信息安全技術（HCIA-Security）（微課版）（第2版） 課件 第5、6章 主機安全防御、防火墻基礎

主機防火墻和殺毒軟件舉辦網(wǎng)絡安全宣傳周、提升全民網(wǎng)絡安全意識和技能，是國家網(wǎng)絡安全工作的重要內(nèi)容。國家網(wǎng)絡安全工作要堅持網(wǎng)絡安全為人民、網(wǎng)絡安全靠人民，保障個人信息安全，維護公民在網(wǎng)絡空間的合法權益。文字學習全球信息通信網(wǎng)絡規(guī)模NO.1——中國拓展主題：愛國主義、科技強國、技能強國墻，始于防，忠于守。自古至今，墻予人以安全之意。防火墻，顧名思義，阻擋的是火，這一名詞源于建筑領域，其作用是隔離火災，阻止火勢從一個區(qū)域蔓延到另一個區(qū)域。引入到通信領域，防火墻主要用于保護一個網(wǎng)絡免受來自另一個網(wǎng)絡的攻擊和入侵行為。殺毒軟件是一種可以對病毒、木馬等一切已知的對計算機有危害的程序代碼進行清除的程序工具。學完本課程后，您將能夠：描述防火墻的定義和分類描述防火墻的主要功能描述殺毒軟件的概念區(qū)分殺毒軟件和防火墻防火墻概述Windows防火墻Linux防火墻殺毒軟件什么是防火墻？所謂“防火墻”，是指一種將內(nèi)部網(wǎng)絡和公眾訪問網(wǎng)絡(如Internet)分開的方法，它實際上是一種隔離技術。防火墻是在兩個網(wǎng)絡通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡中的黑客來訪問你的網(wǎng)絡。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問Internet，Internet上的人也無法和公司內(nèi)部的人進行通信。防火墻分類按照形態(tài)分為硬件防火墻軟件防火墻按照保護對象分為單機防火墻網(wǎng)絡防火墻Windows防火墻Windows防火墻顧名思義就是在Windows系統(tǒng)中自帶的軟件防火墻。Windows防火墻設置Windows防火墻規(guī)則設置允許程序或功能通過Windows防火墻。Windows防火墻通知規(guī)則更改通知規(guī)則。打開或關閉Windows防火墻初始化Windows防火墻設置還原默認值。Windows防火墻高級設置Windows防火墻規(guī)則設置防火墻概述Windows防火墻Linux防火墻殺毒軟件iptables簡介iptables是一個免費的包過濾防火墻，它伴隨著內(nèi)核的發(fā)展而不斷演變，基本經(jīng)歷了以下四個階段：1.1內(nèi)核，采用了ipfirewall來操作內(nèi)核包過濾規(guī)則。2.0內(nèi)核，采用了ipfwadm來操作內(nèi)核包過濾規(guī)則。2.2內(nèi)核，采用了ipchains來操作內(nèi)核包過濾規(guī)則。2.4內(nèi)核，采用iptables來操作內(nèi)核包過濾規(guī)則。iptables的結(jié)構iptables的結(jié)構：iptables>表>鏈>規(guī)則。簡單地講，表由鏈組成，而鏈又由規(guī)則組成。如下圖所示。Chain1Chain2Table1Rule1Rule2Rule3Rule1Rule2Rule3Chain1Chain2Table2Rule1Rule2Rule3Rule1Rule2Rule3iptables的基本概念-規(guī)則規(guī)則一般定義為“如果數(shù)據(jù)包符合這樣的條件，就這樣處理這個數(shù)據(jù)包”在iptables的規(guī)則會去指定源地址、目的地址、源端口、目的端口和協(xié)議這樣的五元組信息。當數(shù)據(jù)包和規(guī)則匹配時，iptables就會根據(jù)規(guī)則所定義的方法去處理這個數(shù)據(jù)包，如允許通過和丟棄等。規(guī)則源地址：目的地址：any協(xié)議：httpiptables的基本概念-鏈鏈是數(shù)據(jù)包傳播的路徑，每個鏈包含有一條或多條規(guī)則。當一個數(shù)據(jù)包到達一個鏈后，iptables會使用這個鏈中的第一條規(guī)則去匹配該數(shù)據(jù)包，查看該數(shù)據(jù)包是否符合這個規(guī)則所定義的條件，如果滿足，就根據(jù)該規(guī)則所定義的動作去處理該數(shù)據(jù)包，否則就繼續(xù)匹配下一條規(guī)則，如果該數(shù)據(jù)包不符合鏈中的所有規(guī)則，則使用該鏈的默認策略處理。鏈規(guī)則1源地址：

目的地址:any協(xié)議:HTTP規(guī)則2源地址：

目的地址:any協(xié)議:DNS規(guī)則3源地址：

目的地址:any協(xié)議:ICMP規(guī)則4源地址：

目的地址:any協(xié)議:ARP規(guī)則5源地址：

目的地址:any協(xié)議:IGMPiptables的基本概念-表表提供特定的功能，iptables包含四個表：Filter表：數(shù)據(jù)包中允許或者不允許的策略。NAT表：地址轉(zhuǎn)換的功能。Mangle表：修改報文數(shù)據(jù)Raw表：決定數(shù)據(jù)包是否被狀態(tài)跟蹤機制處理。表的處理優(yōu)先級：raw>mangle>nat>filter。iptables傳輸數(shù)據(jù)包的過程PREROUTING鏈FORWARD鏈POSTROUTING鏈INPUT鏈OUTPUT鏈內(nèi)部處理過程流入的數(shù)據(jù)包流出的數(shù)據(jù)包iptables規(guī)則iptables定義規(guī)則的方式比較復雜:格式：iptables[-ttable]COMMANDchainCRETIRIA-jACTION-ttable：4個filternatmanglerawCOMMAND：定義如何對規(guī)則進行管理。chain：指定你接下來的規(guī)則到底是在哪個鏈上操作的，當定義策略的時候，是可以省略的。CRETIRIA:指定匹配標準。-jACTION:指定如何進行處理。比如：不允許/16的進行訪問。iptables-tfilter-AINPUT-s/16-pudp--dport53-jDROP防火墻概述殺毒軟件什么是殺毒軟件殺毒軟件（anti-virussoftware），也叫反病毒軟件或者防毒軟件，是用來消除電腦病毒、惡意軟件和特洛伊木馬等計算機威脅的一類軟件。殺毒軟件通常帶有監(jiān)控識別、病毒掃描、病毒清除、自動升級、主動防御等功能。殺毒軟件的基本功能防范病毒：預防病毒入侵計算機。查找病毒：掃描計算機運行的程序或文件是否存在病毒，并能夠?qū)Ρ炔《編鞙蚀_報出病毒的名稱。清除病毒：根據(jù)不同類型的病毒對感染對象的修改，并按其感染特性進行恢復。殺毒軟件的組成殺毒軟件一般由掃描器、病毒庫和虛擬機組成，并且由主程序?qū)⑺麄兘Y(jié)為一體。殺毒軟件掃描組件一掃描組件二病毒庫病毒庫掃描器1掃描器2掃描器4掃描器3掃描器1掃描器2虛擬機掃描器殺毒軟件的關鍵技術-脫殼技術脫殼技術是殺毒軟件中常用的技術，可以對壓縮文件、加花文件、加殼文件、分裝類文件進行分析的技術。病毒殼A殼B變種病毒B變種病毒A病毒脫殼引擎病毒具有脫殼能力的殺毒軟件不具有脫殼能力的殺毒軟件加殼病毒殺毒軟件的關鍵技術-

自我保護技術自我保護技術主要是防止病毒結(jié)束殺毒軟件的運行進程或者篡改殺毒軟件文件。殺毒軟件的關鍵技術-修復技術殺毒軟件在查殺病毒的時候一般是把被感染的文件直接刪除，這樣就可能出現(xiàn)誤刪一些系統(tǒng)文件，最后導致系統(tǒng)崩潰，無法啟動。而殺毒軟件的修復技術可以對損壞的文件進行修復。殺毒軟件的關鍵技術-實時升級技術病毒和殺毒軟件就像是矛和盾一樣，只不過矛的發(fā)展更為迅速，因此殺毒軟件的病毒庫一般是滯后于計算機病毒的。那么病毒庫的實時更新就顯得尤為重要了。殺毒軟件的關鍵技術-

主動防御技術殺毒軟件還可以通過仿真反病毒系統(tǒng)對程序的動作和一些文件進行監(jiān)控，實現(xiàn)自動判斷病毒，進行主動防御。國內(nèi)主流殺毒軟件瑞星賽門鐵克卡巴斯基江民SUSEMcAfee360用戶需要怎樣的殺毒軟件操作界面殺毒速度占用資源殺毒效果殺毒軟件常識殺毒軟件不可能查殺所有病毒；殺毒軟件能查到的病毒，不一定能殺掉；一臺電腦每個操作系統(tǒng)下不必同時安裝兩套或兩套以上的殺毒軟件（除非有兼容或綠色版，其實很多殺軟兼容性很好，國產(chǎn)殺軟幾乎不用擔心兼容性問題），另外建議查看不兼容的程序列表；殺毒軟件對被感染的文件殺毒有多種方式：1.清除、2.刪除、3.禁止訪問、4.隔離、5.不處理。Windows防火墻屬于以下哪些分類（）硬件防火墻軟件防火墻單機防火墻網(wǎng)絡防火墻以下哪些是殺毒軟件的組成部分（）掃描器病毒庫虛擬機防火墻

防火墻概述殺毒軟件防火墻介紹網(wǎng)絡安全為人民，網(wǎng)絡安全靠人民，維護網(wǎng)絡安全是全社會共同的責任，需要政府、企業(yè)、社會組織、廣大網(wǎng)民共同參與，共筑網(wǎng)絡安全防線。文字學習建設網(wǎng)絡強國，推進經(jīng)濟高質(zhì)量發(fā)展拓展主題：愛國主義、科技強國、技能強國在數(shù)據(jù)通信過程中，由于網(wǎng)絡中的不安全因素將會導致信息泄密、信息不完整，信息不可用等問題，因此在部署網(wǎng)絡時需要用到防火墻設備。本章主要介紹華為防火墻的發(fā)展歷史、特點、典型組網(wǎng)方式、應用場景和技術指標。學完本課程后，您將能夠:了解防火墻基本概念理解防火墻安全策略掌握防火墻安全策略配置防火墻概述防火墻轉(zhuǎn)發(fā)原理防火墻安全策略及應用ASPF技術防火墻特征邏輯區(qū)域過濾器隱藏內(nèi)網(wǎng)網(wǎng)絡結(jié)構自身安全保障主動防御攻擊內(nèi)網(wǎng)防火墻路由器未經(jīng)防火墻流量的可防護嗎？防火墻分類按照訪問控制方式分為：包過濾防火墻代理防火墻狀態(tài)檢測防火墻防火墻分類-包過濾防火墻TCP層數(shù)據(jù)鏈路層IP層TCP層數(shù)據(jù)鏈路層IP層TCP層應用層IP層只檢測報文頭部1.無法關聯(lián)數(shù)據(jù)包之間關系2.無法適應多通道協(xié)議3.通常不檢查應用層數(shù)據(jù)防火墻分類-代理防火墻發(fā)送連接請求外網(wǎng)終端代理防火墻內(nèi)網(wǎng)Server向Server發(fā)送報文A’對請求進行安全檢查，不通過則阻斷連接通過檢查后與Server建立連接通過檢查后與Client建立連接向防火墻發(fā)送報文A向防火墻發(fā)送回應報文B向終端發(fā)送回應報文B’1.處理速度慢2.升級困難防火墻分類-狀態(tài)檢測防火墻安全策略檢查記錄會話信息狀態(tài)錯誤，丟棄1.處理后續(xù)包速度快2.安全性高SYN(seq=1134)ACK(seq=1135)SYN`(seq=2287)ACK’(seq=30000)ACK’(seq=2288)HostServer防火墻組網(wǎng)方式TrustUntrustUntrustTrust/30/30/3029/30/3033/30防火墻概述防火墻轉(zhuǎn)發(fā)原理防火墻安全策略及應用ASPF技術包過濾技術對需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，先獲取包頭信息，然后和設定的規(guī)則進行比較，根據(jù)比較的結(jié)果對數(shù)據(jù)包進行轉(zhuǎn)發(fā)或者丟棄。實現(xiàn)包過濾的核心技術是訪問控制列表。公司總部內(nèi)部網(wǎng)絡未授權用戶辦事處防火墻安全策略定義安全策略是按一定規(guī)則控制設備對流量轉(zhuǎn)發(fā)以及對流量進行內(nèi)容安全一體化檢測的策略。規(guī)則的本質(zhì)是包過濾。主要應用對跨防火墻的網(wǎng)絡互訪進行控制。對設備本身的訪問進行控制。入數(shù)據(jù)流出數(shù)據(jù)流防火墻安全策略的原理BBAABBBAAAA

AAAAAAPolicy0：允許A后續(xù)操作Policy1：拒絕B后續(xù)操作防火墻安全策略防火墻安全策略作用：根據(jù)定義的規(guī)則對經(jīng)過防火墻的流量進行篩選，并根據(jù)關鍵字確定篩選出的流量如何進行下一步操作。步驟1：入數(shù)據(jù)流經(jīng)過防火墻步驟2：查找防火墻安全策略判斷是否允許下一步操作步驟３：防火墻根據(jù)安全策略定義規(guī)則對數(shù)據(jù)包進行處理默認策略操作防火墻域間轉(zhuǎn)發(fā)防火墻客戶端服務器查路由表,基于接口所屬域間及方向,查域間包過濾規(guī)則Policy0：permit源為Policy1：deny源為……缺省域間包過濾規(guī)則為禁止未命中會話表執(zhí)行首包流程非首包，查找會話表命中會話表執(zhí)行后續(xù)包流程Untrusttrust查詢和創(chuàng)建會話查詢會話表匹配會話表安全性檢查刷新會話表檢查是否可以創(chuàng)建會話查看ServerMap表查找路由表包過濾規(guī)則NAT創(chuàng)建會話表轉(zhuǎn)發(fā)報文是否狀態(tài)檢測機制狀態(tài)檢測機制開啟狀態(tài)下，只有首包通過設備才能建立會話表項，后續(xù)包直接匹配會話表項進行轉(zhuǎn)發(fā)。狀態(tài)檢測機制關閉狀態(tài)下，即使首包沒有經(jīng)過設備，后續(xù)包只要通過設備也可以生成會話表項。HostServerTCPSYNTCPACK’會話表項源IP地址源端口目的IP地址目的端口協(xié)議用戶應用2000023TCPabcTelnet源IP地址源端口目的IP地址目的端口協(xié)議用戶應用2320000TCPabcTelnetServerClientSession:TCP:20000

:23ClientServer創(chuàng)建會話表命中會話表該報文通過Server:23Host:20000查看會話表信息顯示會話表簡要信息displayfirewallsessiontable

顯示會話表詳細信息displayfirewallsessiontableverbose<sysname>displayfirewallsessiontableCurrentTotalSessions:2telnetVPN:public-->public:2855-->:23httpVPN:public-->public:2559-->00:80<sysname>displayfirewallsessiontableverboseCurrentTotalSessions:1httpVPN:public-->publicID:a48f3648905d02c0553591da1Zone:trust-->localTTL:00:20:00Left:00:19:56Output-interface:InLoopBack0NextHop:MAC:00-00-00-00-00-00<--packets:3073bytes:3251431-->packets:2881bytes:705651:1864-->51:80PolicyName:test防火墻概述防火墻轉(zhuǎn)發(fā)原理防火墻安全策略及應用ASPF技術安全策略的匹配原則防火墻客戶端服務器首包流程，做安全策略過濾。Rule0：permit源為……Rule1：deny源為…………缺省default策略動作為禁止。未命中會話表執(zhí)行首包流程后續(xù)包流程，不做安全策略過濾。命中會話表執(zhí)行后續(xù)包流程trustUntrust安全策略匹配流程安全策略應用非信任區(qū)域信任區(qū)域公司內(nèi)網(wǎng)/16市場部研發(fā)部允許流量通過禁止流量通過安全策略1源地址：any目的地址：any用戶：市場部應用：IM、Game動作：禁止安全策略2源地址：any目的地址：any用戶：研發(fā)部協(xié)議：http動作：允許配置安全區(qū)域(WEB)系統(tǒng)缺省已經(jīng)創(chuàng)建了四個安全區(qū)域。如果用戶還需要劃分更多的安全等級，可以自行創(chuàng)建新的安全區(qū)域并定義其安全級別。配置安全策略(WEB)安全策略主要包含的配置內(nèi)容:策略匹配條件：源安全域，目的安全域，源地址，目的地址，用戶，服務，應用，時間段。策略動作：允許，禁止。內(nèi)容安全Profile（可選）：反病毒，入侵防御，URL過濾，文件過濾，內(nèi)容過濾，應用行為控制，郵件過濾。配置地址和地址組(WEB)地址是IPv4/IPv6地址或MAC地址的集合，地址組是地址的集合。地址包含一個或若干個IPv4/IPv6地址或MAC地址，它類似于一個基礎組件，只需定義一次，就可以被各種策略（例如安全策略、NAT策略）多次引用。配置地區(qū)和地區(qū)組(WEB)地區(qū)是以地區(qū)為單位的IP地址對象，每個地區(qū)是當前地區(qū)的公網(wǎng)IP地址集合。為方便擴展和復用，設備還支持配置地區(qū)組供策略引用。地區(qū)組中可以包含多個地區(qū)、嵌套的地區(qū)組，配置靈活。配置服務和服務組(WEB)服務是通過協(xié)議類型和端口號來確定的應用協(xié)議類型，服務組是服務和服務組的集合。預定義服務：指系統(tǒng)缺省已經(jīng)存在、可以直接選擇的服務類型。自定義服務：通過指定協(xié)議類型（例如TCP、UDP或ICMP）和端口號等信息來定義的一些應用協(xié)議類型。配置應用和應用組(WEB)應用是指用來執(zhí)行某一特殊任務或用途的計算機程序。應用組是指多個應用的集合。配置時間段(WEB)時間段定義了時間范圍，定義好的時間段被策略引用后，可以對某一時間段內(nèi)流經(jīng)NGFW的流量進行匹配和控制。配置安全策略(WEB)在安全策略中可以引用已經(jīng)創(chuàng)建好的對象。安全策略配置舉例組網(wǎng)需求在某企業(yè)中允許/24網(wǎng)段的員工訪問Internet，但是在此網(wǎng)段中、和的這幾臺PC對安全性要求較高，不允許上網(wǎng)。Trust區(qū)域Untrust區(qū)域/24Internet內(nèi)網(wǎng)

/24配置安全策略流程關鍵配置(命令行)創(chuàng)建拒絕特殊的幾個IP地址訪問Internet的安全策略規(guī)則。創(chuàng)建允許/24網(wǎng)段訪問Internet的安全策略規(guī)則。[NGFW]security-policy[NGFW-policy-security]rulenamecelue[NGFW-policy-security-rule-celue]source-zonetrust[NGFW-policy-security-rule-celue]destination-zoneuntrust[NGFW-policy-security-rule-celue]source-address32[NGFW-policy-security-rule-celue]source-address32[NGFW-policy-security-rule-celue]source-address32[NGFW-policy-security-rule-celue]actiondeny[NGFW]security-policy[NGFW-policy-security]rulenamecelue2[NGFW-policy-security-rule-celue2]source-zonetrust[NGFW-policy-security-rule-celue2]destination-zoneuntrust[NGFW-policy-security-rule-celue2]source-address24[NGFW-policy-security-rule-celue2]actionpermit關鍵配置(WEB)-(1)配置名稱為ip_deny的地址組。關鍵配置(WEB)-(2)配置拒絕特殊地址組ip_deny內(nèi)IP地址訪問Internet的安全策略。關鍵配置(WEB)-(3)配置允許/24網(wǎng)段訪問Internet的安全策略。防火墻概述防火墻轉(zhuǎn)發(fā)原理防火墻安全策略及應用ASPF技術多通道協(xié)議技術單通道協(xié)議：通信過程中只需占用一個端口的協(xié)議。如：WWW只需占用80端口。多通道協(xié)議：通信過程中需占用兩個或兩個以上端口的協(xié)議。如FTP被動模式下需占用21號端口以及一個隨機端口。使用單純的包過濾方法，如何精確定義（端口級別）多通道協(xié)議所使用的端口呢？遇到使用隨機協(xié)商端口的協(xié)議，單純的包過濾方法無法進行數(shù)據(jù)流定義。ASPF概述ASPF(ApplicationSpecificPacketFilter)是一種高級通信過濾，它檢查應用層協(xié)議信息并且監(jiān)控連接的應用層協(xié)議狀態(tài)。對于特定應用協(xié)議的所有連接，每一個連接狀態(tài)信息都將被ASPF維護并用于動態(tài)的決定數(shù)據(jù)包是否被允許通過防火墻或丟棄。監(jiān)視通信過程中的報文動態(tài)創(chuàng)建和刪除過濾規(guī)則ASPF對多通道協(xié)議的支持ASPF（ApplicationSpecificPacketFilter）是針對應用層的包過濾。我使用4952端口與你建立數(shù)據(jù)通道。ServerMap表-----------------------------------------------------------Inside-Address:PortGlobal-Address:PortPro