收藏
下载资源

防火墙技术教程

上传人:j****9 文档编号:54543236 上传时间:2018-09-14 格式:PPT 页数:90 大小:2.28MB
返回 下载 相关 举报
防火墙技术教程_第1页
第1页 / 共90页
防火墙技术教程_第2页
第2页 / 共90页
防火墙技术教程_第3页
第3页 / 共90页
防火墙技术教程_第4页
第4页 / 共90页
防火墙技术教程_第5页
第5页 / 共90页
点击查看更多>>
资源描述

《防火墙技术教程》由会员分享,可在线阅读,更多相关《防火墙技术教程(90页珍藏版)》请在金锄头文库上搜索。

1、应用程序代理,包过滤&状态检测,用户认证,NAT,VPN,日志,IDS与报警,内容过滤,防火墙技术,一个典型的防火墙使用形态,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,合法请求则允许对外访问,发起访问请求,Internet 区域,Internet,边界路由器,防火墙在此处的功能: 1、工作子网与外部子网的物理 隔离 2、访问控制 3、对工作子网做NAT地址转换 4、日志记录,防火墙示意图,1. 企业内联网,2. 部门子网,3. 分公司网络,防火墙是什么,在一个受保护的内部网络与互联网间,用来强制执行企业安全策略的一个或一组系统.,防火墙主要用于保护内部安全

2、网络免受外部网不安全网络的侵害。 典型情况:安全网络为企业内部网络,不安全网络为因特网。 但防火墙不只用于因特网,也可用于Intranet各部门网络之间(内部防火墙)。例:财务部与市场部之间。,防火墙概念(1),最初含义:当房屋还处于木制结构的时侯,人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙。 Rich Kosinski(Internet Security公司总裁):防火墙是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问。换句话说,防火墙是一道门槛,控制进/出两个方向的通信。,William Cheswick和Steve Beilo

3、vin(1994):防火墙是放置在两个网络之间的一组组件,这组组件共同具有下列性质: 只允许本地安全策略授权的通信信息通过 双向通信信息必须通过防火墙 防火墙本身不会影响信息的流通,防火墙概念(2),防火墙概念(3),简单的说,网络安全的第一道防线防火墙是位于两个信任程度不同的网络之间(如企业内部网络和Internet之间)的软件或硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。,防火墙的概念(4),在逻辑上,防火墙是分离器,限制器,也是一个分析器,有效地监控了内部网和外部网之间的任何活动,保证了内部网络的

4、安全。 在物理上,防火墙通常是一组硬件设备路由器、主计算机,或者是路由器、计算机和配有软件的网络的组合。 防火墙一般可分为多个部分,某些部分除了执行防火墙功能外还执行其它功能。如:加密和解密VPN。,防火墙概念(5),防火墙的实质是一对矛盾(或称机制): 限制数据流通 允许数据流通 两种极端的表现形式: 除了非允许不可的都被禁止,安全但不好用。(限制政策) 除了非禁止不可的都被允许,好用但不安全。(宽松政策) 多数防火墙都在两种之间采取折衷。,防火墙实现层次,防火墙的基本功能模块,应用程序代理,包过滤&状态检测,用户认证,NAT,VPN,日志,IDS与报警,内容过滤,防火墙的主要功能,防 火

5、墙 的 功能,过滤进出网络的数据,管理进出网络的访问行为,封堵某些禁止的业务,记录进出网络的信息和活动,对网络攻击进行检测和告警,Internet防火墙的作用,Internet防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户,如黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络,并抗击来自各种路线的攻击。Internet防火墙能够简化安全管理,网络安全性是在防火墙系统上得到加固,而不是分布在内部网络的所有主机上。 在防火墙上可以很方便的监视网络的安全性,并产生报警。应该注意的是:对一个内部网络已经连接到Internet上的机构来说,重要的问题并不是网络是否会受到攻击,而是

6、何时会受到攻击。网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录,防火墙就形同虚设。在这种情况下,网络管理员永远不会知道防火墙是否受到攻击。,Internet防火墙的作用,Internet防火墙可以作为部署NAT(Network Address Translator,网络地址变换)的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题,并消除机构在变换ISP时带来的重新编址的麻烦。 Internet防火墙是审计和记录Internet使用量的一个最佳地方。网络管理员可以在此向管理部门提供Internet连接的费用情况,查出潜在的带宽瓶颈的位置,并能够根

7、据机构的核算模式提供部门级的记费。 Internet防火墙也可以成为向客户发布信息的地点。Internet防火墙作为部署WWW服务器和FTP服务器的地点非常理想。还可以对防火墙进行配置,允许Internet访问上述服务,而禁止外部对受保护的内部网络上其它系统的访问。,防火墙的作用示意图,目前合法的IP地址已经远远不够使用,许多公司内部使用的都是非法的IP地址,无法直接与外界相连。防火墙能够将内部使用的非法IP地址与对外真正的IP作转换。使现在使用的IP无需变动,也能够与外界相通。 防火墙提供一对一(NAT)及多对一(PAT)的地址转换,可保护及隐藏内部网络资源并减少由于架设网络防火墙所引起的I

8、P地址变动,方便网络管理,并可以解决IP地址不足的问题。,地址翻译(NAT),网络地址转换技术(NAT),NAT(Network Address Translation):就是将一个IP地址用另一个IP地址代替。 应用领域: 网络管理员希望隐藏内部网络的IP地址。 内部网络的IP地址是无效的IP地址。合法Internet IP地址有限,而且受保护网络往往有自己的一套IP地址规划(非正式IP地址),网络地址转换技术(NAT),解决方法:网络地址转换器就是在防火墙上装一个合法IP地址集。 当内部某一用户要访问Internet时,防火墙动态地从地址集中选一个未分配的地址分配给该用户; 同时,对于内部

9、的某些服务器如Web服务器,网络地址转换器允许为其分配一个固定的合法地址。 好处: 缓解IP地址匮乏问题; 对外隐藏了内部主机的IP地址,提高了安全性。,防火墙网关,NAT技术中将不合法IP转换为合法IP,Intranet,防火墙,路由器,10.0.0.1,200.0.0.1,200.0.0.2,200.0.0.1,将内部网地址转换成网关地址,问题:所有返回数据包目的IP都是200.0.0.1,防火墙如何识别并送回真正主机? 方法:1、防火墙记住所有发送包的目的端口;2、防火墙记住所有发送包的TCP序列号,NAT示意图,Internet,192.168.200.1,192.168.200.2,

10、192.168.200.100,140.133.1.1,140.133.1.45,WWW,PC,PC,Server,内容过滤,阻止 Java, ActiveX, JavaScript VBscript URL 记录和拦截 SMTP 过滤 丢弃假来源地址的信件 可设定传送信件的大小 可消除内部信件传递路径信息,避免内部主机暴露给外界 提供E-mail地址转换功能 病毒?,Inspect Port Command,Drops the Packet,HTTP Request,Java Signature,Server Reply,Requests for Java Applet,N,No Java

11、Signature Lets it Through,Inspect,Web Server,Web Client,Java 阻塞,防火墙的评价 -防火墙不可以防范什么,防火墙不是解决所有网络安全问题的万能药方,只是网络安全政策和策略中的一个组成部分。 防火墙不能防范绕过防火墙的攻击,例:内部提供拨号服务。 防火墙不能防范来自内部人员恶意的攻击。 防火墙不能阻止被病毒感染的程序或文件的传递 。 防火墙不能防止数据驱动式攻击。例:特洛伊木马。,防火墙的评价 -防火墙不可以防范什么,内部提供拨号服务绕过防火墙,日志功能,日志记录一般包括:系统日志、流量日志、告警日志等. 根据管理的需要,它可以对每一个

12、进出网络的数据包作简单或详细的纪录。包括数据的来源,目的,使用的协议,时间甚至数据的内容等等。,防火墙的种类,防火墙的存在形式:软件、硬件。 根据防范方式和侧重点的不同可分为四类: 包过滤 应用层代理 电路层代理 状态检查,包过滤防火墙,包过滤防火墙,包过滤防火墙对所接收的每个数据包做允许拒绝的决定。防火墙审查每个数据报以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。 包头信息中包括IP源地址、IP目标端地址、内装协(TCP、UDP、ICMP、或IPTunnel)、TCP/UDP目标端口、ICMP消息类型、TCP包头中的ACK位 包的进入接口和出接口如果有匹

13、配并且规则允许该数据包,那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包,那么该数据包就会被丢弃。如果没有匹配规则,用户配置的缺省参数会决定是转发还是丢弃数据包。,包过滤防火墙,包过滤防火墙使得防火墙能够根据特定的服务允许或拒绝流动的数据,因为多数的服务收听者都在已知的TCP/UDP端口号上。例如,Telnet服务器在TCP的23号端口上监听远地连接,而SMTP服务器在TCP的25号端口上监听人连接。为了阻塞所有进入的Telnet连接,防火墙只需简单的丢弃所有TCP端口号等于23的数据包。为了将进来的Telnet连接限制到内部的数台机器上,防火墙必须拒绝所有TCP端口号等

14、于23并且目标IP地址不等于允许主机的IP地址的数据包。,包过滤检查内容,数据包过滤一般要检查网络层的IP头和传输层的头: IP源地址 IP目标地址 协议类型(TCP包、UDP包和ICMP包) TCP或UDP包的目的端口 TCP或UDP包的源端口 ICMP消息类型 TCP包头的ACK位 TCP包的序列号、IP校验和等,优点:速度快,性能高对用户透明,缺点:维护比较困难(需要对TCP/IP了解)安全性低(IP欺骗等)不提供有用的日志,或根本就不提供不防范数据驱动型攻击不能根据状态信息进行控制不能处理网络层以上的信息无法对网络上流动的信息提供全面的控制,包过滤防火墙优缺点,透明模式包过滤,NAT模

15、式,NAT (MAP IP),NAT Sample (PAT),虚拟IP,路由模式,代理服务器,代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。不允许通信直接经过外部网和内部网。 将所有跨越防火墙的网络通信链路分为两段。 防火墙内外计算机系统间应用层的“ 链接”,由两个终止代理服务器上的“ 链接”来实现 外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。,代理服务器示意图,Telnet代理服务器,代理服务的分类,代理服务分类:代理服务可分为应用级代理与电路级代理: 应用级代理是已知代理服务向哪一应用提供的代理,它在应用协议中理解并解释命令。应用级代理

16、的优点为它能解释应用协议从而获得更多的信息,缺点为只适用于单一协议。 电路级代理是在客户和服务器之间不解释应用协议即建立回路。电路级代理的优点在于它能对各种不同的协议提供服务,缺点在于它对因代理而发生的情况几乎不加控制。,应用层代理的优点,应用层代理能够让网络管理员对服务进行全面的控制,因为代理应用限制了命令集并决定哪些内部主机可以被该服务访问。 网络管理员可以完全控制提供那些服务,因为没有特定服务的代理就表示该服务不提供。 防火墙可以被配置成唯一的可被外部看见的主机,这样可以保护内部主机免受外部主机的进攻。 应用层代理有能力支持可靠的用户认证并提供详细的注册信息。另外,用于应用层的过滤规则相对于包过滤防火墙来说更容易配置和测试。 代理工作在客户机和真实服务器之间,完全控制会话,所以可以提供很详细的日志和安全审计功能。,应用层代理的缺点,应用层代理的最大缺点是要求用户改变自己的行为,或者在访问代理服务的每个系统上安装特殊的软件。比如,透过应用层代理Telnet访问要求用户通过两步而不是一步来建立连接。不过,特殊的端系统软件可以让用户在Telnet命令中指定目标主机而不是应用层代理来使应用层代理透明。每个应用程序都必须有一个代理服务程序来进行安全控制,每一种应用升级时,一般代理服务程序也要升级。,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 中学教育 > 初中教育

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号