收藏
下载资源

沈鑫剡编著(网络安全)教材配套幻灯片第11章

上传人:F****n 文档编号:88159420 上传时间:2019-04-20 格式:PPTX 页数:72 大小:1.50MB
返回 下载 相关 举报
沈鑫剡编著(网络安全)教材配套幻灯片第11章_第1页
第1页 / 共72页
沈鑫剡编著(网络安全)教材配套幻灯片第11章_第2页
第2页 / 共72页
沈鑫剡编著(网络安全)教材配套幻灯片第11章_第3页
第3页 / 共72页
沈鑫剡编著(网络安全)教材配套幻灯片第11章_第4页
第4页 / 共72页
沈鑫剡编著(网络安全)教材配套幻灯片第11章_第5页
第5页 / 共72页
点击查看更多>>
资源描述

《沈鑫剡编著(网络安全)教材配套幻灯片第11章》由会员分享,可在线阅读,更多相关《沈鑫剡编著(网络安全)教材配套幻灯片第11章(72页珍藏版)》请在金锄头文库上搜索。

1、网络安全,第十一章,第11章 防火墙,本章主要内容 防火墙概述; 分组过滤器; 电路层代理; 应用层网关; 三种防火墙的特点。,11.1 防火墙概述,本讲主要内容 引出防火墙的原因; 防火墙定义和工作机制; 防火墙分类; 防火墙功能; 防火墙的局限性。,一、引出防火墙的原因,安全的网络系统既要能够保障正常的数据交换过程,又要能够阻止用于实施攻击的数据交换过程。 防火墙一是能够检测出用于实施攻击的信息流,并阻断这样的信息流。二是能够允许正常信息流通过。,二、防火墙定义和工作机制,网络中的防火墙是一种位于网络之间,或者用户终端与网络之间,对网络之间,或者网络与用户终端之间传输的信息流实施控制的设备

2、。,二、防火墙定义和工作机制,防火墙的作用是控制网络1与网络2之间传输的信息流,所谓控制是指允许网络1与网络2之间传输某种类型的信息流,阻断另一种类型的信息流网络1与网络2之间的传输过程。允许和阻断操作的依据是为防火墙配置的安全策略。,三、防火墙分类,防火墙分类,1个人防火墙 个人防火墙只保护单台计算机,用于对进出计算机的信息流实施控制,因此,个人防火墙通常是分组过滤器; 分组过滤器分为有状态分组过滤器和无状态分组过滤器两种类型,无状态分组过滤器只根据单个IP分组携带的信息确定是否过滤掉该IP分组。而有状态分组过滤器不仅根据IP分组携带的信息,而且还根据IP分组所属的会话的状态确定是否过滤掉该

3、IP分组。,三、防火墙分类,2网络防火墙 (1)分组过滤器 网络防火墙中的分组过滤器同样分为有状态分组过滤器和无状态分组过滤器两种类型。网络防火墙中的分组过滤器能够根据用户制定的安全策略对内网和外网间传输的信息流实施控制,它对信息流的发送端和接收端是透明的,因此,分组过滤器的存在不需要改变终端访问网络的方式。,三、防火墙分类,2网络防火墙 (2)电路层代理 终端先和电路层代理建立TCP连接,电路层代理在完成对终端用户的身份鉴别后,和服务器建立TCP连接,并将这两个TCP连接绑定在一起。,三、防火墙分类,先认证用户身份,确定是授权用户发起的TCP连接时,再与服务器建立TCP连接。,2网络防火墙

4、(3)应用层网关 对相互交换的FTP消息,必须根据FTP规范检测其合理性,包括请求和响应消息中的各个字段值是否正确?请求消息和响应消息是否匹配?文件内容是否包含禁止传播的非法内容或病毒等。应用层网关必须支持FTP,才能中继FTP消息,因此,应用层网关是应用层相关的。,三、防火墙分类,四、防火墙功能,服务控制 不同网络间只允许传输与特定服务相关的信息流。 方向控制 不同网络间只允许传输与由特定网络中终端发起的会话相关的信息流。 用户控制 不同网络间只允许传输与授权用户合法访问网络资源相关的信息流。 行为控制 不同网络间只允许传输与行为合理的网络资源访问过程相关的信息流。,五、防火墙的局限性,无法

5、防御网络内部终端发起的攻击; 无法阻止病毒传播; 无法防御利用防火墙安全策略允许的信息传输过程实施的攻击行为。,11.2 分组过滤器,本讲主要内容 无状态分组过滤器; 有状态分组过滤器。,一、无状态分组过滤器,分组过滤器,顾名思义就是从一个网络进入另一个网络的全部IP分组中筛选出符合用户指定特征的一部分IP分组,并对这一部分IP分组的网络间传输过程实施控制。无状态是指实施筛选和控制操作时,每一个IP分组都是独立的,不考虑IP分组之间的关联性。,一、无状态分组过滤器,过滤规则 规则由一组属性值和操作组成,如果某个IP分组携带的信息和构成规则的一组属性值匹配,意味着该IP分组和该规则匹配,对该IP

6、分组实施规则指定的操作。 构成规则的属性值通常由下述字段组成: 源IP地址,用于匹配IP分组IP首部中的源IP地址字段值。 目的IP地址,用于匹配IP分组IP首部中的目的IP地址字段值。 源和目的端口号,用于匹配作为IP分组净荷的传输层报文首部中源和目的端口号字段值。 协议类型,用于匹配IP分组首部中的协议字段值。,一、无状态分组过滤器,一个过滤器可以由多个规则构成,IP分组只有和当前规则不匹配时,才继续和后续规则进行匹配操作,如果和过滤器中的所有规则都不匹配,对IP分组进行默认操作。一旦和某个规则匹配,则对其进行规则指定的操作,不再和其他规则进行匹配操作。,一、无状态分组过滤器,禁止网络19

7、3.1.1.0/24中的终端用Telnet访问网络193.1.2.0/24中IP地址为193.1.2.5的服务器。,一、无状态分组过滤器,路由器R1接口1输入方向上的分组过滤器的规则是: 协议类型=TCP ; 源IP地址=193.1.1.0/24; 目的IP地址=193.1.2.5/32 ; 目的端口号=23; 对和规则匹配的IP分组采取的动作是:丢弃。,一、无状态分组过滤器,如果只是需要过滤掉所有与LAN 1中的终端用Telnet访问LAN 2中的服务器的操作相关的IP分组,允许其他IP分组继续传输,则完整的过滤器如下: 协议类型=TCP,源IP地址=193.1.1.0/24,目的IP地址=

8、193.1.2.5/32,目的端口号=23;丢弃。 协议类型=* ,源IP地址=any,目的IP地址=any;正常转发。,一、无状态分组过滤器,3两种过滤规则集设置方法 (1)黑名单 黑名单方法是列出所有禁止传输的IP分组类型,没有明确禁止的IP分组类型都是允许传输的。 (2)白名单 白名单方法与黑名单方法相反,列出所有允许传输的IP分组类型,没有明确允许传输的IP分组类型都是禁止传输的。,一、无状态分组过滤器,写出作用于路由器R1接口1输入方向,路由器R2接口2输入方向,实现只允许终端A访问Web服务器,终端B访问FTP服务器,禁止其他一切网络间通信过程的安全策略的过滤规则集。,一、无状态分

9、组过滤器,路由器R1接口1输入方向的过滤规则集如下。 协议类型TCP,源IP地址192.1.1.1/32,源端口号*,目的IP地址192.1.2.7/32,目的端口号80;正常转发。 协议类型TCP,源IP地址192.1.1.7/32,源端口号21,目的IP地址192.1.2.1/32,目的端口号*;正常转发。 协议类型TCP,源IP地址192.1.1.7/32,源端口号20,目的IP地址192.1.2.1/32,目的端口号*;正常转发。 协议类型*,源IP地址any,目的IP地址any;丢弃。,一、无状态分组过滤器,路由器R2接口2输入方向的过滤规则集如下。 协议类型TCP,源IP地址192

10、.1.2.1/32,源端口号*,目的IP地址192.1.1.7/32,目的端口号21;正常转发。 协议类型TCP,源IP地址192.1.2.1/32,源端口号*,目的IP地址192.1.1.7/32,目的端口号20;正常转发。 协议类型TCP,源IP地址192.1.2.7/32,源端口号80,目的IP地址192.1.1.1/32,目的端口号*;正常转发。 协议类型*,源IP地址any,目的IP地址any;丢弃。,二、有状态分组过滤器,路由器R1接口1只允许输入输出与终端A访问Web服务器的操作有关的IP分组,禁止输入输出其他一切类型的IP分组。,二、有状态分组过滤器,路由器R1接口1输入方向的

11、过滤规则集如下。 协议类型TCP,源IP地址192.1.1.1/32,源端口号*,目的IP地址192.1.2.7/32,目的端口号80;正常转发。 协议类型*,源IP地址any,目的IP地址any;丢弃。 路由器R1接口1输出方向的过滤规则集如下。 协议类型TCP,源IP地址192.1.2.7/32,源端口号80,目的IP地址192.1.1.1/32,目的端口号*;正常转发。 协议类型*,源IP地址any,目的IP地址any;丢弃。,二、有状态分组过滤器,匹配路由器R1接口1输出方向过滤规则的IP分组未必就是封装Web服务器用于响应终端A访问请求的响应报文的IP分组。原因是,响应报文不是固定的

12、,而是根据请求报文动态变化的。,二、有状态分组过滤器,为了实现路由器R1接口1只允许输入输出与终端A发起访问web服务器的操作有关的IP分组,禁止输入输出其他一切类型的IP分组的安全策略,必须做到: 只允许由终端A发起建立与Web服务器之间的TCP连接。 只允许属于由终端A发起建立的与Web服务器之间的TCP连接的TCP报文沿着Web服务器至终端A方向传输。 必须在路由器R1接口1输入终端A发送给Web服务器的请求报文后,才允许路由器R1接口1输出Web服务器返回给终端A的响应报文。,二、有状态分组过滤器,为实现上述控制过程,路由器R1接口1输入输出方向的过滤器必须具备以下功能。 终端A至We

13、b服务器传输方向上的过滤规则允许传输与终端A发起访问Web服务器的操作有关的TCP报文。 初始状态下,Web服务器至终端A传输方向上的过滤规则拒绝一切IP分组传输。 只有当终端A至Web服务器传输方向上传输了与终端A发起访问Web服务器的操作有关的TCP报文后,Web服务器至终端A传输方向才允许传输作为对应的响应报文的TCP报文。,二、有状态分组过滤器,为实现上述控制过程,路由器R1接口1输入输出方向的过滤器必须具备以下功能。 终端A至Web服务器传输方向上的过滤规则允许传输与终端A发起访问Web服务器的操作有关的TCP报文。 初始状态下,Web服务器至终端A传输方向上的过滤规则拒绝一切IP分

14、组传输。 只有当终端A至Web服务器传输方向上传输了与终端A发起访问Web服务器的操作有关的TCP报文后,Web服务器至终端A传输方向才允许传输作为对应的响应报文的TCP报文。,二、有状态分组过滤器,动态分组检测的第一步是将网络划分成三个区,然后对区间进行的访问过程全程监控。,所谓全程监控是根据访问策略确定信息流顺序,然后对每一次信息流传输操作进行监控,看其是否符合策略规定的顺序和动作。,二、有状态分组过滤器,访问策略 从信任区到非军事区 源IP地址=193.1.1.0/24 目的IP地址=193.1.2.5/32 HTTP服务; 从信任区到非军事区 源IP地址=193.1.1.0/24 目的

15、IP地址=193.1.2.6 SMTP+POP3服务; 从信任区到非信任区 源IP地址=193.1.1.0/24 目的IP地址=0.0.0.0 HTTP+FTP GET服务; 从非军事区到非信任区 源IP地址=193.1.2.6/32 目的IP地址=0.0.0.0 SMTP服务; 从非信任区到非军事区 源IP地址=0.0.0.0 目的IP地址=193.1.2.5/32 HTTP GET服务; 从非信任区到非军事区 源IP地址=0.0.0.0 目的IP地址=193.1.2.6/32 SMTP服务。,访问策略和分组过滤不同,不是定义了允许或不允许传输的IP分组,而是定义了整个服务过程。如第一项策略

16、表示允许进行由信任区中终端发起的,对非军事区中的WEB服务器的访问。它允许符合这个访问过程的IP分组在信任区和非军事区之间传输。,二、有状态分组过滤器,策略对应的信息交换过程,由于是允许信任区中终端发起对非信任区中WEB服务器的访问,因此,首先允许通过的是符合信任区中终端发起建立TCP连接的过程的IP分组。然后允许通过的是和读取WEB内容有关的IP分组。最后,允许通过的是释放TCP连接有关的IP分组。,二、有状态分组过滤器,防火墙通过只中继正常的建立TCP连接请求,来避免服务器遭受SYN泛滥攻击。,二、有状态分组过滤器,通过COOKIE技术避免防火墙被SYN泛滥阻塞。,二、有状态分组过滤器,在防火墙连接非信任区的端口启动防御IP地址扫描机制,并设置时间间隔和阈值。端口在每一个时间段检测具有相同源IP地址、不同目的IP地址的ICMP ECHO请求报文,允许前10个具有上述特征的ICMP ECHO请求报文

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > PPT模板库 > PPT素材/模板

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号