《《网络与信息安全(第二版)》PPT 第13章 防火墙技术》由会员分享,可在线阅读,更多相关《《网络与信息安全(第二版)》PPT 第13章 防火墙技术(33页珍藏版)》请在金锄头文库上搜索。
1、第13章 防火墙技术,第13章 防火墙技术,谈到网络安全,首先想到的一般就是防火墙。防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止不可预测的、潜在破坏性的侵入。防火墙作为网络安全体系的基础和核心控制设备,在网络安全中具有举足轻重的地位。,13.1 防火墙基本概念,防火墙作为网络防护的第一道防线,它由软件或/和硬件设备组合而成,它位于企业或网络群体计算机与外界网络的边界,限制着外界用户对内部网络的访问以及管理内部用户访问外界网络的权限。,13.2.1 包过滤防火墙 包是网络上信息流动的基本单位,它由数据负载和协议头两个部分组成。包过滤是基于协议头的内容进行过滤的。,13.2 防火墙的类
2、型,13.2.2 应用代理防火墙 真正可靠的安全防火墙应该禁止所有通过防火墙的直接连接在协议栈的最高层检验所有的输入数据。,13.2.3 电路级网关型防火墙 电路级网关型防火墙起一定的代理服务作用,它监视两台主机建立连接时的握手信息,从而判断该会话请求是否合法,一旦会话连接有效,该网关仅复制、传递数据。,13.2.4 状态检测防火墙 状态包检测模式增加了更多的包和包之间的安全上下文检查,以达到与应用级代理防火墙相类似的安全性能。,13.3 防火墙在网络上的设置 13.3.1 单防火墙结构 1屏蔽防火墙,2单DMZ防火墙,3多DMZ防火墙,13.3.2 双防火墙结构,13.4 防火墙基本技术 1
3、3.4.1 包过滤技术 用来生成规则进行过滤的包头部信息通常都包括以下信息: (1)接口和方向。 (2)源和目的IP地址。 (3)IP选项。 (4)高层协议。 (5)TCP包的ACK位检查。 (6)ICMP的报文类型。 (7)TCP和UDP包的源和目的端口。,1用于包过滤的IP头信息 IP地址 所有防火墙都具有IP地址过滤功能。这项任务就是要检查IP包头,根据其IP源地址和目标地址作出放行/禁止决定。,2.协议字段 这一字段定义了包负载所使用的协议。例如,可以是TCP和UDP两种因特网上常用的协议,也可以是诸如ICMP等其它协议。通常,承载ICMP数据的包都应丢弃,因为ICMP数据将会告知对方
4、本网内部的信息。,(3)IP包分片与选项字段 另一个IP包过滤要注意的是IP包分片与其他选项字段,它们都有可能导致某些攻击,而且现在IP包分片与选项字段用得越来越少,因此可以拒绝这样的IP包。,2.用于包过滤的TCP头信息 控制SMTP连接流入和流出的例子,规则2和规则4允许大于端口1023的所有服务,不论是流入还是流出方向。黑客可以利用这一个漏洞去做各种事情。,改进以后的例子, 指定了源端口。,在TCP协议头中,有一个控制比特位:SYN。在三次握手建立连接期间,需要指明对序列号进行同步时,这一同步位要置1。 有一种常见的攻击是拒绝服务攻击,SYN洪水就是这样的一种攻击。它不做其它的事情,黑客
5、只是不断发送SYN位已经置1的包,这样目标主机就要浪费宝贵的CPU周期建立连接,并且分配内存。检查SYN位虽然不可能过滤所有SYN位已经置1的包,但是可以监视日志文件,发现不断发送这类包的主机以便让那些主机不能通过防火墙。,检查ACK位,防火墙只允许内部客户访问外部Web服务器,反之则禁止。,ICMP数据很有用,但也很有可能被利用来收集网络的有关信息,我们必须加以区别对待。防火墙的一个重要功能就是让外部不能得到网络内部主机的信息。因为这一点,需要阻止以下几种报文类型: 流入的echo请求和流出的echo响应允许内部用户使用ping命令测试外部主机的连通性,但不允许相反方向的类似报文。 流入的重
6、定向报文这些信息可以用来重新配置网络的路由表。 流出的目的不可到达报文和流出的服务不可用报文不允许任何人刺探网络。通过找出那些不可到达或那些不可提供的服务,黑客就更加容易锁定攻击目标。,包过滤器是建立防火墙的第一步。与代理服务器相比较,包过滤器有其优缺点。以下是包过滤器的一些优点: 包过滤是“免费的”。如果己经有了路由器,它很可能支持包过滤。在小型局域网内,单个路由器用作包过滤器足够了。 理论上只需要在局域网连接到因特网或外部网的地方布置一个过滤器。这里是网络的一个扼流点。 使用包过滤器,不需要专门培训用户或使用专门的客户端和服务器程序。屏蔽路由器或者包过滤主机会为网络的客户端透明地完成各种工
7、作。,当然,包过滤器也有不足之处: 使路由器难以配置,特别是使用大量规则进行复杂配置的时候。在这种情况下,很难进行完全地测试。 当包过滤器出现故障,或者配置不正确的时候,对网络产生的危害比代理服务器产生的危害大得多。 包过滤器只对少量数据,如IP包的头部信息进行操作。由于仅使用这些信息来决定是否让这些包通过防火墙,所以包过滤器的工作限制在它力所能及的范围之内。 很多具有包过滤功能的防火墙缺少健壮的日志功能,因此当系统被渗入或被攻击时,很难得到大量的有用信息。,13.4.2 应用代理技术 1应用代理技术原理,2内容屏蔽和阻塞 因为应用代理防火墙位于客户和提供网络服务的服务器之间,所以有很多方法来
8、进行内容屏蔽或阻塞。 (1)URL地址阻塞。 (2)类别阻塞。 (3)嵌入的内容。,3日志和报警措施 应用代理防火墙一个不可忽视的重要功能就是能够记录用户的各种行为信息。在事先可预测的条件下,一些行为还可以设置为触发一个警报。 审查日志是审查任何一个系统的重要组成部分,所以一定要尽可能多地记录各种事件,仔细观察记录的数据,力争从中发现不正常的现象。,使用代理服务器可以得到如下的好处: 隐藏受保护网络中客户和服务器的网络信息。 代理服务器是能够对受保护网络和因特网之间的网络服务进行控制的惟一点(Single Point)。即使代理应用瘫痪,也不能通过设置堡垒主机来允许通信经过。 代理服务器可以被
9、设置来记录所提供的服务的相关信息,并且对可疑活动和未授权的访问进行报警。 一些代理服务器可以筛选返回数据的内容,并阻塞对某些站点的访问。它们也能够阻塞包含已知病毒和其它可疑对象的包。,代理服务器的缺点主要包括: 尽管代理服务器提供了一个进行访问控制的惟一点,但它也是导致整个系统瘫痪的惟一点。 每一个网络服务都需要它自己的代理服务程序。虽然存在一般的解决方案,但是它没有提供与代理服务器相同级别的安全性。 在客户使用代理服务器之前可能需要被修改或者重新配置。,13.5.1 传统防火墙的缺点 传统防火墙具有以下不足: (1) 高成本:内部网中需要保护的主机或者资源越多,就需要设置越多的安全检查点。
10、(2) 高管理负担:管理人员管理好、维护好众多的防火墙设备有很大的难度。 (3) 存在盲点:来自子网内部任何主机的攻击都将成为该防火墙的盲点。 (4) 低性能:造成网络传输延迟,使网络性能降低。,13.5 防火墙技术的几个新方向,13.5.2 自适应代理防火墙 “自适应代理”是较新的一种防火墙设计,它将前几代防火墙的优点合成到一个单一的完整系统中并使它们的弱点缩减到最小。作为自适应代理服务器,基本的安全检测仍在应用层进行,但一旦安全检测代理明确了会话的所有细节,那么其后的数据包就可以直接经过速度更快的网络层。因此,自适应防火墙基本上和标准代理服务防火墙一样安全,并且比状态包检测有更快的性能。,
11、13.5.3 混合结构防火墙,13.6.1 Windows防火墙 Windows中自带了防火墙,但是Windows防火墙只过滤进入本计算机的数据,并不过滤外出的数据,而其他很多防火墙过滤进入与外出的所有数据,可见Windows防火墙的功能非常一般。,13.6 个人防火墙,13.6.2 天网防火墙个人版 天网防火墙个人版是国内比较优秀的PC机用软件防火墙。它主要有两大功能:应用程序规则与IP规则。应用程序规则针对某个应用程序设置规则以控制该应用程序的行为,IP规则针对IP协议、TCP协议、UDP协议、ICMP协议设置规则以控制它们的行为。其最终目的就是阻止非法的网络使用。,小结,本章首先介绍了防火墙的基本概念,然后介绍了防火墙的类型,包括包过滤防火墙、应用代理防火墙、电路级网关防火墙、状态检测防火墙,以及防火墙在网络上的设置情况,包括单防火墙结构与双防火墙结构。详细讨论了防火墙的基本技术,包括包过滤技术与应用代理技术。简要介绍了防火墙技术发展的几个新方向。最后介绍了两种个人防火墙产品,分别是Windows防火墙与天网防火墙个人版,说明了其设置与使用方法。,
