《九章防火墙的任务和类型》由会员分享,可在线阅读,更多相关《九章防火墙的任务和类型(31页珍藏版)》请在金锄头文库上搜索。
1、汹观窥勘稀噎脾论膏樊溶榴漂遁慎头暂每琢贮畴锦袱隆湃寐抿缺睹卜湘膨九章防火墙的任务和类型九章防火墙的任务和类型第九章第九章 防火牆的任務和類型防火牆的任務和類型9-1 防火牆概述防火牆概述9-2 防火牆的任務防火牆的任務9-3 防火牆術語防火牆術語9-4 防火牆的設定防火牆的設定9-5 建立包過濾規則建立包過濾規則9-6 設定代理伺服器設定代理伺服器痕各漠绅檀岔荚梢税车撩违本钝间妨核蓉性们陷屎徐亿陀欺煽瘤冶哟注毗九章防火墙的任务和类型九章防火墙的任务和类型9-1 防火牆概述防火牆概述u裝設防火牆就如在住家外築起一道圍牆,只開放必要的Port,讓資料出入,其餘通道一律封閉,以減少被攻擊的機會。u
2、防火牆可以由一台電腦或硬體防火牆組成。它位於私有網路和Internet之間。 般岂榨汰酸陵滔沟劣予吨跳颁蛙屎篱催邯耿酸讶怔舆访锗问店阉败训绩虑九章防火墙的任务和类型九章防火墙的任务和类型 非軍事化區概念 恨师巩浊掖真如绷哪她凝煽鸯弛锻跨钟朔篆奠死趋雪迅刃锁课约傲干泵耗九章防火墙的任务和类型九章防火墙的任务和类型9-2 防火牆的任務防火牆的任務uu1. 執行安全策略的主要工具執行安全策略的主要工具 uu2. 建立一個節流點建立一個節流點uu3. 記錄記錄 Internet 行為行為uu4. 減少網路主機的暴露減少網路主機的暴露巡熄碴侥乎话夸面嘴斑鲜咎善馆遭慰炒侈肩奉毒宋锋蛹椅鲁举扰锌拎柒抡九章防
3、火墙的任务和类型九章防火墙的任务和类型9-3 防火牆術語防火牆術語u了解防火牆的概念和術語不僅會幫助你成為安全專家,而且還確保你能夠支援今後所建立的任意一台防火牆。迭巢阮炼什锰误霍螟仙乖滞茹妖恍禾椰降输衰钡疟串腮闭钝裕钾摆泅咨瞻九章防火墙的任务和类型九章防火墙的任务和类型1.封包過濾器封包過濾器u封包過濾(packet filtering) 是一種簡單的防火牆機制。封包過濾常與路由器結合,且大部分的主要廠商都把封包過濾作為內定的組態。u這種防火牆會檢查封包的目的地和來源的IP位址、TCP/UDP埠,並根據管理者設定的簡單規則來決定是否接受或拒絕封包。预溶纽龟哄浚半咎初真捷蓬戌袱甸操幻骇琵例寂静
4、杉拼公些牟押藐须汛晌九章防火墙的任务和类型九章防火墙的任务和类型2.代理伺服器代理伺服器u由於代理伺服器等同於一個中間人角色,例如去某個網頁下載某一個檔案,無代理伺服器就直接與該網頁連接,如有代理伺服器則先連線至代理伺服器,再由代理伺服器進行存取。 u一般情況下,代理伺服器都會可以將有人存取過的檔案暫時儲在代理伺服器內,其他人又存取同一檔案的話就可以直接由代理伺服器存取,而不用再連線至網站存取,理論上可以加快速度。 孰洼沤摘名六宦芬贰希拯畅毗歧囤但腕鸟坯塌朵窃昔篆冉蕊累裴梯从筒阵九章防火墙的任务和类型九章防火墙的任务和类型(1)應用層代理 u位於應用層的代理程式是在防火牆上執行的一種軟體,能夠
5、模擬網路連線的來源和目的地兩端。每台電腦跟其他電腦的網路傳輸都必須通過此代理伺服器,進行資料檢查並檢查連線的是否合法性,如此一來在檢查資料的過程中,能夠有效地將受信任的區域網路和網際網路隔離開來。代理伺服器的程式會檢查用戶端電腦送過來的資料,並判斷是否為合法的資料要作轉送出去或是為非法的資料直接丟棄。 芯盖芽追金叶坑睫叭凋熬爽斤鄂协庚箱褪酥己悸米尉及妓啪抱有权楚法脸九章防火墙的任务和类型九章防火墙的任务和类型(2)鏈路層代理 u鏈路層代理(circuit-level proxy)工作在OSI參考模型的傳輸層。鏈路層代理的另一個名字是鏈路層閘道或線路閘道器。u鏈路層代理(Circuit Leve
6、l Gateway)有效阻隔端對端的TCP連接,使用者對外部主機的連線均需經過線路閘道器(Circuit Level Gateway)的轉置,線路閘道器(Circuit Level Gateway)不檢視封包之應用層資料。 沈拎恤质大泡鞋荆琵锹撒珍讯汹每撤约挣臆救茅赴哦讼挺虏猫卿斟阎猜株九章防火墙的任务和类型九章防火墙的任务和类型3.防禦主機防禦主機u防禦(bastion)是一個被直接安置於受信任的網路和不可信任的網路(如Internet)之間的安全電腦系統。你可以有一個單一的防禦主機,然而,最經常見到的,一台防禦主機使用兩塊網路介面卡(NIC)。每一塊卡作為連接一個單獨的網路的介面。在其中一
7、塊卡上,是用來管理、控制和保護企業網路,而在連接另一個網路的網路卡上,通常是公共網路,如 Internet。辖桃端鄂缺已涕汾趴由姻勿硕汁想江等慷陌蓟灾凭辅隘哦辨靡阵膨样茫达九章防火墙的任务和类型九章防火墙的任务和类型4.網路位址轉換網路位址轉換u網路位址轉換(NAT,Network Address Translation)定義於 RFC 1631, 基本上它是在 router 中進行一個偷換 IP header 的動作,以便讓多台電腦能共用一個 IP 連上 Internet 的技術。 uNAT會自動將內部用戶端電腦的 IP 位址隱藏起來,不讓Interne網際網路的人知曉內部網路的架構。彦炕葵
8、衬百偶剿哨疙侵钨寿醚溯侥畜洛梦随巫缔腕败弄勾娃烈驳碴向惶臂九章防火墙的任务和类型九章防火墙的任务和类型5.偽裝偽裝u偽裝是對IP封包標頭進行修改的過程。特別是,一個使用偽裝的封包過濾器可以修改IP封包標頭,這樣這個IP封包看起來像是從防火牆產生的,而不是由源主機產生的。u偽裝與NAT一起使用是很有用的,因為偽裝允許主機使用私有網路的IP位址來與Internet上的主機進行通信。 陷掩织酝薄莲谊闰渍拉僧柳屎丽睁歼痊陈削胆还壬雏炯拂逾馋综铬肘廷沫九章防火墙的任务和类型九章防火墙的任务和类型6.NAT和網路卡和網路卡u 防火牆最簡單的概念,就是在Internet與組織的LAN之間設一節流點,以管制進
9、出組織資料及組織內機器的安全。一般防火牆的做法都是在主機上插兩片或兩片以上的網路卡,其中一片連接可公開網路,另一片則是連接到被保護網路,而防火牆則是管理流經這兩片卡的資料封包。 涕溺烁钵量涯泞砚袁蹋辟肉瞪吊质胶屯途纶区异瑰操闯补羡幌椽鹅裙窗础九章防火墙的任务和类型九章防火墙的任务和类型7.NAT和產品術語和產品術語u每個防火牆產品都使用它自己的術語。舉例來說,微軟的Proxy Server 2使用術語信任信任和可信任可信任,來描述一個代理伺服器在多點(multicast)情況下的防禦方式:信任:代理伺服器允許流量從內部網路卡進入代理伺服器系統。可信任:這個術語被用來描述那些被允許存取這個網路的
10、網路和/或主機。子搔灰菇烹兜爵梢贱雁输锥拒哆拙砚谭拖支砸拔承紧凸定之脚胶瞧宿局汲九章防火墙的任务和类型九章防火墙的任务和类型8.作業系統硬體化作業系統硬體化u過去防火牆或入侵偵測多為軟體形式,主要原因是升級容易。然而,硬體產品,即裝置型產品,但挾著效能高、整合容易以及更安全的優勢,已逐漸取代軟體成為業界主流。u一台防火牆只需要有限的一些服務。在作業系統硬化中,防火牆的安裝程式廢止或刪除了所有不必要的服務。滞默懂品簿吮晌晕吁镊酷揪铀宰扛妒遏膨聚储匿尝贪色贸瓮才泻创广过异九章防火墙的任务和类型九章防火墙的任务和类型9.屏蔽和節流路由器屏蔽和節流路由器u屏蔽式路由器至少有一個介面與公共網路(如Int
11、ernet)相連。u屏蔽式路由器經由設定過濾規則來檢測向內和向外的資料封包。u由於屏蔽式路由器將它的介面呈現於網際網路,而不是內部網路,因此它也被稱為外部路由器。u在一個防火牆配置中使用兩台路由器時,內部路由器(如這台路由器將一個界面連接到內部網路)常常被稱做是節流路由器。陡版栅春衔肋锹蠕须潮冕倦不委壳弦壹宜饿端诚素桩绥茄邮俞继业蔬蝴幽九章防火墙的任务和类型九章防火墙的任务和类型10.非軍事化區(非軍事化區(DMZ)u DMZ是一個位於外部網路和公司內部網路之間的迷你型網路。u一個DMZ被用做一個附加的緩衝區來更進一步將外部網路與內部網路分開。u許多系統管理員將Web和DNS伺服器放置在DMZ
12、中,這是因為這樣做更方便。這樣做的好處在於屏蔽式路由器提供了一些保護。 舔屑茂砌绍除祖绪牵企睦砂峙曲剐番冉荧脚故铸泄抢漏犁哺愧颐馆姜期尸九章防火墙的任务和类型九章防火墙的任务和类型伺服器存在DMZ區,與LAN、WAN皆分開 曼库遭堑潍砸拿擒韵盼柳特列意伯伊尖汹株枫佛眉沉殷测法膊视弘号洋钝九章防火墙的任务和类型九章防火墙的任务和类型9-4 防火牆的設定防火牆的設定uu1.拒絕所有的資訊傳輸拒絕所有的資訊傳輸 在這種情況下,將指定准許進出網路的某些類型資訊傳輸,其它則拒絕進出。uu2.准許所有的資訊傳輸准許所有的資訊傳輸 在這種情況下,將指定你要拒絕的某些類型的資訊傳輸,其它則准許進出。怪割泣十碱
13、假寥茅漱陕蛛画焙奖碾蛹笋币担绩堡戏缨筹话惋轨仕花霞上尚九章防火墙的任务和类型九章防火墙的任务和类型9-5 建立封包過濾規則建立封包過濾規則u由於封包過濾器是一台按照預先設定的內容對每一個封包進行檢查的設備,因此,必須告訴封包過濾器阻塞什麼,准許什麼。u當資料封包在路由器上被過濾時,這個路由器通常被稱做是屏蔽式路由器(screening router),這也是封包過濾防火牆的另外一種名稱。 闸载军周嗽进挨胡沸勇播掺焚攻耿掠阑或断戮釜滇落粮佯船群留郑筷亡肋九章防火墙的任务和类型九章防火墙的任务和类型9-5-1 封包過濾過程封包過濾過程uu1.規則和欄位規則和欄位 封包過濾器使用規則來決定什麼樣的封
14、包可以通過防火牆。uu2.標準的標準的FTP用戶端和封包過濾規則用戶端和封包過濾規則 伺服器上的埠20代表的是資料通道。伺服器上的埠21代表的是控制通道,伺服器利用這個通道監聽連接和發送命令。uu3.被動被動FTP用戶端和封包過濾規則用戶端和封包過濾規則 畴佩团锈敝饵悦劳饵概钥原哑原翅萍宋青蜂氖鼻偿赐渍洒乳耍伍悠恿逻攘九章防火墙的任务和类型九章防火墙的任务和类型9-5-2 封包過濾的優點和缺點封包過濾的優點和缺點u封包過濾器或屏蔽式路由器的最大問題是,它們不能區別好與壞的封包。如果一個封包通過了所有的規則,它將被轉送到目的地。u封包過濾器不能夠告訴你所轉送的封包是否包含有益的或惡意的資料。u封
15、包過濾所建立的規則可能要花費很多時間。 醉蝗午皇麻较贵懊谰疟察沁填响邪帜墟补分旭刹鉴斯拧恳寨瞪怀痕塌瘴冉九章防火墙的任务和类型九章防火墙的任务和类型9-5-3 狀態多層檢測狀態多層檢測u狀態檢測技術最早是 Check Point 提出的,就是從 TCP 連接的建立到終止都追蹤檢測的技術。 u由於防火牆可以維護一個連接的資料庫,因此,執行狀態多層檢測的封包過濾器能夠檢查封包的內容。 宵诵戌娥眠朋倪资浑兰鬼古埋子因辕掐典牵奋鲸饰悠速煞石怖昌徒丙钨周九章防火墙的任务和类型九章防火墙的任务和类型9-5-4 使用使用ipchains和和iptablesuiptables 是 Linux Kernel 2
16、.4.xx 版本以上的主要 IP 過濾機制!他最大的功能就是可以過濾掉不要的 TCP 封包。他還可以用來進行 IP 偽裝,以達成 NAT 的主機功能。 uiptables 跟 ipchains 是無法同時使用,如果您已經使用 ipchains ,要改用 iptables 時,要先將 ipchains 的 modules 移除,在載入 iptables 的 module ,才可以使用 iptables 。文夹殴庸汝寨剁忙杜哲风扯债趾状隅矗鸵巢材角偶况妖旋心世窿哗婆悔浩九章防火墙的任务和类型九章防火墙的任务和类型9-5-5 使用使用ipchains命令,建立一個命令,建立一個個人防火牆個人防火牆u
17、在本節的練習中,你將使用命令ipchains來為系統建立封包過濾規則。圆杯胞作颊浑胳眩箭隆佬抽清过揉虫弹康意竹帮勃陛衔河步逗啄澈偶烃捷九章防火墙的任务和类型九章防火墙的任务和类型9-5-6 使用使用iptables命令,建立一個命令,建立一個個人防火牆個人防火牆u在這個練習中,將使用命令iptables來為系統建立封包過濾規則。儘管沒有兩塊網路卡,但是仍可以為系統建立一個個人防火牆。 谜圣累钝百自笼铁砧通乳球洱簇哆耽萌上租曹克辉浩肢抛钧汉便祖由谜侣九章防火墙的任务和类型九章防火墙的任务和类型9-6 設定代理伺服器設定代理伺服器命矗径殖拴水茫情薄弊及未亏拇逸殿傍布鉴慰劝话启根番课捏本隔缮嚏饯九章
18、防火墙的任务和类型九章防火墙的任务和类型1.代理伺服器的優點和特性代理伺服器的優點和特性u(1)驗證u(2)日誌記錄和報警u(3)快取u(4)較少的規則煮抵纸陋哄汁迂上讨辨罐辑予睬豢闰逊糕洼最始闺增淋寒汰藤辖脾顺攻续九章防火墙的任务和类型九章防火墙的任务和类型2.反向代理和代理陣列反向代理和代理陣列u通常的代理伺服器,只用代理內部網路對Internet的連接請求,用戶機必須指定代理伺服器,並將本來要直接發送到Web伺服器上的http請求發送到代理伺服器中。 u當一個代理伺服器能夠代理外部網路上的主機,存取內部網路時,這種代理服務的方式稱為反向代理服務。 川驾均围钳锄姥耕绞董任斗瘤靛蛛少媒孙入航
19、哭胖酿应袖译俞杰乍诽校措九章防火墙的任务和类型九章防火墙的任务和类型3.代理伺服器的缺點代理伺服器的缺點u使用代理伺服器與遠端TCP/IP連接的用戶端,必須設定一個代理伺服器並且正確設定所有的指定參數。如果設定錯誤,Internet應用常常不會(或根本不會)與一個代理伺服器正確地連接。結果是,公司可能會在存取一個重要的Internet服務上發生困難。 奈芦雅居否旺兆唾哀斩震屉抓佑入寐盆玻娟谷纠趣漳肆截羚呆疫厢店妙张九章防火墙的任务和类型九章防火墙的任务和类型4.加速和硬體考慮加速和硬體考慮u為了讓代理伺服器提供更多的功能,它們通常需要額外的系統資源。這樣,在網路上執行一個代理伺服器可能需要更昂貴的硬體。u在那些流量很大的節點上,一個代理的防火牆可能會成為一個不利因素,因為它可以引起無法接受的延遲。 九辣陪阜研邑灌屹驹贰炬狠优光仕找蓝收盅休境再昂莲岩砾慎臂店划乱桥九章防火墙的任务和类型九章防火墙的任务和类型
