收藏
下载资源

计算机网络安全基础第8章

上传人:j7****6 文档编号:61629825 上传时间:2018-12-07 格式:PPT 页数:73 大小:277KB
返回 下载 相关 举报
计算机网络安全基础第8章_第1页
第1页 / 共73页
计算机网络安全基础第8章_第2页
第2页 / 共73页
计算机网络安全基础第8章_第3页
第3页 / 共73页
计算机网络安全基础第8章_第4页
第4页 / 共73页
计算机网络安全基础第8章_第5页
第5页 / 共73页
点击查看更多>>
资源描述

《计算机网络安全基础第8章》由会员分享,可在线阅读,更多相关《计算机网络安全基础第8章(73页珍藏版)》请在金锄头文库上搜索。

1、2018/12/7,计算机网络安全基础,第8章 防火墙技术,本章主要介绍: 1. 防火墙基本概念 2. 防火墙的基本功能 3. 防火墙的体系结构 4. 包过滤 5. 代理服务 6. 堡垒主机以及防火墙的选购原则,2018/12/7,计算机网络安全基础,8.1 防火墙基本概念,8.1.1 因特网防火墙 1防火墙的基本知识 防火墙是在两个网络之间执行访问控制策略的一个或一组系统,包括硬件和软件,目的是保护网络不被他人侵扰。本质上,它遵循的是一种允许或阻止业务来往的网络通信安全机制,也就是提供可控的过滤网络通信,只允许授权的通信。 通常,防火墙就是位于内部网或Web站点与因特网之间的一个路由器或一台

2、计算机,又称为堡垒主机。其目的如同一个安全门,为门内的部门提供安全,控制那些可被允许出入该受保护环境的人或物。就像工作在前门的安全卫士,控制并检查站点的访问者。,2018/12/7,计算机网络安全基础,8.1 防火墙基本概念,防火墙是由管理员为保护自己的网络免遭外界非授权访问但又允许与因特网联接而发展起来的。从网际角度,防火墙可以看成是安装在两个网络之间的一道栅栏,根据安全计划和安全策略中的定义来保护其后面的网络。由软件和硬件组成的防火墙应该具有以下功能。 (1)所有进出网络的通信流都应该通过防火墙。 (2)所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。 (3)理论上说,防火墙是穿

3、不透的。,2018/12/7,计算机网络安全基础,8.1 防火墙基本概念,内部网需要防范的三种攻击有: 间谍:试图偷走敏感信息的黑客、入侵者和闯入者。 盗窃:盗窃对象包括数据、Web表格、磁盘空间和CPU资源等。 破坏系统:通过路由器或主机服务器蓄意破坏文件系统或阻止授权用户访问内部网 (外部网)和服务器。 这里,防火墙的作用是保护Web站点和公司的内部网,使之免遭因特网上各种危险的侵犯。,2018/12/7,计算机网络安全基础,8.1 防火墙基本概念,防火墙在因特网与内部网中的位置 从逻辑上讲,防火墙是分离器、限制器和分析器。从物理角度看,各站点防火墙物理实现的方式有所不同。通常防火墙是一组

4、硬件设备,即路由器、主计算机或者是路由器、计算机和配有适当软件的网络的多种组合。,2018/12/7,计算机网络安全基础,8.1 防火墙基本概念,2防火墙的基本功能 (1)防火墙能够强化安全策略 (2)防火墙能有效地记录因特网上的活动 (3)防火墙限制暴露用户点 (4)防火墙是一个安全策略的检查站 3防火墙的不足之处 (1)不能防范恶意的知情者 (2)防火墙不能防范不通过它的连接 (3)防火墙不能防备全部的威胁 (4)防火墙不能防范病毒,2018/12/7,计算机网络安全基础,8.1 防火墙基本概念,8.1.2数据包过滤 防火墙通常是一个具备包过滤功能的简单路由器,支持因特网安全。这是使因特网

5、联接更加安全的一种简单方法,因为包过滤是路由器的固有属性。 包是网络上信息流动的单位。在网上传输的文件一般在发出端被划分成一串数据包,经过网上的中间站点,最终传到目的地,然后这些包中的数据又重新组成原来的文件。 每个包有两个部分:数据部分和包头。包头中含有源地址和目标地址等信息。 包过滤一直是一种简单而有效的方法。通过拦截数据包,读出并拒绝那些不符合标准的包头,过滤掉不应入站的信息。,2018/12/7,计算机网络安全基础,8.1 防火墙基本概念,每个数据包都包含有特定信息的一组报头,其主要信息是: (1)IP协议类型(TCP、UDP,ICMP等); (2)IP源地址; (3)IP目标地址;

6、(4)IP选择域的内容; (5)TCP或UDP源端口号; (6)TCP或UDP目标端口号; (7)ICMP消息类型。 路由器也会得到一些在数据包头部信息种没有得到的关于数据包得其他信息。,2018/12/7,计算机网络安全基础,8.1 防火墙基本概念,过滤路由器放置在内部网络与因特网之间,作用为: (l)过滤路由器将担负更大的责任,它不但需要执行转发及确定转发的任务,而且它是唯一的保护系统; (2)如果安全保护失败(或在侵袭下失败),内部的网络将被暴露; (3)简单的过滤路由器不能修改任务; (4)过滤路由器能容许或否认服务,但它不能保护在 一个服务之内的单独操作。如果一个服务没有提供安全的操

7、作要求,或者这个服务由不安全的服务器提供,数据包过滤路由器则不能保护它。,2018/12/7,计算机网络安全基础,8.1 防火墙基本概念,8.1.3 代理服务 代理服务是运行在防火墙主机上的一些特定的应用程序或者服务程序。防火墙主机可以是有一个内部网络接口和一个外部网络接口的双重宿主主机,也可以是一些可以访问因特网并可被内部主机访问的堡垒主机。这些程序接受用户对因特网服务的请求(诸如文件传输FTP和远程登录Telnet等),并按照安全策略转发它们到实际的服务。所谓代理就是一个提供替代连接并且充当服务的网关。代理也称之为应用级网关。 代理服务位于内部用户(在内部的网络上)和外部服务(在因特网上)

8、之间。代理在幕后处理所有用户和因特网服务之间的通信以代替相互间的直接交谈。,2018/12/7,计算机网络安全基础,8.1 防火墙基本概念,代理的实现过程,2018/12/7,计算机网络安全基础,8.1 防火墙基本概念,8.1.4 防火墙体系结构 1双重宿主主机体系结构 双重宿主主机体系结构是围绕具有双重宿主的主体计算机而构筑的。该计算机至少有两个网络接口,这样的主机可以充当与这些接口相连的网络之间的路由器,并能够从一个网络到另一个网络发送IP数据包。 防火墙内部的网络系统能与双重宿主主机通信,同时防火墙外部的网络系统(在因特网上)也能与双重宿主主机通信。通过双重宿主主机,防火墙内外的计算机便

9、可进行通信了,但是这些系统不能直接互相通信,它们之间的IP通信被完全阻止。,2018/12/7,计算机网络安全基础,8.1 防火墙基本概念,双重宿主主机的防火墙体系结构是相当简单的,双重宿主主机位于两者之间,并且被连接到因特网和内部的网络。右图显示这种体系结构。,2018/12/7,计算机网络安全基础,8.1 防火墙基本概念,2主机过滤体系结构 在主机过滤体系结构中提供安全保护的主机仅仅与内部网相连。另外,主机过滤结构还有一台单独的路由器(过滤路由器)。在这种体系结构中,主要的安全由数据包过滤提供,其结构如右图所示。,2018/12/7,计算机网络安全基础,8.1 防火墙基本概念,3子网过滤体

10、系结构 子网过滤体系结构添加了额外的安全层到主机过滤体系结构中,即通过添加参数网络,更进一步地把内部网络与因特网隔离开。 子网过滤体系结构的最简单的形式为两个过滤路由器,每一个都连接到参数网,一个位于参数网与内部的网络之间,另一个位于参数网与外部网络之间。,2018/12/7,计算机网络安全基础,8.1 防火墙基本概念,(1)参数网络 参数网络是在内外部网之间另加的一层安全保护网络层。如果入侵者成功地闯过外层保护网到达防火墙,参数网络就能在入侵者与内部网之间再提供一层保护。 如果入侵者仅仅侵入到参数网络的堡垒主机,他只能偷看到这层网络(参数网络)的信息流(看不到内部网的信息),而这层网络的信息

11、流仅从参数网络往来于外部网或者从参数网络往来于堡垒主机。因为没有纯粹的内部信息流(内部主机间互传的重要和敏感的信息)在参数网络中流动,所以即使堡垒主机受到损害也不会让入侵者破坏内部网的信息流。,2018/12/7,计算机网络安全基础,8.1 防火墙基本概念,(2)堡垒主机 在子网过滤结构中,我们将堡垒主机与参数网络相连,而这台主机是外部网服务于内部网的主节点。它为内部网服务的主要功能有: 它接收外来的电子邮件再分发给相应的站点; 它接收外来的FTP,并连到内部网的匿名FTP服务器; 它接收外来的有关内部网站点的域名服务。 向外的服务功能可用以下方法来实施: 在内、外部路由器上建立包过滤,以便内

12、部网的用户可直接操作外部服务器; 在主机上建立代理服务,在内部网的用户与外部的服务器之间建立间接的连接。,2018/12/7,计算机网络安全基础,(3)内部路由器 内部路由器的主要功能是保护内部网免受来自外部网与参数网络的侵扰。 内部路由器完成防火墙的大部分包过滤工作,它允许某些站点的包过滤系统认为符合安全规则的服务在内外部网之间互传。根据各站点的需要和安全规则,可允许的服务是以下这些外向服务中的若干种,如:Telnet、FTP、WAIS、Archie、Gopher或者其它服务。 内部路由器可以设定,使参数网络上的堡垒主机与内部网之间传递的各种服务和内部网与外部网之间传递的各种服务不完全相同。

13、,8.1 防火墙基本概念,2018/12/7,计算机网络安全基础,8.1 防火墙基本概念,(4)外部路由器 外部路由器既可保护参数网络又保护内部网。实际上,在外部路由器上仅做一小部分包过滤,它几乎让所有参数网络的外向请求通过,而外部路由器与内部路由器的包过滤规则是基本上相同的。 外部路由器的包过滤主要是对参数网络上的主机提供保护。然而,一般情况下,因为参数网络上主机的安全主要通过主机安全机制加以保障,所以由外部路由器提供的很多保护并非必要。 外部路由器真正有效的任务就是阻断来自外部网上伪造源地址进来的任何数据包。这些数据包自称是来自内部网,而其实它是来自外部网。,2018/12/7,计算机网络

14、安全基础,8.1 防火墙基本概念,8.1.5 防火墙的各种变化和组合 (l) 使用多堡垒主机; (2)合并内部路由器与外部路由器; (3)合并堡垒主机与外部路由器; (4)合并堡垒主机与内部路由器; (5)使用多台内部路由器; (6)使用多台外部路由器; (7)使用多个参数网络; (8)使用双重宿主主机与子网过滤。,2018/12/7,计算机网络安全基础,8.1 防火墙基本概念,8.1.6 内部防火墙 但有时为了某些原因,我们还需要对内部网的部分站点再加以保护以免受其它站点的侵袭。因此,有时我们需要在同一结构的两个部分之间,或者在同一内部网的两个不同组织结构之间再建立防火墙(也被称为内部防火墙

15、)。 因为网络中每一个用户所需要的服务和信息经常是不一样的,它们对安全保障的要求也不一样,所以我们可以将网络组织结构的一部分与其余站点隔离(比如,财务部分要与其它部分分开)。,2018/12/7,计算机网络安全基础,8.1 防火墙基本概念,1试验网络 在大多数情况下,应该在内部防火墙中设置这样的包过滤:允许内部网的其它站点主动地连接试验网络,而对试验网络,只允许建立与被认为是安全内部网的其它站点的连接。 在有些情况下,我们也可能要防止内部网其它站点的某些类型的信息流干扰试验网络,因此要设置允许所有的外向连接(对试验网络而言)而控制内向连接的包过滤。 如果有几个试验网络,最好的方法是设置一个参数

16、网络,并给每个试验网络配置一台路由器并连接到参数网络。而主要的包过滤工作在连接参数网络与内部主网的路由器上完成。,2018/12/7,计算机网络安全基础,8.1 防火墙基本概念,2低保密网络 试验网络比较危险,但它对整个内部网的安全构成的威胁还不是最大的。而许多内部网组织结构里面的资源本身就固有一些非安全因素。比如,校园网中那些包含学生公寓网点的部分就被认为是不安全的,单位企业网中的那些演示网部分、客户培训网部分和开放实验室网部分都被认为是安全性比较差的。但这些网又比纯粹的外部网与内部网其它部分的交互要多得多。这些网络称为低保密网。,2018/12/7,计算机网络安全基础,8.1 防火墙基本概念,3高保密网络 内部网的某些站点可能需要很高的安全保障。比如校园网中的教务网、招生信息网,商业网中的财务网、新品开发网都应具有相当高的保密度。 当高保密网的信息流通过内部网的其它部分时,可以用对信息进行加密的方法对它们加以保护。也可将高保密网与内部网的其它部分完全隔离。比如,有一个新品开发网,这个网的用户只有在注册到某台机器上时方可使用该网络,这

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 生活休闲 > 社会民生

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号