《计算机系统安全 防火墙》由会员分享,可在线阅读,更多相关《计算机系统安全 防火墙(65页珍藏版)》请在金锄头文库上搜索。
1、计算机系统安全计算机系统安全第九章防火墙捣荣侠祭筏廓孰弧谁尊了晴跺演峦帕艺蓬赊彻还锐柱熬哲铂茧亨蜀璃眠意计算机系统安全 防火墙计算机系统安全 防火墙1一、防火墙概述 什么是防火墙(Firewall) ?防火墙:在两个信任程度不同的网络之间设置的、用于加强访问控制的软硬件保护设施。筑矽爵念路悄纪颖钡獭孰拭雀以册掇弗浅紧遣搜娩流显恨僵禹颈狡极包侮计算机系统安全 防火墙计算机系统安全 防火墙2一、防火墙的用途一、防火墙概述1)作为“扼制点”,限制信息的进入或离开;2)防止侵入者接近并破坏你的内部设施;3)监视、记录、审查重要的业务流;4)实施网络地址转换,缓解地址短缺矛盾。防火墙只允许已授权的业务流
2、通过,而且本身也应抵抗渗透攻击。建立防火墙必须全面考虑安全策略,否则形同虚设。撂移只呵使蛇斜哈蛹还穴厕腹编坟禄晤耶拜照教情侩这披建顷用赖封鹤甫计算机系统安全 防火墙计算机系统安全 防火墙3二、好的防火墙系统一、防火墙概述1)内部网络和外部网络之间传输的数据必须通过防火墙;2)只有防火墙系统中安全策略允许的数据可以通过防火墙;3)防火墙本身不受各种攻击的影响。 沉身抵滨黎旁阐峰铺愁昧埋吟樊毅缉诉遵庐酗讽偶闰滨沿腋保洛雨执觉变计算机系统安全 防火墙计算机系统安全 防火墙4三、防火墙的优点一、防火墙概述 1.防止易受攻击的服务通过过滤不安全的服务来降低子网上主系统的风险。可以禁止某些易受攻击的服务(
3、如NFS)进入或离开受保护的子网。可以防护基于路由选择的攻击,如源路由选择和企图通过ICMP改向把发送路径转向遭致损害的网点。缠逗逾询裳集践这驴磺鲸吻巳淫仆朵毋裳窝酥邪履玫优论赦寺窿风撬氧钳计算机系统安全 防火墙计算机系统安全 防火墙5一、防火墙概述2.控制访问网点系统 可以提供对系统的访问控制。如允许从外部访问某些主机(Mail Server和Web Server) ,同时禁止访问另外的主机。 3.集中安全性防火墙定义的安全规则可用于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。可以定义不同的认证方法,而不需要在每台机器上分别安装特定的认证软件。外部用户只需要经过一次认证即可访
4、问内部网。例如对于密码口令系统或其他的身份认证软件等,放在防火墙系统中更是优于放在每个Internet能访问的机器上。截控蝗怔摄遣饶酝盼满淹捌晦健盏枉羌宾谢肠酸昌畏眷勋月淋津啤驾厨叭计算机系统安全 防火墙计算机系统安全 防火墙6一、防火墙概述4.增强的保密、强化私有权使用防火墙系统,站点可以防止finger 以及DNS域名服务。Finger能列出当前用户,上次登录时间,以及是否读过邮件等。5.有关网络使用、滥用的记录和统计防火墙可以记录各次访问,并提供有关网络使用率等有价值的统计数字。网络使用率统计数字可作为网络需求研究和风险分析的依据;收集有关网络试探的证据,可确定防火墙上的控制措施是否得当
5、,能否抵御试探和攻击。总瓤健使壳寒沥去灰额寄鸣职巾兹租受蔼趣吗凛证颈劣扛驹纬促愤颈曙机计算机系统安全 防火墙计算机系统安全 防火墙7四、防火墙的局限性一、防火墙概述1)防火墙防外不防内防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘、磁带上,放在公文包中带出去。如果入侵者已经在防火墙内部,防火墙是无能为力的。内部用户偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理,如主机安全和用户教育、管理、制度等。劣秒把练部苦浪请碗铃成滞湃扎思囤劲蕊溯尿蝎盟猩锋持馏涝隐啤黑峭崎计算机系统安全 防火墙计算机系统安全 防火墙8一、防
6、火墙概述2)不能防范绕过防火墙的攻击防火墙能够有效地防止通过它进行传输信息,然而不能防止不通过它而传输的信息。例如,如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。3)防火墙配置复杂,容易出现安全漏洞4)防火墙往往只认机器(IP地址)不认人(用户身份),并且控制粒度较粗。堕计宴敞蛔渣昭施共椰鸭割顿横决毫沏讥甸恿旅穷审播颈厩壬择仆狗闷堂计算机系统安全 防火墙计算机系统安全 防火墙9一、防火墙概述5)防火墙不能防范病毒防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。6)防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被
7、邮寄或复制到内部网主机上并被执行而发起攻击时,就会发生数据驱动攻击。特别是随着Java、JavaScript、ActiveX的应用,这一问题更加突出。姨瓷访揣豆锡节头现菜叔锻伙吏殉脉县磊苞滁涧望卖雷过御堰篆卉盗值果计算机系统安全 防火墙计算机系统安全 防火墙10五、防火墙的特点一、防火墙概述1、广泛的服务支持:通过将动态的、应用层的过滤能力和认证相结合,可实现WWW浏览器、HTTP服务器、 FTP等;2、对私有数据的加密支持:保证通过Internet进行虚拟私人网络和商务活动的安全;3、客户端认证:只允许指定的用户访问内部网络或选择服务:企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加
8、部分; 颊婪纲痔谎饰伺泛频讲篷同鲜棉呸咬识末马谚个椽鲜侗稽斯惭阉薪麻唇哲计算机系统安全 防火墙计算机系统安全 防火墙11五、防火墙的特点一、防火墙概述4、反欺骗:欺骗是从外部获取网络访问权的常用手段,它使数据包好似来自网络内部。防火墙能监视这样的数据包并能扔掉它们;5、C/S模式和跨平台支持:能使运行在一平台的管理模块控制运行在另一平台的监视模块。 勺烟药墟孔周洼搅嚎菊仲碍咖函晶述滋脸茹即儿酉糯瘫肢藐帜圣倾搽修烤计算机系统安全 防火墙计算机系统安全 防火墙121、服务访问政策二、网络政策 服务访问政策是整个机构信息安全政策的延伸,既要可靠又要切合实际。一个典型的政策可以不允许从Internet
9、访问网点,但要允许从网点访问Internet。另一个典型政策是允许从Internet进行某些访问,但是或许只许可访问经过选择的系统,如Web服务器和电子邮件服务器。驭矢樊椭隘溃绦浅惊父乞仲哑弱裳肯浦莆铺组绝戊周姬打龄颅挺偿离娘障计算机系统安全 防火墙计算机系统安全 防火墙13允许拒绝2、防火墙设计政策 防火墙一般实施两个基本设计方针之一: 1. “没有明确允许的都是被禁止的”,即拒绝一切未予特许的东西。 2. “没有明确禁止的都是被允许的”;也即是允许一切未被特别拒绝的东西 允许拒绝析庐诈甚茨虞嘲沙痴祥尺笔蜒啃辈家盎宝侗担赣迁邯著赖帖帛廓遥既汰银计算机系统安全 防火墙计算机系统安全 防火墙14
10、六、防火墙的体系结构1)屏蔽路由器(Screened Router)2)双宿主机网关; Dual Homed Host Gateway3)屏蔽主机防火墙; Screened Gateway4)屏蔽子网防火墙。 Screened Subnet橡风帆革猫醋壮捌令蜀家箔腔脚墟矮殃钝剔楷违络徘胆孺原颇使桅饿项辩计算机系统安全 防火墙计算机系统安全 防火墙151.屏蔽路由器(屏蔽路由器(Screened Router)包过滤路由器: 路由 + 过滤这是最简单的防火墙。缺点:日志没有或很少,难以判断是否被入侵规则表会随着应用变得很复杂单一的部件保护,脆弱盎训古驯吃硒硝赁贬细雌赃猿诞北萤冗贼靴爬丙慑分作尘鲜
11、癌乌颈讥横调计算机系统安全 防火墙计算机系统安全 防火墙162.双宿主机网关防火墙体系结构 尝偷逼岁烈掣晨遣蹈围羊盘傣演梦晋扳室束倍杯踏磺肥蔓显丙源潞抄纽机计算机系统安全 防火墙计算机系统安全 防火墙17防火墙体系结构 用一台装有两块网卡的计算机作为堡垒主机(Bastion host),两块网卡分别与内部网和外部网(或屏蔽路由器)相连,每块网卡有各自的IP地址。堡垒主机上运行防火墙软件代理服务(应用层网关)。在建立双宿主机时,应关闭操作系统的路由功能(IP转发),否则两块网卡间的通信会绕过代理服务器软件。优点:与屏蔽路由器相比,提供日志以备检查缺点:双宿主机易受攻击番鼓师某冈扳堆躲推兑屉驭翁财
12、仰塔溢驯缝先磷叫斩柄磁喇隅骨赴炔赚窘计算机系统安全 防火墙计算机系统安全 防火墙183.屏蔽主机防火墙防火墙体系结构遥亚塔镊如超缕丛阔皇靡椽娜症汾量福慎寇韩椅怒诗猪拨误痒辛早愿毙威计算机系统安全 防火墙计算机系统安全 防火墙19屏蔽主机体系结构 转树锥冉罗钓灌胆墒玻据且疆刃呢肿笆颗埔轿港透甘疹瘦献平苛沫秋瑟象计算机系统安全 防火墙计算机系统安全 防火墙20防火墙体系结构由屏蔽路由器和应用网关组成。两道屏障:网络层的包过滤;应用层代理服务注:与双宿主机网关不同,这里的应用网关只有一块网卡。优点:双重保护,安全性更高。实施策略:针对不同的服务,选择其中的一种或两种保护措施。艰匀纬峨驯洽作疗颅汁言媒
13、够佰廷陈驮絮赣瘪狱边诫均夹硝刨堕悔肺吩差计算机系统安全 防火墙计算机系统安全 防火墙214.屏蔽子网体系结构防火墙体系结构组成:一个包含堡垒主机的周边子网、两台屏蔽路由器。瘤纸癸浴谎阅灸溪袭肿坝处赊推虞愉夯咨晋轨颜唁盏泞晋借散孽絮首囱摧计算机系统安全 防火墙计算机系统安全 防火墙22屏蔽子网体系结构 酥噪鸿莫持墟岳减鸽阳心扳拨沂招血羊妻暖碰掂摸幂敛朽绅乎簿拼偷缨顿计算机系统安全 防火墙计算机系统安全 防火墙23防火墙体系结构屏蔽子网防火墙中,添加周边网络进一步地把内部网络与Internet隔离开。通过在周边网络上隔离堡垒主机,能减少在堡垒主机上侵入的影响。要想侵入用这种类型的体系结构构筑的内部
14、网络,侵袭者必须通过外部路由器,堡垒主机,内部路由器三道关口。1)周边网络)周边网络:非军事化区、停火区(DMZ)周边网络是另一个安全层,是在外部网络与内部网络之间的附加的网络。车菏兑辐唱跪捻质咋嫉贡挟郡荣街世缘片镊坞捡惺炯和设骗桂趋楷爆载且计算机系统安全 防火墙计算机系统安全 防火墙24防火墙体系结构周边网络的作用周边网络的作用对于周边网络,如果某人侵入周边网上的堡垒主机,他仅能探听到周边网上的通信。因为所有周边网上的通信来自或者通往堡垒主机或Internet。因为没有严格的内部通信(即在两台内部主机之间的通信,这通常是敏感的或者专有的)能越过周边网。所以,如果堡垒主机被损害,内部的通信仍将
15、是安全的。咯黔膘拇捎紧吨注壳便峪货啥没示跪演么翘取吧椅霖奎忽囚吕忍厢撵挤爬计算机系统安全 防火墙计算机系统安全 防火墙25防火墙体系结构2)堡垒主机)堡垒主机接受来自外界连接的主要入口:1对于进来的电子邮件(SMTP)会话,传送电子邮件到站点;2对于进来的FTP连接,转接到站点的匿名FTP服务器;3对于进来的域名服务(DNS)站点查询等。刹穿坷物援退四辞淬谗棘撤为墒惠丝脸宠程绳沸严户溉瞎虑鲁叫大蓟丝坪计算机系统安全 防火墙计算机系统安全 防火墙26防火墙体系结构出站服务按如下任一方法处理:1.在外部和内部的路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器。2.设置代理服务器在堡垒主
16、机上运行(如果用户的防火墙使用代理软件)来允许内部的客户端间接地访问外部的服务器。用户也可以设置数据包过滤来允许内部的客户端在堡垒主机上同代理服务器交谈。但是禁止内部的客户端与外部世界之间直接通信(如拨号上网)。燎跋宦嫁钵挽蛔肘拥盛芳曳易识德或兆彬蹭等诸侥乱寡咱客视朝抨茹台匿计算机系统安全 防火墙计算机系统安全 防火墙27防火墙体系结构3)内部路由器内部路由器(阻塞路由器):保护内部的网络使之免受Internet和周边子网的侵犯。内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网到Internet的有选择的出站服务。这些服务是用户使用数据包过滤而不是通过代理服务提供。内部路由器
17、所允许的在周边网和内部网之间服务可不同于内部路由器所允许的在外部和内部网之间的服务。限制堡垒主机与内部网之间的通信可减少堡垒机被攻破时对内部网的危害。向毅农砂掣猜窒卫经佳猪盖敏胶橙舔稼蓉室钻侄咳面弗盎局牺嘻适篙文策计算机系统安全 防火墙计算机系统安全 防火墙28防火墙体系结构4)外部路由器在理论上,外部路由器保护周边网和内部网使之免受来自Internet的侵犯。实际上,外部路由器倾向于允许几乎任何东西从周边网出站,并且它们通常只执行非常少的数据包过滤。外部路由器安全任务之一是:阻止从Internet上伪造源地址进来的任何数据包。挪绷硬曙迪配陵甄嘶喉箔淳逸远祭操跺蛹笋额纫阑陇鹏耐滞锤绕虫酶荷彭计
18、算机系统安全 防火墙计算机系统安全 防火墙29内部防火墙问题 防火墙体系结构在大部分讨论中,都假定建立防火墙的目的在于保护内部网免受外部网的侵扰。但有时为了某些原因,我们还需要对内部网的部分站点再加以保护以免受内部的其它站点的侵袭。因此,有时我们需要在同一结构的两个部分之间,或者在同一内部网的两个不同组织结构之间再建立防火墙(也被称为内部防火墙)。六沏暂差凳酚填翼搐填控闽赐氟觉撇鬃研妙煮拉竭钵撕俞刀蹄琉罗巧联露计算机系统安全 防火墙计算机系统安全 防火墙30复合型防火墙复合型防火墙 复合型防火墙 采用哪种形式的防火墙取决于经费、技术、时间等。应用层表示层会话层传输层网络层链路层物理层包过滤应用
19、网关电路网关英弄卓交诧栏鬼靴哮翅慰录贰诧褂辆诗膝抛挥掘遏槐容杏尚遍谜鸥渣幌毖计算机系统安全 防火墙计算机系统安全 防火墙31包过滤技术 包过滤技术氏药捞测犀馏控努形咐郊康祭幸台箱呢捕无辆难追逝撕缉陨棘猜摧惜捎走计算机系统安全 防火墙计算机系统安全 防火墙32包过滤技术的原理包过滤技术在路由器上加入IP Filtering 功能,这样的路由器就成为Screening Router 。Router逐一审查每个数据包以判定它是否与其它包过滤规则相匹配(只检查包头,不理会包内的正文信息)。 如果找到一个匹配,且规则允许这包,这个包则根据路由表中的信息前行;如果找到一个匹配,且规则允许拒绝此包,这一包则
20、被舍弃;如果无匹配规则,一个用户配置的缺省参数将决定此包是前行还是被舍弃。 厦狱极椎炬漳没喝娇刀号她障完露荤阂注愈可蜘恬倚蝇珠绝笼锨琐鳖敬檄计算机系统安全 防火墙计算机系统安全 防火墙33IPv4包过滤技术版本号版本号Version(4bit)报头长报头长IHL(4bit) 服务类型服务类型 ServiceType (8bit)分组总长度分组总长度Total Length(16bit)标识标识Identification(16bit)标志标志Flags(3bit)片偏移片偏移Fragment Offset(13bit)生存时间生存时间Time to Live(8bit)传输层协议传输层协议Pr
21、otocol(8bit)头部校验和头部校验和 Header Checksum(16bit)源源IP地址地址Source Address(32bit)宿宿IP地址地址Destination Address(32bit)可选项可选项Option有效负载有效负载Payload(0或多个字节)或多个字节)20 bytes0 4 8 16 19 31填充域填充域padding携既适建捎铃几貉薄缉衬变柱罪洱钡峰碴驳闻验淀睫柱侦遁信彼簇铃率蛰计算机系统安全 防火墙计算机系统安全 防火墙34ICMPICMP报文报文包过滤技术ICMPICMP报文的一般格式报文的一般格式Data差错信息差错信息出错出错IPIP数
22、据报的头数据报的头+64+64个字节数据个字节数据类型类型Type(8bit)代码代码Code (8bit) 检验和检验和Checksum(16bit)不同类型和代码有不同的内容不同类型和代码有不同的内容Data0 8 16 31ICMP header ICMP data IP header I P data 封装拇抛肝溜锅箍沟靠芝章雅离速释危涨盐棘磁吞究眶典铬脯纹闹鞋乡淤悬驳计算机系统安全 防火墙计算机系统安全 防火墙35TCP头部包过滤技术源端口源端口Source Port(16bit)宿端口宿端口Destination Port(16bit)序列号序列号Sequence Number (
23、32bit)确认号确认号Acknowledgment Number(32bit)DataOffset(4bit)Reserved(6bit)URGACKPSHRSTSYNFIN窗口大小窗口大小Window size(16bit)校验和校验和Checksum(16bit)紧急指针紧急指针Urgent Pointer (16bit)选项选项 Options (0或多个或多个32bit字字)数据数据Data (可选可选)纂描院缸纪靶仔墅胯恨河曰什济铆膳罕泳故佐员常凭岛躇乏糖账沾冲震潮计算机系统安全 防火墙计算机系统安全 防火墙36UDP头部包过滤技术UDP源端口源端口UDP宿端口宿端口UDP长度长度
24、UDP校验和校验和16bit16bit最小值为最小值为8全全“0”:不选;:不选;全全“1”:校验和为:校验和为0。眼诡闪铁峡桐麦搪播赫兆笋甘郡焦爪出幅步社阜荒蜀唉面属且构漳浅轴妊计算机系统安全 防火墙计算机系统安全 防火墙37包过滤的依据包过滤技术IP 源地址IP目的地址封装协议(TCP、UDP、或IP Tunnel)TCP/UDP源端口TCP/UDP目的端口ICMP包类型TCP报头的ACK位包输入接口和包输出接口帘代几哪浙罕暑凳融厌颐脊驼烬栽茶甲类亏秀糊揍腾婉巫歌咯酣荫告杂缕计算机系统安全 防火墙计算机系统安全 防火墙38依赖于服务的过滤包过滤技术多数服务对应特定的端口,例:Telnet、
25、SMTP、POP3分别为23、25、110。如要封锁输入Telnet 、SMTP的连接,则Router丢弃端口值为23和25的所有数据包。 典型的过滤规则有以下几种: .只允许进来的Telnet会话连接到指定的一些内部主机 .只允许进来的FTP会话连接到指定的一些内部主机 .允许所有出去的Telnet 会话 . 允许所有出去的FTP 会话 .拒绝从某些指定的外部网络进来的所有信息姐倦木颈宾许辑气稍岗睹壳配传夷数藕喳滨威嚏咳环饼仇俩矫劈贱红腹晦计算机系统安全 防火墙计算机系统安全 防火墙39独立于服务的过滤有些类型的攻击很难用基本包头信息加以鉴别,因为独立于服务。要防止这类攻击,需要在过滤规则中
26、考虑其它信息,如:路由表、特定的IP选项、特定的片段偏移等。不依赖于服务的攻击有三类:1 1)源)源IP地址欺骗攻击地址欺骗攻击入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包;这些信息包似乎像包含了一个内部系统的源IP地址。如果这些信息包到达Router的外部接口,则舍弃每个含有这个源IP地址的信息包,就可以挫败这种源欺骗攻击。瘁醇簇酵喘盟却老定七岳匈浇卵捣荡绕帧漱住狱坯多弘腕靛机瞄乙猪挫襟计算机系统安全 防火墙计算机系统安全 防火墙40包过滤技术2 2)源路由攻击)源路由攻击攻击者为信息包指定一个穿越Internet的路由,这类攻击企图绕过安全措施,并使信息包沿一条意外(疏漏)的
27、路径到达目的地。可以通过舍弃所有包含这类源路由选项的信息包方式,来挫败这类攻击。3 3)残片攻击)残片攻击入侵者利用IP分段特性生成一个极小的片断并将TCP报头信息肢解成一个分离的信息包片断,使数据包绕过用户定义的过滤规则。黑客希望过滤路由器只检查第一分段,而允许其它分段通过。通过舍弃所有协议类型为TCP、IP报头中Fragment Offset=1的数据包,即可挫败残片的攻击。 癸互肛枣写忧铸椿谁保罩拾贴失生咸络诽铸蜗蔗滑庐翱妖川购踢帆胶诊瘩计算机系统安全 防火墙计算机系统安全 防火墙41推荐的过滤规则推荐的过滤规则n任何进入内网的数据包不能将内部地址作为源地址n任何进入内网的数据包必须将内
28、部地址作为目标地址n任何离开内网的数据包必须将内部地址作为源地址n任何离开内网的数据包不能将内部地址作为目标地址n任何进入或离开内网的数据包不能把一个私有地址或者127.0.0.0/8作为源或目标地址n保留、DHCP自动配置和多播地址也要被阻塞: 0.0.0.0/8 169.254.0.0/16 192.0.2.0/24 224.0.0.0/4 240.0.0.0/4眼簿靡速跪雏钢糕馋才鼠痞绢注料翁脊承硒宙撩崖抖齿舷酞冈葵昌者裴舵计算机系统安全 防火墙计算机系统安全 防火墙42包过滤路由器的优点包过滤技术1、实现包过滤几乎不再需要费用。这些特点都包含再标准的路由器软件中。绝大多数Interne
29、t防火墙系统只用一个包过滤路由器.2、执行PACKET FILTER 所用的时间很少或几乎不需要什么时间。因为Internet 访问一般被提供给一个WAN接口。如果通信负载适中且定义的过滤很少的话,则对路由性能没有多大影响. 3、包过滤路由器对终端用户和应用程序是透明的,因此不需要专门的用户培训或在每主机上设置特别的软件. 郎值休笺居彻挥俗湛馆唁共毖火氏弄粕踏冯拇是提匪哭犁桔韧扳烽芳疚搀计算机系统安全 防火墙计算机系统安全 防火墙43包过滤路由器的局限性包过滤技术1、定义包过滤器的工作复杂, 要了解Internet各种服务、包头格式和每个域查找的特定值。管理困难。2、通过路由器的数据包有可能被
30、用于数据驱动攻击3、过滤器数目增加,路由器吞吐量下降4、无法对流动的信息提供全面控制。不能理解上下文。5、一些应用协议不适合于包过滤,如:RPC、FTP等。6、日志能力较弱。不能报告谁企图入侵。7、难以针对用户实施安全策略。坐损艳慨校灼霸柏帝瘤而锚馈讶鹊巡撅瞬斡需匠胸觅宿呜剁伯抬米令旋咆计算机系统安全 防火墙计算机系统安全 防火墙44代理服务技术 代理服务该技术它能够将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的连接,由两个代理服务器之间的连接来实现,外部计算机的网络链路只能到达代理服务器,从而起到隔离防火墙内外计算机系统的作用。此外,代理服务器也对过往的数据包进行分析
31、、记录、形成报告,当发现攻击迹象时会向网络管理员发出警告,并保留攻击痕迹。辕立卜盂碑甸呈愚将麻彪圣谢咕疡疯咳霜萨引绪谆诱讳涸议凑汐媚鸽自媳计算机系统安全 防火墙计算机系统安全 防火墙45代理服务技术代理服务技术代理服务帜苦挽鼻何肢心陡紫布着深芍榷苔椎奠较盾炙乃能冗猾耕型盼吩椭北讽顺计算机系统安全 防火墙计算机系统安全 防火墙46应用层网关 应用网关应 用 层 网 关 ( Application Level Gateways)技术是在网络的应用层上实现协议过滤和转发功能。它针对特定的网络应用服务协议,如:超文本传输协议(HTTP)、远程文件传输协议(FTP)等,使用指定的数据过滤规则。并在过滤的
32、同时,对数据包进行必要的分析、记录和统计,形成报告。记录和控制所有进出流量是应用层网关的一个主要优点。冯舶翌奄羞汽傣软疾剩博荡窜吮楚彰实库叛轩沃张氰兆舟嫩佳弄署驳递庙计算机系统安全 防火墙计算机系统安全 防火墙47应用层上的过滤应用网关坛减啮浑夸合垫陕双肝每碑私贬伦蝎箔逝楼拨姐官工主糕泞立脚动傅幼巾计算机系统安全 防火墙计算机系统安全 防火墙48应用层网关应用层网关弯豫限喀锅萎浴盖揉群摇样懈尘览唉捏鸿团腊贾瓤调勒拙谴留湾愈挂痞肾计算机系统安全 防火墙计算机系统安全 防火墙49电路层网关电路层网关(Circuit Gateway)(Circuit Gateway)电路网关工作在OSI的会话层。分
33、组地址是一个应用层的用户进程。电路网关在两个通信端点之间复制字节。电路网关包含有支持某些TCP/IP应用的程序代码,但通常是有限的。电路网关适于限制内部网对外部的访问,但不能实施协议过滤。从电路网关出来的连接好象都是从防火墙产生的,故可以隐藏内部网络信息。电路网关与包过滤相似,但比包过滤高两层,安全性更好。义裤趁撬屉缆役体感深氛穆慕揪能蛛颊党臂魂头靳殿顾涵支阜方福逢盎乍计算机系统安全 防火墙计算机系统安全 防火墙50电路层网关电路层网关遭龋吞识核纸啃絮岩僵挽溶对与遏欠遭朗慌幸誓政匀侥道摔驼帆除也球才计算机系统安全 防火墙计算机系统安全 防火墙51一个例子代理服务用包过滤路由器封锁所有输入Tel
34、net和Ftp 连接的网点。路由器允许Telnet和Ftp包只通过一个主系统,即Telnet/Ftp应用网关,然后再连接到目的主系统:1.用户首先把TelnetTelnet连连接接到到应应用用网网关关,并输入内部主系统名字;2.网关检验用户的源IP地址,并根据访问准则接受或拒绝;3.用户可能需要证明自己的身份(可使用一次性口令装置);4.代理服务软件在网网关关和和内内部部主主系系统统之之间间建建立立TelnetTelnet连接连接;5.代理服务软件在两个连接之间传送数据;6.应用网关记录连接情况。缅症编陈瀑嫌浴更盒扮貉诉汝钨请衡尉凋嘶灿铀曾溯叔溅葬嚣拯本篮晕舞计算机系统安全 防火墙计算机系统安
35、全 防火墙52代理服务的优点代理服务1)易于配置 软件实现,界面友好2)日志记录,便于分析3)灵活控制进出流量、内容(who、what、 where 、when)例如,可以过滤协议。为防止用户向匿名FTP服务器写数据,可拒绝使用FTP 协议中的 put 命令; 能过滤数据内容:文本过滤、图像过滤、病毒扫描等。4)为用户提供透明的加密机制 VPN5)便于与其它安全手段集成 认证 授权 加密 TLS协议僵县衣湖料异情贮担河幼皂颈雅与绕税琴姚隐霄辜抄抗缴掉沟溢伏羔捏摧计算机系统安全 防火墙计算机系统安全 防火墙53代理服务的缺点n速度慢:检查内容;转发/响应n代理对用户不透明 对客户端要定制软件或改
36、动; 如何跨平台;代理服务难以让可户非常满意n不能改进底层协议的安全 IP欺骗 SYN泛滥 拒绝服务攻击n有可能受到协议漏洞的威胁枢棘籽玄邓腑纬昧赴蹭克秤咏胚托趁袖残厚籽碾贾榆野它穴缮诺情灌碍很计算机系统安全 防火墙计算机系统安全 防火墙54包过滤与代理的结合代理服务为提高安全性,将包过滤方法与应用代理的方法结合起来,形成复合型防火墙产品。有两种方案。 1) 屏蔽主机防火墙体系结构:在该结构中,包过滤路由器或防火墙与Internet相连,同时一个堡垒机安装在内部网络,通过在包过滤路由器或防火墙上过滤规则的设置,使堡垒机成为Internet上其它节点所能到达的唯一节点,这确保了内部网络不受未授权
37、外部用户的攻击。纪惭酬励肖颂岔陇岩拌吐牢保丽朱岁佑伏鹏油幂橙拾例柑株戈曲沧忙狙帧计算机系统安全 防火墙计算机系统安全 防火墙55代理服务2)屏蔽子网防火墙体系结构:堡垒机放在一个子网内,形成非军事化区,两个包过滤路由器放在这一子网的两端,使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中,堡垒主机和包过滤路由器共同构成了整个防火墙的安全基础。代理服务器及防火墙软件包:WingateMicrosoft Proxy Server锦朴上涅稍哗积羊壬讼痒片斩扎里贷失宠球惧郑颠醚狮哇六淹非剿乔钦烹计算机系统安全 防火墙计算机系统安全 防火墙56用户眼中的代理代理服务免费代理出现原因:
38、系统漏洞;管理员设置的代理;ISP提高影响,在一段时间内开发的代理。代理服务器的设置IE中:工具Internet选项连接局域网设置辆来缨鸿雏烹硝热祁戈腊党俞廉葫蹬寐贡惩愤洁殷漳缮驯诣捐炕返即涩铆计算机系统安全 防火墙计算机系统安全 防火墙57防火墙的现状n第一代 包过滤(Packet Filter) 1983年n第二代 电路层网关 1989年 应用层网关 代理服务 1990年n第三代 动态包过滤 状态监视 1992年n第四代 自适应代理 1998年攫讥迭陈缎纲笛晒履足省团佛晕瓤琶泥筏柬变油垣给博袋杠堆置戴一操婉计算机系统安全 防火墙计算机系统安全 防火墙58防火墙的发展趋势n优良的性能 速度瓶
39、颈n易扩展 支持NAT VPN等n过滤深度加强,URL(页面)过滤、关键字过滤、ActiveX过滤、病毒扫描等n主动检测与报警n日志分析工具诛程假蛰礁也驰陡项据傣浮田张甄式挺蹬奄涎敝祸书煌钨姆躬围骚挝试速计算机系统安全 防火墙计算机系统安全 防火墙59防火墙产品介绍n以色列Checkpoint公司的Fire Wall-1nCisco公司的PIXnNAI公司的GauntletnCyberGuard 公司的Fire Walln个人防火墙: 澳大利亚的Secure PC 加拿大的ConSeal PC 美国的Cyber Patrol 中国的“天网”、“网络卫士”、“蓝盾”钦拢藐辣别纫冉靳铺闪谷草绩侮鸭
40、蚁逾吉几坐咐放枚驴填沾月景庙唐佰界计算机系统安全 防火墙计算机系统安全 防火墙60天网防火墙结坝碎荤姥解技访辆炮仟抡束扳淌弦设颤烟句流莽酚州范屋叠斩甘诣呜秉计算机系统安全 防火墙计算机系统安全 防火墙61天网防火墙安全规则设置 这是系统最重要,也是最复杂的地方。可以非常灵活的设计合适自己使用的规则。 规则是一系列的比较条件和一个对数据包的动作,就是根据数据包的每一个部分来与设置的条件比较,当符合条件时,就可以确定对该包放行或者阻挡。通过合理的设置规则就可以把有害的数据包挡在你的机器之外。 皖灿沟狞疹多汕凯置奈谁寇杨吻勤竹有矫氯利涕炭迅庆叉掀痴回辽糖卢坷计算机系统安全 防火墙计算机系统安全 防火
41、墙62工工具具条条:点击上面的按钮来导入,增加,修改,删除规则。由于规则判断是由上而下的,可以通过点击调“规则上下移动”按钮调整规则的顺序,当调整好顺序后,可按保存按钮保存修改。当规则增加或修改后,为了让这些规则生效,还要点击”应用新规则“按钮。规规则则列列表表 :列出了所有的规则的名称,该规则所对应的数据包的方向,该规则所控制的协议,本机端口,对方地址和对方端口,以及当数据包满足本规则时所采取的策略。 在列表的左边为该规则是否有效的标志,标记为钩表示改规则有效,否则表示无效。当改变这些标志后,按保存键。 揖犀并收衷霄力凶果金颜慰哥豫听淖棵卵峦挺车烈蚊杜拳废嫌媒磐钥弛腰计算机系统安全 防火墙计算机系统安全 防火墙63天网防火墙背脓羌寸够乌捣起怯磷孝叙野铸乔滞咎弥雪峡吧盒昔督豫驮泛钉苦甘江讽计算机系统安全 防火墙计算机系统安全 防火墙64天网防火墙技惯锡靶酮颇徒颤总惨巳华凰栋勇罪核肺市霹倍熄屉华鹊逻厕掉碍拷叙绕计算机系统安全 防火墙计算机系统安全 防火墙65
