网络安全技术及应用(第七章)精编版

资源描述

《网络安全技术及应用(第七章)精编版》由会员分享，可在线阅读，更多相关《网络安全技术及应用(第七章)精编版（33页珍藏版）》请在金锄头文库上搜索。

1、2020 5 4 1 第7章防火墙及其应用本章学习重点掌握内容防火墙功能防火墙核心技术防火墙体系结构 2020 5 4 2 第7章防火墙及其应用 7 1防火墙概述7 2防火墙技术与分类7 3防火墙体系结构7 4防火墙安全规则7 5防火墙应用 2020 5 4 3 7 1防火墙概述 7 1 1防火墙概念与发展历程1 防火墙概念防火墙是指设置在不同网络之间例如可信任的内部网和不可信的公共网或者不同网络安全域之间的软硬件系统组合它可通过监测限制更改跨越防火墙的数据流尽可能地对外部屏蔽网络内部的信息结构和运行状况以此来保护企业内部网络的安全 2 防火墙的发展第一代防火墙第一代防

2、火墙技术几乎与路由器同时出现主要基于包过滤技术 PacketFilter 是依附于路由器的包过滤功能实现的防火墙第二代防火墙 1989年贝尔实验室的DavePresotto和HowardTrickey最早推出了第二代防火墙即电路层防火墙第三代防火墙到20世纪90年代初开始推出第三代防火墙即应用层防火墙或者叫做代理防火墙第四代防火墙到1992年 USC信息科学院的BobBraden开发出了基于动态包过滤 DynamicPacketFilter 技术的的第四代防火墙第五代防火墙到了1998年 NAI公司推出了一种自适应代理 AdaptiveProxy 技术可以称之为第五

3、代防火墙 3 防火墙的发展趋势高安全性和高效率对数据包的全方位检查分布式防火墙技术建立与部署适用于IPV6协议下的防火墙体系架构 2020 5 4 6 7 1 2防火墙的功能对防火墙有两个基本需求一是保证内部网的安全性二是保证内部网与外部网之间的连通性 1 过滤不安全数据和非法用户 2 报警与审计 3 透明代理 4 抗攻击能力 5 VPN功能 6 路由管理 2020 5 4 7 7 1 3防火墙局限性 7 1 3防火墙局限性1 对某些正常服务的限制2 无法抵御来自内网的威胁3 无法阻挡旁路攻击及潜在后门4 无法控制对病毒文件的传输5 内网瓶颈问题 2020 5 4 8 7 2防火墙技术

4、与分类 7 2 1包过滤防火墙技术1 简单包过滤技术2 状态检测包过滤技术7 2 2代理服务防火墙技术1 电路级网关2 应用级网关3 自适应代理 7 2 1包过滤防火墙技术包过滤 PacketFilter 是所有防火墙中最核心的功能与代理服务器技术相比其优势是传输信息时不占用网络带宽包过滤路由器在网络上的物理位置和逻辑位置如图7 2和图7 3所示包过滤型防火墙根据一组过滤规则集合逐个检查IP数据包确定是否允许该数据包通过图7 2包过滤路由器的物理位置图7 3包过滤路由器的逻辑位置两类包过滤防火墙技术包过滤防火墙技术根据所使用的过滤方法又具体可分为简单包过滤技术和状态检测

5、包过滤技术 1 简单包过滤技术也称作称静态包过滤简单包过滤防火墙在检查数据包报头时只是根据定义好的过滤规则集来检查所有进出防火墙的数据包报头信息并根据检查结果允许或者拒绝数据包并不关心服务器和客户机之间的连接状态 2 状态检测包过滤技术也称动态包过滤是包过滤器和应用级网关的一种折衷方案该技术具有包过滤机制的高速和灵活性也有应用级网关的应用层安全的优点状态检测包过滤防火墙除了有一个过滤规则集外还要跟踪通过自身的每一个连接提取有关的通信和应用程序的状态信息构成当前连接的状态列表 7 2 2代理服务防火墙技术代理服务 ProxyService 是指运行于内部网络与外网之间的主

6、机堡垒主机上的一种应用当用户需要访问代理服务器另一侧主机时代理服务器对于符合安全规则的连接会代替主机响应访问请求并重新向主机发出一个相同的请求当此连接请求得到回应并建立起连接之后内部主机同外部主机之间的通信将通过代理程序的相应连接映射来实现代理既是客户端 Client 也是服务器端 Server 代理服务防火墙的工作原理如图7 4 图7 4应用代理防火墙的原理图代理服务防火墙主要包含以下三类 1 电路级网关也称线路级网关工作在会话层在两主机首次建立TCP连接时建立通信屏障它作为服务器接收外来请求转发请求与被保护的主机连接时则扮演客户机角色起到代理服务的作用它监

7、视两主机建立连接时的握手信息如SYN ACK和序列数据等是否合乎逻辑然后由网关复制传递数据而不进行数据包过滤电路级网关中特殊的客户程序只在初次连接时进行安全协商控制此后则不再参与内外网之间的通信控制 2 应用级网关应用级网关使用软件来转发和过滤特定的应用服务如TELNET FTP服务等这也是一种代理服务只允许被认为是可信的服务通过防火墙此外代理服务也可以过滤协议如过滤FTP连接拒绝使用FTP命令等 3 自适应代理自适应代理 AdaptiveProxy 技术结合了代理服务器防火墙的安全性和包过滤防火墙的高速度等优点组成自适应代理防火墙的基本要素有两个自适应代理服务器

8、 AdaptiveProxyServer 与动态包过滤器在自适应代理防火墙中初始的安全检查仍在应用层中进行保证实现传统防火墙的最大安全性而一旦可信任身份得到认证建立了安全通道随后的数据包就可以重新定向到网络层这种技术能够在确保安全性的基础上提高代理服务器防火墙的性能 2020 5 4 18 7 2 3防火墙常见分类 7 2 3防火墙常见分类1 按照实现方法分类 1 软件防火墙运行于特定的计算机上一般来说这台计算机就是整个网络的网关 2 硬件防火墙由计算机硬件通用操作系统和防火墙软件组成 3 专用防火墙采用特别优化设计的硬件体系结构使用专用的操作系统 2 按照体系结构分类 1

9、个人防火墙安装在计算机系统里的软件防火墙该软件检查到达防火墙两端的所有数据包无论是进入还是发出从而决定该拦截数据包还是允许其通过 2 分布式防火墙分布式防火墙负责对网络边界各子网和网络内部各结点之间的安全防护分布式防火墙是一个完整的系统而不是单一的产品 2020 5 4 20 7 3防火墙体系结构目前防火墙的体系结构一般主要有以下几种7 3 1双宿主主机结构7 3 2屏蔽主机结构7 3 3屏蔽子网结构 7 3 1双宿主主机结构双宿主主机防火墙体系结构是围绕着至少具有两个网络接口带有两块网卡的堡垒主机构成主机上的两块网卡分别与外部网以及内部受保护网相连堡垒主机上运行防

10、火墙软件可以转发数据提供服务等这种主机可以充当与其接口相连的网络之间的路由器它能够从一个网络到另一个网络发送IP数据包图7 5双宿主主机结构 7 3 2屏蔽主机结构双宿主主机防火墙是由一台同时连接在内外部网络的堡垒主机来提供安全保障而屏蔽主机结构中提供安全保护的主机仅仅与内部网相连此外还有一台单独的包过滤路由器它的作用是避免用户直接与内部网络相连屏蔽主机结构如图7 6所示图7 6屏蔽主机结构 7 3 3屏蔽子网结构在屏蔽子网结构中有二台与边界网络直接相连的过滤路由器一台位于边界网络与外部网之间我们称之为外部路由器另一台位于边界网络与内部网络之间我们称之为内部路

11、由器在这种结构下黑客要攻击到内部网必须通过二台路由器的安全控制即使入侵者通过了堡垒主机他还必须通过内部路由器才能抵达内部网图7 7屏蔽子网结构 2020 5 4 27 7 4防火墙安全规则通常情况下网络管理员在防火墙设备的访问控制列表ACL AccessControlList 中设定包过滤规则以此来表明是否允许或者拒绝数据包通过包过滤防火墙检查数据流中每个数据包的报头信息例如源地址目标地址协议类型协议标志服务类型等并与过滤规则进行匹配从而在内外网络之间实施访问控制功能图7 8包过滤防火墙的安全规则防火墙规则设置中所涉及的动作主要有以下几种允许允许数据包通

12、过防火墙传输并按照路由表中的信息被转发放弃不允许数据包通过防火墙传输但仅丢弃不发任何相应数据包拒绝不允许数据包通过防火墙传输并向数据包的源端发送目的主机不可达的ICMP数据包返回没有发现匹配的规则执行默认动作所有的防火墙都是在以下两种模式下配置安全规则白名单模式系统默认为拒绝所有的流量这需要在你的网络中特殊指定能够进入和出去的流量的一些类型因此白名单上的规则是具有合法性访问的安全规则黑名单模式系统默认为允许所有的流量这种情况需要特殊指定要拒绝的流量的类型因此在黑名单上定义的安全规则属于非法的被禁止的网络访问这种模式是一种开放的默认管理模式包过滤防火

13、墙一般有两类过滤规则的设置方法1 按地址过滤用于拒绝伪造的数据包若想阻止伪造原地址的数据包进入内部网可按表7 1设置规则 2 按服务类型过滤即是按数据包的服务端口号来过滤在TCP协议中协议是双向的以Telnet为例其IP包的交换也是双向的服务器端包过滤应该按照表7 2设置规则 2020 5 4 32 7 5防火墙应用 7 5 1构建防火墙的基本步骤1 配置内外部网络2 用户自定义安全策略3 搭建防火墙安全体系结构4 配置防火墙安全规则5 审计日志管理 2020 5 4 33 7 5 2Windows系统中的防火墙实例 7 5 2Windows系统中的防火墙实例Windows防火墙提供某种程度的保护避免那些依赖未请求的传入流量来攻击的恶意用户和程序本小节对目前常用的WindowsXPServicePack2自带防火墙为实例介绍它的基本配置及应用 7 5 3Linux系统下的配置实例

展开阅读全文

网络安全技术及应用(第七章)精编版

最新文档