工具以及如何使用工具实现入侵检测。防火墙的定义防火墙的本义原是指古代人们房屋之间修建的墙,这道墙可以防止火灾发生的时候蔓延到别的房屋,如图9-1所示。防火墙的定义这里所说的防火墙不是指为了防火而造的墙,而是指隔离在本地网络与外界网络之间的一道防御系统。在互联网上,防火墙是一种非常有效的网络安全系统,通过它可以隔离风险区域(或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍安全区域对风险区域的访问,网络防火墙结构如图9-2所示。防火墙的功能根据不同的需要,防火墙的功能有比较大差异,但是一般都包含以下三种基本功能。可以限制未授权的用户进入内部网络,过滤掉不安全的服务和非法用户防止入侵者接近网络防御设施限制内部用户访问特殊站点由于防火墙假设了网络边界和服务,因此适合于相对独立的网络,例如等种类相对集中的网络。上的网站中,超过三分之一的站点都是有某种防火墙保护的,任何关键性的服务器,都应该放在防火墙之后。防火墙的必要性随着世界各国信息基础设施的逐渐形成,国与国之间变得“近在咫尺”。已经成为信息化社会发展的重要保证。已深入到国家的政治、军事、经济、文教等诸多领域。许多重要的政府宏观调控决策、商业经济信息、银行资金转帐、股票证券、能源资源数据、科研数据等重要信息都通过网络存贮、传输和处理。因此,难免会遭遇各种主动或被动的攻击。例如信息泄漏、信息窃取、数据篡改、数据删除和计算机病毒等。因此,网络安全已经成为迫在眉睫的重要问题,没有网络安全就没有社会信息化防火墙的局限性没有万能的网络安全技术,防火墙也不例外。防火墙有以下三方面的局限:防火墙不能防范网络内部的攻击。比如:防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令,并授予其临时的网络访问权限。防火墙不能防止传送己感染病毒的软件或文件,不能期望防火墙去对每一个文件进行扫描,查出潜在的病毒。防火墙的分类常见的放火墙有三种类型:1、分组过滤防火墙;2、应用代理防火墙;3、状态检测防火墙。分组过滤():作用在协议组的网络层和传输层,根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过,只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端,其余的数据包则从数据流中丢弃。应用代理():也叫应用网关(),它作用在应用层,其特点是完全“阻隔”网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。状态检测():直接对分组里的数据进行处理,并且结合前后分组的数据进行综合判断,然后决定是否允许该数据包通过。分组过滤防火墙数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃所各个数据包。通常情况下,如果规则中没有明确允许指定数据包的出入,那么数据包将被丢弃一个可靠的分组过滤防火墙依赖于规则集,表9-1列出了几条典型的规则集。第一条规则:,基于协议的数据包都允许通过。第二条规则:,基于协议的数据包允许通过。第三条规则:,如果基于协议的数据包都禁止通过。***2允许**3禁止*<1024