收藏
下载资源

2013计算机网络安全partIII-防火墙

上传人:n**** 文档编号:45690762 上传时间:2018-06-18 格式:PDF 页数:60 大小:1.28MB
返回 下载 相关 举报
2013计算机网络安全partIII-防火墙_第1页
第1页 / 共60页
2013计算机网络安全partIII-防火墙_第2页
第2页 / 共60页
2013计算机网络安全partIII-防火墙_第3页
第3页 / 共60页
2013计算机网络安全partIII-防火墙_第4页
第4页 / 共60页
2013计算机网络安全partIII-防火墙_第5页
第5页 / 共60页
点击查看更多>>
资源描述

《2013计算机网络安全partIII-防火墙》由会员分享,可在线阅读,更多相关《2013计算机网络安全partIII-防火墙(60页珍藏版)》请在金锄头文库上搜索。

1、计算机网络安全计算机网络安全计算机网络安全计算机网络安全Part IV 网络安全设备Part IV 网络安全设备1 1 1 1一、防火墙一、防火墙防火墙可以隔离风险区域(Internet或有一定风 险的网络)与安全区域(内部局域网)的连接, 同时不会妨碍安全区域对风险区域的访问互联网防火墙内部网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全Part IV 网络安全设备Part IV 网络安全设备2 2 2 21. 防火墙原理防火墙原理 p采用包过滤技术 p包过滤可以在网络层截获数据。使用一些规则来确 定是否转发或丢弃所收到的各个数据包 p如果规则中没有明确允许指定数据包的出入,那么

2、 数据包将被丢弃(白名单方法) p包过滤技术的优点在于一个过滤路由器能协助保护 整个网络;数据包过滤对用户透明;过滤路由器速 度快、效率高 p包过滤技术的缺点则是不能彻底防止地址欺骗。一 些应用协议不适合于数据包过滤;正常的数据包过 滤路由器无法执行某些安全策略计算机网络安全计算机网络安全计算机网络安全计算机网络安全Part IV 网络安全设备Part IV 网络安全设备3 3 3 3计算机网络安全计算机网络安全计算机网络安全计算机网络安全Part IV 网络安全设备Part IV 网络安全设备4 4 4 4计算机网络安全计算机网络安全计算机网络安全计算机网络安全Part IV 网络安全设备P

3、art IV 网络安全设备5 5 5 5p 包过滤技术是基于IP地址来监视并过滤网络上流入和流 出的IP包,它只允许与指定的IP地址通信。它的作用是在可 信任网络和不可信任网络之间有选择地安排数据包的去向。 包过滤操作一般都是在选择路由的同时,在网络层对数据包 进行选择或过滤,故也称网络层防火墙 p安全策略的依据是系统内设置的信息过滤规则,即访问控 制表(Access Control List,ACL)。它指定允许哪些类型 的数据包可以流入或流出内部网络。一般过滤规则是以IP数 据包信息为基础,对IP数据包的源地址、目的地址、传输方 向、分包、IP数据包封装协议、TCP/UDP目标端口号等进

4、行筛选、过滤2. 防火墙技术防火墙技术1) 包过滤计算机网络安全计算机网络安全计算机网络安全计算机网络安全Part IV 网络安全设备Part IV 网络安全设备6 6 6 6应用层表示层 会话层 传输层 网络层 链路层 物理层外部 网络内部 网络p 包过滤防火墙遵循的基本原则是“最小特权原 则”,即明确允许希望通过的那些数据包,禁止 其他的数据包计算机网络安全计算机网络安全计算机网络安全计算机网络安全Part IV 网络安全设备Part IV 网络安全设备7 7 7 7(1)安全性较差 (2)一些应用协议不适用 (3)正常的数据包过滤路由器无法执行某些安全 策略 (4)不能彻底防止地址欺骗

5、属于早期防火墙技术,不能提供较高的安全性。在 实际应用中,通常与应用网关配合使用或与其他防 火墙技术结合使用,共同组成防火墙系统 p 包过滤技术的缺点 计算机网络安全计算机网络安全计算机网络安全计算机网络安全Part IV 网络安全设备Part IV 网络安全设备8 8 8 8p 针对包过滤防火墙的攻击IP地址欺骗(如:假冒内部的IP地址) 对策:在外部接口上禁止内部地址 源路由攻击(即由源指定路由来旁路安全措施) 对策:禁止源路由的选项小碎片攻击(利用IP分片功能把TCP头部切分到 不同的分片中,以绕过用户定义的过滤规则) 对策:丢弃分片太小的分片 利用复杂协议和管理员的配置失误进入防火墙(

6、如:利用ftp协议对内部进行探查)计算机网络安全计算机网络安全计算机网络安全计算机网络安全Part IV 网络安全设备Part IV 网络安全设备9 9 9 9p 代理服务运行在防火墙主机上的专门的应用程 序,位于内部网络上的用户和外部网上的服务之 间,内部用户和外部网服务彼此不能直接通信, 只能与代理打交道。代理负责接收外部网服务请 求,再把它们转发到具体的服务中 p 代理服务防火墙可以配置成允许来自内部网络 的任何连接,也可以配置成要求用户认证后才建 立连接,为安全性提供额外的保证,减少从内部 发动攻击的可能性。代理(Proxy)防火墙通常有 应用层网关和电路级网关两类2) 代理服务计算机

7、网络安全计算机网络安全计算机网络安全计算机网络安全Part IV 网络安全设备Part IV 网络安全设备10101010p 应用级网关工作于应用层,且针对特定的应用 层协议,通过代理可以实现比包过滤更严格的安全 策略。代理服务器是软件形式,比较灵活、安全性 高,但比较慢 p 可对内容进行过滤、对用户进行认证、可对不 同的服务采取不同的安全策略防火墙代理请求客户客户 代理访问控制转发应答服务器 代理请求转发 应答服 务 器计算机网络安全计算机网络安全计算机网络安全计算机网络安全Part IV 网络安全设备Part IV 网络安全设备11111111ApplicationPresentation

8、SessionTransportNetworkData LinkPhysicalApplicationPresentationSessionTransportNetworkData LinkPhysicalApplicationPresentationSessionTransportNetworkData LinkPhysicalHTTPTELNETFTP计算机网络安全计算机网络安全计算机网络安全计算机网络安全Part IV 网络安全设备Part IV 网络安全设备12121212把数据包提交给应用层过滤,并只依赖于TCP的连 接。它遵循SOCKS 协议,即电路层网关的标准。 它是在网络的传输

9、层实施访问策略,是在内部网和 外部网之间建立一个虚拟电路进行通信TCP Socket电路级网关TCPIP网络接口客户机服务器TCP Socketp 电路级网关技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全Part IV 网络安全设备Part IV 网络安全设备13131313应用层表示层会话层传输层网络层链路层物理层外部 网络内部 网络用户所使用的客户端程序将请求发到地址已被解析的代 理服务器的内部接口上 如果需要身份验证,网关会提示用户进行身份验证 用户通过身份验证后,代理服务器代替用户向目的URL 发出请求,接着再用自己的源IP地址和目的地建立连接 代理服务器将目的服务器上的

10、应答转发给客户端计算机网络安全计算机网络安全计算机网络安全计算机网络安全Part IV 网络安全设备Part IV 网络安全设备14141414状态检测技术是包过滤技术的延伸,常被称为“动态数 据包过滤”。在网络层拦截输入包,并利用足够的企图 连接的状态信息作出决策。使用各种状态表来追踪活 跃的TCP会话。由用户定义的访问控制列表(ACL) 决定允许建立哪些会话(session),只有与活跃会话 相关联的数据才能穿过防火墙内部主机外部主机信 息 处 理状态信息库3) 状态检测技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全Part IV 网络安全设备Part IV 网络安全设备15

11、151515 检查数据包是否是一个已经建立并且正在使用的通 信流的一部分 根据所使用的协议,决定对数据包的检查程度 如果数据包和连接表的各项都不匹配,那么防火墙 就会检测数据包是否与它所配置的规则集相匹配 数据包检测后,则将该数据包转发到它的目的地 址,并且防火墙会在其连接表中为此次对话创建或者 更新一个连接项,防火墙将使用这个连接项对返回的 数据包进行校验 防火墙通常对TCP包中被设置的FIN位进行检测或 者通过使用计时器来决定何时从连接表中删除某连接 项p状态检测技术的原理计算机网络安全计算机网络安全计算机网络安全计算机网络安全Part IV 网络安全设备Part IV 网络安全设备161

12、61616p 透明防火墙透明防火墙p 基于路由的防火墙基于路由的防火墙p 基于基于NAT的防火墙的防火墙p 应用层防火墙应用层防火墙3. 防火墙类型防火墙类型计算机网络安全计算机网络安全计算机网络安全计算机网络安全Part IV 网络安全设备Part IV 网络安全设备17171717计算机网络安全计算机网络安全计算机网络安全计算机网络安全Part IV 网络安全设备Part IV 网络安全设备18181818计算机网络安全计算机网络安全计算机网络安全计算机网络安全Part IV 网络安全设备Part IV 网络安全设备19191919计算机网络安全计算机网络安全计算机网络安全计算机网络安全P

13、art IV 网络安全设备Part IV 网络安全设备20202020默认情况下,所有的防火墙都是按以下两种情况默认情况下,所有的防火墙都是按以下两种情况 配置的:配置的: p拒绝所有的流量,能够进入和出去的流量类型拒绝所有的流量,能够进入和出去的流量类型 进行对特殊指定进行对特殊指定 p允许所有的流量,对要拒绝的流量类型进行特允许所有的流量,对要拒绝的流量类型进行特 别指定别指定4. 防火墙的配置原则防火墙的配置原则计算机网络安全计算机网络安全计算机网络安全计算机网络安全Part IV 网络安全设备Part IV 网络安全设备21212121一个可靠的分组过滤防火墙依赖于规则集,表中列出了几

14、 条典型的规则集,这些规则就是通过访问控制列表 (Access Control List,ACL)体现的 第一条规则:主机10.1.1.1任何端口访问任何主机的任 何端口,基于TCP协议的数据包都允许通过 第二条规则:任何主机的20端口访问主机10.1.1.1的任 何端口,基于TCP协议的数据包允许通过 规则三:任何主机的20端口访问主机10.1.1.1小于1024 的端口,基于TCP协议的数据包都禁止通过序号动作源IP目的IP源端口目的端口协议类型1允许10.1.1.1*TCP2允许*10.1.1.120*TCP3禁止*10.1.1.1201024TCP计算机网络安全计算机网络安全计算机网络

15、安全计算机网络安全Part IV 网络安全设备Part IV 网络安全设备22222222p 防火墙规则举例FIREWALL ENABLEACL 3001Rule deny ip source any destination anyRule deny ip source 1.1.1.1 0 destination anyRule deny ip source any destination 1.1.1.1 0Interface S0 Firewall packet- filter 3001 inbound计算机网络安全计算机网络安全计算机网络安全计算机网络安全Part IV 网络安全设备Par

16、t IV 网络安全设备232323235. 防火墙的应用层过滤 针对如下问题:a) 对于多通道的应用层协议(如FTP,H.323 等), 部分安全策略配置无法预知b) 无法检测某些来自于应用层的攻击行为(如TCP SYN,Java applet 等) 华为的状态防火墙技术ASPF(Application Specific Packet Filter),针对应用层及传输层的包过 滤,即基于状态的报文过滤 ASPF 能够实现的应用层协议检测包括FTP、HTTP、 SMTP、RTSP、H.323 能够实现的传输层协议检测(包括通用TCP/UDP 检测)p ASPF技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全Part IV 网络安全设备Part IV 网络安全设备24242424p WEB 过滤技术 可以阻止内部用户访问非法的网址

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 电子/通信 > 综合/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号