《国家网络技术水平考试----防火墙》由会员分享,可在线阅读,更多相关《国家网络技术水平考试----防火墙(32页珍藏版)》请在金锄头文库上搜索。
1、第十章第十章 国家信息化工程师认证考试管理中心防火墙防火墙2第十章第十章 防火墙防火墙第1节 防火墙的定义 第2节 防火墙技术 第3节 防火墙的功能、性 能 第4节 防火墙的应用 第5节 防火墙不足之处 第6节 部署防火墙的误区 第7节 主流防火墙介绍3第1节 防火墙的定义传统的防火墙概念传统的防火墙概念概念:防火墙被设计用来 防止火从大厦的一部分传播到另一部分4I T I T 领域使用的防火墙概念领域使用的防火墙概念两个安全域之间通 信流的唯一通道安全域1Host A Host B 安全域2Host C Host D UDPBl oc kHost CHo st BTCPPa ssHost C
2、Ho st ADestinat ionProt ocolPe rm itSo urc e根据访问控制规则决 定进出网络的行为一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同 网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、 监视、记录)进出网络的访问行为。5防火墙的发展历程防火墙的发展历程将过滤功能从路由器中独立出来, 针对用户需求,提供模块化的软件包 用户可根据需要构造防火墙 安全性提高了,价格降低了利用路由器本身对分组的解析,进行分组过滤 过滤判断依据:地址、端口号 防火墙与路由器合为一体,只有过滤功能 适用于对安全性要求不高的网络环境是批量
3、上市的专用防火墙产品包括分组过滤或者借用路由器的分组过滤功能 装有专用的代理系统,监控所有协议的数据和指令 保护用户编程空间和用户可配置内核参数的设置 安全性和速度大为提高。防火墙厂商具有操作系统的源代码,并可实现安全内核 在功能上包括了分组过滤、应用网关、电路级网关 增加了许多附加功能:加密、鉴别、审计、NAT转换 透明性好,易于使用基于通用操作 系统的防火墙防火墙工具套基于安全操作 系统的防火墙6第 2节 防火墙技术防火墙的位置防火墙的位置包过滤技术包过滤技术应用代理技术应用代理技术状态检测技术状态检测技术7防火墙在网络中的位置防火墙在网络中的位置防火墙放置于不同网络安全域之间8包过滤技术
4、包过滤技术9包过滤原理包过滤原理安全网域Host C Host D UDPBl oc kHost CHo st BTCPPa ssHost CHo st ADestinat ionProt ocolPe rm itSo urc e数据包数据包数据包数据包数据包查找对应的 控制策略拆开数据包根据策略决定如 何处理该数据包控制策略数据包过滤依据主要是TCP/IP报头里面的 信息,不能对应用层数据进行处理数据TC P报 头I P 报 头分组过滤判断信息10应用代理技术应用代理技术11应用代理原理应用代理原理安全网域Host C Host D 数据包数据包数据包数据包数据包查找对 应的控 制策略拆开数
5、据包根据策略决定如何 处理该数据包数据包应用代理可以对数据包的数据区进行分析 ,并以此判断数据是否允许通过控制策略数据TC P报 头I P 报 头分组过滤判断 信息 应用代理判断 信息12状态检测技术状态检测技术13状态检测原理状态检测原理安全网域Host C Host D 数据包 数据包数据包数据包数据包查找对应的 控制策略拆开数 据包根据策略决 定如何处理 该数据包数据包状态检测可以结合前后数据包里的数据信息 进行综合分析决定是否允许该包通过控制策略数据3TC P报 头I P 报 头数据2TC P报 头I P 报 头数据1TC P报 头I P 报 头状态检测14第 3节 防火墙的功能、性能
6、 防火墙的功能防火墙的功能 防火墙的性能防火墙的性能15状态检测 表 提高了效率 防止假冒IP攻击Host C Host D No访问控 制规则 表Yes数据包状态检测数据包状态检测16防火墙访问控制的范围防火墙访问控制的范围vv源和目的地址;源和目的地址;vv源和目的端口;源和目的端口;vv“ “欺诈欺诈” ”的的IPIP地址;地址;vvIPIP协议号;协议号;vv端口范围;端口范围;vvICMPICMP信息类型;信息类型;vvIPIP和和TCPTCP中都有的选项类型;中都有的选项类型;vvIPIP和和TCPTCP标记组合;标记组合;vvVLANVLAN信息。信息。17防火墙的防御攻击的能力
7、防火墙的防御攻击的能力vv抵抗抵抗DOS/DDOSDOS/DDOS攻击攻击vv防止入侵者的扫描防止入侵者的扫描vv防止源路由攻击防止源路由攻击vv防止防止IPIP碎片攻击碎片攻击vv防止防止ICMP/IGMPICMP/IGMP攻击攻击vv防止防止IPIP假冒攻击假冒攻击18v 应用控制可以对常用的高层应用做更细的控制v 如HTTP的GET、POST、HEADv 如FTP的GET、PUT等 物理层链路层网络层传输 层会话层表示层应用层物理层链路层网络层传输 层会话层表示层应用层内部网络外部网络防火墙内部接口外部接口根据策略检查 应用层的数据符合策略应用层应用层应用层应用代理19InternetH
8、ost A 199.168.1.2 Host B199.168.1.3Host C199.168.1.4 Host D199.168.1.500-50-04-BB-71-A600-50-04-BB-71-BCBIND 199.168.1.2 To 00-50-04-BB-71-A6BIND 199.168.1.4 To 00-50-04-BB-71-BCIP与MAC地址绑定后, 不允许Host B假冒Host A 的IP地址上网防火墙允许Host A上网IPIP和和MACMAC地址绑定地址绑定20InternetInternet202.102.93.54 Host A受保护网络Host C H
9、ost D 192.168.1.21 192.168.1.25防火墙Eth2: 192.168.1.23Eth0: 101.211.23.1 数据I P 报 头数据I P 报 头源地址:192.168.1.21目地址:202.102.93.54源地址:101.211.23.1目地址:202.102.93.54101.211.23.2v 隐藏了内部网络的结构v 内部网络可以使用私有IP地址v 公开地址不足的网络可以使用这种方式提供IP复用功能NATNAT地址转换地址转换21反向地址映射反向地址映射Internetv 公开服务器可以使用私有地址v 隐藏内部网络的结构WWW 202.100.1.2
10、FTP 192.168.1.3MAIL 192.168.1.4DNS 192.168.1.2192.168.1.6202.106.100.88202.102.1.3MAP 192.168.1.2:53 TO 202.102.1.3:53 MAP 192.168.1.3:21 TO 202.102.1.3:21MAP 192.168.1.5:80 TO 202.102.1.3:80MAP 192.168.1.4:25 TO 202.102.1.3:25http:/202.102.1.2http:/202.102.1.3WWW 192.168.1522防火墙的性能防火墙的性能 延时 并发连接数 平
11、均无故障时间 吞吐量防火墙在不丢包的情况下能够达到的最大包转发速率 数据包通过防火墙所用的时间防火墙能够同时处理的点对点连接的最大数目 系统平均能够正常运行多长时间,才发生一次故障 23第 4节 防火墙的应用vv “ “访问控制访问控制” ”的应用的应用vv “ “防火墙在防火墙在VLANVLAN网络网络” ”应用应用vv “ “内网安全分段内网安全分段” ”的应用的应用vv “ “动态动态IPIP分配分配” ”的应用的应用vv “ “多出口多出口” ”的应用的应用 vv “ “端口映射端口映射” ”应用应用24“ “访问控制访问控制” ”的应用的应用25Vlan2财务部Vlan3技术部Vla
12、n4培训中心internetVlan网关“ “防火墙在防火墙在VLANVLAN网络网络” ”应用应用26internet财务部工程部销售部行政部“ “内网安全分段内网安全分段” ”的应用的应用27InternetInternetInternetLAN可以根据需要,按照源IP地址、服务, 将数据流从不同的端口送出“ “多出口多出口” ”的应用的应用28财务VLAN工程技术VLAN项目VLAN内部WEB服务器内部数据库服务器内部文件服务器宽带网(城域网)内部服务器 VLAN动态获得IP“ “动态动态IPIP分配分配” ”的应用的应用29托管主机Internet电信机房202.108.37.38 2
13、02.108.37.38192.168.1.100“端口映射”应用 30第 5节 防火墙不足之处vv 无法防护内部用户之间的攻击无法防护内部用户之间的攻击vv 无法防护基于操作系统漏洞的攻击无法防护基于操作系统漏洞的攻击vv 无法防护内部用户的其他行为无法防护内部用户的其他行为vv 无法防护端口反弹木马的攻击无法防护端口反弹木马的攻击vv 无法防护病毒的侵袭无法防护病毒的侵袭vv 无法防护非法通道出现无法防护非法通道出现31第 6节 企业部署防火墙的误区vv 最全的就是最好的,最贵的就是最好的最全的就是最好的,最贵的就是最好的vv 软件防火墙部署后不对操作系统加固软件防火墙部署后不对操作系统加固vv 一次配置,永远运行一次配置,永远运行vv 测试不够完全测试不够完全vv 审计是可有可无的审计是可有可无的32
