《《信息安全第章》ppt课件》由会员分享,可在线阅读,更多相关《《信息安全第章》ppt课件(37页珍藏版)》请在金锄头文库上搜索。
1、第3章 防 火 墙 重点内容 防火墙的概念 防火墙的目的和功能 各种防火墙技术的分类 防火墙的配置原则 包和包过滤,第3章 防 火 墙 重点内容 包过滤的方法 设置特殊过滤规则的方法 代理服务器的概念及工作方式 代理服务器软件安装和使用的方法 常用的防火墙产品,一、防火墙技术基础(1) 1、防火墙技术概述,防火墙所处的位置,一、防火墙技术基础(2) 防火墙并不是一道真正的墙,所谓的“防火墙”,是一种特殊的访问控制设施,是一道介于内部网络和Internet之间的安全屏障。防火墙的基本功能是根据各种网络安全策略的要求对未经授权的访问和数据传递进行筛选和屏蔽,它保护着内部网络数据的安全。从逻辑上讲防
2、火墙既是一个分析器又是一个限制器,它要求所有进出内部网络的数据流都必须通过安全策略和安全计划的确认与授权,并在逻辑上实现内外网络的分离,从而保证了内部网络的安全。防火墙既可以是一组硬件,也可以是一组软件,还可以是软件和硬件的组合。,防火墙所处的位置,一、防火墙技术基础(3) 使用防火墙的目的在于实现安全访问控制,因此按照OSI/RM模型,防火墙可以在OSI/RM七层中的五层设置。,防火墙与OSI/RM,一、防火墙技术基础(4) 2、防火墙的功能 过滤不安全的数据 控制不安全的服务和访问 网络连接的日志记录及使用统计 防止内部信息的外泄 强化网络安全性,一、防火墙技术基础(5) 3、防火墙应用技
3、术分类 网络层防火墙 网络层防火墙也称为包过滤防火墙,它工作在TCP/IP协议的第二层,即网络层。这种防火墙一般是通过检查单个包的地址、协议、端口等信息来决定是否允许此数据包通过。网络层防火墙通常使用简单的路由器,对每个IP包进行检查,根据包的源地址、目标地址、封装协议和端口号等,来决定是否允许此数据包通过,这种类型的防火墙以路由器为基础,采用了一种被称为数据包过滤的技术。,一、防火墙技术基础(6) 3、防火墙应用技术分类 应用代理防火墙 应用代理的防火墙主要工作在应用层,它实际上是一个网关,因此这种防火墙往往又被称为应用级网关。基于代理的防火墙检查传入和传出的数据包,通过其自身的复制来传递数
4、据,防止在受信主机与非受信主机间直接建立联系。应用代理防火墙能够分析应用层上的协议、做较复杂的访问控制,并做精细的注册和审核。,一、防火墙技术基础(7) 3、防火墙应用技术分类 状态检测技术 状态检测是对各层的数据进行主动、实时的检测,在数据分析的基础上,有效地判断出各层中的非法侵入。同时,应用了这种技术的防火墙一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。,一、防火墙技术基础(8) 3、防火墙应用技术分类 复合型防火墙技术 作为当前主流的防火墙产品均采用了混合技术,如代理服务也集成了包过
5、滤技术、应用网关技术。复合型防火墙能充分发挥单一类型防火墙的优点以及削弱它本身缺点带来的安全隐患,以达到更高级别的安全性能,常把基于数据包过滤的方法与基于应用程序代理的方法结合起来,形成复合型防火墙产品。这种结合通常是以下两种方案。 (1) 屏蔽主机防火墙体系结构 (2) 屏蔽子网防火墙体系结构,一、防火墙技术基础(9) 4 、防火墙技术的局限 (1) 防火墙不能阻止来自内部网络用户的攻击。 (2) 防火墙不能完全防止用户传送已感染病毒的软件或文件。 (3) 防火墙限制或关闭了许多有用但存在安全漏洞的网络服务。 (4) 防火墙只能对已知的网络威胁起作用,不能防范新的网络安全问题。 (5) 防火
6、墙不能防范数据驱动型的攻击。 (6) 内部网用户通过特殊方式可以绕开防火墙。 (7) 一旦系统管理员对防火墙配置不当,易遗留大量的安全漏洞。 (8) 内部网络主机和服务器IP地址的变化将导致设置文件中的规则改变。,二、防火墙的体系结构及配置原则(1) 1、防火墙的体系结构 1.1 包过滤路由器 包过滤路由器也被称为屏蔽路由器,是防火墙最基本的构件。包过滤路由器是连接外网和内部网络的惟一通道,它处于网络层,并要求所有的报文都必须通过它的检查。包过滤路由器按照一定的安全策略(过滤规则)对进出内部网的信息进行限制。这是非常基本的一种防火墙,可以由专门的路由器实现。路由器上可以安装基于IP层的报文过滤
7、软件,实现报文过滤功能。许多路由器本身带有报文过滤配置选项,但一般比较简单。,二、防火墙的体系结构及配置原则(2) 包过滤路由器体系结构,二、防火墙的体系结构及配置原则(3) 1.2 双宿主主机 双宿主主机体系结构是围绕具有双重宿主的主机而构筑的,双宿主主机也称堡垒主机。堡垒主机是一台至少装有两块网卡或者说至少具有两个网络接口的主机,其中的两块网卡分别与内部网和外部网相连。堡垒主机上运行着防火墙软件,可以转发应用程序,提供服务等。 堡垒主机可以充当与这些接口相连的网络之间的路由器;它能够从一个网络向另一个网络发送IP数据包。然而,实现双重宿主主机的防火墙体系结构禁止这种直接发送的功能。IP数据
8、包并不是从一个网络(如因特网)直接发送到其他(如内部的、被保护的)网络。防火墙内部的系统能与堡垒主机通信,同时防火墙外部的系统(在因特网上)能与堡垒主机通信,但是不允许内部网络和外部网络直接进行互相通信。双宿主主机将内网和外网之间直接的信息通信完全切断了,保护了内部网络。它提供了很高程度的网络控制,因为内网和外网要通信,只有通过代理或者让用户直接注册到双宿主主机上来才可以。防火墙的功能则是用堡垒主机运行的防火墙软件来实现的。,二、防火墙的体系结构及配置原则(4) 双宿主主机体系结构,二、防火墙的体系结构及配置原则(5) 1.3 屏蔽主机体系结构 屏蔽主机体系结构是由过滤路由器和应用网关组成的。
9、这种体系结构使用一个单独的路由器提供来自与内部的网络相连的主机的服务,主要的安全通过数据包过滤实现的。 堡垒主机位于内部的网络上,在内部网和外部网之间放有包过滤路由器。在屏蔽的路由器上的数据包过滤规则是使从外部网来的数据必须要经过堡垒主机,而去往其他主机上的信息都将被阻塞,即堡垒主机是因特网上的主机惟一能连接到内部网络上的桥梁。即使这样,也仅有某些确定类型的与堡垒主机的连接被允许。因此同双宿主主机结构一样,堡垒主机也是至关重要的地方,它需要拥有高等级的安全防护。,二、防火墙的体系结构及配置原则(6) 屏蔽主机体系结构,二、防火墙的体系结构及配置原则(7) 1.4 屏蔽子网体系结构 在屏蔽主机网
10、关的结构中,堡垒主机是受到攻击的主要部分,而且也使得内网的安全完全依靠于堡垒主机。那么如果在屏蔽主机网关的结构中多用上一台路由器,而这台路由器的意义主要在于构建一个安全子网在内部网和外部网之间。如果入侵者想攻入内网的话,那么他就必须在攻破堡垒主机之后,还要面对内部路由器,这样就大大提高了网络的安全性。这种结构就称为屏蔽子网体系结构。图3-6中描述了屏蔽主机的体系结构。,二、防火墙的体系结构及配置原则(8) 屏蔽子网体系结构,二、防火墙的体系结构及配置原则(9) DMZ屏蔽子网的体系结构结构 DMZ的全称是Demilitarized Zone,即:隔离区或非军事化区。该功能主要是为了解决安装防火
11、墙之后外部网络不能访问局域网服务器的问题,比如FTP服务器、WWW服务器、电子邮件服务器,等等,DMZ其实就相当于一个网络缓冲区,通过该区域可以有效保护内部网络。目前,市场上的防火墙一般都提供DMZ端口。,二、防火墙的体系结构及配置原则(10) DMZ屏蔽子网的体系结构结构,二、防火墙的体系结构及配置原则(11) 2、防火墙的配置原则 安全 在配置过程中,第一个考虑的原则就是要使过滤规则能够满足安全的要求。要满足安全的要求,需要采用全面的、多层次的深层防御战略体系才能实现系统的真正安全,单一的防御措施是难以保障系统的安全的。在实际的防火墙的配置过程中,不应该停留在几个表面的防火墙配置规则上,而
12、应该全面地、整体地考虑到整个网络的安全防护体系是否合理,努力做到使各个设备上的配置能够互相配合、相互加强,从更深的层次上防护整个系统。,二、防火墙的体系结构及配置原则(12) 2、防火墙的配置原则 防范 防火墙的另一个特点是指能防范来自外部网络的攻击,而不能防范来自内部网络的攻击。但是在现实的网络中,有80%以上的安全威胁都来自内部网络,因此我们应该从根本上改变过去那种防外不防内的传统观念,建立起对内部网络进行防范的观念。,二、防火墙的体系结构及配置原则(13) 2、防火墙的配置原则 简洁 最后在防火墙系统的设计时需要遵循简洁的原则,就是在能保证系统安全需求的前提下,力争使防火墙系统尽量地简单
13、使用。因为简单的实现方式,使系统更容易理解和使用。而且是设计越简单,越不容易出错,防火墙的安全功能越容易得到保证,管理也越可靠、越简便。,三、相关术语 网关 电路级网关 应用级网关 堡垒主机 包过滤 代理服务器,网络地址翻译 强化操作系统 非军事化区域(DMZ) 筛选路由器 阻塞路由器 防火墙默认的配置,四、数据包过滤(1) 1、理解数据包过滤 2、如何设置特殊的过滤规则 2.1 防火墙默认的配置及筛选字段 默认的配置: 拒绝所有的流量,这需要在网络中特殊指定能够进入和流出的流量的一些类型。 允许所有的流量,这种情况需要特殊指定要拒绝的流量的类型。 筛选字段: 源地址 、目的地址 、所属的协议
14、 、端口号 、传输方向,四、数据包过滤(2) 2.2 Web服务的数据包过滤规则,四、数据包过滤(3) 2.3 ICMP的数据包过滤规则,四、数据包过滤(4) 2.4 FTP的数据包过滤规则,四、数据包过滤(5) 2.5 电子邮件服务的数据包过滤规则,四、数据包过滤(6) 3、包过滤防火墙的优缺点及适用范围 优点 (1) 包过滤技术部署简便,它仅需要一个放置在战略要点上的包过滤路由器就可保护整个网络。 (2) 处理包的速度比较快,过滤路由器为用户提供了一种透明的服务,用户不用改变客户端程序或改变自己的行为。 (3) 包过滤技术不需要用户软件的支撑,也不要求对客户机做特别的设置,也没有必要对用户
15、做任何培训。 (4) 包过滤路由器对用户和应用来讲是透明的,所以不必对用户进行特殊的培训和在每台主机上安装特定的软件。用户甚至感觉不到有包过滤功能的存在,只有在有些包在禁入和禁出时,用户才认识到它与普通路由器的不同。 (5) 包过滤产品比较容易获得。在市场上有许多硬件和软件的路由器产品不管是商业产品还是从网上免费下载的都提供了包过滤功能。,四、数据包过滤 3、包过滤防火墙的优缺点及适用范围 缺点 有些安全规则是难以用包过滤规则来实现的。 包过滤防火墙系统本身的缺陷对系统的安全性的影响要远远超过代理服务对系统的安全性的影响。 包过滤防火墙对于外部主机伪装其他可信任的外部主机IP的IP欺骗不能阻止
16、。 包过滤防火墙的维护比较困难,在机器中配置包过滤规则比较困难,对包过滤规则设置的测试也很麻烦。 包过滤防火墙不可能提供有用的日志,或根本就不提供。 在包过滤防火墙体系中,任何直接经过路由器的数据包都有被用做数据驱动式攻击的潜在危险。 IP包过滤器可能无法对网络上流动的信息提供全面的控制。 随着过滤器数目的增加,路由器的吞吐量会下降。,四、数据包过滤 3、包过滤防火墙的优缺点及适用范围 适用范围 包过滤路由器型防火墙适用于采用非集中化管理的机构。这种机构没有强大的集中安全策略,且内部网络中的主机数量非常少。包过滤路由器型防火墙策略主要依赖于主机安全来防止入侵,但是当主机数增加到一定程度的时候,仅靠主机安全就不能满足安全需求了。另外,采用这种防火墙的内部网络中通常没有使用DHCP这样的动态IP地址分配协议。,五、代理服务器和应用级防火墙 代理服务器(Proxy Server)很像我们生活中常常提及的代理商,它是指那些自己不能执行某种操作的计算机,通过另一台服务器来执行该操作的服务器。普通的因特网访问是一个典型的客户机与服务器结构:用户利用计算机上的客户端程序,如浏览器发出请求,远端WWW
