信息安全技术

信息安全需求

＞PMP职业道德需求

＞IS09001:2008要求

＞实际风险带来的需求

PMP职业道德需求

PMI项目管理行业职业道德规范

•条款一：项目管理专业人员应保持较高的个人和职业行为标准并且:

-G:遵守工作所在国家的法律（注：很多法律涉及信息安全）。

•条款三：在与雇主和客户的关系中,项目管理专业人员应：

-B:无论是在在聘期间或离职之后，对雇主和客户没有被正式公开的业务和

技术工艺信息应予以保密。

IS09001:2008要求

1509001:2008第7.5.4条款“顾客信息”中“若顾客财产发生丢失、损坏

或发现不适用的情况时，应报告顾客，并保持记录。”

注解：顾客财产包括知识产权和个人信息

实际风险带来的需求

某著名公司为某运营商提供系统集成某项服务，由于管理不善，该公司某员

工离职后将客户信息出卖给敌对国家和组织，给国家带来了很大危害，导致该公

司几乎退出通信行业，出卖信息者也受到了严厉惩罚。

信息安全技术体系的各种技术

物理安全环境安全、设备安全、媒体安全

＞系统安全操作系统安全、数据库系统安全

＞网络安全入侵检测、VPN、网络隔离、访问控制、扫描评估

＞应用安全Email安全、Web访问安全、内容过滤、应用系统安全

＞数据加密硬件加密、软件加密

＞认证授权口令认证、证书认证

＞访问控制防火墙、访问控制列表

A审计跟踪入侵检测、日志审计、辨析取证

＞网络防病毒：单机防病毒监测、网络整体防病毒体系

＞灾难恢复与备份：数据存储和备份技术、数据备份计划、灾难恢复计划

项目中涉及的信息、系统及设备

＞项目计划、技术资料、客户系统及配置

＞项目管理系统、电子邮件系统、OA系统、及时消息系统、视频会议系统

＞服务器、数据库、桌面机及笔记本、网络设备、移动通信设备如手机等

什么是信息

＞对现代各种组织来说，信息是一种资产，除了传统上的专利、标准、商业机

密、文件、图纸、管理规章、关键人员等，还包括计算机和网络中的数据。

＞信息本身是无形的，但借助于各种信息媒体，可以以多种形式存在或传播，

如存储在纸张、磁带、磁盘、光盘和计算机中，也可以记忆在人的大脑里，

还可以通过网络、打印机、传真机等方式进行传播。

＞信息资产一旦受到破坏，如非法曝光、篡改或者无法使用则会给组织带来一

系列的损失。如“冰山原理”，能直接感知到的损失，只是全部损失的冰山

一角，潜藏在水面下的部分，可能会是直接损失的6~53倍，这包括：损失

了时间、替代的成本、可能的法律风险、声誉下降、丢失潜在的业务、竞争

力和生产力降低等。这些损失是我们不愿意面对的，因此信息安全越来越成

为我们关注的热点问题。

信息安全事件案例

＞美国媒体报道，名列《财富》全球1000强的大公司，平均每年发生2.45次

的商业间谍事件，损失总数高达450亿美元。商业机密关系到企业的生死存

亡。在竞争激烈的商场上，将自己生产、管理、销售的信息拱手让人，无异

于置己于绝境。商业间谍案件的频发警示中国企业与国际接轨时一定要提高

保密意识，为自己构筑起防护墙。

＞力拓“间谍门”事件近期引发广泛关注，力拓有关人员通过不正当手段窃取

中国的国家秘密，直接经济损失4000亿~7000忆！严重危害中国的经济安全

和利益，目前此案正在审理中。在经济全球化的今天，无孔不入的商业间谍

让一些跨国企业又爱又恨，也让各国政府头疼不已。

＞澳大利亚力拓公司驻上海办事处四人被上海市国家安全局以涉嫌窃取中国

国家秘密拘捕。至少已有22人在这次风暴中受到处理。

＞据保密系统内部人士透露，以往处理泄密人员只是轻描淡写，“一个人有的

就泄密儿百份上千份，只给了行政处分甚至处分不了"，这次，不排除追究

刑责的可能。

＞国家保密局局长夏勇此次向人大常委会所作报告中，称保密法是因应''新情

况和新问题”而改，其中最主要的挑战来自互联网：内司委的调研报告称，

计算机泄密案发数已占70%。

什么是信息安全

＞按照27001术语定义

•信息安全是指保持信息的保密性、完整性、可用性，另外也可包括例如

真实性、可核查性、不可否认性和可靠性等。

＞在商业领域，信息安全是

•保护信息免受各种威胁的损害，以确保业务连续性，使业务风险最小化,

使投资回报和商业机遇最大化。

•现代社会，信息的产生、使用等已经离不开信息系统，因此信息安全也

需要更加关注信息系统的安全。

•保护信息系统的硬件、软件及相关数据，使之不因为偶然或者恶意侵犯

而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行。

什么是信息安全管理体系

＞要做好信息安全工作，除了采用技术措施如部署各种信息安全产品而直接、

高效地解决问题外，还需要采用技术之外的管理措施来弥补技术的不足并提

升技术和产品的价值。

＞信息安全管理体系(InformationSecurityManagementSystem,ISMS)是

一个组织的整体管理体系的有机部分，是组织在整体或特定范围内建立信息

安全方针和目标，以及完成这些目标所用方法的系统。

建立信息安全体系的益处

＞增加竞争力

一降低信息安全风险，进一步提高风险管理能力

—实现私有信息的最佳化管理

一维护良好的公众形象、有利争取订单

＞实现合规性

一满足政府、行业主管机构的监管、审计要求

一完善内部信息保障架构

一加固商业机密保护与隐私保护

＞达到客户要求

—服务质量达标：不中断客户服务

一满足来自业务伙伴及客户的安全审计要求

建立信息安全管理体系的过程：

＞制定政策-信息安全方针文档

＞确定范围91sMs范围文档

＞资产识别分资产清单

＞风险评估分风险评估文档

＞选择控制-选择控制目标和控制措施

＞体系运行分运行计划和运行记录

＞体系审核-审核计划与审核记录

＞管理评审-评审计划与评审记录

＞体系认证-认证申请及认证证书

控制目标和控制措施

11个域，39个控制目标，133个控制措施

----、安全方针(SecurityPolicy)

一二、信息安全组织(SecurityOrganization)

一三、资产管理(AssetManagement)

一四、人员安全(PersonnelSecurity)

一五、物理与环境安全(PhysicalandEnvironmentalSecurity)

一六、通信与运营管理(CommunicationsandOperationsManagement)

—匕、访问控制(AccessControl)

一八、系统开发与维护(SystemsDevelopmentandMaintenance)

一九、信息安全事故管理(InformationIncidentManagement)

一十、业务持续性管理(BusinessContinuityManagement)

—I—、法律符合性(Compliance)

信息安全管理体系的实施过程

准备阶段分实现阶段分运行阶段少认证阶段分项目结束

准备阶段：

＞项目启动

＞前期培训

＞预先审核

＞业务分析：通过采用访谈、调查方式了解核心与支持性业务，了解业务对资

源的需求，开展业务影响分析

＞风险评估

实现阶段：

＞风险处理：针对风险问题做文件编写规划，做BCP规划，做技术方案规划

＞文件编写：编写ISMS各级文件，多次Review及修订，管理层讨论确认

＞发布实施：ISMS实施计划，体系文件发布，控制措施实施

＞中期培训：全员安全意识培训，ISMS实施推广培训，必要的考核

运行阶段：

＞认证申请：与认证机构磋商、准备材料申请认证、制定认证计划、预审核

＞后期培训

＞内部审核：制定审核计划、制定Checklist、执行内部审核、不符合项整改

＞管理评审：信息安全管理委员会组织ISMS整体评审，纠正预防

认证阶段：

＞认证准备：准备送审文件，安排部署审核事项

＞协助认证：内部审核小组陪同协助，应对审核问题

文件体系列表

＞一•级文件：全组织范围内的信息安全方针，以及下属各个方面的策略方针等,

至少包括：信息安全方针、风险评估报告、适用性声明(SsA)0

＞二级文件：各类程序文件，至少包括：

一风险评估流程

一风险管理流程

一风险处理计划

一管理评审程序

一信息设备管理程序

一信息安全组织建设规定

一新设施管理程序

一内部审核程序

一第三方和外包管理规定

一信息资产管理规定

一工作环境安全管理规定

一介质处理与安全规定

一系统开发与维护程序

一业务连续性管理程序

—法律符合性管理规定

一信息系统安全审计规定

一文件及材料控制程序

＞三级文件：具体的作业指导书，描述了某项任务具体的操作步骤和方法，是

对各个程序文件所规定的领域内工作的细化。

＞四级文件：各种记录文件，包括实施各项流程的记录成果。这些文件通常表

现为记录表格，应该成为ISMS得以持续运行的有力证据，由各个相关部门

自行维护。

典型技术篇一信息安全技术

第三讲数据加密

数据加密需求

现有解决方案的缺陷

统一数据加密解决方案的优势

企业数据保护

用户需求：众多保护不能解决的问题

很多情况下，现有的防护网式的安个措施是不够的

移动用户经常到外部网络

电脑丢失或被恶意窃取

服务器托管在外部

安全性

全盘加密一“关机安全”

“加密计算机所有数据”

“操作系统启动前认证”

加密/解密“后台运行”

文件加密-“开机安全”

加密本地/远程文件/目录

使用时认证

加密文件内容

密文传输

数据库安全的驱动力

90%以上的企业数据郡保存在数据库里，这些数据可能是遗留下来没用的，可

能是新的，也很有可能足完个不同类别的数据。

每天都会发生敏感信息被破坏泄露的事件。

数据库成为一些有组织的犯罪团伙的犯罪目标，以此获取个人身份信息。

避免负债：

1.三年多的时间里，有2.17亿美国人个人信息被盗或泄露。

2.每次数据被盗造成的平均损失630万美元

具体来说，企业（数据库和应用程序）用户需要透明的处理各种数据来源和在操

作、管理和报告方面的简化。

混合数据库环境■传统

WEB服

-多个数据库单机的本地安全性

-单独的管理控制台，往往是单独的命令行驱动

-多管理员驱动操作使成本上升

-数据库服务器处理过程加密降低性能

-遵守法规的梦魇

当前数据库环境的安全挑战

安全性

•密钥存放在本地数据库服务器中，安全性很差

•多种模式需要不同厂家的补丁

•不提供职责分工

性能

•数据库服务器执行加解密操作会严重影响服务器性能

•大批量处理文件更难

适应性

•每个数据库需要它自己的安全管理

•不绑在特定的厂商上一Oracle,IBMDB2,SOL静态部署

可管理性

•每个应用均会配备一个数据库，带有不同的管理控制台

•需要多个管理员来管理不同数据库

•安全策略管理分散在不同的数据库里

可用性

•安全功能的分散导致更多系统漏洞

•安全功能缺少冗余

保护数据资产

法规规范

确保强有力的控制&安/

全审核跟踪/

1/集中的密钥&策略管理

降低成本&化域从窄

确保可管理性和最大限彘邓

备」」/确1

低运行成*1

DataSecure企业级加密和密钥管理平台

DataSecure企业级加密

DataCen

系统优势

安全性

•基干硬件，中心密钥和策略管理

•FIPS/CC认证

•认证和授权

高性能

•高性能加密处理，超过10000TPS

•批量处理海量数据

•有效的备份/恢复功能，可选本地加密

灵活性

•支持多种不同的环境（应用系统，数据库，文件系统和大型机）

•支持公开标准和API

•广泛的企业部署模型

可管理性

•直观，易用的管理

•职责分离

•中心策略管理

可用性

•高可用性和集群

•负载均衡，运行状况检查和容错机制

•地理位置分布式冗余备份

安全性

集中安全管控

•安全管理员控制数据保护策略

•在单一设备上集中创建并存储密钥，减少薄弱点

•多重管理控制

•职责分离，数据库管理员仅仅管理数据，安全管理员仅仅管理密钥

•日志、审计和报警。对所有的数据库和应用程序进行全面、安全、集中记录

和审计。

FlpS140-2Level2&CommonCriteria认证的解决方案

•密钥与机密数据分开保存，数据库任何的泄露也只能拿到加密的数据

身份认证和授权

•多因素系统与系统间身份认证和访问控制

•细粒度、基于密钥的加密策略

高性能

分担加密负载

•优化的高性能硬件

•减轻数据库和应用服务器负载，无需执行耗费大量CPU计算能力的加密运算,

使整体性能更高

•每个请求不到300微妙的延迟

批处理

•执行批量加解密以获得高性能

•超过lOOkTPS

•易与现有应用系统集成

灵活性

适合异构环境

•综合的企业级解决方案

•Web,应用系统，数据库，大型机或者文件系统

•数据中心或者分布式环境

•开放的基于标准的APIs和加密协议

扩展性

•多种型号提供从2,500TPS到100,000TPS处理能力

•集群模式进一步提升处理能力和冗余能力

•模块式许可架构提供高性价比扩展

可管理性

直观的管理

•图形和命令行界面

•鼠标点按式策略管理

加解密权限管理

密钥管理

网络和系统管理

•类似于交换机或者路由器那样的简单配置

职责分离

•安全管理员管理安全

•最大化生产效率，最小化责任风险

可扩展的管理平台

•与企业中其他组成部分协调一致

•通用的管理协议和过程

•标难化实现和集成方式

可用性

集群

•密钥和策略在集群中所有

•Datasecure设备之间共享和复制

负载均衡

•连接器软件能够在一组设备之间实现负载均衡

•多层次负载均衡能够在多个可选设备之间实现透明容错

集成DataSecure到应用系统

应用系统连接器

•Microsott.NET,CAPI

•JCE(JaVa)

•PKCS#11(C/C++)

•SafeNetlCAPI(CIC++)

•Z/OS(Cobol,ASSembler,etC.)

•XML

事实上支持所有的应用服务器和web服务器环境

Customer

Database

E-CommerceReporting

ApplicationApplication

SafeNet

DataSecure

使用DataSecure加密数据库1

数据库连接器

•oracle8i,9i,10g,llg

•IBMDB2versions8,9

•MicrosoftSQLSerVer2000,20052008

•Teradata

无需改动应用

数据批量处理以适应大量数据集

使用DataSecure加密数据库2

文件系统连接器

•WindowsServer2003

•Linux

•WindowsXP,VISta

文件加密密钥（FEKs）在文件服务器进行加密

FEKs保护密钥（KEK）保存在Datasecure设备中

策略在Datasecure管理，推送到文件服务器

使用ProtectDrive-启动

•后台自动加密/解密，无需用户操作

•开启电脑，待BloS检测通过之后，出现用户认证画面，这时候操作系统还

没有启动

•使用和windows登陆相同的用户名/密码

•这个画而登陆后Windows不用再输入登陆密码

SafeNet

ProtectDrive

UwlO

全盘加密好处

•关机安全的静态数据解决方案，主要用于移动笔记木电脑和有重要数据的服

务器的加密

•方便的安装部署，支持A0集中管理

•启动前身份认证，用户与Windows用户集成

•支持静态密码和USB令牌认证

•极其容易使用，用户透明，移动媒体设备（U盘/移动硬盘）管理

•高效的加密引擎，用户感觉不到的性能损失

企业数据保护

客户数据

个人数据

灾备设备

财务数据

应用服务器

Web服务器

文件服务整

移动和建的设

合作伙伴

CZ4^IFH什二--

在所有的系统关键八占八JzL

需要完整硼解施

单一解决方案=更安全

•单一FIPS认证的硬件设备减少薄弱点。

•数据和密钥的单独加密一文件和密钥单独存放，因此数据库任何的泄露也只

能拿到加密的数据。

•中央身份验证和授权可以使组织建立安全访问策略，以管理用户和应用程序

的访问。

•职责分离一数据库管理仅管理数据，当然他们需要密钥登录。安全管理员仅

仅管理密钥，而不管理数据。

第四讲身份认证

内容

•强身份认诫需求

•动态令牌原理

•动态令牌身份认证的应用

•USB令牌和PKI原理

•USB令牌身份认证的应用

信息安全技术：电子商务的发射器

•电子商务和企业安全需要实现信息安全的每个阶段

•信息安全的最基本需求是身份认证和PKI

第四阶段

7±\

数据的完整性和私密性

密码可靠吗

•密码容易被窃取

■从您的身后窥视您正在键入的口令

■发现保留在纸上的口令

■猜测口令："password”、用户名、生日

■口令破解："Crack"、"LOphtCrack"、CrackerJack”

•太多的密码让用户难以管础

•密码维护成本很高

•最弱的验证机制

跨越密码的原因

•开通新商业途径：让客户、伙伴及员工访问增强的商务应用

•遵从法规：遵从相关行业法规(sox,HIPAA,FDApart11,BaselII,and

others)

•提高生产力：让用户利用更多时间在增值的活动上

•节减开支：减轻密码和身份管理成本

•吸引客户：解决需要安全客户的需求

身份认证的选择

PINPIN

++

动态令牌原理

OTP组件

令牌动态的只能成功使用次

时间同步令牌

认证服务器

令牌拥有自己的内服务器时钟独立-、

令牌种子

「■部时钟’时钟运行

使用.

组合当前的时间和种子,在服

经过散列运算以后运算

散列

恪输出结果截取到

’所希望的长度

事件同步令牌

事件同步令牌认证服务器

@令牌拥有自己的按服务器计数独立;

令牌种子

XTX键计数彳工按键计数

使用

组合当前的按键计数和.在服

子,经过散列运算以后运算

散列

恪输出结果截取到

,所希望的长度

?.小：；：；「，力？

挑战响应令牌

I从令牌上读取响应码

II并在登录界面中输入

硬件令牌

•eTokenPASS

■OATHCompliant

■事件和时间同步

•GOLD

■PIN保护，挑战相应模式

•提供现有客户Alpine和Platimulltokens令牌

软件令牌

•让您的移动设备实现双因素身份认证

•工作在主流平台上

■BlackBerry

■Palm

■WindowsMobile

■支持J2ME的移动设备

■Windows桌面

•SMS/SMIP文木方式发送0IP

•MobilePass工作间

■软令牌管理，用户自助部署，请求一个0Tp

•不需要部署、维护并且携带一个额外设备

•易于音部署、维护成木低并且快速部署

动态令牌身份认证的应用

应用：保护信息资产

•保护您最重要的信息资产和应用

■CitrixApplications

■MicrosoftOutlookWebAccess

■VPN:Cisco,CheckPoint,Juniper,Aventail,Nortel等

■网络基础架构设备:路由器、交换机、防火墙等

■MicrosoftIAS/ISA/IIS

■终端服务/远程桌面

■Windows域登录

Domain登陆

•使用动态令牌登陆微软域环境

LogOntoWindows

F

StCU»ECOMPUIING,

Saf^Mord.♦

—Zo^d7Z<♦*，_M__a_y_k_*_•_-_____3

Username:[Administrator

Eassword:11

Logonto:|sWEDEMO

「Logonusing刎-upconnection

EhleryouPremierAccesspassworc

OK|Caned

YourPremierAccesspasswordisonlyrequret

PremierAccess-protecteddomains.

USB令牌技术和PKI介绍

对称密钥加密

•使用相同密钥加密和解密信息

•双方需要共享密钥

•只用使用正确的密钥才能解开密文

•关键点是如何分发或者发送共享密钥给对方

•已知的同步加密算法：DES,3DES,DESX,AES,RC2,RC4,RC5,BLOWFISH,

AES,ETC..

•128位属于强对称密钥

非对称密钥加密

•非对称算法使用不同的密钥进行加密和解密

•无法从加密密钥推算出解密密钥

•加密密钥可以公开一一我们成为公钥，允许任何人使用此密钥加密

•只有合法的拥有解密密钥的接收者一一文明称为私钥，可以解密消息

•安全性依赖于私钥保存的安全性

基于证书的挑战响应身份认证

h

GenerateServer

random

challenge

Sifted〃狂。

RcmdoinC为

RetrieveUser2Public

Kev

SenerDatabase

Certificate

Certificate

Certificate

eToken设备

•eTokenPRO

■USB接口，不需要读卡器的智能卡令牌

■给强身份验证和凭证存储提供高度安全性

•eTokenPROSmartcard

■eTokenPRO是传统智能卡款式的令牌

•eTokenNG-OTP

■提供OTP（一次性密码）功能的USB接口智能卡令牌

•eTokenNG-FLASH

■含闪存提供便携式大量数据存储功能的USB接口智能卡令牌

后台服务器必须提供的功能

•备份和恢复令牌中的证书、密钥和登陆凭证

•安全地处理令牌丢失和损坏问题

•基于角色方式来访问

•基于web方式的用户自助服务，帮助台和管理员管理工具

•通过电话远程重置被锁定的用户PIN码

•雇员在出差的时候丢失令牌的紧急处理

•完全的审计和报表功能

•使用密钥来加密数据库

USB令牌用于windows域登陆

•需要WindowsCA支持

•USB存储智能卡用户证书

•拔掉USB自动锁定Windows

•提高系统安全性，用户使用更加方便

USB令牌用于终端服务

•本地的智能卡/usb令牌就可以被映射到远程服务器

•使用本地的智能卡/令牌登陆远程服务器应用

USB令牌用于安全电子邮件

•Usb存储电子邮件证书

•邮件客户端支持S/MIME

USB令牌用于VPN访问（IPSECVPN）

•需要CA支付

•USB存储VPN登录证书

•VPNI配置证书认证

•连接时候输入USB密码

•运用于大多数的IPSECVPN网关

USB令牌用于VPN访问（SSLVPN）

•选择使用USB中的证书登陆

•输入USB密码口令

•适用于大多数的SSLVPN网关

USB令牌用于网上银行

•证书下载

•插入USB

•登陆到网上银行安全站点

•选择USB中存储的证书

•输入USB的保护口令，就可以开始交易了

数据安全

•eToken的数据安全解决方案包括：

•计算机启动保护，文件和数据加密

•可以与全盘加密软件相配合

•加强电子邮件的安全

•数字签名实现不可否认性

单点登陆解决方案

•eTokenSimpleSign-On

■安全存储并且自动地填写CIS应用程序的登陆凭证

•eTokenWebSign-On

■安全存储并且自动地填写web应用程序的凭证和表单数据

•eTokenNetworkLogon(GINA)

■安全存储并且自动地填写windows网络登陆凭证

■可以强制使用usb中的凭证登陆

•基于eToken的单点登陆解决方案，可以实现使用简单但是更加安全地访问

企业IT资源

第五讲防火墙技术原理

主要内容

•防火墙技术原理

•访问控制及访问控制列表

防火墙技术原理

•防火墙概要介绍

•防火墙功能及原理

•防火墙典型应用

•防火墙存在的问题

防火墙的定义

一种高级访问控制设备，置于不同网络安全域之间，它通过相关的安全策略来控制(允许、

拒绝、监视、记录)进出网络的访问行为

安全域1安全土

①HostAHostB

S■HostCI

S昌

Si

.两个安全域之间通s

信流的唯一通道

SourceDestinationPermitProtocol

HostAHostCPassTCP

HostBHostCBlockUDP

根据访问控制规则决

定进出网络的行为

防火墙核心技术

传输层Segment

吟Packet

网络接Frame

I」层

BitFlow

•1、包过滤(Packetfiltering):工作在网络层，根据数据包头中的IP、端口、协

议等确定是否允许数据包通过。

•2、应用代理(ApplicationProxy):工作在应用层，通过编写应用代理程序，实

现对应用层数据的检测和分析。

•3、状态检测(StatefulInspection):工作在2-4层，控制方式与1同，处理的对

象不是单个数据包，而是整个连接，通过规则表和连接状态表，综合判断是

否允许数据包通过。

4、完全内容检测(CompeleteContentInspection):工作在2-7层，不仅分析数

据包头信息、状态信息，而且对应用层协议进行还原和内容分析，有效防范

混合型安全威胁。

包过滤防火墙技术原理

包过滤防火力

am铲网

应用代理防火墙技术原理

应用代理防火孑

状态检测防火墙技术原理

完全内容检测防火墙技术原理

IP层开始攻击主服务器硬盘数据

网络层保护强▲

应用层保护强III

会话保护很强III还原会送

网络接口层上下文相关

前后报文有联系报文3X?TCP硬盘数据

I

报文2T?TCP主眼务海

报文1TPTCP开蛤攻击

TTT™

III

防火墙体系结构

•过滤路由器

•多宿主主机

•被屏蔽主机

•被屏蔽子网

过滤路由器

•过滤路由器作为内外网连接的唯一通道，通过ACL策略要求所有的报文都

必须在此通过检查，实现报文过滤功能。

•它的缺点是一旦被攻陷后很难发现且不能识别不同的用户（没有日志记录〉。

进行包过滤

双宿主主机

•双宿主主机优于过滤路由器的地方是:堡垒主机的系统软件可用于维护系统

日志。

•它的致命弱点是:一旦入侵者侵入堡垒主机，则无法保证内部网络的安全。

进行过滤

被屏蔽主机

•通常在路由器上设立ACL过滤规则，并通过堡垒主机进行了数据转发，来

确保内部网络的安全。

•弱点:如果攻击者进入屏敝主机内，内网中的就会受到很大威胁;这与双宿主

主机受攻击时的情形差不多。

双宿主主机

被屏蔽子网

•这种结构是在内部网络和外部网络之间建立一个被隔离的了网，用两台过滤

路由器分别与内部网络和外部网络边接，中间通过堡垒主机进行数据转发。

•特点:如果攻击者试图进入内网或者子网，他必须攻破过滤路由器和双宿主主

机，然后才可以进入子网主机，整个过程中将引发警报机制。

DMZ区

内外部网络之间的通信

都经过堡至主机

包过城总包过就资

于网主机

防火墙基本功能

•访问控制

•地址转换

•网络环境支持

•带宽管理

•入侵检测和攻击防御

•用户认证

•高可用性

基本访问控制功能

基本访问控制.

Accesslist192168.1

Accessnat192168^

Access202.12.3to1

Accessdefaultpass

规则匹配成4

时间控制策略

时间控制策m

liiteniet

地址转换策略1

地址转考

源地址：

目地址：4

源地址：1

目地址：4

HostCHostD

15

EthO：

101.211.

受保护网络

Eth2：

3

♦隐藏了内部网络的结构

♦内部网络可以使用私有IP地址

♦：♦公开地址不足的网络可以使用这种方式提供IP复;

地址转换策略2

地址转换

DNS

MAIL

♦:•公开服务器可以使用私有:

♦:♦隐藏内部网络的结构

文件

MAP：80TO：80

MAP：21TO：21於接

MAP：25TO：25地址（

MAP：53TO：53

太平遂0

中

»访

Internet

MAP（地址/端口映射）

第五讲防火墙技术原理

主要内容

•防火墙技术原理

•访问控制及访问控制列表

防火墙技术原理

•防火墙概要介绍

•防火墙功能及原理

•防火墙典型应用

•防火墙存在的问题

防火墙的定义

一种高级访问控制设备，置于不同网络安全域之间，它通过相关的安全策略来控制（允许、

拒绝、监视、记录）进出网络的访问行为

安全域1安全土

①HostAHostB

S■HostCI

S昌

Si

.两个安全域之间通s

信流的唯一通道

SourceDestinationPermitProtocol

HostAHostCPassTCP

HostBHostCBlockUDP

根据访问控制规则决

定进出网络的行为

防火墙核心技术

传输层Segment

吟Packet

网络接Frame

I」层

BitFlow

•1、包过滤(Packetfiltering):工作在网络层，根据数据包头中的IP、端口、协

议等确定是否允许数据包通过。

•2、应用代理(ApplicationProxy):工作在应用层，通过编写应用代理程序，实

现对应用层数据的检测和分析。

•3、状态检测(StatefulInspection):工作在2-4层，控制方式与1同，处理的对

象不是单个数据包，而是整个连接，通过规则表和连接状态表，综合判断是

否允许数据包通过。

4、完全内容检测(CompeleteContentInspection):工作在2-7层，不仅分析数

据包头信息、状态信息，而且对应用层协议进行还原和内容分析，有效防范

混合型安全威胁。

包过滤防火墙技术原理

包过滤防火力

am铲网

应用代理防火墙技术原理

应用代理防火孑

状态检测防火墙技术原理

完全内容检测防火墙技术原理

IP层开始攻击主服务器硬盘数据

网络层保护强▲

应用层保护强III

会话保护很强III还原会送

网络接口层上下文相关

前后报文有联系报文3X?TCP硬盘数据

I

报文2T?TCP主眼务海

报文1TPTCP开蛤攻击

TTT™

III

防火墙体系结构

•过滤路由器

•多宿主主机

•被屏蔽主机

•被屏蔽子网

过滤路由器

•过滤路由器作为内外网连接的唯一通道，通过ACL策略要求所有的报文都

必须在此通过检查，实现报文过滤功能。

•它的缺点是一旦被攻陷后很难发现且不能识别不同的用户（没有日志记录〉。

进行包过滤

双宿主主机

•双宿主主机优于过滤路由器的地方是:堡垒主机的系统软件可用于维护系统

日志。

•它的致命弱点是:一旦入侵者侵入堡垒主机，则无法保证内部网络的安全。

进行过滤

被屏蔽主机

•通常在路由器上设立ACL过滤规则，并通过堡垒主机进行了数据转发，来

确保内部网络的安全。

•弱点:如果攻击者进入屏敝主机内，内网中的就会受到很大威胁;这与双宿主

主机受攻击时的情形差不多。

双宿主主机

被屏蔽子网

•这种结构是在内部网络和外部网络之间建立一个被隔离的了网，用两台过滤

路由器分别与内部网络和外部网络边接，中间通过堡垒主机进行数据转发。

•特点:如果攻击者试图进入内网或者子网，他必须攻破过滤路由器和双宿主主

机，然后才可以进入子网主机，整个过程中将引发警报机制。

DMZ区

内外部网络之间的通信

都经过堡至主机

包过城总包过就资

于网主机

防火墙基本功能

•访问控制

•地址转换

•网络环境支持

•带宽管理

•入侵检测和攻击防御

•用户认证

•高可用性

基本访问控制功能

基本访问控制.

Accesslist192168.1

Accessnat192168^

Access202.12.3to1

Accessdefaultpass

规则匹配成4

时间控制策略

时间控制策m

liiteniet

地址转换策略1

地址转考

源地址：

目地址：4

源地址：1

目地址：4

HostCHostD

15

EthO：

101.211.

受保护网络

Eth2：

3

♦隐藏了内部网络的结构

♦内部网络可以使用私有IP地址

♦：♦公开地址不足的网络可以使用这种方式提供IP复;

地址转换策略2

地址转换

InoiegI5

DNS

MAIL

♦:•公开服务器可以使用私有:

♦:♦隐藏内部网络的