基于主机的个人防火墙技术(20170328)

24
2.实现自身IP访问限制
因为所有用户对外只占用一个IP，所以不必租用 过多的IP地址，降低网络的维护成本。这样局域 网内的许多机器，可以通过内网的一台代理服务 器连接到外网。不利一面，如许多网络黑客通过 这种隐藏自己的真实IP地址等信息。
3.提高访问速度
本身带宽较小，通过带宽较大的代理与目标主连 接。
17
2.代理技术
代理防火墙也叫应用层网关（Application Gateway）防火墙。这种防火墙通过一种代理（ Proxy）技术参与到一个TCP连接的全过程。从内 部发出的数据包经过这样的防火墙处理后，就好 像是源于防火墙外部网卡一样，从而可以达到隐 藏内部网结构的作用。这种类型的防火墙被网络 安全专家和媒体公认为是最安全的防火墙。它的 核心技术就是代理服务器技术。
合法数据包
Internet
外部网络 内部网络 非合法数据包
基本防火墙示意图
2.防火墙功能 (1)防火墙是网络安全的屏障
一个防火墙(作为阻塞点、控制点)能极大地提高一个内 部网络的安全性，并通过过滤不安全的服务而降低风险。 由于只有经过精心选择的应用协议才能通过防火墙，所以 网络环境变得更安全。 防火墙可以保护网络免受基于路由的攻击，如IP选项中 的源路由攻击和ICMP重定向中的重定向路径。防火墙应该 可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
51
Step 1：设置பைடு நூலகம்数
选择“系统” →“参数设置”命令，即可打开“ 运行参数设置”对话框 。
52
Step 2：搜索验证设置 在“搜索验证设置”选项卡中，勾选 “启用先ping后连的机制”复选框，其它选 用默认值 。 如果网络的带宽无法承受那么多数量 的并发连接，请相应的把并发参数设置的 小一点比如可以设置到50之类的。
35
“日志设置”对话框
“高级”选项卡
36
Step 5：在ICMP选项组中单击“设置”按钮， 在打开的“ICMP设置”对话框中选择是否勾 选各个选项，可以保证计算机的一些信息不 会对外泄露，若取消勾选“允许传入回显请 求”复选框 ，则需要先在“描述”选项组中 可以看到这个选项的介绍，此时把445端口关 掉之后，即可取消勾选此复选框。
32
Step 3：在“Windows防火墙”对话框中切 换到“例外”选项卡，在这可以添加程序 和端口例外，以允许特定的传入通信，并 可以为每个例外设置范围。如果开放某个 端口，则对这个端口的访问将被允许。端 口或服务可以在例外选项中设置或通过指 定指定应用程序的方法设置，如果开放端 口的服务不是一个应用，则可以设置开放 的协议和端口号。
10
（2）只有符合安全策略的数据流才能通过防火墙 防火墙最基本的功能是确保网络流量的合法 性，并在此前提下将网络的流量快速地从更重 要的链路转发到另外的链路上去。 （3）防火墙自身应具有非常强的抗攻击免疫力 防火墙处于网络边缘，它就像一个边界卫士 一样，每时每刻要面对黑客入侵，这就要求防 火墙自身要具有非常强的抗攻击能力。
代理类型防火墙的最突出的优点就是安全。 由于每一个内外网络之间的连接都要通过Proxy的 介入和转换，通过专门为特定的服务如Http编写 的安全化的应用程序进行处理，然后由防火墙本 身提交请求和应答，没有给内外网络的计算机以 任何直接会话的机会，从而避免了入侵者使用数 据驱动类型的攻击方式入侵内部网。
37
“ICMP设置”对话框
38
实验二 瑞星防火墙
39
瑞星防火墙----工作状态
40
瑞星防火墙----系统信息—进程信息
41
瑞星防火墙----系统信息—网络连接
42
瑞星防火墙--访问控制—程序规则
43
瑞星防火墙--访问控制—模块规则
44
瑞星防火墙--访问控制—选项
45
瑞星防火墙—查看日志
策略来决 定转发或 阻止数据 包
屏蔽路由器
内部 网络
2.双宿主/多宿主堡垒主机
它是一种非常简单 的防火墙模式，通 过在堡垒主机上安 装有配置网络控制 软件来实现的。 堡垒主机同时连接 着内、外部网络， 担当起全部的网络 安全维护责任。
internet
多端口主机
内部网络
28
3.屏蔽主机
在路由器后面增加一个用于安全控制的计算机， 充当堡垒主机，这就是“屏蔽主机防火墙”。 这种设计采用屏蔽路由器和堡垒主机双重安全设 施，所有进出的数据都要经过屏蔽路由器帮堡垒主 机，保证了网络级和应用级的安全。 路由器进行包过滤，堡垒主要进行应用安全控制。
包过滤 路由器
Internet
堡垒主机
内部网
29
实验一 Windows自带的防火墙 在Windows XP系统中，防火墙建立在 用户计算机与因特网之间，它可以让用户 请求的数据通过，而阻碍没有请求的数据 包，是一个基于包的防火墙。
对Windows XP系统自带的防火墙进行设置 的具体操作步骤如下 ：
8
(4) 防止内部信息的外泄
通过利用防火墙对内部网络的划分，可实现 内部网重点网段的隔离，从而限制了局部重点或 敏感网络安全问题对全局网络造成的影响
9
3.特性 （1）内部网络和外部网络之间的所有网络数 据流都必须经过防火墙 这是防火墙所处网络位置的特性，同时 也是一个前提。因为只有当防火墙是内、 外部网络之间通信的唯一通道时，才可以 全面、有效地保护内部网络不受侵害
25
4.访问一些不能直接访问的网站
互联网上有许多开放的代理服务器，客户在访问 权限受到限制时，刚好客户的访问范围之内，而 这些代理服务器的访问权限是不受限制的，则客 户通过代理服务器访问目标网站就成为可能。
5.安全性得到提高
26
部署防火墙
1.屏蔽路由器
internet
屏蔽路由器作为内外连接 的唯一通道，要求所有报 文都必须在此通过检查。 路由器上安装基于IP层的 报文过滤软件，实现报文 过滤功能。
7
(3)对网络存取和访问进行监控审计
防火墙能记录下所有经过防火墙的访问，并对 这些访问作出日志记录，同时也能提供网络使用情 况的统计数据。 当发生可疑动作时，防火墙能进行适当的报警， 并提供网络是否受到监测和攻击的详细信息。另外 ，收集一个网络的使用和误用情况也是非常重要的 。理由是可以清楚防火墙是否能够抵挡攻击者的探 测和攻击，并且清楚防火墙的控制是否充足。
16
• 动态包过滤
可以动态根据实际应用请求，自动生成或删 除相应包过滤规则，而无需管理人员干预。 这种类型的防火墙采用动态设置包过滤规则 的方法，避免了静态包过滤所具有的问题。这种 技术后来发展成为所谓包状态监测（Stateful Inspection）技术。采用这种技术的防火墙对通过 其建立的每一个连接都进行跟踪，并且根据需要 可动态地在过滤规则中改进和扩展
18
代理服务器
代理服务器，是指代表客户处理在服务器连 接请求的程序。当代理服务器得到一个客户的连 接意图时，它们将核实客户请求，并经过特定的 安全化的Proxy应用程序处理连接请求，将处理后 的请求传递到真实的服务器上，然后接受服务器 应答，并做进一步处理后，将答复交给发出请求 的最终客户。
19
代理服务的作用
(2)防火墙可以强化网络安全策略
通过以防火墙为中心的安全方案配置，能将 所有安全软件(如口令、加密、身份认证、审计等 )配置在防火墙上。与将网络安全问题分散到各个 主机上相比，防火墙的集中安全管理更经济。例 如在网络访问时，一次一密口令系统和其它的身 份认证系统完全可以不必分散在各个主机上，而 集中在防火墙一身上。
防火墙、入侵检测
苏京霞
信息与电子学院信息安全与对抗技术实验室
1
主要内容 防火墙 入侵检测
2
防火墙
3
一、防火墙概述
1.防火墙定义
防火墙是一种特殊的网络控制设施，它处于被保 护网络和其他网络的边界，接收进出被保护网络的数 据流，并根据防火墙所配置的访问策略进行过滤或做 出其他操作。
合法数据包
防火墙
22
代理服务器工作过程
路由器 1.请求
Internet
内部网
代理服 务器
2.请求
4.回应
3.回应
23
代理服务器的功能: 1.连接Internet与Internet充当防火墙。
因为所有内部网的用户通过代理服务器访问外界 时，映射为一个IP地址，所以外界不能直接访问 到内部，但可以设置IP地址过滤，限制内部网对 外部的访问权限。另外，两个没有互联的内部网 ，也可以通过第三方的代理服务器进行互联来实 现信息交换。
15
包过滤技术存在的问题： （1）包过滤技术过滤思想简单，对信息的处理能
力有限。只能访问包头中的部分信息，不能理解 通信的上下文，因此不能提供更安全的网络防护 能力。 （2）当过滤规则增多时，对于过滤规则的维护是一 个非常困难的问题。 （3）包过滤技术控制层次较低，不能实现用户级控 制。特别是不能实现对用户合法身份的认证及对 冒用的IP地址的确定
11
二、防火墙的关键技术
1.包过滤技术 包过滤技术就是通过对各种网络应用、通 信类型和端口的使用来规定安全过滤规则。 符合安全过滤规则的数据包允许通过，不 符合安全规则的数据包拒绝通过。 根据预先的定义执行记录该信息、发送报 警信息给管理人员。
12
• • • • • •
包过滤技术主要是对数据包的包头的各个字段进 行操作 源IP地址 目的IP地址 协议类型（TCP、UDP、ICMP） IP选项 源、目的端口 数据包传递的方向
33
“例外设置”选项卡
34
Step 4：在“Windows防火墙”对话框中， 选择“高级”选项卡，在“安全日志记录 选项组”中单击设置按钮，即打开“日志 设置”对话框，在其中可以创建用于观察 计算机成功的数据连接和丢弃的数据包， 从而分析计算机安全状况，还可以单击“ 另存为”按钮，浏览选择日志文件保存的 路径。
Step 3:勾选“为LAN使用代理服务器”复选 框，并填入代理服务器的地址和端口。
50
2. “代理猎手”使用实践
免费的代理服务器地址一般不公开，需要用户 在网络上进行搜索得到，现在也有不少搜索免费 代理服务器的软件，其中以国产的免费代理服务 器搜索软件—代理猎手最为优秀。 它将代理的搜索和验证功能集合于一体，并提 供有如管理、调度代理等新功能。最大的特点是 搜索速度快，最快可以在十几分钟内搜索完整个B 类地址65536个地址。
46
实验三 代理服务器 • Windows代理服务器的设置 • “代理猎手”使用实践
47
1.代理服务器设置
Step 1：
在IE浏览器中选 择“工具”→ “Internet选项” 命令，打开 “Internet选 项”对话框。
48
Step 2：在“连接”选项卡中，单击“局域网设置”
按钮，打开“局域网设置”对话框。
53
设置搜索参数
54
Step 3 ：设置“验证数据设置”选项卡，可以添
加、修改和删除“验证资源地址”及其参数。
• 静态包过滤
静态包过滤防火墙是根据流经该设备的数据包地址信息， 来决定是否允许该数据包通过。 这种类型的防火墙根据定义好的过滤规则审查每个数据包 ，以便确定其是否与某一条包过滤规则匹配。过滤规则基于 数据包的报头信息进行制订。
简单包过滤防火墙
14
包过滤技术的优点：
（1）包过滤技术实现简单、快速。经典的解决方案 只需要在内部网络与外部网络之间的路由器上安 装过滤模块即可。 （2）包过滤技术的实现对用户是透明的。用户不需 要改变自己的网络访问行为模式，也不需要在主 机上安装任何的客户端软件，更不用进行任何的 培训。 （3）包过滤技术的检查规则相对简单，因此检查操 作耗时极短，执行效率非常高，不会给用户网络 的性能带来不利的影响。
20
传统代理型防火墙
传统代理型防火墙
21
代理服务工作过程
1.当外部网的用户访问内部网某个应用服务 器时，实际上是向运行在防火墙上的代理 服务软件提出请求，建立连接 2.由代理服务器代表其向要访问的应用系统 提出请求，建立连接。 3.应用系统给予外部网用户以响应。 4.代理服务器给予外部网用户响应。
30
Step 1：在“控制面板”窗口中双击“Windows防 火墙”图标，即可启动Windows防火墙主程序。
31
Step 2:在“Windows防火 墙”对话框中，选择“ 常规”选项卡，勾选“ 不允许例外”复选框， Windows系统防火墙将 阻止所有连接到本地计 算机的请求，甚至包括 请求来自“例外”选项 卡上列出的程序或服务 。