《第7章防火墙》由会员分享,可在线阅读,更多相关《第7章防火墙(34页珍藏版)》请在金锄头文库上搜索。
1、7 防火墙,7.1 防火墙的概念 7.2 防火墙的特性 7.3 防火墙的技术 7.4 防火墙的体系结构 7.5 个人防火墙 7.6 防火墙的应用与发展,7 防火墙,机构自己的网络 Internet 大量信息 服务 影响 威胁 安全 防火墙嵌入在本地网和Internet之间 看不见 受控制的连接 边界 阻塞点 防火墙是一种有效的防御工具,是网络安全政策和策略中的一个组成部分。 网络经济社会,7.1 防火墙的概念,防火墙的本义 房屋之间 墙 阻止火灾蔓延,7.1 防火墙的概念,本地网络 边界 外部网络,阻塞点,7.1 防火墙的概念,防火墙的概念 是一个由软件或硬件设备的组合而成起过滤和封锁作用的计
2、算机或网络系统。它一般布置在本地网(可信内部网)和(不安全和不可信赖的)外部网络之间,作用隔离风险区域和安全区域的连接;阻止不希望或未授权的通信进出内部网络。通过边界控制强化内部网络的安全,同时不影响内部网络对外部网路的访问。 防护墙被设计成只运行专用访问控制软件的设备 没有其它服务 较少缺陷和安全漏洞; 改进登录和监测功能,专用管理 内部网的主机安全管理 防火墙的安全管理。第一道关口,防火墙放置于网络拓扑结构的合适结点 进出内部网络的信息必须通过防火墙 防火墙本身是不可入侵的,7.2 防火墙的特性,防火墙的设计目标(3) 为了访问控制和加强站点安全策略,防火墙采用了4项常用技术。 防火墙的功
3、能(5) 防火墙的局限性(4) 防火墙发展经历的4个阶段,-7.2 防火墙的特性,防火墙的设计目标 所有通信,内部外部,外部内部,都必须经过防火墙; 只有被授权(符合安全政策)的数据流才能通过防火墙; 防火墙自身能抗攻击;,-7.2 防火墙的特性,为了访问控制和加强站点安全策略,防火墙采用了4项常用技术: 服务控制: 决定哪些服务可以被访问。通过IP地址和TCP端口过滤;代理软件;执行服务器软件功能,邮件服务。 方向控制:决定哪个方向的服务可以被发起并通过防火墙。 用户控制:内部用户和通过安全认证(IPSec) 的外部用户 行为控制:控制一个具体服务怎样被实现。过滤邮件清除垃圾邮件。,-7.2
4、 防火墙的特性,防火墙的典型功能(5) 访问控制功能 禁止 允许; 单一阻塞点 内容控制 过滤垃圾邮件 日志功能 完整记录,审计查实 集中管理 自身安全和可用性 被入侵 可用性 防火墙的局限性(4) 不能防御不经由防护墙的攻击; 不能防范来自内部的攻击; 不能防止病毒感染程序和文件出入内部网; 不能防止数据驱动式攻击。电子邮件复制本地机上,执行后攻击,-7.2 防火墙的特性,防火墙发展经历的4个阶段 基于路由器 : 路由器防火墙一体;包过滤技术 由一系列具有防火墙功能的工具集组成,将过滤功能从路由器中独立出来,加入告警和审计功能,纯软件,系统管理员技术要求高。 应用层防护墙 分组过滤,代理系统
5、 监控 保护 动态包过滤技术 状态检测技术 多种通信协议数据包 通信状态动态响应,7.3 防火墙的技术,分类 工作原理层次 网络层 应用。 具体实现:包过滤 代理服务 状态检测 自适应 实现防火墙的硬件环境:路由器 主机 功能:FTP防火墙 Telnet Email 病毒 个人 7.3.1 包过滤技术 (重点) 7.3.2 代理服务技术 7.3.3 状态检测技术(难点) 7.3.4 自适应代理技术,7.3.1 包过滤技术(重点),TCP/IP 信息分割IP分组 包中包含源目的IP地址 路由器路径选择,包重组,工作原理 最早防火墙技术 工作在网络层。 将IP数据报的包头信息与防火墙内建的规则进行
6、比较,根据过滤规则,有选择地阻止或允许数据包通过防火墙,-7.3.1 包过滤技术,包过滤规则配置依据 源IP地址 目的IP地址 TCP/UDP源端口 TCP/UDP目的端口 协议类型(TCP包、UDP包、ICMP包) 23 Telnet TCP报头中的ACK位 ICMP消息类型,-7.3.1 包过滤技术,包过滤防火墙的原则:最小特权原则。 建立包过滤防火墙步骤: 安全策略转为过滤规则表: 以IP和传输层的包头中的域(字段)为基础,包括源和目标IP地址、IP协议域、源和目标端口号、标识,协议。 事先建立一组规则,根据IP包是否匹配规则中指定的条件来作出决定: 如果匹配到一条规则,则根据此规则决定
7、转发或丢弃 如果所有规则都不匹配,则根据缺省策略,7.3.1 -包过滤配置实例 表7-1 p165,-7.3.1 包过滤技术,包过滤防火墙技术的优点(4) 一个过滤路由器能协助保护整个网络. 包过滤对用户透明; 包过滤路由器速度快,效率高。 技术通用,廉价,有效;易于安装、使用维护 包过滤防火墙技术的缺点(5) 安全性较差。 只检测TCP/IP报头,不检查数据包内容,不按特定协议进行审查和扫描,不做详细分析和记录 可用信息有限,日志功能有限 无法执行某些安全策略。 不支持用户认证。 端口与应用程序(协议)绑定被恶意更改 受TCP/IP协议栈漏洞攻击。IP地址伪造。 对不恰当设置而导致的安全威胁
8、十分脆弱。,7.3.2 代理服务技术,代理服务器防火墙工作在OSI模型的应用层,彻底隔断内网与外网的直接通信。,代理服务器的实现 应用代理服务器 网关 应用 专门的程序 回路级代理服务器。 适用于多个协议Socket 智能代理服务器 邮件转发服务器 源主机被允许,地址转换,送到内部邮件服务器。,代理服务器防火墙优点(7) 安全性好 每一个连接都有通过代理服务技术接入和转换 易于配置 能生成各项记录 能完全控制进出的流量和内容, 能过滤数据内容 能为用户提供透明的加密机制 可以方便与其他安全技术合成 代理服务器防火墙缺点(5) 速度慢;对用户不透明;每个应用都需要单独的代理; 要求对客户或过程进
9、行限制,代理不能改进低层协议的安全性。,7.3.3 状态检测技术(难点),状态检测技术原理 状态检测技术 动态包过滤技术 网关 检测引擎 动态的状态信息表,对其后续的数据包进行检查 跟踪和监视每一个有效连接的状态 检测引擎支持多种协议和应用程序。 网关 接纳 拒绝、身份认证、警报处理 状态检测技术可检测无连接状态的远程调用过程RPC和UDP之类的端口信息,而包过滤和代理都不支持此类应用 状态检测防火墙 状态表的一个实例。,表7-2 状态检测防火墙 状态表的一个实例,7.3.3 状态检测技术(难点),通过状态检测防火墙数据包的类型 TCP 包 第1个包 SYN标志 内部包建立 UDP包 信息简单
10、,状态检测防火墙通过跟踪包的状态决策。 状态检测技术的特点和应用 结合包过滤和代理技术 网络层IP地址端口号过滤+应用层检查数据包内容 缺点 可能造成网络连接的某种迟滞。,7.3.4 自适应代理技术,本质 代理服务技术 + 动态包过滤技术,7.4 防火墙的体系结构(配置),屏蔽主机防火墙(单宿堡垒主机) 双宿堡垒主机 屏蔽子网防火墙,屏蔽主机防火墙(单宿堡垒主机),屏蔽主机防火墙使用一个屏蔽路由器把内部网络和外部网络隔离开。堡垒主机是网络安全的关键点,有一个到公用网络的连接,内部网络通过堡垒主机向外提出请求,向外提供服务。,内部网,包过滤路由器,信息,服务器,双宿堡垒主机,双重宿主主机体系结构
11、是用一台装有两块网卡的堡垒主机做防火墙。 两块网卡各自与受保护网和外部网相连。堡垒主机上运行着防火墙软件,可以转发应用程序,提供服务等。但弱点也比较突出,一旦黑客侵入堡垒主机并使其只具有路由功能,任何网上用户均可以随便访问内部网,屏蔽子网防火墙,2个包过滤路由器:内部屏蔽路由器 外部屏蔽路由器 只和堡垒主机交换流量。 堡垒主机 独立子网 DMZ 非军事区,互联网,包过滤路由器,专用主机,堡垒主机,信息服务器,互联网,包过滤路由器,专用主机,堡垒主机,信息服务器,屏蔽主机防火墙,屏蔽主机防火墙(双宿堡垒主机),7.5 个人防火墙,个人防火墙(有别于传统建在一个企事业单位、公司、校园网的防火墙)指
12、使用者安装在个人计算机上,用来监控、阻止任何未经授权允许的数据进入或发出到互联网及其他网络系统。,7.6 防火墙的应用与发展,7.6.1防火墙的应用 7.6.2防火墙技术的发展,7.6.1 防火墙的应用,先明确: 哪些数据必须保护,侵入后果?网络不通区域需要什么等级的安全级别 选用防火墙要注意防火墙自身的安全性 考虑用户安全策略中的特殊需求: IP地址转化 双重DNS 虚拟专用网VPN 病毒扫描功能 特殊控制需求 Email ftp,7.6.2防火墙技术的发展,7.6.2防火墙技术的发展 智能化 高速度 分布式并行结构 多功能 专业化,思考题 p177,*1. 什么是防火墙,它有哪些功能和局限性 2. 为了控制访问和加强站点的安全策略, 防火墙采用了哪些技术? 3. 简述包过滤原则,+实例设计包过滤规则 4. 状态检测技术具有哪些特点 +实例设计 状态检查防火墙的状态表。 5 画图并简述屏蔽子网防火墙结构 +画图并简述双宿堡垒主机防火墙结构,
