《防火墙技术核心技术介绍》由会员分享,可在线阅读,更多相关《防火墙技术核心技术介绍(31页珍藏版)》请在金锄头文库上搜索。
1、第九讲:防火墙核心技术11.网络地址转换技术(NAT)2.虚拟专用网技术(VPN: Virtual Private Network)3.DMZ: Demilitarized Zone,非军事区或者隔离区4.防火墙其它技术改进2方向类类型源地址目的地址源端口目的端口动动作Outsidetcp*any80permit*anyanydeny方向类类型源地址目的地址源端口目的端口动动作 Insidetcp*123.4.5.7any80permit *anyanydenyDMZ( Demilitarized Zone,非军事区 或者隔离区)3DMZ是为了解决安装防火墙后外部网络不能访问内部网络服务器或者
2、能够访问内部网络但会带来安全隐患 的问题,而设立的一个非安全网络与安全网络之间的 缓冲区;这个缓冲区位于内部网络和外部网络之间的网络区域 内;在这个区域内可以放置一些必须公开的服务器设施, 如企业Web服务器、FTP服务器和论坛等;通过DMZ区域,能更加有效地保护内部网络。 三种网络4可信网络:企业内部网络不可信网络:因特网和其它公众网络中立网络:同时属于企业和因特网/其它公众网络的网络为什么需要DMZ?在实际的运用中,某些主机需要对外提供服务,但 会影响到内部网络的安全。将这些需要对外开放的 主机与内部的众多网络设备分隔开来,根据不同的 需要,有针对性地采取相应的隔离措施,这样便能 在对外提
3、供服务的同时最大限度地保护内部网络。 针对不同资源提供不同安全级别的保护,可以构建 一个或多个DMZ区域。 DMZ使包含重要数据的内部系统免于直接暴露给外 部网络而受到攻击,即使DMZ中服务器受到破坏, 也不会对内网中的重要信息造成影响。 5DMZ防火墙组成6DMZ网络访问控制策略1. 内网可以访问外网 2. 内网可以访问DMZ 3. 外网不能访问内网 4. 外网可以访问DMZ 5. DMZ不能访问外网 6. DMZ不能访问内网(或者只能访问特定设备 的特定应用 )XXXDMZ配置地址转换 DMZ区服务器与内网区、外网区的通信是经过网络 地址转换(NAT)实现的,以达到隐藏网络结构的目 的。D
4、MZ区服务器对内服务时映射成内网地址,对 外服务时映射成外网地址。DMZ安全规则制定 DMZ安全规则集是安全策略的技术实现,是实现一 个成功、安全的防火墙的非常关键的一步。在建立规 则集时必须注意规则次序 ,一般来说,通常的顺序 是,较特殊的规则在前,较普通的规则在后,防止在 找到一个特殊规则之前一个普通规则便被匹配,避免 防火墙被配置错误。 8DMZ特点解决非DMZ网络容易受到渗透攻击的问题在内部网络和外部网络之间增加的一个或几个子网为网络安全提供了更高级别的保护需要更复杂的规则配置在防火墙部署时需要重点考虑的因素9单防火墙的基础网络10基础网络、单防火墙和堡垒主机11带DMZ的防火墙12带
5、有DMZ的双防火墙13多重DMZ基础结构14防火墙应用示例15防火墙其它功能双机热备功能双地址路由功能端口映射功能IP与MAC绑定16防火墙的双机热备功能17防火墙应用示例:双机热备18防火墙的双地址路由功能19端口映射功能(MAP)20192.168.0.5:80192.168.0.4:21192.168.0.6:25192.168.0.3:53MAP 192.168.0.9:80 TO 202.102.1.3:8000202.102.1.3IP地址与MAC地址绑定21192.168.0.2 192.168.0.4DD防火墙术语(1)22堡垒主机双宿主机数据包过滤筛选路由器屏蔽主机屏蔽子网堡
6、垒主机是一种被强化的可以防 御攻击的计算机。 它被暴露于因特网/外网之上,作 为进入内部网络的一个检查点, 以达到把整个网络的安全问题集 中在某个主机上解决,从而省时 省力,不用考虑其它主机的安全 的目的。 堡垒主机是网络中最容易受到侵 害的主机,所以堡垒主机必须是 自身保护最完善的主机。防火墙术语(2)23双宿主机至少具有两个网络接口 ,内外的网络均可与双宿主机实 施通信,但内外网络之间不可直 接通信,内外部网络之间的IP数 据流被双宿主主机完全切断。 双宿主主机可以通过代理或让用 户直接注册到其上来提供很高程 度的网络控制。堡垒主机双宿主机数据包过滤筛选路由器屏蔽主机屏蔽子网防火墙术语(3
7、)24堡垒主机双宿主机数据包过滤筛选路由器屏蔽主机屏蔽子网数据包过滤技术是对数据包 进行选择,选择的依据是系统内 设置的过滤逻辑,被称为访问控 制表。 通过检查数据流中每个数 据包的源地址、目的地址、所用 的端口号、 协议状态等因素,或 它们的组合来确定是否答应该数 据包通过。防火墙术语(4)25堡垒主机双宿主机数据包过滤筛选路由器屏蔽主机屏蔽子网筛选路由器是防火墙最基本 的构件。它作为内外连接的唯一 通道,要求所有的报文都必须在 此通过检查。 路由器上可以装基于IP层的 报文过滤软件,实现报文过滤功 能。许多路由器本身带有报文过 滤配置选项,但一般比较简单。防火墙术语(5)26堡垒主机双宿主
8、机数据包过滤屏蔽路由器屏蔽主机屏蔽子网当一个堡垒主机安装在内部 网络上,通常在防火墙上设立过 滤规则,并使这个堡垒主机成为 从外部网络唯一可直接到达的主 机,即屏蔽主机。这确保了内部 网络不受未被授权的外部用户的 攻击。防火墙术语(6)27堡垒主机双宿主机数据包过滤屏蔽路由器屏蔽主机屏蔽子网这种方法是在内部网络和外 部网络之间建立一个被隔离的子 网,用两台防火墙将这一子网分 别与内部网络和外部网络分开。 在很多实现中,两个防火墙放在 子网的两端,在子网内构成一个“ 非军事区”DMZ。防火墙体系结构(1)28筛选路由器双/多宿主机被屏蔽主机被屏蔽子网防火墙体系结构(2)29筛选路由器双/多宿主机被屏蔽主机被屏蔽子网防火墙体系结构(3)30筛选路由器双/多宿主主机屏蔽主机屏蔽子网进行规则配置,只允许外 部主机与堡垒主机通信不允许外部主机直接访问 除堡垒主机之外的其它主机问题:存在什么缺点?防火墙体系结构(4)31筛选路由器双/多宿主主机屏蔽主机屏蔽子网
