七节网络安全课件.ppt

1、第 7 章 网络安全李彬 山东轻工业学院 理学院 n网络安全问题已经成为信息化社会的一个焦点网络安全问题已经成为信息化社会的一个焦点问题；问题；n每个国家只能立足于本国，研究自己的网络安每个国家只能立足于本国，研究自己的网络安全技术，培养自己的专门人才，发展自己的网全技术，培养自己的专门人才，发展自己的网络安全产业，才能构筑本国的网络与信息安全络安全产业，才能构筑本国的网络与信息安全防范体系。防范体系。网络安全的重要性网络安全的重要性网络中的信息安全问题网络中的信息安全问题n信息存储安全信息存储安全 如何保证静态存储在连网计算机中的信息不会如何保证静态存储在连网计算机中的信息不会 被未授权的网

2、络用户非法使用；被未授权的网络用户非法使用；n信息传输安全信息传输安全 如何保证信息在网络传输的过程中不被泄露如何保证信息在网络传输的过程中不被泄露与不被攻击；与不被攻击；1.1.网络防攻击技术网络防攻击技术n服务攻击服务攻击（application dependent attack）:对网络提供某种服务的服务器发起攻击，造成该网对网络提供某种服务的服务器发起攻击，造成该网络的络的“拒绝服务拒绝服务”，使网络工作不正常，使网络工作不正常;n非服务攻击非服务攻击（application independent attack）:不针对某项具体应用服务，而是基于网络层等低层不针对某项具体应用服务，而

3、是基于网络层等低层协议而进行的，使得网络通信设备工作严重阻塞或协议而进行的，使得网络通信设备工作严重阻塞或瘫痪。瘫痪。信息传输安全问题的四种基本类型信息传输安全问题的四种基本类型信息源结点信息目的结点（d d）信信 息息 被被 篡篡 改改非法用户篡改信息源结点信息目的结点（e e）信信 息息 被被 伪伪 造造非法用户伪造信息源结点信息目的结点（b）信息被截获（b）信息被截获非法用户截获信息源结点信息目的结点（c）信息被窃听（c）信息被窃听非法用户窃听7.1 7.1 网络安全问题概述网络安全问题概述 7.1.1 7.1.1 计算机网络面临的安全性威胁计算机网络面临的安全性威胁 n计算机网络上的通

4、信面临以下的四种威胁：计算机网络上的通信面临以下的四种威胁：(1)(1)截获截获从网络上窃听他人的通信内容。从网络上窃听他人的通信内容。(2)(2)中断中断有意中断他人在网络上的通信。有意中断他人在网络上的通信。(3)(3)篡改篡改故意篡改网络上传送的报文。故意篡改网络上传送的报文。(4)(4)伪造伪造伪造信息在网络上传送。伪造信息在网络上传送。n截获信息的攻击称为截获信息的攻击称为被动攻击被动攻击，而更改信息和拒，而更改信息和拒绝用户使用资源的攻击称为绝用户使用资源的攻击称为主动攻击主动攻击。被动攻击和主动攻击被动攻击和主动攻击n在被动攻击中，攻击者只是观察和分析某一个在被动攻击中，攻击者只

5、是观察和分析某一个协议数据单元协议数据单元 PDU PDU 而不干扰信息流。而不干扰信息流。n主动攻击是指攻击者对某个连接中通过的主动攻击是指攻击者对某个连接中通过的 PDU PDU 进行各种处理。进行各种处理。n更改报文流更改报文流 n拒绝报文服务拒绝报文服务 n伪造连接初始化伪造连接初始化 (1)(1)防止析出报文内容；防止析出报文内容；(2)(2)防止通信量分析；防止通信量分析；(3)(3)检测更改报文流；检测更改报文流；(4)(4)检测拒绝报文服务；检测拒绝报文服务；(5)(5)检测伪造初始化连接。检测伪造初始化连接。计算机网络通信安全的目标计算机网络通信安全的目标 防抵赖问题防抵赖问

6、题n防抵赖防抵赖是防止信息源结点用户对他发送的信息是防止信息源结点用户对他发送的信息事后不承认，或者是信息目的结点用户接收到事后不承认，或者是信息目的结点用户接收到信息之后不认账；信息之后不认账；n通过身份认证、数字签名、数字信封、第三方通过身份认证、数字签名、数字信封、第三方确认等方法，来确保网络信息传输的合法性问确认等方法，来确保网络信息传输的合法性问题，防止题，防止“抵赖抵赖”现象出现。现象出现。(1)(1)计算机病毒计算机病毒会会“传染传染”其他程序的程其他程序的程序，序，“传染传染”是通过修改其他程序来把自身是通过修改其他程序来把自身或其变种复制进去完成的。或其变种复制进去完成的。(

7、2)(2)计算机蠕虫计算机蠕虫通过网络的通信功能将自通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行身从一个结点发送到另一个结点并启动运行的程序。的程序。(3)(3)特洛伊木马特洛伊木马一种程序，它执行的功能一种程序，它执行的功能超出所声称的功能。超出所声称的功能。(4)(4)逻辑炸弹逻辑炸弹一种当运行环境满足某种特一种当运行环境满足某种特定条件时执行其他特殊功能的程序。定条件时执行其他特殊功能的程序。恶意程序恶意程序(rogue program)(rogue program)7.1.2 7.1.2 计算机网络安全的内容计算机网络安全的内容n保密性保密性n安全协议的设计安全协议的设

8、计 n访问控制访问控制 明文 X 截获密文 Y7.1.3 7.1.3 一般的数据加密模型一般的数据加密模型 加密密钥 K明文 X密文 Y截取者篡改ABE 运算加密算法D 运算解密算法因特网解密密钥 Kn密码体制是指一个系统所采用的基本工作方式以及它密码体制是指一个系统所采用的基本工作方式以及它的两个基本构成要素，即的两个基本构成要素，即加密加密/解密算法和密钥解密算法和密钥；n传统密码体制所用的加密密钥和解密密钥相同，也称传统密码体制所用的加密密钥和解密密钥相同，也称为为对称密码体制对称密码体制；n如果加密密钥和解密密钥不相同，则称为如果加密密钥和解密密钥不相同，则称为非对称密码非对称密码体制

9、体制；n密钥可以看作是密码算法中的可变参数。从数学的角密钥可以看作是密码算法中的可变参数。从数学的角度来看，改变了密钥，实际上也就改变了明文与密文度来看，改变了密钥，实际上也就改变了明文与密文之间等价的数学函数关系；之间等价的数学函数关系；n密码算法是相对稳定的。在这种意义上，可以把密码密码算法是相对稳定的。在这种意义上，可以把密码算法视为常量，而算法视为常量，而密钥则是一个变量密钥则是一个变量；n在设计加密系统时，加密算法是可以公开的，真正需在设计加密系统时，加密算法是可以公开的，真正需要保密的是密钥。要保密的是密钥。什么是密码什么是密码 密码是含有一个参数密码是含有一个参数k的数学变换，即

10、的数学变换，即Y=Ek（X）nX是是未加密的信息未加密的信息（明文）（明文）nY是是加密后的信息加密后的信息（密文）（密文）nE是是加密算法加密算法n参数参数k称为称为密钥密钥n密文密文Y是明文是明文X 使用密钥使用密钥k 经过加密算法计算后的结果；经过加密算法计算后的结果；n加密算法可以公开，而密钥只能由通信双方来掌握。加密算法可以公开，而密钥只能由通信双方来掌握。密钥长度密钥长度密钥长度与密钥个数密钥长度与密钥个数 密钥长度（位）密钥长度（位）组合个数组合个数40240=109951162777656256=7.205759403793101664264=1.844674407371101

11、91122112=5.19229685853510331282128=3.40282366920910387.2 7.2 两类密码体制两类密码体制 7.2.1 7.2.1 对称密钥密码体制对称密钥密码体制 n所谓所谓常规密钥密码体制常规密钥密码体制，即加密密钥与解密密钥是相同，即加密密钥与解密密钥是相同的密码体制。的密码体制。n这种加密系统又称为对称密钥系统。这种加密系统又称为对称密钥系统。对称密钥（对称密钥（symmetric cryptographysymmetric cryptography）密码体系）密码体系 加密过程解密过程密钥明文密文明文非对称密钥（非对称密钥（asymmetric

12、 cryptographyasymmetric cryptography）密码体系）密码体系 加密过程解密过程公钥明文密文明文私钥数据加密标准数据加密标准 DESDESn数据加密标准数据加密标准 DESDES 属于常规密钥密码体制，是一种分属于常规密钥密码体制，是一种分组密码。组密码。n在加密前，先对整个明文进行分组。每一个组长为在加密前，先对整个明文进行分组。每一个组长为 64 64 位。位。n然后对每一个然后对每一个 64 64 位位 二进制数据进行加密处理，产生二进制数据进行加密处理，产生一组一组 64 64 位密文数据。位密文数据。n最后将各组密文串接起来，即得出整个的密文。最后将各组

13、密文串接起来，即得出整个的密文。n使用的密钥为使用的密钥为 64 64 位（实际密钥长度为位（实际密钥长度为 56 56 位，有位，有 8 8 位用于奇偶校验位用于奇偶校验)。7.2.2 7.2.2 公钥密码体制公钥密码体制n公钥密码体制公钥密码体制使用不同的加密密钥与解密密钥，是一种使用不同的加密密钥与解密密钥，是一种“由已知加密密钥推导出解密密钥在计算上是不可行的由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。密码体制。n公钥密码体制的产生主要是因为两个方面的原因，一是由公钥密码体制的产生主要是因为两个方面的原因，一是由于常规密钥密码体制的密钥分配问题，另一是由于对数字于常规密钥

14、密码体制的密钥分配问题，另一是由于对数字签名的需求。签名的需求。n现有最著名的公钥密码体制是现有最著名的公钥密码体制是RSA RSA 体制，它基于数论中大体制，它基于数论中大数分解问题的体制，由美国三位科学家数分解问题的体制，由美国三位科学家 Rivest,Shamir Rivest,Shamir 和和 Adleman Adleman 于于 1976 1976 年提出并在年提出并在 1978 1978 年正式发表的。年正式发表的。加密密钥与解密密钥加密密钥与解密密钥 n在公钥密码体制中，在公钥密码体制中，加密密钥加密密钥(即即公钥公钥)PKPK 是是公开信息，而公开信息，而解密密钥解密密钥(即

15、私钥或即私钥或秘钥秘钥)SKSK 是是需要保密的。需要保密的。n加密算法加密算法 E E 和解密算法和解密算法 D D 也都是公开的。也都是公开的。n虽然秘钥虽然秘钥 SKSK 是由公钥是由公钥 PKPK 决定的，但却不能决定的，但却不能根据根据 PKPK 计算出计算出 SKSK。应当注意应当注意 n任何加密方法的安全性取决于密钥的长度，以任何加密方法的安全性取决于密钥的长度，以及攻破密文所需的计算量。在这方面，公钥密及攻破密文所需的计算量。在这方面，公钥密码体制并不具有比传统加密体制更加优越之处。码体制并不具有比传统加密体制更加优越之处。n由于目前公钥加密算法的开销较大，在可见的由于目前公钥

16、加密算法的开销较大，在可见的将来还看不出来要放弃传统的加密方法。公钥将来还看不出来要放弃传统的加密方法。公钥还需要密钥分配协议，具体的分配过程并不比还需要密钥分配协议，具体的分配过程并不比采用传统加密方法时更简单。采用传统加密方法时更简单。公钥算法的特点公钥算法的特点 n发送者发送者 A A 用用 B B 的公钥的公钥 PKPKB B 对明文对明文 X X 加密（加密（E E 运算）运算）后，在接收者后，在接收者 B B 用自己的私钥用自己的私钥 SKSKB B 解密（解密（D D 运算），运算），即可恢复出明文：即可恢复出明文：(7-4)(7-4)n解密密钥是接收者专用的秘钥，对其他人都保密

17、。解密密钥是接收者专用的秘钥，对其他人都保密。n加密密钥是公开的，但不能用它来解密，即加密密钥是公开的，但不能用它来解密，即 XXEDYDPKSKSK)()(BBB(7-5)(7-5)XXEDPKPK)(BB公钥算法的特点公钥算法的特点n加密和解密的运算可以对调，即加密和解密的运算可以对调，即 n在计算机上可容易地产生成对的在计算机上可容易地产生成对的 PKPK 和和 SKSK。n从已知的从已知的 PKPK 实际上不可能推导出实际上不可能推导出 SKSK，即从，即从 PKPK 到到 SKSK 是是“计算上不可能的计算上不可能的”。n加密和解密算法都是公开的。加密和解密算法都是公开的。XXEDX

18、DEBBBBPKSKSKPK)()(（7-67-6）公钥密码体制公钥密码体制 密文Y E 运算加密算法D 运算解密算法加密解密明文 X明文 X ABB 的私钥 SKB密文Y 因特网B 的公钥 PKB7.3 7.3 数字签名数字签名n数字签名必须保证以下三点：数字签名必须保证以下三点：(1)(1)报文鉴别报文鉴别接收者能够核实发送者对报文的接收者能够核实发送者对报文的签名；签名；(2)(2)报文的完整性报文的完整性发送者事后不能抵赖对报文发送者事后不能抵赖对报文的签名；的签名；(3)(3)不可否认不可否认接收者不能伪造对报文的签名。接收者不能伪造对报文的签名。n现在已有多种实现各种数字签名的方法

19、。但采用现在已有多种实现各种数字签名的方法。但采用公钥算法更容易实现。公钥算法更容易实现。密文)(AXDSK数字签名的实现数字签名的实现 D运算明文 X明文 X ABA 的私钥 SKA因特网签名 核实签名E运算密文)(AXDSKA 的公钥 PKA数字签名的实现数字签名的实现n因为除因为除 A A 外没有别人能具有外没有别人能具有 A A 的私钥，所以除的私钥，所以除 A A 外没外没有别人能产生这个密文。因此有别人能产生这个密文。因此 B B 相信报文相信报文 X X 是是 A A 签名签名发送的。发送的。n若若 A A 要抵赖曾发送报文给要抵赖曾发送报文给 B B，B B 可将明文和对应的密

20、文可将明文和对应的密文出示给第三者。第三者很容易用出示给第三者。第三者很容易用 A A 的公钥去证实的公钥去证实 A A 确实确实发送发送 X X 给给 B B。n反之，若反之，若 B B 将将 X X 伪造成伪造成 X X，则，则 B B 不能在第三者前出不能在第三者前出示对应的密文。这样就证明了示对应的密文。这样就证明了 B B 伪造了报文。伪造了报文。具有保密性的数字签名具有保密性的数字签名)(AXDSK)(AXDSK核实签名解密 加密 签名 E 运算D 运算明文 X明文 X ABA 的私钥 SKA因特网E 运算B 的私钥 SKBD 运算加密与解密签名与核实签名)(ABXDESKPKB

21、的公钥 PKBA 的公钥 PKA密文7.4 7.4 鉴别鉴别n在信息的安全领域中，对付被动攻击的重要措施是加密，在信息的安全领域中，对付被动攻击的重要措施是加密，而 对 付 主 动 攻 击 中 的 篡 改 和 伪 造 则 要 用 鉴 别而 对 付 主 动 攻 击 中 的 篡 改 和 伪 造 则 要 用 鉴 别(authentication)(authentication)。n报文鉴别报文鉴别使得通信的接收方能够验证所收到的报文（发使得通信的接收方能够验证所收到的报文（发送者和报文内容、发送时间、序列等）的真伪。送者和报文内容、发送时间、序列等）的真伪。n使用加密就可达到报文鉴别的目的。但在网络

22、的应用中，使用加密就可达到报文鉴别的目的。但在网络的应用中，许多报文并不需要加密。应当使接收者能用很简单的方许多报文并不需要加密。应当使接收者能用很简单的方法鉴别报文的真伪。法鉴别报文的真伪。7.4.1 7.4.1 报文鉴别报文鉴别 n许多报文并不需要加密但却需要数字签名，以便让报许多报文并不需要加密但却需要数字签名，以便让报文的接收者能够鉴别报文的真伪。文的接收者能够鉴别报文的真伪。n然而对很长的报文进行数字签名会使计算机增加很大然而对很长的报文进行数字签名会使计算机增加很大的负担（需要进行很长时间的运算的负担（需要进行很长时间的运算)。n当我们传送不需要加密的报文时，应当使接收者能用当我们

23、传送不需要加密的报文时，应当使接收者能用很简单的方法鉴别报文的真伪。很简单的方法鉴别报文的真伪。报文摘要报文摘要 MD MD(Message Digest)(Message Digest)nA A 将报文将报文 X X 经过报文摘要算法运算后得出很短的报文摘经过报文摘要算法运算后得出很短的报文摘要要 H H。然后用自己的私钥对。然后用自己的私钥对 H H 进行进行 D D 运算，即进行运算，即进行数数字签名字签名。得出已签名的报文摘要。得出已签名的报文摘要 D(H)D(H)后，并将其追加在后，并将其追加在报文报文 X X 后面发送给后面发送给 B B。nB B 收到报文后首先把已签名的收到报文

24、后首先把已签名的 D(H)D(H)和报文和报文 X X 分离。然分离。然后再做两件事。后再做两件事。n用A的公钥对 D(H)进行E运算，得出报文摘要 H。n对报文 X 进行报文摘要运算，看是否能够得出同样的报文摘要 H。如一样，就能以极高的概率断定收到的报文是 A 产生的。否则就不是。报文摘要的优点报文摘要的优点n仅对短得多的定长报文摘要仅对短得多的定长报文摘要 H H 进行数字签名要比对整进行数字签名要比对整个长报文进行数字签名要简单得多，所耗费的计算资个长报文进行数字签名要简单得多，所耗费的计算资源也小得多。源也小得多。n但对鉴别报文但对鉴别报文 X X 来说，效果是一样的。也就是说，报来

25、说，效果是一样的。也就是说，报文文 X X 和已签名的报文摘要和已签名的报文摘要 D D(H H)合在一起是合在一起是不可伪造不可伪造的的，是，是可检验的可检验的和和不可否认的不可否认的。报文摘要算法报文摘要算法n报文摘要算法就是一种报文摘要算法就是一种散列函数散列函数。这种散列函数。这种散列函数也叫做密码编码的检验和。报文摘要算法是防止也叫做密码编码的检验和。报文摘要算法是防止报文被人恶意篡改。报文被人恶意篡改。n报文摘要算法是精心选择的一种报文摘要算法是精心选择的一种单向函数单向函数。n可以很容易地计算出一个长报文可以很容易地计算出一个长报文 X X 的报文摘要的报文摘要 H H，但要想从

26、报文摘要，但要想从报文摘要 H H 反过来找到原始的报文反过来找到原始的报文 X X，则实际上是不可能的。，则实际上是不可能的。n若想找到任意两个报文，使得它们具有相同的报若想找到任意两个报文，使得它们具有相同的报文摘要，那么实际上也是不可能的。文摘要，那么实际上也是不可能的。报文摘要的实现报文摘要的实现 A比较签名 核实签名报文 XHD 运算D(H)A 的私钥报文 XD(H)B报文摘要报文 XD(H)发送 E 运算H签名的报文摘要H报文摘要运算A 的公钥报文摘要运算报文摘要报文摘要因特网7.4.2 7.4.2 实体鉴别实体鉴别 n实体鉴别实体鉴别和和报文鉴别报文鉴别不同。不同。n报文鉴别是对

27、每一个收到的报文都要鉴别报文的报文鉴别是对每一个收到的报文都要鉴别报文的发送者，而实体鉴别是在系统接入的全部持续时发送者，而实体鉴别是在系统接入的全部持续时间内对和间内对和自己通信的对方实体只需验证一次自己通信的对方实体只需验证一次。最简单的实体鉴别过程最简单的实体鉴别过程 nA A 发送给发送给 B B 的报文的被加密，使用的是对称的报文的被加密，使用的是对称密钥密钥 K KABAB。nB B 收到此报文后，用共享对称密钥收到此报文后，用共享对称密钥 K KAB AB 进行解进行解密，因而鉴别了实体密，因而鉴别了实体 A A 的身份。的身份。ABA,口令KAB明显的漏洞明显的漏洞n入侵者入侵

28、者 C C 可以从网络上截获可以从网络上截获 A A 发给发给 B B 的报文。的报文。C C 并并不需要破译这个报文（因为这可能很花很多时间）而不需要破译这个报文（因为这可能很花很多时间）而可以直接把这个由可以直接把这个由 A A 加密的报文发送给加密的报文发送给 B B，使，使 B B 误误认为认为 C C 就是就是 A A。然后。然后 B B 就向伪装是就向伪装是 A A 的的 C C 发送应发送应发给发给 A A 的报文。的报文。n这就叫做这就叫做重放攻击重放攻击(replay attack)(replay attack)。C C 甚至还可以截甚至还可以截获获 A A 的的 IP IP

29、 地址，然后把地址，然后把 A A 的的 IP IP 地址冒充为自己地址冒充为自己的的 IP IP 地址（这叫做地址（这叫做 IP IP 欺骗欺骗），使），使 B B 更加容易受骗。更加容易受骗。使用不重数使用不重数n为了对付重放攻击，可以使用为了对付重放攻击，可以使用不重数不重数(nonce)(nonce)。不重数就是一个不重复使用的大随机数，即不重数就是一个不重复使用的大随机数，即“一次一数一次一数”。使用不重数进行鉴别使用不重数进行鉴别 ABA,RARBKABRARBKAB,时间7.5 7.5 密钥分配密钥分配 n密钥管理包括：密钥的产生、分配、注入、验证和使密钥管理包括：密钥的产生、分

30、配、注入、验证和使用。本节只讨论密钥的分配。用。本节只讨论密钥的分配。n密钥分配是密钥管理中最大的问题。密钥必须通过最密钥分配是密钥管理中最大的问题。密钥必须通过最安全的通路进行分配。安全的通路进行分配。n目前常用的密钥分配方式是设立目前常用的密钥分配方式是设立密钥分配中心密钥分配中心 KDC KDC(Key Distribution)(Key Distribution)，通过，通过 KDC KDC 来分配密钥。来分配密钥。7.5.1 7.5.1 对称密钥的分配对称密钥的分配n目前常用的密钥分配方式是设立目前常用的密钥分配方式是设立密钥分配中心密钥分配中心 KDC KDC(Key Distri

31、bution Center)(Key Distribution Center)。nKDC KDC 是大家都信任的机构，其任务就是给需要进行秘是大家都信任的机构，其任务就是给需要进行秘密通信的用户临时分配一个会话密钥（仅使用一次）。密通信的用户临时分配一个会话密钥（仅使用一次）。n用户用户 A A 和和 B B 都是都是 KDC KDC 的登记用户，并已经在的登记用户，并已经在 KDC KDC 的服务器上安装了各自和的服务器上安装了各自和 KDC KDC 进行通信的进行通信的主密钥主密钥（master keymaster key）K KA A 和和 K KB B。“主密钥主密钥”可简称为可简称为

32、“密密钥钥”。对称密钥的分配对称密钥的分配AB密钥分配中心KDCA,B,KABKB用户专用主密钥用户 主密钥 A KA B KB A,B,KABKABKBKA,时间A,BABKerberosAASTGSTKAB,A,KABKBT+1KABA,KSTKS,B,KTGA,KABKB,B,KABKSKTGKAA,KSKS,7.5.2 7.5.2 公钥的分配公钥的分配n需要有一个值得信赖的机构需要有一个值得信赖的机构即即认证中心认证中心CA CA(Certification Authority)(Certification Authority)，来将公钥与其对应的实，来将公钥与其对应的实体（人或机器）

33、进行体（人或机器）进行绑定绑定(binding)(binding)。n认证中心一般由政府出资建立。每个实体都有认证中心一般由政府出资建立。每个实体都有CA CA 发来发来的的证书证书(certificate)(certificate)，里面有公钥及其拥有者的标识，里面有公钥及其拥有者的标识信息。此证书被信息。此证书被 CA CA 进行了数字签名。任何用户都可进行了数字签名。任何用户都可从可信的地方获得认证中心从可信的地方获得认证中心 CA CA 的公钥，此公钥用来的公钥，此公钥用来验证某个公钥是否为某个实体所拥有。有的大公司也验证某个公钥是否为某个实体所拥有。有的大公司也提供认证中心服务。提供

34、认证中心服务。7.8 7.8 防火墙防火墙(firewall)(firewall)n防火墙是在网络之间执行安全控制策略的系统，它包防火墙是在网络之间执行安全控制策略的系统，它包括硬件和软件；括硬件和软件；n设置防火墙的目的是保护内部网络资源不被外部非授设置防火墙的目的是保护内部网络资源不被外部非授权用户使用，防止内部受到外部非法用户的攻击。权用户使用，防止内部受到外部非法用户的攻击。n防火墙通过检查所有进出内部网络的数据包，检查数防火墙通过检查所有进出内部网络的数据包，检查数据包的合法性，判断是否会对网络安全构成威胁，为据包的合法性，判断是否会对网络安全构成威胁，为内部网络建立安全边界（内部网

35、络建立安全边界（security perimeter）；）；n构成防火墙系统的两个基本部件是包过滤路由器构成防火墙系统的两个基本部件是包过滤路由器（packet filtering router）和应用级网关）和应用级网关（application gateway）；）；n最简单的防火墙由一个包过滤路由器组成，而复杂的最简单的防火墙由一个包过滤路由器组成，而复杂的防火墙系统由包过滤路由器和应用级网关组合而成；防火墙系统由包过滤路由器和应用级网关组合而成；n由于组合方式有多种，因此防火墙系统的结构也有多由于组合方式有多种，因此防火墙系统的结构也有多种形式。种形式。包过滤路由器包过滤路由器 包过滤路

36、由器的结构包过滤路由器的结构 n路由器按照系统内部设置的分组过滤规则（即访问控路由器按照系统内部设置的分组过滤规则（即访问控制表），检查每个分组的源制表），检查每个分组的源IP地址、目的地址、目的IP地址，决地址，决定该分组是否应该转发；定该分组是否应该转发；n包过滤规则一般是基于部分或全部报头的内容。例如，包过滤规则一般是基于部分或全部报头的内容。例如，对于对于TCP报头信息可以是：报头信息可以是：源源IP地址地址 目的目的IP地址地址 协议类型协议类型 IP选项内容选项内容 源源TCP端口号端口号 目的目的TCP端口号端口号 TCP ACK标识标识 包过滤的工作流程包过滤的工作流程yNNy

37、设置包过滤规则分析包参数根据过滤规则确定包是否允许转发是否是包过滤的最后一个规则应用下一个包过滤规则转发该包丢弃该包包过滤路由器作为防火墙的结构包过滤路由器作为防火墙的结构 外部网络外部网络包过滤路由器包过滤路由器防火墙内部网络内部网络E-mail服务器（1 92.1.6.2）工作站Internet发送到外部网络的包进入内部网络的包假设网络安全策略规定：假设网络安全策略规定：n内部网络的内部网络的E-mail服务器（服务器（IP地址为地址为192.1.6.2，TCP端口号为端口号为25）可以接收来自外部网络用户的所有电子）可以接收来自外部网络用户的所有电子邮件；邮件；n允许内部网络用户传送到与

38、外部电子邮件服务器的电允许内部网络用户传送到与外部电子邮件服务器的电子邮件；子邮件；n拒绝所有与外部网络中名字为拒绝所有与外部网络中名字为TESTHOST主机的连接。主机的连接。规则过滤号规则过滤号方向方向动作动作源主机地址源主机地址TESTHOST源端口号源端口号目的主机地址目的主机地址目的端口号目的端口号协议协议描述描述阻塞来自TESTHOST的所有数据包阻塞所有到TESTHOST的数据包允许外部用户传送到内部网络电子邮件服务器的数据包允许内部邮件服务器传送到外部网络的电子邮件数据包*TCPTCP*251023*TESTHOST192.1.6.2*102325*192.1.6.2阻塞阻塞允许允许进入进入输出输出1234包过滤规则表包过滤规则表