《网络安全防火墙技术》由会员分享,可在线阅读,更多相关《网络安全防火墙技术(11页珍藏版)》请在金锄头文库上搜索。
1、10.1 防火墙的概念、原理,防火墙(Firewall) 一种设备,使个别网路不受公共部分(因特网)的影响,分别连接受保护网络和因特网。 位于企业或网络群体计算机与外界通道(Internet)的边界,限制着外界用户对内部网络的访问以及管理内部用户访问外界网络的权限 取决于安全策略 防火墙性质 双向通信必须通过防火墙; 防火墙本身不会影响信息的流通; 只允许本身安全策略授权的通信信息通过。,10.2 防火墙技术(层次),10.2.1 包过滤防火墙 (TCP、IP) 第一代防火墙 基于协议头的内容进行过滤(将每一输入/输出包中发现的信息同访问控制规则相比较来决定阻塞或放行包;信息:源地址、目的地址
2、、所用端口、协议状态等) 形象比喻:内部网络的门口守卫,当装载有包的运输卡车到达时,“包过滤”守卫快速的察看包的住户地址是否正确,检查卡车的标识(证件)以确保它也是正确的,接着送卡车通过关卡传递包 最快的防火墙(检查简单) 造成安全危机(如,放行80端口的标准Web服务,敌人可通过在80端口上绑定其它没有被认证的服务进入私有网络),10.2.2 应用代理防火墙(Application Layer)(代理服务器、应用网关) 禁止所有通过防火墙的直接连接 在协议栈的最高层(应用层)检查每一个包,根据连接细节(识别应用程序的命令等)实现各种安全策略 内建代理功能:在防火墙处终止客户连接,并初始化一条
3、到受保护内部网络的新连接,将内部和外部系统隔离开来,从外面只看到代理服务器,而看不到任何内部资源 形象比喻:“应用级代理”安全守卫打开每个包并检查其中内容并将发送者的信任书同已明确建立的评价标准相对比;如果通过则送一份可信快递到合适的住户,卡车及司机无法进入 安全性高 不足主要:不能完全透明地支持各种服务、应用,一种代理只提供一种服务。另外需要消耗大量的CPU资源,导致相对低的性能。,10.2.3 电路级网关型防火墙(Session Layer) 监视两主机建立连接时的握手信息,判断该会话请求是否合法(代理连接发起阶段的信息);一旦会话连接有效,该网关建立两个TCP连接(保护内部资源),复制、
4、传递数据,对会话建立后传输的具体内容不再作进一步地分析 包过滤型防火墙允许内外计算机系统建立直接联系,而电路级网关无法IP直达(两个TCP连接) 形象比喻:检测货物单,建立可信快递 实例:SOCKS 协议 发起连接请求(接受客户请求,代表客户连接服务器) 建立代理电路 中继数据 增强认证等,10.2.4 状态包检测(Stateful-Inspection) 基于包过滤技术,状态包检测模式增加了包和包之间的安全上下文检查,利用连接的状态信息做出决策(网络层) 包在发送前,先在检测模块中检测,其信息保留在为评价后续连接企图的动态状态表(库)中,为后续连接的处理策略提供处理依据 允许直接连接内部、外
5、部主机系统 效率提高:工作在协议栈的较低层,一旦一个连接在防火墙中建立起来就不再对该连接进行更多的处理 可执行 形象比喻:状态包检测守卫在包到来时,不仅简单地检查地址,还检测货物单看是否包内有任何东西是被禁止的,如果包看起来是可接受的,守卫打开关卡,允许运货卡车进入 状态包检测防火墙的安全比应用级代理要低,10.3.1 双重宿主主机体系结构(Dual Homed Host )围绕至少有两个网络接口(NIC)的计算机构筑,该计算机充当网络之间的代理服务器(而非路由器),禁止直接转发功能(防火墙内部、外部系统之间的IP通信被完全阻止)。,10.3 防火墙体系结构,10.3.2 屏蔽主机体系结构(S
6、creened Host) 外部网络屏蔽路由器内部网络堡垒主机内部网络系统 屏蔽路由器配置策略: 外-内,所有通信由堡垒主机代理转发 内-外,允许某些服务直接经由路由器的数据包过滤后转发,某些服务必须由堡垒主机代理转发 或 不允许任何服务直接经由路由器转发,所有服务必须由堡垒主机代理,堡垒主机: 高度安全的计算机网关(p220) 最大程度利用操作系统所提供的资源保护、审计和认证机制等功能 删除对完成既定任务不需要的应用和服务,10.3.3 屏蔽子网结构(Screened Subnet Architectures) 外部网络外部屏蔽路由器边界网络堡垒主机内部路由器内部网络系统(图10-10所示) 边界网络:隔离堡垒主机和内部网络,减轻堡垒主机被攻破造成的后果;放置不可靠的、较脆弱的服务 内部网络:提供高安全要求的服务,10.5 包 过 滤 技 术,根据包的头部信息来决定是否要将包继续传输 大部分的包过滤器只过滤:IP地址或网段协议类型: TCP/UDP/ICMPTCP/UDP头信息:端口,是否连接请求,状态分片字段,
