《计算机系统安全原理与技术 第3版 教学课件 ppt 作者 陈波 第5章 网络安全 (5.3-5.8节)》由会员分享,可在线阅读,更多相关《计算机系统安全原理与技术 第3版 教学课件 ppt 作者 陈波 第5章 网络安全 (5.3-5.8节)(153页珍藏版)》请在金锄头文库上搜索。
1、计算机系统安全原理与技术(第3版),1,5.3 防火墙,5.3.1 防火墙概念 5.3.2 防火墙技术 5.3.3 防火墙体系结构 5.3.4 防火墙的局限性和发展,2,5.3 防火墙 5.3.1 防火墙概念,防火墙的定义 国家标准GB/T 20281-2006信息安全技术 防火墙技术要求和测试评价方法 设置在不同网络(如可信任的企业内部网络和不可信的公共网络)或网络安全域之间的一系列部件的组合。 在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,能有效地监控流经防火墙的数据,保证内部网络和DMZ(Demilitarized Zone,隔离区,或译作非军事区)的安全。,计算机系统安全原
2、理与技术(第3版),3,5.3 防火墙 5.3.1 防火墙概念,防火墙的定义 防火墙可以是软件、硬件或软硬件的组合。 不管什么种类的防火墙,不论其采用何种技术手段,防火墙都必须具有以下三种基本性质: 是不同网络或网络安全域之间信息的唯一出入口; 能根据网络安全策略控制(允许、拒绝、监测)出入网络的信息流,且自身具有较强的抗攻击能力; 本身不能影响网络信息的流通。,计算机系统安全原理与技术(第3版),4,5.3 防火墙 5.3.1 防火墙概念,防火墙的功能 一个典型的网络体系结构及防火墙的应用,计算机系统安全原理与技术(第3版),5,5.3 防火墙 5.3.1 防火墙概念,防火墙的功能 DMZ网
3、络是从内部网络中划分的一个小区域,其中包括内部网络中用于公众服务的服务器 在这个区域中,由于需要对外开放某些特定的服务和应用,因而网络受保护的级别较低,如果级别太高,则这些提供公共服务的网络应用就无法进行。 在这个区域中的网络设备所运行的应用也非常单一。,计算机系统安全原理与技术(第3版),6,5.3 防火墙 5.3.1 防火墙概念,防火墙的功能 内部网络是防火墙要保护的对象,包括全部的内部网络设备、内网核心服务器及用户主机。 内部网络还可能包括不同的安全区域,具有不同等级的安全访问权限。 虽然内部网络和DMZ区都属于内部网络的一部分,但它们的安全级别(策略)是不同的。,计算机系统安全原理与技
4、术(第3版),7,5.3 防火墙 5.3.1 防火墙概念,防火墙的功能 (1)边界防火墙 处于外部不可信网络(包括因特网、广域网和其他公司的专用网)与内部可信网络之间,控制来自外部不可信网络对内部可信网络的访问,防范来自外部网络的非法攻击。同时,保证了DMZ区服务器的相对安全性和使用便利性。 这是目前防火墙的最主要应用。,计算机系统安全原理与技术(第3版),8,5.3 防火墙 5.3.1 防火墙概念,防火墙的功能 边界防火墙的基本功能 通过对源地址过滤,拒绝外部非法IP地址,可避免外部网络主机的越权访问。 关闭不必要的服务,可将系统受攻击的可能性降低到最小限度。 可制订访问策略,使只有被授权的
5、外部主机可以访问内部网络有限的IP地址,拒绝与业务无关的操作。 由于防火墙是内、外部网络的唯一通信通道,因此防火墙可以对所有针对内部网络的访问进行详细的记录,形成完整的日志文件(包过滤型防火墙不具有此功能)。,计算机系统安全原理与技术(第3版),9,5.3 防火墙 5.3.1 防火墙概念,防火墙的功能 (2)内部防火墙 处于内部不同可信等级安全域之间,起到隔离内网关键部门、子网或用户的目的。,计算机系统安全原理与技术(第3版),10,5.3 防火墙 5.3.1 防火墙概念,防火墙的功能 (2)内部防火墙 基本功能包括: 可以精确制订每个用户的访问权限,保证内部网络用户只能访问必要的资源。 对于
6、拨号备份线路的连接,通过强大的认证功能,实现对远程用户的管理。 内部防火墙可以记录网段间的访问信息,及时发现误操作和来自内部网络其他网段的攻击行为。 通过集中的安全策略管理,使每个网段上的主机不必再单独设立安全策略,降低了人为因素导致产生网络安全问题的可能性。,计算机系统安全原理与技术(第3版),11,5.3 防火墙 5.3.2 防火墙技术,包过滤技术 状态包过滤技术 NAT网络地址转换技术 代理技术 VPN虚拟专用网技术,计算机系统安全原理与技术(第3版),12,包过滤技术,包过滤防火墙工作在网络层和传输层,它根据通过防火墙的每个数据包的首部信息来决定是将该数据包发往目的地址还是丢弃。 大多
7、数包过滤型防火墙只是针对性地分析数据包信息头的部分域。,计算机系统安全原理与技术(第3版),13,包过滤技术,包过滤规则表定义了什么包可以通过防火墙,什么包必须丢弃。 这些规则常称为数据包过滤访问控制列表(ACL) 当数据流进入包过滤防火墙后,防火墙检查数据包的相关信息,开始从上至下扫描过滤规则,如果匹配成功则按照规则设定的操作执行,不再匹配后续规则。所以,在访问控制列表中规则的出现顺序至关重要。,计算机系统安全原理与技术(第3版),14,包过滤技术,访问控制列表的配置有两种方式。 严策略。接受受信任的IP包,拒绝其他所有IP包。 宽策略。拒绝不受信任的IP包,接受其他所有IP包。 在实际应用
8、中一般采用严策略来设置防火墙规则。 包过滤防火墙规则中还应该阻止如下几种IP包进入内部网。 源地址是内部地址的外来数据包。 指定中转路由器的数据包。 有效载荷很小的数据包。 还应阻止某些类型的内部网数据包进入外部网,特别是那些用于建立局域网和提供内部网通信服务的各种协议数据包,计算机系统安全原理与技术(第3版),15,包过滤技术,优点:在于处理效率上,其安全性体现在根据过滤规则对TCP、UDP数据包进行检测 缺点: 判别过滤的依据只是网络层和传输层的有限信息,因而不可能满足各种安全要求。 大多数过滤器中缺少审计和报警机制,只能依据包头信息,而不能对用户身份进行验证,很容易遭受欺骗型攻击。 在许
9、多型号的防火墙过滤器中,过滤规则的数目有限制,随着规则数目的增加,防火墙性能会受到很大的影响。 对安全管理人员的要求高,在建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的了解。 由于缺少上下文关联信息,不能有效地过滤如UDP、RPC、Telnet一类的协议以及处理动态端口连接。,计算机系统安全原理与技术(第3版),16,包过滤技术,【例2-1】假设通过部署包过滤防火墙将内部网络和外网分隔开,配置过滤规则,仅开通内部主机对外部Web服务器的访问,并分析该规则表存在的问题。 包过滤处理这种情况只能将客户端动态分配端口的区域全部打开(102465 535),才能满足正常通信的需要,
10、而不能根据每一连接的情况,开放实际使用的端口。 包过滤防火墙不论是对待有连接的TCP协议,还是无连接的UDP协议,它都以单个数据包为单位进行处理,对数据传输的状态并不关心,因而传统包过滤又称为无状态包过滤,它对基于应用层的网络入侵无能为力。,计算机系统安全原理与技术(第3版),17,包过滤技术,【例5-2】包过滤防火墙对于TCP ACK隐蔽扫描的处理分析 因为包过滤防火墙没有状态的概念,防火墙将认为这个包是已建立连接的一部分,并让它通过(当然,如果根据表2-1的过滤规则,ACK置位,但目的端口1203的数据包将被丢弃) 通过图2-4中示意的TCP ACK扫描,攻击者穿越了防火墙进行探测,并且获
11、知端口1204是开放的。为了阻止这样的攻击,防火墙需要记住已经存在的TCP连接,这样它将知道ACK扫描是非法连接的一部分。,计算机系统安全原理与技术(第3版),18,状态包过滤技术,一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,对接收到的数据包进行分析,判断其是否属于当前合法连接,从而进行动态的过滤。 状态包过滤同时维护过滤规则表和状态表,计算机系统安全原理与技术(第3版),19,状态包过滤技术,【例5-3】使用状态包过滤技术重新分析例5-1和例5-2。,计算机系统安全原理与技术(第3版),20,状态包过滤技术,状态数据包过滤防火墙比传统数据包过滤具有更强的安全能
12、力。但是,在应用中依然存在着以下一些问题。 访问控制列表的配置和维护困难。 包过滤防火墙难以详细了解主机之间的会话关系。 基于网络层和传输层实现的包过滤防火墙难以实现对应用层服务的过滤。 由于必须查询状态表,状态数据包过滤防火墙的性能会受到一定影响。,计算机系统安全原理与技术(第3版),21,NAT网络地址转换技术,网络地址转换(Network Address Translation,NAT),也称IP地址伪装技术(IP Masquerading)。 最初设计NAT的目的是允许将私有IP地址映射到公网(合法的因特网IP地址),以减缓IP地址短缺的问题。正是因为这个原因,我们至今还能使用IPv4
13、,否则早就已经升级到IPv6了。 此外,NAT还具有的功能。 内部主机地址隐藏。 网络负载均衡。 网络地址交迭处理。,计算机系统安全原理与技术(第3版),22,NAT网络地址转换技术,静态NAT技术 在内网地址和公网地址间建立一对一映射而设计的。静态NAT需要内网中的每台主机都拥有一个真实的公网IP地址。NAT网关依赖于指定的内网地址到公网地址之间映射关系来运行。,计算机系统安全原理与技术(第3版),23,NAT网络地址转换技术,动态NAT技术 实现将一个内网IP地址动态映射为公网IP地址池中的一个,如图2-7所示。不必像使用静态NAT那样,进行一对一的映射。动态NAT的映射表对网络管理员和用
14、户透明。,计算机系统安全原理与技术(第3版),24,NAT网络地址转换技术,动态NAT技术 PAT过程,计算机系统安全原理与技术(第3版),25,NAT网络地址转换技术,NAT技术实现负载均衡,计算机系统安全原理与技术(第3版),26,NAT网络地址转换技术,NAT技术处理网络地址交迭,计算机系统安全原理与技术(第3版),27,NAT网络地址转换技术,NAT技术的缺点 1)一些应用层协议的工作特点导致了它们无法使用NAT技术。当端口改变时,有些协议不能正确执行它们的功能。 2)静态和动态NAT安全问题。,计算机系统安全原理与技术(第3版),28,NAT网络地址转换技术,NAT技术的缺点 3)对
15、内部主机的引诱和特洛伊木马攻击。通过动态NAT可以使得黑客难以了解网络内部结构,但是无法阻止内部用户主动连接黑客主机。如果内部主机被引诱连接到一个恶意外部主机上,或者连接到一个已被黑客安装了木马的外部主机上,内部主机将完全暴露,就像没有防火墙一样容易被攻击。 4)状态表超时问题。,计算机系统安全原理与技术(第3版),29,代理技术,代理防火墙不再围绕数据包,而着重于应用级别,分析经过它们的应用信息,决定是传送或是丢弃。 代理服务一般分为应用层代理与传输层代理两种。,计算机系统安全原理与技术(第3版),30,代理技术,应用层代理也称为应用层网关(Application Gateway)技术 工作
16、在网络体系结构的最高层应用层。 应用层代理使得网络管理员能够实现比包过滤更加严格的安全策略。 应用层代理不用依靠包过滤工具来管理进出防火墙的数据流,而是通过对每一种应用服务编制专门的代理程序,实现监视和控制应用层信息流的作用。 防火墙可以代理HTTP、FTP、SMTP、POP3、Telnet等协议,使得内网用户可以在安全的情况下实现浏览网页、收发邮件、远程登录等应用。,计算机系统安全原理与技术(第3版),31,代理技术,采用应用层网关技术的防火墙还有以下优点。 应用层网关有能力支持可靠的用户认证并提供详细的注册信息。 用于应用层的过滤规则相对于包过滤防火墙来说更容易配置和测试。 代理工作在客户机和真实服务器之间,完全控制会话,所以可以提供很详细的日志和安全审计功能。 提供代理服务的防火墙可以被配置成惟一的可被外部看见的主机,这样可以隐藏内部网的IP地址,可以保护内部主机免受外部主机的进攻。 通过代理访问因特网可以解决合法IP地址不够用的问题,因为因特网所见到只是代理服务器的地址,内部的IP则通过代理可以访问因特网。,计算机系统安全原理与技术(第3版),32,代理技术,缺点。
