《计算机网络安全教程 教学课件 ppt 作者 梁亚声 ch4 防火墙技术》由会员分享,可在线阅读,更多相关《计算机网络安全教程 教学课件 ppt 作者 梁亚声 ch4 防火墙技术(83页珍藏版)》请在金锄头文库上搜索。
1、第4章 防火墙技术,内容提要: 概述 防火墙体系结构 防火墙技术 防火墙的安全防护技术 防火墙应用示例 个人防火墙 防火墙技术发展动态和趋势 小结,4.1 概述,防火墙的定义 防火墙是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统,包括硬件和软件,构成一道屏障,以防止发生对被保护网络的不可预测的、潜在破坏性的侵扰。,防火墙的五大基本功能,过滤进、出网络的数据; 管理进、出网络的访问行为; 封堵某些禁止的业务; 记录通过防火墙的信息内容和活动; 对网络攻击的检测和告警。,防火墙的局限性,网络的安全性通常是以网络服务的开放性和灵活性为代价 防火墙只是整个网络安全防护体系的一部分,而且
2、防火墙并非万无一失,4.2 防火墙体系结构,防火墙可以在OSI七层中的五层设置。 防火墙组成结构图,防火墙的体系结构,目前,防火墙的体系结构一般有以下几种: (1)双重宿主主机体系结构; (2)屏蔽主机体系结构; (3)屏蔽子网体系结构。,4.2.1 双重宿主主机体系结构,围绕具有双重宿主的主机计算机而构筑; 计算机至少有两个网络接口; 计算机充当与这些接口相连的网络之间的路由器; 防火墙内部的系统能与双重宿主主机通信; 防火墙外部的系统(在因特网上)能与双重宿主主机通信。,双重宿主主机体系结构,4.2.2 屏蔽主机体系结构,提供安全保护的堡垒主机仅仅与被保护的内部网络相连; 是外部网络上的主
3、机连接内部网络的桥梁; 堡垒主机需要拥有高等级的安全; 还使用一个单独的过滤路由器来提供主要安全; 路由器中有数据包过滤策略。,屏蔽主机体系结构,4.2.3 屏蔽子网体系结构,1周边网络 周边网络是另一个安全层,是在外部网络与被保护的内部网络之间的附加网络,提供一个附加的保护层防止内部信息流的暴露 . 2堡垒主机 堡垒主机为内部网络服务的功能有: (1)接收外来的电子邮件(SMTP),再分发给相应的站点; (2)接收外来的FTP连接,再转接到内部网的匿名FTP服务器; (3)接收外来的对有关内部网站点的域名服务(DNS)查询。,堡垒主机向外的服务功能按以下方法实施: (1)在路由器上设置数据包
4、过滤来允许内部的客户端直接访问外部的服务器。 (2)设置代理服务器在堡垒主机上运行,允许内部网的用户间接地访问外部网的服务器。也可以设置数据包过滤,允许内部网的用户与堡垒主机上的代理服务器进行交互,但是禁止内部网的用户直接与外部网进行通信。,3内部路由器 保护内部的网络使之免受外部网和周边网的侵犯,内部路由器完成防火墙的大部分数据包过滤工作。 4外部路由器 保护周边网和内部网使之免受来自外部网络的侵犯,通常只执行非常少的数据包过滤。 外部路由器一般由外界提供。,4.2.4 防火墙体系结构的组合形式,使用多堡垒主机; 合并内部路由器与外部路由器; 合并堡垒主机与外部路由器; 合并堡垒主机与内部路
5、由器; 使用多台内部路由器; 使用多台外部路由器; 使用多个周边网络; 使用双重宿主主机与屏蔽子网。,4.3 防火墙技术,从工作原理角度看,防火墙主要可以分为网络层防火墙和应用层防火墙。这两种类型防火墙的具体实现技术主要有包过滤技术、代理服务技术、状态检测技术、NAT技术等。,4.3.1 包过滤技术,包过滤防火墙工作在网络层 利用访问控制列表(ACL)对数据包进行过滤 过滤依据是TCP/IP数据包: 源地址和目的地址 所用端口号 协议状态 优点是逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好 缺点有二,一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址
6、、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒。,包过滤模型 :,包检查模块深入到操作系统的核心,在操作系统或路由器转发包之前拦截所有的数据包。当包过滤型防火墙安装在网关上之后,包过滤检查模块深入到系统的网络层和数据链路层之间,即TCP层和IP层之间。抢在操作系统或路由器的TCP层对IP包的所有处理之前对IP包进行处理。包过滤型防火墙位于软件层次的最底层。,包过滤模型,数据包过滤的主要依据有:,(1)数据包的源地址; (2)数据包的目的地址; (3)数据包的协议类型(TCP、UDP、ICMP等); (4)TCP或UDP的源端口; (5)TCP或UDP的目的端口; (6)ICM
7、P消息类型;,大多数包过滤系统判决是否传送数据包时都不关心包的具体内容。包过滤系统只能进行类似以下情况的操作: 不让任何用户从外部网用Telnet登录; 允许任何用户使用SMTP往内部网发电子邮件; 只允许某台机器通过NNTP往内部网发新闻。 不能进行以下情况的操作: 允许某个用户从外部网用Telnet登录而不允许其他用户进行这种操作。 允许用户传送一些文件而不允许用户传送其他文件。,包过滤方式优点 仅用一个放置在重要位置上的包过滤路由器就可保护整个网络 包过滤工作对用户来讲是透明的。这种透明就是可在不要求用户作任何操作的前提下完成包过滤。,在配置包过滤路由器时,首先要确定哪些服务允许通过而哪
8、些服务应被拒绝,并将这些规定翻译成有关的包过滤规则。对包的内容一般并不要多加关心。比如:允许站点接收来自于外部网的邮件,而不关心该邮件是用什么工具制作的。路由器只关注包中的一小部分内容。,包过滤路由器的配置,有关服务翻译成包过滤规则时几个重要概念:,协议的双向性。 “往内”与“往外”的含义。 “默认允许”与“默认拒绝”。,包过滤标准必须由包过滤设备端口存储起来,这些包过滤标准叫包过滤规则。 当包到达端口时,对包的报头进行语法分析,大部分的包过滤设备只检查IP、TCP或UDP报头中的字段,不检查数据的内容。 包过滤器规则以特殊的方式存储。 如果一条规则阻止包传输或接收,此包便不允许通过。 如果一
9、条规则允许包传输或接收,该包可以继续处理。 如果一个包不满足任何一条规则,该包被丢弃。,包过滤器操作流程,包过滤器操作流程图,包过滤防火墙的缺陷,不能彻底防止地址欺骗。 无法执行某些安全策略 安全性较差 一些应用协议不适合于数据包过滤 管理功能弱,4.3.2 代理服务技术,代理防火墙(Proxy)是一种较新型的防火墙技术,它分为应用层网关和电路层网关。 所谓代理服务器,是指代表客户处理连接请求的程序。当代理服务器得到一个客户的连接意图时,它将核实客户请求,并用特定的安全化的Proxy应用程序来处理连接请求,将处理后的请求传递到真实的服务器上,然后接受服务器应答,并做进一步处理后,将答复交给发出
10、请求的最终客户。,代理的工作方式,代理防火墙工作于应用层; 针对特定的应用层协议; 代理服务器(Proxy Server)作为内部网络客户端的服务器,拦截住所有请求,也向客户端转发响应; 代理客户机(Proxy Client)负责代表内部客户端向外部服务器发出请求,当然也向代理服务器转发响应;,应用层网关型防火墙,应用层网关防火墙,传统代理型防火墙; 核心技术就是代理服务器技术; 基于软件实现,通常安装在专用工作站系统上; 参与到一个TCP连接的全过程; 在网络应用层上建立协议过滤和转发功能; 优点就是安全,是内部网与外部网的隔离点; 最大缺点就是速度相对比较慢。,应用层网关型防火墙,电路层网
11、关,电路层网关防火墙,通过电路层网关中继TCP连接 一般采用自适应代理技术 有两个基本要素: 自适应代理服务器(Adaptive Proxy Server) 动态包过滤器(Dynamic Packet Filter),电路层网关防火墙,代理技术的优点,代理易于配置 代理能生成各项记录 代理能灵活、完全地控制进出流量、内容 代理能过滤数据内容 代理能为用户提供透明的加密机制 代理可以方便地与其他安全手段集成,代理技术的缺点:,代理速度较路由器慢; 代理对用户不透明; 对于每项服务代理可能要求不同的服务器; 代理服务不能保证免受所有协议弱点的限制; 代理不能改进底层协议的安全性。,4.3.3 状态
12、检测技术,状态检测技术的工作原理 基于状态检测技术的防火墙是由Check Point软件技术有限公司率先提出的,也称为动态包过滤防火墙。基于状态检测技术的防火墙通过一个在网关处执行网络安全策略的检测引擎而获得非常好的安全特性。检测引擎在不影响网络正常运行的前提下,采用抽取有关数据的方法对网络通信的各层实施检测。它将抽取的状态信息动态地保存起来作为以后执行安全策略的参考。检测引擎维护一个动态的状态信息表并对后续的数据包进行检查,一旦发现某个连接的参数有意外变化,则立即将其终止。,状态检测防火墙可提供的额外服务,将某些类型的连接重定向到审核服务中去。例如,到专用Web服务器的连接,在Web服务器连
13、接被允许之前,可能被发到审核服务器(用一次性口令来使用); 拒绝携带某些数据的网络通信,如带有附加可执行程序的传入电子消息,或包含ActiveX程序的Web页面。,状态检测技术跟踪连接状态的方式,状态检测技术跟踪连接状态的方式取决于数据包的协议类型: TCP包:防火墙丢弃所有外部的连接企图,除非已经建立起某条特定规则来处理它们。对内部主机试图连到外部主机的数据包,防火墙标记该连接包,允许响应及随后在两个系统之间的数据包通过,直到连接结束为止。 UDP包: UDP包比TCP包简单,因为它们不包含任何连接或序列信息。它们只包含源地址、目的地址、校验和携带的数据。对传入的包,若它所使用的地址和UDP
14、包携带的协议与传出的连接请求匹配,该包就被允许通过。,状态检测技术的特点,状态检测防火墙结合了包过滤防火墙和代理服务器防火墙的长处,克服了两者的不足,能够根据协议、端口,以及源地址、目的地址的具体情况决定数据包是否允许通过。,状态检测技术的特点,优点 : 高安全性 高效性 可伸缩性和易扩展性 不足: 主要体现在对大量状态信息的处理过程可能会造成网络连接的某种迟滞,特别是在同时有许多连接激活的时候,或者是有大量的过滤网络通信的规则存在时。,4.3.4 NAT技术,NAT技术的工作原理 它是一个IETF(Internet Engineering Task Force, Internet工程任务组)
15、的标准,允许一个整体机构以一个公用IP地址出现在互联网上。顾名思义,它是一种把内部私有IP地址翻译成合法网络IP地址的技术。,NAT技术的类型,静态NAT(Static NAT):内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。 动态地址NAT(Pooled NAT):在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。 网络地址端口转换NAPT(PortLevel NAT):把内部地址映射到外部网络的一个IP地址的不同端口上。,NAT技术的优点,所有内部的IP地址对外面的人来说是隐蔽的。因为这个原因,网络之外没有人可以通过指定IP地址的方式直接对网络内的任何一
16、台特定的计算机发起攻击。 如果因为某种原因公共IP地址资源比较短缺的话,NAT技术可以使整个内部网络共享一个IP地址。 可以启用基本的包过滤防火墙安全机制,因为所有传入的数据包如果没有专门指定配置到NAT,那么就会被丢弃。内部网络的计算机就不可能直接访问外部网络。,NAT技术的缺点,NAT技术的缺点和包过滤防火墙的缺点类似,虽然可以保障内部网络的安全,但也存在一些类似的局限。此外,内部网络利用现流传比较广泛的木马程序可以通过NAT进行外部连接,就像它可以穿过包过滤防火墙一样的容易。,4.4 防火墙的安全防护技术,防火墙自开始部署以来,已保护无数的网络躲过窥探的眼睛和恶意的攻击者,然而它们还远远不是确保网络安全的灵丹妙药。每种防火墙产品几乎每年都有安全脆弱点被发现。更糟糕的是,大多数防火墙往往配置不当且无人维护和监视。 攻击者往往通过发掘信任关系和最薄弱环节上的安全脆弱点来绕过防火墙,或者经由拨号账号实施攻击来避开防火墙。,4.4.1 防止防火墙标识被获取,几乎每种防火墙都会有其独特的电子特征。也就是说,凭借端口扫描和标识获取等技巧,攻击者能够有效地确定目标网络上几乎每
