08[1][1]信息系统安全技术-防火墙技术精编版

《08[1][1]信息系统安全技术-防火墙技术精编版》由会员分享，可在线阅读，更多相关《08[1][1]信息系统安全技术-防火墙技术精编版（101页珍藏版）》请在金锄头文库上搜索。

1、信息系统安全技术 -防火墙技术,防火墙（Firewall）,注解：防火墙类似一堵城墙，将服务器与客户主机进行物理隔离，并在此基础上实现服务器与客户主机之间的授权互访、互通等功能。,防火墙概念 防火墙特征 防火墙功能 协议与服务 防火墙技术内容 防火墙体系结构 防火墙实现策略 对防火墙技术与产品发展的介绍 对防火墙技术的展望,内容提要,防火墙概念,防火墙是指设置在不同网络或网络安全域（公共网和企业内部网）之间的一系列部件的组合。它是不同网络（安全域）之间的唯一出入口，能根据企业的安全政策控制（允许 、拒绝 、 监测）出入网络的信息流，且本身具有很高的抗攻击能力，它是提供信息安全服务，实现网络和信

2、息安全的基础设施。,防火墙特征,保护脆弱和有缺陷的网络服务 集中化的安全管理 加强对网络系统的访问控制 加强隐私 对网络存取和访问进行监控审计,保护脆弱和有缺陷的网络服务 一个防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。 防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员

3、。,防火墙特征(cont.),防火墙特征(cont.),集中化的安全管理 通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。,加强对网络系统的访问控制 一个防火墙的主要功能是对整个网络的访问控制。比如防火墙可以屏蔽部分主机，使外部网络无法访问，同样可以屏蔽部分主机的特定服务，使得外部网络可以访问该主机的其它服务，但无法访问该主机的特定服务。 防火墙不应向外界提供网络中任何不需

4、要服务的访问权，这实际上是安全政策的要求了。 控制对特殊站点的访问：如有些主机或服务能被外部网络访问，而有些则需被保护起来，防止不必要的访问。,防火墙特征(cont.),加强隐私 隐私是内部网络非常关心的问题。一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。 使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，

5、这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。,防火墙特征(cont.),对网络存取和访问进行监控审计 如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。 另外，收集一个网络的使用和误用情况是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。,防火墙特征(cont

6、.),从总体上看，防火墙应具有以下五大基本功能： 过滤进、出网络的数据； 管理进、出网络的访问行为； 封堵某些禁止的业务； 记录通过防火墙的信息内容和活动； 对网络攻击的检测和告警。,防火墙功能,协议 ISO/OSI协议分层,应用层,表示层,会话层,传输层,数据链路层,物理层,网络层,数据链路层,协议 ISO/OSI协议分层(cont.),物理层：涉及在物理信道上传输原始比特，处理与物理传输介质有关的机械的、电气的和过程的接口。 数据链路层：分为介质访问控制（MAC）和逻辑链路控制（LLC）两个子层。MAC子层解决广播型网络中多用户竞争信道使用权问题。LLC的主要任务是将有噪声的物理信道变成无

7、传输差错的通信信道，提供数据成帧、差错控制、流量控制和链路控制等功能。 网络层：负责将数据从物理连接的一端传到另一端，即所谓点到点，通信主要功能是寻径，以及与之相关的流量控制和拥塞控制等。,协议 ISO/OSI协议分层(cont.),传输层：主要目的在于弥补网络层服务与用户需求之间的差距。传输层通过向上提供一个标准、通用的界面，使上层与通信子网（下三层）的细节相隔离。传输层的主要任务是提供进程间通信机制和保证数据传输的可靠性。 会话层：主要针对远程终端访问。主要任务包括会话管理、传输同步以及活动管理等。 表示层：主要功能是信息转换，包括信息压缩、加密、与标准格式的转换（以及上述各操作的逆操作）

8、等等。 应用层：提供最常用且通用的应用程序，包括电子邮件（E-mail）和文电传输等。,应用层 表示层 会话层 传输层 网络层 数据链路层 物理层,NFS SMTP、SNMP XDR RPC TCP、UDP IP Ethernet、 PDN、 IEEE802.3、 IEEE802.4、 IEEE802.5及其它,ICMP,ARP RARP,OSI参考模型,Internet协议簇,OSI参考模型与Internet协议簇,注解：通过对每一个协议簇中各种协议结构的详细了解，就可以非常轻松的针对包过滤型、应用代理型等防火墙的ACL（访问控制列表）进行制定和理解，并有助于了解防火墙的架构体系。,协议TC

9、P/IP协议分层,应用层,传输层,网间网层,网络接口层,协议TCP/IP协议分层,应用层：向用户提供一组常用的应用程序，比如文件传输访问、电子邮件、远程登录等。用户完全可以在“网间网”之上（即传输层之上），建立自己的专用应用程序，这些专用应用程序要用到TCP/IP，但不属于TCP/IP。 传输层（TCP/UDP）：提供应用程序间（即端到端）的可靠（TCP）或高效（UDP）的通信。其功能包括：格式化信息流及提供可靠传输。传输层还要解决不同应用程序的识别问题。 网间网层（IP）：负责相邻计算机之间的通信。其功能包括：处理来自传输层的分组发送请求； 处理输入数据包；处理ICMP报文。 网络接口层：

10、TCP/IP协议的最低层，负责接收IP数据报并通过网络发送，或者从网络上接收物理帧，抽出IP数据包，交给IP层。,TCP/IP服务,注解：通过该服务体系的理解，大家一定要了解清楚IP包过滤型防火墙中的TCP协议簇包括那些具体协议、UDP协议簇包括那些具体协议，并要特别注意怎样通过防火墙的ICMP协议去安全有效的控制PING命令的执行。,SMTP - Simple Mail Transfer Protocol, 用于发送、接收电子邮件。 TELNET - 可以远程登陆到网络的每个主机上，直接使用他的资源。 FTP - Protocol,用于文件传输。 DNS - Domain Name Serv

11、ice, 被 TELNET、及其它服务所用，可以把主机名字转换为 IP 地址。 WWW - World Wide Web, 是 FTP、 gopher、WAIS及其它信息服务的结合体,使用超文本传输协议 (http)。,TCP/IP服务(cont.),RPC -远程过程调用服务。如 NFS - Network , 可允许系统共享目录与磁盘。 NIS - Network Information Services, 网络信息服务容许多个系统共享数据库,如 password file容许集中管理。 X Window System ：一个图形化的窗口系统。 Rlogin、 rsh、及 其它 “r”服务

12、 。运用相互信任的主机的概念，在其它系统上可以执行命令且不要求 password。,TCP/IP服务(cont.),IP,IP协议的主要内容包括无连接数据报传送、数据报寻径及差错处理三部分。 IP层作为通信子网的最高层，屏蔽底层各种物理网络的技术环节，向上（TCP层）提供一致的、通用性的接口，使得各种物理网络的差异性对上层协议不复存在。 IP数据报分为报头和数据区两部分，IP报头由IP协议处理，是IP协议的体现；数据体则用于封装传输层数据或差错和控制报文（ICMP）数据，由TCP协议或ICMP协议处理。,TCP,TCP是传输层的重要协议之一，提供面向连接的可靠字节流传输。面向连接的TCP要求在

13、进行实际数据传输前，必须在信源端与信宿端建立一条连接。且面向连接的每一个报文都需接收端确认，未确认报文被认为是出错报文，出错的报文协议要求出错重传。 TCP采用可变窗口进行流量控制和拥塞控制以保证可靠性。 分组是TCP传输数据的基本单元，分TCP头和TCP数据体两大部分。,UDP,UDP是传输层的重要协议之一； 基于UDP的服务包括NIS、NFS、NTP及DNS等。 UDP不是面向连接的服务，几乎不提供可靠性措施；因此，基于UDP的服务具有较高的风险。,TCP与UDP端口,一个TCP或UDP连接由下述要素唯一确定：源IP地址、目的地IP地址、源端口、目的地端口。 TCP或UDP用协议端口标识通

14、信进程，端口是一种抽象的软件结构（包括一些数据结构和I/O缓冲区）。应用程序（即进程）通过系统调用与某些端口建立连接后，传输层传给该端口的数据被相应进程所接收。 接口又是进程访问传输服务的人口点。每个端口拥有一个叫端口号的16位整数标识符，用于区分不同端口。 TCP和UDP软件分别可以提供65536个不同的端口。 端口有两部分，一部分是保留端口（端口号小于1024，对应于服务器进程），一部分是自由端口（以本地方式分配）。,某些服务进程通常对应于特定的端口。如SMTP为25，X WINDOWS为6000。 客户使用端口号及目的地IP地址初始化与一个特定主机或服务的连接。,TCP与UDP端口(co

15、nt.),协议IPV6,IETF决定在不久的将来利用IPV6来代替IPV4。 IPV6既能适应高速网络（如ATM），也能适应低带宽环境。 扩展地址和路由规模。 主机地址自动配置。 公共子网服务。 安全性加强。,防火墙技术可根据防范的方式和侧重点的不同而分为很 多种类型，但总体来讲可分为三大类： 分组过滤、应用代理、电路中继 分组过滤（Packet filtering）： 作用在网络层和传输层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。,防火墙技术内容,应用代理（Applica

16、tion Proxy）： 也叫应用网关（Application Gateway）,它作用在应用层，其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。 电路中继(Circuit Relay)： 也叫电路网关(Circuit Gateway)或TCP代理（TCP Proxy）,其工作原理与应用代理类似，不同之处是该代理程序是专门为传输层的TCP协议编制的。,防火墙技术内容(cont.),防火墙技术内容分组过滤,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,物理层,数据链路层,网络层,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,外部网络主机,内部网络主机,分组过滤型防火墙,一个分组过滤型防火墙通常能根据IP分组的以下各项过滤： 源IP地址 目标IP地址 TCP/UDP源端口 TCP/UDP目标端口 协议类型,防火墙技术内容分组过滤(cont.),防火墙技术内容分组