收藏
下载资源

网络安全技术与实践第10章-防火墙技术PPT课件

上传人:文库****9 文档编号:152426903 上传时间:2020-11-23 格式:PPT 页数:39 大小:5.20MB
返回 下载 相关 举报
网络安全技术与实践第10章-防火墙技术PPT课件_第1页
第1页 / 共39页
网络安全技术与实践第10章-防火墙技术PPT课件_第2页
第2页 / 共39页
网络安全技术与实践第10章-防火墙技术PPT课件_第3页
第3页 / 共39页
网络安全技术与实践第10章-防火墙技术PPT课件_第4页
第4页 / 共39页
网络安全技术与实践第10章-防火墙技术PPT课件_第5页
第5页 / 共39页
点击查看更多>>
资源描述

《网络安全技术与实践第10章-防火墙技术PPT课件》由会员分享,可在线阅读,更多相关《网络安全技术与实践第10章-防火墙技术PPT课件(39页珍藏版)》请在金锄头文库上搜索。

1、第10章 防火墙技术,信息安全概论,目 录,上海市精品课程 网络安全技术,教 学 目 标, 掌握防火墙的概念 掌握防火墙的功能 了解防火墙的不同分类 掌握SYN Flood攻击的方式 掌握用防火墙阻止SYN Flood攻击的方法,重点,重点,教学目标,上海市精品课程 网络安全技术,10.1.1 防火墙的概念,防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。,

2、10.1.1 防火墙的概念,根据已经设置好的安全规则,防火墙决定是允许(allow)或者拒绝(deny)内部网络和外部网络的连接,10.1.2 防火墙的功能,防火墙的功能 建立一个集中的监视点 隔绝内、外网络,保护内部网络 强化网络安全策略 对网络存取和访问进行监控审计 实现网络地址变换的理想平台,10.1.3 防火墙的主要优点,(1)防火墙能强化安全策略 每时每刻在Internet上都有上百万人在收集信息、交换信息,防火墙执行站点的安全策略,仅仅容许认可的和符合规则的请求通过。 (2)防火墙能有效地记录Internet上的活动 因为所有进出信息都必须通过防火墙,所以防火墙非常适用收集关于系统

3、和网络使用和误用的信息。作为唯一的访问点,防火墙能在被保护的网络和外部网络之间进行记录 (3)防火墙限制暴露用户点 防火墙能够用来隔开网络中一个网段与另一个网段。这样,能够防止影响一个网段的问题通过整个网络传播。 (4)防火墙是一个安全策略的检查站 所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。,10.1.4 防火墙的主要缺陷与不足,防火墙的主要缺陷与不足 不能防范恶意的知情者 不能防范不通过它的连接 不能防御全部的威胁 防火墙不能防范病毒 讨论思考 (1)什么是防火墙?现实生活中有没有类似于防火墙功能的生活现象? (2)使用防火墙构建企业网络体系后,

4、管理员是否可以高枕无忧? (3)能够提出一种思路,来快速响应网络攻击行为?,10.2 防火墙类型,按照软硬件形式分类 软件防火墙 硬件防火墙 芯片级防火墙 按照技术分类 包过滤防火墙 应用代理防火墙 应用网关防火墙 电路级防火墙 状态检测防火墙,包过滤防火墙,包过滤设备通常是根据IP、TCP或UDP包头信息如源地址、目的地址和端口号、协议类型等标志来确定是否允许数据包通过。,包过滤防火墙-静态,无状态数据包过滤 也常被称作是第一代静态包过滤类型防火墙。无状态数据包过滤在做出是否丢弃一个数据包的决定时,并不关心连接的状态。但是无状态数据包过滤在需要完全阻塞从子网络和其他网络过来的通信时非常有用,

5、并且数据包转发速度极快。过滤方法是建立规则集,这包含如下六个方面: 按IP数据包报头标准过滤 按照TCP或UDP端口号过滤 按照ICMP消息类型过滤 按段标记过滤 按ACK标记过滤 可疑的入站数据包的过滤,包过滤防火墙-动态,动态包过滤 动态包过滤试图将数据包的上下文联系起来,建立一种基于状态的包过滤机制。对于新建的应用连接,防火墙检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,这些相关信息构成一个状态表。这样,当一个新的数据包到达,如果属于已经建立的连接,则检查状态表,参考数据流上下文决定当前数据包通过与否;如果是新建连接,则检查静态规则表。 动态包过滤通过

6、在内存中动态地建立和维护一个状态表,数据包到达时,对该数据包的处理方式将综合静态安全规则和数据包所处的状态进行。 克服了传统包过滤仅仅孤立的检查单个数据包和安全规则静态不可变的缺陷,使得防火墙的安全控制力度更为细致,包过滤防火墙-其他技术,深度包检测 深入检测数据包有效载荷,执行基于应用层的内容过滤,以此提高系统应用防御能力。应用防御的技术问题主要包括:需要对有效载荷知道得更清楚; 也需要高速检查它的能力。 流过滤技术 以状态包过滤的形态实现应用层的保护能力;通过内嵌的专门实现的TCPIP协议栈,实现了透明的应用信息过滤机制。流过滤技术的关键在于其架构中的专用TCPIP协议栈,这个协议栈是一个

7、标准的TCP协议的实现,依据TCP协议的定义对出入防火墙的数据包进行了完整的重组,重组后的数据流交给应用层过滤逻辑进行过滤,从而可以有效地识别并拦截应用层的攻击企图。,应用代理防火墙,应用代理型防火墙是工作在OSI的应用层。特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用,第一代应用网关型防火墙,从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙,它的核心技术就是代理服务器技术。,第二代自适应代理型防火墙,结合代理类型防火墙的

8、安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上,组成这种类型防火墙的基本要素有两个:自适应代理服务器与动态包过滤器。,应用网关防火墙,应用网关防火墙的是通过打破传统的客户机/服务器模式实现的,可伸缩性较差。每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须要添加针对此应用的服务程序,否则不能用该服务。,电路级防火墙,电路级防火墙通过在TCP三次握手建立连接的过程中,检查双方的SYN、ACK和序号是否合乎逻辑来判断该请求的会话是否合法。

9、一旦防火墙认为该会话是合法的,就为双方建立连接并维护一张合法会话连接表,当会话信息与表中的条目匹配时才允许数据通过。会话结束后,表中相应的条目就被删除。,状态检测防火墙,当用户访问请求到达防火墙时,状态检测器要抽取有关的数据进行分析,结合网络配置和安全规定完成接纳拒绝身份认证报警或加密等处理动作。防火墙根据IP包头的信息与安全策略来决定是否转发IP包。通常的包过滤机制在接到每一个IP包时,IP包是被单独匹配和检查的。,10.2 防火墙类型-按体系结构,双重宿主主机体系结构,10.2 防火墙类型-按体系结构,被屏蔽主机体系结构,10.2 防火墙类型-按体系结构,被屏蔽子网体系结构,10.2 防火

10、墙类型-按体系结构,云火墙 云火墙”是目前最新的一种防火墙形式,它的基础是“云计算”、“云安全”。思科公司把云安全和防火墙结合到了一起,提出了“云火墙”的概念 云火墙具有以下特点: 基于SensorBase动态更新策略 利用IPS(Intrusion Prevention System,入侵防御系统)模块建立信誉的关联协作 提供虚拟云端的移动安全接入,讨论思考 (1)软件防火墙、硬件防火墙和芯片防火墙的主要区别是什么? (2)包过滤防火墙工作在OSI模型的哪一层? (3)应用代理防火墙为什么比包过滤防火墙的性能要好? (4)什么是DMZ(隔离区 )?有什么作用?,10.3 防火墙的主要应用,企

11、业网络体系结构 边界网络:此网络通过路由器直接面向 Internet,应该以基本网络通信筛选的形式提供初始层面的保护。路由器通过外围防火墙将数据一直提供到外围网络。 外围网络:此网络通常称为 DMZ或者边缘网络,它将外来用户与 Web 服务器或其他服务链接起来。然后,Web 服务器将通过内部防火墙链接到内部网络。 内部网络:内部网络则链接各个内部服务器(如 SQL Server)和内部用户。,10.3.2 内部防火墙系统应用,内部防火墙规则 默认情况下,阻止所有数据包。 在外围接口上,阻止看起来好像来自内部 IP 地址的传入数据包,以阻止欺骗。 在内部接口上,阻止看起来好像来自外部 IP 地址

12、的传出数据包以限制内部攻击。 允许从内部 DNS 服务器到 DNS 解析程序堡垒主机的基于 UDP 的查询和响应。 允许从 DNS 解析程序堡垒主机到内部 DNS 服务器的基于 UDP 的查询和响应。 允许从内部 DNS 服务器到 DNS 解析程序堡垒主机的基于 TCP 的查询,包括对这些查询的响应。 允许从 DNS 解析程序堡垒主机到内部 DNS 服务器的基于 TCP 的查询,包括对这些查询的响应。 允许从内部 SMTP 邮件服务器到出站 SMTP堡垒主机的传出邮件。 允许从入站 SMTP 堡垒主机到内部 SMTP 邮件服务器的传入邮件。 允许来自 VPN 服务器上后端的通信到达内部主机并且

13、允许响应返回到 VPN 服务器。 允许验证通信到达内部网络上的 RADUIS 服务器并且允许响应返回到 VPN 服务器。 来自内部客户端的所有出站 Web 访问将通过代理服务器,并且响应将返回客户端。 在所有连接的网段之间路由通信,而不使用网络地址转换。,内部防火墙的可用性,单一防火墙 容错防火墙,外围防火墙系统设计,外围防火墙的目的是为保护企业基础结构不受来自 Internet 的不安全网络流量威胁而设计的防火墙解决方案。外围防火墙部署位置如前图10-13所示,入侵者必须破坏该防火墙才能进一步进入内部网络,因此,它将成为明显的攻击目标,特别容易受到外部攻击。 边界位置中使用的防火墙是通向外部

14、世界的通道。在很多大型组织中,此处实现的防火墙类别通常是高端硬件防火墙或者服务器防火墙,但是某些组织使用的是路由器防火墙。,用智能防火墙阻止攻击,SYN Flood攻击原理 SYN Flood攻击所利用的是TCP协议存在的漏洞三次握手 假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接。 如果有大量的等待丢失的情况发生,服务器端将为了维护一个非常大的半连接请求而消耗非常多的资源而导致系统崩溃,从而拒绝

15、正常用户的访问(DoS)。,用智能防火墙阻止攻击,应用代理型防火墙的防御方法是客户端要与防火墙建立TCP连接的三次握手过程中,因为它位于客户端与服务器端(通常分别位于外、内部网络)中间,充当代理角色,这样客户端要与服务器端建立一个TCP连接,就必须先与防火墙进行三次TCP握手,当客户端和防火墙三次握手成功之后,再由防火墙与客户端进行三次TCP握手,完成后再进行一个TCP连接的三次握手。,用智能防火墙阻止攻击,包过滤型防火墙是工作于IP层或者IP层之下,对于外来的数据报文,它只是起一个过滤的作用。当数据包合法时,它就直接将其转发给服务器,起到的是转发作用。 在包过滤型防火墙中,客户端同服务器的三

16、次握手直接进行,并不需要通过防火墙来代理进行。包过滤型防火墙效率要较网关型防火墙高,允许数据流量大。但是这种防火墙如果配置不当的话,会让攻击者绕过防火墙而直接攻击到服务器。而且允许数据量大会更有利于SYN Flood攻击。这种防火墙适合于大流量的服务器,但是需要设置妥当才能保证服务器具有较高的安全性和稳定性。,防御SYN Flood攻击的防火墙设置,SYN网关:在这种方式中,防火墙收到客户端的SYN包时,直接转发给服务器;防火墙收到服务器的SYN/ACK包后,一方面将SYN/ACK包转发给客户端,另一方面以客户端的名义给服务器回送一个ACK包,完成一个完整的TCP三次握手,让服务器端由半连接状态进入连接状态。当客户端真正的ACK包到达时,有数据则转发给服务器,否则丢弃该包。由于服务器在连接状态要比在半连接状态能承受得更多,所以这种方法能有效地减轻对服务器的攻击。 被动式SYN网关:在这种方式中,设置防火墙的SYN请求超时参数,让它远小于服务器的超时期限。防火墙负责转发客户端发往服务器的SYN包,包括服务器发往客户端的SYN/ACK包和客户端发往服务器的AC

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > PPT模板库 > 其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号