《网络信息安全ch06》由会员分享,可在线阅读,更多相关《网络信息安全ch06(49页珍藏版)》请在金锄头文库上搜索。
1、第 6 章 防火墙技术本章学习目标: 什么是防火墙墙 防火墙墙的作用 防火墙墙常见见的几种类类型 如何在网络络中配置防火墙墙2引言 破坏者 红客 间谍 技术爱好者 好奇的年青人 1、影响网络安全的人群 2、网络攻击的层次 第一层:基于应用层的操作。如拒绝服务或邮件炸弹攻击。 第二层:指本地用户获得不应获得的文件(或目录)读权限。 第三层:指本地用户获得不应获得的文件(或目录)写权限。 第四层:指外部用户获得访问内部文件的权利。 第五层:指获得特权文件的写权限。 第六层:指获得系统管理员的权限或根权限。3n1、隐藏IPn2、踩点扫描n3、获得系统或管理员权限n4、种植后门n5、在网络中隐身3、网
2、络攻击的步骤 攻击技术:网络踩点、网络扫描和网络监听引言 44、网络攻击手段n社会工程学攻击n物理攻击n暴力攻击n利用Unicode漏洞攻击n利用缓冲区溢出漏洞进行攻击n引言 5n1、防火墙技术n2、入侵检测技术n3、系统脆弱性扫描技术n4、隔离技术n5、VPN技术n6、网络防病毒技术n7、数据加密技术n5、网络防护的方法 引言 66.1 防火墙墙概述 76.1 防火墙墙概述 通常意义上的防火墙:不同安全级别的网络或安全域之间的唯一通道只有被防火墙策略明确授权的通信才可以通过系统自身具有高安全性和高可靠性注意区分个人防火墙、病毒防火墙防火墙是位于两个(或多个)网络间,实施网络 间访问控制的一组
3、组件的集合。防火墙的英文名为 “FireWall”,它是最重要的网络防护设备之一。1、基本概念 8网络边界即是采用不同安全策略的两个网络连 接处,比如用户网络和因特网之间连接、和其他业 务往来单位的网络连接、用户内部网络不同部门之 间的连接等。6.1 防火墙墙概述 (1)不同安全级别的网络或安全域之间的唯一通道防火墙的目的就是在网络连接之间建立一个安 全控制点,通过允许、拒绝或重新定向经过防火墙 的数据流,实现对进、出内部网络的服务和访问的 审计和控制。96.1 防火墙墙概述 (2)只有被防火墙策略明确授权的通信才可以通过106.1 防火墙墙概述 (3)系统自身具有高安全性和高可靠性防火墙自身
4、应具有非常强的抗攻击免疫力是防 火墙之所以能担当企业内部网络安全防护重任的先 决条件。 防火墙自身具有非常低的服务功能,除了专门 的防火墙嵌入系统外,再没有其他应用程序在防火 墙上运行。 一般采用Linux、UNIX或FreeBSD系统作为支撑 其工作的操作系统。 116.1 防火墙墙概述 2、防火墙的功能1)限定内部用户访问特殊站点。2)防止未授权用户访问内部网络。3)允许内部网络中的用户访问外部网络的服 务和资源而不泄漏内部网络的数据和资源。4)记录通过防火墙的信息内容和活动。5)对网络攻击进行监测和报警。126.1 防火墙墙概述 2、防火墙的功能(续)防火墙的基本功能:访问控制访问控制l
5、 基于源MAC地址l 基于目的MAC地址l 基于源IP地址l 基于目的IP地址l 基于源端口l 基于目的端口 l 基于方向l 基于时间l 基于用户l 基于流量l 基于内容13路由功能NAT功能VPN功能用户认证6.1 防火墙墙概述 2、防火墙的功能(续)防火墙的扩展功能:带宽控制日志审计流量分析146.2 防火墙墙在网络络中的位置 安装防火墙以前的网络 156.2 防火墙墙在网络络中的位置 安装防火墙后的网络 16DMZ是为了解决安装防火墙后外部网络不能访问内部 网络服务器的问题,而设立的一个非安全系统与安全系统 之间的缓冲区,这个缓冲区位于企业内部网络和外部网络 之间的小网络区域内,在这个小
6、网络区域内可以放置一些 必须公开的服务器设施,如企业Web服务器、FTP服务器和 论坛等。通过这样一个DMZ区域,更加有效地保护了内部网络 ,因为这种网络部署,比起一般的防火墙方案,对攻击者 来说又多了一道关卡。这样,不管是外部还是内部与对外 服务器交换信息数据也要通过防火墙,实现了真正意义上 的保护。 6.2 防火墙墙在网络络中的位置 DMZ区(demilitarized zone,也称非军事区)176.3 防火墙墙的体系结结构 防火墙墙的体系结结构一般有以下几种:1)双重宿主主机体系结结构。2)屏蔽主机体系结结构。3)屏蔽子网体系结构。186.3 防火墙墙的体系结结构1、双重宿主主机体系结
7、结构双重宿主主机体系结构是围绕具有双重宿主的主机计算 机而构筑的,该计算机至少有两个网络接口。可充当与这这些 接口相连连的网络络之间间的路由器;它能够够从一个网络络到另一 个网络发络发 送IP数据包。 实现双重宿主主机的防火墙体系结构禁止这种发送功能 。因而,IP数据包从一个网络(例如,因特网)并不是直接 发送到其他网络(例如,内部的、被保护的网络)。防火墙 内部的系统能与双重宿主主机通信,同时防火墙外部的系统 (在因特网上)能与双重宿主主机通信,但是这些系统不能 直接互相通信。它们之间的IP通信被完全阻止。 196.3 防火墙墙的体系结结构2、屏蔽主机体系结构屏蔽主机体系结结构使用一个单单独
8、的路由器提供来自仅仅 仅仅与内部的网络络相连连的主机的服务务。 堡垒主机是互 联网上的主机 能连接到内部 网络上的系统 的桥梁 数据包过滤也 许堡垒主机开 放可允许的连 接到外部世界 206.3 防火墙墙的体系结结构3、屏蔽子网体系结构屏蔽子网体系结结构添加额额外的安全层层到被屏蔽主机体 系结结构,即通过过添加周边边网络络更进进一步地把内部网络络和外 部网络络(通常是Internet)隔离开。 21最简单简单 的形式为为:两个屏蔽路由器,每一个都连连接到 周边边网。一个位于周边边网络与内部网络络之间间,另一个位于周边边 网与外部网络络(通常为为Internet)之间间。这样这样 就在内部网 络
9、络与外部网络络之间间形成了一个“隔离带带”。 6.3 防火墙墙的体系结结构3、屏蔽子网体系结构(续)侵袭袭者必须须通过过两个路由器。即使侵袭袭者侵入堡垒垒主 机,它将仍然必须须通过过内部路由器。22软软件防火墙墙和硬件防火墙墙以及芯片级级防火墙墙。 6.4 防火墙墙的类类型与特点 6.4.1 按物理实实体分类类 X86架构 (PC架构工控机)NP架构 (网络处理器)ASIC架构 (专用集成电路)至少应具备三个端口,分别接内网、外 网和DMZ区(非军事区) 23防火墙墙的工作方式主要分包过滤过滤 型和应应用代理型两种 。 6.4 防火墙墙的类类型与特点 6.4.2 按工作方式分类类 1包过滤型
10、包过滤(Packet filtering)型防火墙工作在OSI网络参考模型的 网络层和传输层,它根据数据包头源地址、目的地址、端口号和协议类 型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相 应的目的地,其余数据包则被从数据流中丢弃。 246.4 防火墙墙的类类型与特点 6.4.2 按工作方式分类类(续) 2应应用代理型 应用代理型防火墙 (Application Proxy) 是工作在OSI的最高层, 即应用层。其特点是完 全“阻隔”了网络通信 流,通过对每种应用服 务编制专门的代理程序 ,实现监视和控制应用 层通信流的作用。 256.4 防火墙墙的类类型与特点 6.4.3 按
11、部署结结构分类类 从防火墙结墙结 构分为单为单 一主机防火墙墙、路由器集成 式防火墙墙和分布式防火墙墙三种。 单一主机防火墙:是最为传统的防火墙,独立于其它网络设备, 它位于网络边界。与一台计计算机结结构差不多,价格昂贵贵。 路由器集成式防火墙墙:这种防火墙通常是较低级的包过滤型。许 多中、高档路由器中集成了防火墙功能,如CiscoIOS防火墙系列。这 样企业就不用再同时购买路由器和防火墙,大大降低了网络设备购买 成本。 分布式防火墙:不只是位于网络边界,而是渗透于网络的每一台 主机,对整个内部网络的主机实施保护。在网络服务器中,通常会安 装一个用于防火墙系统管理软件,在服务器及各主机上安装有
12、集成网 卡功能的PCI防火墙卡。 266.4 防火墙墙的类类型与特点 6.4.4 按部署位置分类类 按防火墙墙的应应用部署位置分为边为边 界防火墙墙、个人 防火墙墙和混合式防火墙墙三大类类。 6.4.5 按性能分类类按防火墙墙性能分为为百兆级级防火墙墙和千兆级级防火 墙墙两类类。目前还针对小企业用户(网络流量小、用户 数量较少)生产出了桌面型防火墙。276.5 防火墙墙的工作模式与主要技术6.5.1 防火墙的工作模式 防火墙墙的工作模式有路由模式、透明桥模式和混 合模式三大类类。 路由模式:防火墙可以充当路由器,提供路由功能。透明桥模式:防火墙可以方便的接入到网络,而且保持所有 的网络设备配置
13、完全不变。混合模式:防火墙同时工作在路由模式和桥模式。28路由模式防火墙缺省工作模式,防火 墙可以充当路由器,提供路 由功能FTPwwwDMZ区内部网络连接DMZ的接口需要设置成公 网地址或在出接口启用 destination nat防火墙的各个接口处于不同 的网段Internet29策略路由30透明模式(桥模式)L3 SwitchRouter防火墙可以方便的接入到网 络,而且保持所有的网络设 备配置完全不变此时防火墙类似网桥的工作 方式,降低网络管理的复杂 度Internet内部网络31混合模式桥防火墙同时工作在路 由模式和桥模式FTPwwwDMZ区内部网络Internet路由NAT32防火
14、墙的网桥接口 启用NAT转换外部接口和DMZ接 口组成透明方式混合模式防火墙的应用33l源ip地址转换(NAT) l目的ip地址转换(目的ip地址映射/MAP/反向NAT) l一对一/静态ip地址转换/SAT l地址池(ip pool) l目的端口转换(端口映射/PAT) l地址伪装 l透明应用代理NAT (网络地址转换)6.5.2 防火墙的主要技术6.5 防火墙墙的工作模式与主要技术34应用一:目的端口映射 在WIN2K中端口映射查开放端口的小程序35应用二:防BT36应用三:防Flood攻击HackerICMP FloodUDP FloodTCP Flood目标网络基于数据流的防范基于数据
15、包的防范当源主机在1秒内发起的连接数达到 门限值时,在该秒内的剩余时段和 下一秒中,丢弃该源主机发起的同 类连接当源主机在1秒内发出的数据包达到 门限值时,在该秒内的剩余时段和 下一秒中,丢弃该源主机发出的同 类数据37All-In-One技术:大集成,需解决模块安全6.6 防火墙墙的发发展趋势趋势 大多数防火墙的功能都比较全面,几乎包括了所有的安 全功能,如VPN、防病毒、IDS、安全审计等。性能不断提升 ,国内已有千兆线速防火墙;架构已发生变化,从X86架构 ,开始向ASIC、NP等网络设备标准架构蜕变。功能性能不断突破:需解决集成、核心技术 下一代网络的新需求:IPv6网络需求 高速、安
16、全、可用:高性能、抗毁、业务连续业务连续 386.7 应用案例(一):某市局网上下互连 防火墙网络地址分配 外口:221.12.118.179/29 内口:10.33.120.20/24 DMZ口:21.24.117.2396.7 应用案例(二):单计算机保护 利用防火墙软件实现。目前可选天网、瑞星、趋势、诺 顿等。此处以单机版软件为例,介绍防火墙规则设置与使用 。(有条件的应该安排3-4次防火墙实验,如端口设置、NAT 、规则管理、VPN及与IDS的联动等。)40瑞星个人防火墙的设置与使用41瑞星个人防火墙的设置与使用42瑞星个人防火墙的设置与使用43瑞星个人防火墙的设置与使用44趋势05网络安全版设置与使用45趋势05网络安全版设置与使用46趋势05网络安全版设置与使用47趋势05网络安全版设置与使用48本章小结 防火墙墙是隔离在本地网络络与外界网络络之间执间执 行访问访问 控制策略的一道防 御系统统,目的是保护护网络络不被他人侵扰扰。防火墙墙在企业业内
