防火墙基础知识课件

《防火墙基础知识课件》由会员分享，可在线阅读，更多相关《防火墙基础知识课件（78页珍藏版）》请在金锄头文库上搜索。

1、防 火 墙,目 录,防火墙基础知识 防火墙技术 防火墙结构 典型防火墙配置,防火墙基础知识,防火墙的出现,企业上网面临的安全问题之一:内部网与互联网的有效隔离 解答:防火墙,防火墙的基础知识,防火墙示意图,防火墙的基础知识,防火墙的概念,最初含义：当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙。 防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。,防火墙的基础知识,防火墙的作用,

2、防火墙主要用于保护内部安全网络免受外部网不安全网络的侵害。 典型情况：安全网络为企业内部网络，不安全网络为因特网。 但防火墙不只用于因特网，也可用于Intranet各部门网络之间（内部防火墙）。例：财务部与市场部之间。,防火墙的基础知识,防火墙实现层次,防火墙的基础知识,防火墙的基本模块,防火墙的基础知识,防火墙的功能,防火墙的功能,过滤进出网络的数据,管理进出网络的访问行为,封堵某些禁止的业务,记录进出网络的信息和活动,对网络攻击进行检测和告警,防火墙的基础知识,日志功能,日志记录一般包括:系统日志、流量日志、告警日志等. 根据管理的需要，它可以对每一个进出网络的数据包作简单或详细的纪录。包

3、括数据的来源，目的，使用的协议，时间甚至数据的内容等等。,防火墙的基础知识,防火墙的评价 -防火墙不可防范什么？,防火墙不是解决所有网络安全问题的万能药方，只是网络安全政策和策略中的一个组成部分。 防火墙不能防范绕过防火墙的攻击，例:内部提供的拨 号服务。 无法防护内部用户之间的攻击 无法防护基于操作系统漏洞的攻击 无法防护内部用户的其他恶意行为 无法防护端口反弹木马的攻击 无法防护病毒的侵袭和病毒感染程序或文件的传递 无法防护非法通道出现,防火墙的基础知识,防火墙的评价 -防火墙不可防范什么？,内部提供的拨号网络绕过了防火墙,防火墙的基础知识,防火墙分类,根据保护对象分为：1、网络防火墙2、

4、主机防火墙 根据防范技术分为：1、包过滤防火墙2、应用层代理3、全状态检测防火墙4、地址翻译防火墙,防火墙的基础知识,防火墙的分类,根据防火墙的存在形式分为1)软件防火墙2)硬件防火墙3)芯片级防火墙,防火墙的基础知识,软件防火墙,软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。软件防火墙就象其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。使用这类防火墙，需要网管对所工作的操作系统平台比较熟 代表：1）以色列Check Point公司Firewall-1系 列（ 软件防火墙）2）天网,防火墙的基础知识,硬件防火墙,这

5、里说的硬件防火墙是指所谓的硬件防火墙设备。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于X86架构。在这些X86架构计算机上运行一些经过特殊网络优化、裁剪和简化的操作系统，在整个硬件系统的自身安全和网络的处理能力上得到了很大的增强 代表：JUMP 联想 天融信 Cisco公司的PIX 系列防火墙（硬件防火墙）安氏领信,防火墙的基础知识,芯片级防火墙,它们基于专门的硬件平台，没有操作系统。专有的ASIC（特定用途集成电路）芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。这类防火墙

6、由于是专用OS,因此防火墙本身的漏洞比较少，不过价格相对比较高昂，所以一般只有在“确实需要”的情况下才考虑。 代表：NetScreen，FortiNet,防火墙的基础知识,防火墙技术,防火墙技术,防火墙技术,防火墙的实现与防范技术 包过滤 地址翻译 代理服务器 全状态检测,防火墙技术,包过滤防火墙,防火墙技术,包过滤防火墙,包过滤防火墙对所接收的每个数据包做允许拒绝的决定。防火墙审查每个数据报以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。 包头信息中包括IP源地址、IP目标端地址、内装协（TCP、UDP、ICMP、或IPTunnel）、TCP/UDP目标端

7、口、ICMP消息类型、TCP包头中的ACK位 包的进入接口和出接口如果有匹配并且规则允许该数据包，那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包，那么该数据包就会被丢弃。如果没有匹配规则，用户配置的缺省参数会决定是转发还是丢弃数据包。 包过滤防火墙使得防火墙能够根据特定的服务允许或拒绝流动的数据，因为多数的服务收听者都在已知的TCP/UDP端口号上。例如，Telnet服务器在TCP的23号端口上监听远地连接，而SMTP服务器在TCP的25号端口上监听人连接。为了阻塞所有进入的Telnet连接，防火墙只需简单的丢弃所有TCP端口号等于23的数据包。为了将进来的Telnet

8、连接限制到内部的数台机器上，防火墙必须拒绝所有TCP端口号等于23并且目标IP地址不等于允许主机的IP地址的数据包。,防火墙技术,包过滤检查内容,数据包过滤一般要检查网络层的IP头和传输层的头1、IP源地址 2、IP目标地址 3、协议类型（TCP包、UDP包和ICMP包） 4、TCP或UDP包的目的端口 5、TCP或UDP包的源端口 6、ICMP消息类型 7、TCP包头的ACK位 8、TCP包的序列号、IP校验和等,防火墙技术,包过滤检查内容,防火墙技术,包过滤防火墙,防火墙技术,往外包的特性（用户操作信息） -IP是内部地址 -目的之制为server -TCP协议 目标端口23 -源端口 1

9、023 -连接的第一个包ACK=0 -其他包ACK=1,往内包的特性（用户操作信息） -IP是server地址 -目的之制为内部地址 -TCP协议 源端口23 -目标端口 1023 -所有往内的包ACK=1,包过滤防火墙的优缺点,防火墙技术,优点：速度快，性能高对用户透明 缺点：维护比较困难(需要对TCP/IP了解）安全性低（IP欺骗等）不提供有用的日志，或根本就不提供不防范数据驱动型攻击不能根据状态信息进行控制不能处理网络层以上的信息无法对网络上流动的信息提供全面的控制,LAND攻击步骤1,防火墙技术,LAND攻击步骤2,防火墙技术,透明式包过滤,防火墙技术,地址翻译（NAT）,目前合法的I

10、P地址已经远远不够使用，许多公司内部使用的都是非法的IP地址，无法直接与外界相连。防火墙能够将内部使用的非法IP地址与对外真正的IP作转换。使现在使用的IP无需变动，也能够与外界相通。防火墙提供一对一（NAT）及多对一（PAT）的地址转换，可保护及隐藏内部网络资源并减少由于架设网络防火墙所引起的IP地址变动，方便网络管理，并可以解决IP地址不足的问题。,防火墙技术,地址转换技术（NAT）,NAT（Network Address Translation）:就是将一个IP地址用另一个IP地址代替。 应用领域：网络管理员希望隐藏内部网络的IP地址。 内部网络的IP地址是无效的IP地址。合法Inter

11、net IP地址有限，而且受保护网络往往有自己的一套IP地址规划（非正式IP地址）,防火墙技术,NAT示意图,防火墙技术,NAT原理,防火墙技术,NAT原理,防火墙技术,NAT Sample（PAT）,防火墙技术,NAT（MAP IP）,防火墙技术,虚拟IP,防火墙技术,代理服务器,代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。不允许通信直接经过外部网和内部网。 防火墙内外计算机系统间应用层的“链接”，由代理服务器上的两个“链接”来实现 外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。,防火墙技术,代理服务器示意图,防火墙技术,代理服务器,防火墙

12、技术,代理服务器,HTTP代理FTP代理SMTP代理POP3代理TELNET代理,防火墙技术,代理服务器,防火墙技术,代理服务分类,代理服务分类：代理服务可分为应用级代理与电路级代理：1、应用级代理是已知代理服务向一种应用服务提供的代理，它在应用协议中理解并解释命令。1）优点为它能解释应用协议从而获得更多的信息2）缺点为只适用于单一协议。 电路级代理是在客户和服务器之间不解释应用协议即 建立回路。1、优点在于它能对各种不同的协议提供服务2、缺点在于它对因代理而发生的情况几乎不加控制。,防火墙技术,应用层代理的优点,网络管理员可以完全控制提供那些服务，因为没有特定服务的代理就表示该服务不提供。

13、防火墙可以被配置成唯一的可被外部看见的主机，这样可以保护内部主机免受外部主机的进攻。 应用层代理有能力支持可靠的用户认证并提供详细的注册信息。 用于应用层的过滤规则相对于包过滤防火墙来说更容易配置和测试。 代理工作在客户机和真实服务器之间，完全控制会话，所以可以提供很详细的日志和安全审计功能。,防火墙技术,应用层代理的缺点,应用层代理的最大缺点是要求用户改变自己的行为，或者在访问代理服务的每个系统上安装特殊的软件。 每个应用程序都必须有一个代理服务程序来进行安全控制，每一种应用升级时，一般代理服务程序也要升级。 应用层代理终究是一个应用程序，它的效率比NAT低 代理对用户不透明； 代理服务不能

14、保证你免受所有协议弱点的限制 代理不能改进底层协议的安全性,防火墙技术,全状态检测,状态检测技术：在包过滤的同时，检察数据包之间的关联性，数据包中动态变化的状态码。1、监测引擎采用抽取有关数据的方法对网络通信的各层实施监测，抽取状态信息，并动态地保存起来作为以后执行安全策略的参考。2、当用户访问请求到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。,防火墙技术,状态检测示意图,防火墙技术,状态检测示意图,防火墙技术,全状态检测,防火墙技术,状态检测的优缺点,优点：1、一旦某个访问违反安全规定，就会拒绝该 访问，

15、并报告有关状态作日志记录。2、它会监测无连接状态的远程过程调用（RPC ）和用户数据报（UDP）之类的端口信息。 缺点：1、降低网络速度2、配置比较复杂,防火墙技术,防火墙体系结构,防火墙的主要体系结构：双重宿主主机体系结构 屏蔽主机体系结构 屏蔽子网体系结构 其它的防火墙结构,防火墙结构,双重宿主主机体系结构是围绕双重宿主主机构筑的。 双重宿主主机至少有两个网络接口，它位于内部网络和外部网络之间，这样的主机可以充当与这些接口相连的网络之间的路由器，它能从一个网络接收IP数据包并将之发往另一网络。然而实现双重宿主主机的防火墙体系结构禁止这种发送功能，完全阻止了内外网络之间的IP通信。 两个网络

16、之间的通信可通过应用层数据共享和应用层代理服务的方法实现。一般情况下采用代理服务的方法。,双重宿主主机体系结构（1）,防火墙结构,双重宿主主机体系结构,防火墙结构,双重宿主主机体系结构2,双重宿主主机的特性：1、安全至关重要（唯一通道），其用户口令控制安全是关键。2、必须支持很多用户的访问（中转站），其性能非常重要。 缺点：双重宿主主机是隔开内外网络的唯一屏障，一旦它被入侵，内部网络便向入侵者敞开大门。,防火墙结构,屏蔽主机体系结构,防火墙结构,屏蔽主机体系结构1,屏蔽主机体系结构由防火墙和内部网络的堡垒主机承担安全责任。 典型构成：包过滤路由器堡垒主机。1、包过滤路由器配置在内部网和外部网之 间，保证外部系统对内部网络的操作只能 经过堡垒主机。2、堡垒主机配置在内部网络上，是外部网 络主机连接到内部网络主机的桥梁，它 需要拥有高等级的安全。,防火墙结构,屏蔽主机体系结构2,