《防火墙体系结构PPT课件01》由会员分享,可在线阅读,更多相关《防火墙体系结构PPT课件01(29页珍藏版)》请在金锄头文库上搜索。
1、防火墙体系结构内容与要求理解包过滤、屏蔽主机、屏蔽子网防火墙的工作原理理解堡垒主机、周边网络、多宿主机概念学会灵活应用防火墙各种体系结构能力目标:学会定义安全区域并配置不同安全区域之间的安全策略.内容回顾防火墙定义、堡垒主机定义包过滤防火墙的实现原理屏蔽主机防火墙的实现原理实验:1.定定义端口地址端口地址2.定定义地址地址对象象3.定定义策略策略包过滤型防火墙InternetInternet包包过滤路由器路由器内部网内部网络包包头信息:信息:ip源地址、源地址、ip目的地址、目的地址、协议类型、型、icmp消息消息类型、型、TCP包包头中的中的ACK位。位。实现网网络层过滤过滤路由器(Filt
2、ering Router):过滤路由器作为内外网连接的唯一通道,通过ACL策略要求所有的报文都必须在此通过检查,实现报文过滤功能。 它的缺点是一旦被攻陷后很难发现,而且不能识别不同的用户(没有日志记录)。 包过滤型防火墙包过滤型防火墙优点:速度快,费用少,对用户透明;缺点:维护困难只能阻止一种类型的地址欺骗不能防止数据驱动型攻击有的不支持用户认证过滤器数目越多,路由器执行效率越低不能对网络上的数据提供全面的防护一般应用在安全要求不太高的小型网络中一般应用在安全要求不太高的小型网络中屏蔽主机体系结构实现网网络层和和应用用层安全安全防火防火墙第一道防第一道防线,连接接内网和外网;内网和外网;堡堡垒
3、主机第二道防主机第二道防线,过滤服服务屏蔽主机体系屏蔽主机体系结构构被屏蔽主机(被屏蔽主机(Screened Host Gateway):):通常在路由器上通常在路由器上设立立ACL过滤规则,并通,并通过堡堡垒主机主机进行数据行数据转发,来确保内部网,来确保内部网络的安全。的安全。 弱点:如果攻弱点:如果攻击者者进入屏蔽主机内,内网中的主机就会受到很大威入屏蔽主机内,内网中的主机就会受到很大威胁;这与双宿主主机受攻与双宿主主机受攻击时的情形差不多。的情形差不多。 堡垒主机堡垒主机:是一台安全性很高的主机,主机上没有任何入侵者可以利用的工具,不能作为黑客进一步入侵的基础。堡垒主机的设计思想就是检
4、查点原则,把整个网络的安全问题集中在一个主机上解决,从而省时省力,不用考虑其他主机的安全。堡垒主机构造原则与选择构造原则:1.尽可能简单2.做好堡垒主机备份工作选择标准:1.堡垒主机速度一般,内存和硬盘空间要够大,以记录多路链路的连接信息;2.操作系统选择UNIX;3.堡垒主机上保留尽可能少的账号;4.堡垒主机上尽可能少的保留internet服务。堡垒主机转发数据包网网络层数据数据链路路层物理物理层应用用层表示表示层会会话层传输层网网络层数据数据链路路层物理物理层网网络层应用用层内网内网Internet过滤路由器路由器堡堡垒主机主机过滤路由器配置是否正确是这种防火墙安全与否的关键,过滤路由器的
5、路由表应当受到严格的保护,否则如果路由表遭到破坏,则数据包就不会被路有到堡垒主机上,使堡垒主机被越过。案例分析InternetInternet过滤路由器路由器目的目的转发至至202.112.108.0 116.110.170.8 堡堡垒主机主机202.112.108.8内部网内部网络:202.112.108.0主机主机202.112.108.7路由表正常情况下,网路由表正常情况下,网络上所有流量都被上所有流量都被转发到到堡堡垒主机上。主机上。案例分析InternetInternet过滤路由器路由器目的目的转发至至路由表条目被路由表条目被删除除堡堡垒主机被越主机被越过202.112.108.8内
6、部网内部网络:202.112.108.0主机主机202.112.108.7路由表遭到破坏,网路由表遭到破坏,网络上流量有可能被上流量有可能被转发到到另一主机另一主机202.112.108.7上。上。路由表被更改的原因主机主机在在ICMP的消息中有一种重定向消息,用来帮助主机建立更好的路由表。的消息中有一种重定向消息,用来帮助主机建立更好的路由表。一般是路由器一般是路由器发给主机的。主机的。过程如下:程如下:R1R2(1)ip数据包数据包(2)ip数据包数据包(3)icmp重定向重定向过程1)假定主机发送ip包给R1,这种路径选择一般是默认路路径;2)r1收到ip包后,寻找其路由表,发现r2是一
7、条正确的路径,于是把数据包发往r2。在这时,r1会发现数据包被从与进入时相同的网络接口发送出去,这样r1就会发现数据包发往r1不是一条好的路径,于是r1就要向主机发送一个重定向信息包;3)r1向主机发送一个重定向信息包,告诉主机今后把数据包直接发往r2,而不经过r1.这样主机的路由表就更改了。对过滤路由器的保护如果过滤路由器对重定向消息作出应答,就会受到入侵者所发出的错误的ICMP消息包的攻击,因此icmp重定向消息的应答必须禁止。应对方法:建立静态路由表。另外还要处理:禁止ARP 、代理ARP、ICMP不可信消息、禁止telnet。屏蔽子网体系结构周边网络:也称”停火区“或”非军事区“DMZ
8、,使用两个包过滤路由器和一个堡垒主机构成。内部路由器执行大部分的过滤工作外部路由器主要保护周边网络上主机的安全,将数据包路由到堡垒主机,还可以防止部分ip欺骗。屏蔽子网体系屏蔽子网体系结构构被屏蔽子网被屏蔽子网 (Screened Subnet):):这种种结构是在内部网构是在内部网络和外部网和外部网络之之间建立一个被隔离的子网,用两台建立一个被隔离的子网,用两台过滤路由器分路由器分别与内部与内部网网络和外部网和外部网络连接,中接,中间通通过堡堡垒主机主机进行数据行数据转发。 特点:如果攻特点:如果攻击者者试图进入内网或者子网,他必入内网或者子网,他必须攻破攻破过滤路由器和双宿主主机路由器和双
9、宿主主机 ,然后才可以,然后才可以进入子网主机,整个入子网主机,整个过程中将引程中将引发警警报机制。机制。 双宿主机体系结构实现功能:接受用户登陆提供代理服务为了安全性应注意的几点:禁止网络层的路由功能增设专门用作配置的网络接口尽量减少不必要的服务双宿主机体系结构一个堡垒主机和一个非军事区InternetInternet外部路由器外部路由器堡堡垒主机主机两个堡垒主机和两个非军事区InternetInternet外部路由器外部路由器外部外部DMZ外部堡外部堡垒主机主机内部堡内部堡垒主机主机内部网内部网络内部内部DMZ两个堡垒主机和一个非军事区InternetInternet外部路由器外部路由器外
10、部堡外部堡垒主机主机内部堡内部堡垒主机主机内部路由器内部路由器DMZ内部网内部网络典型防火墙结构(1)典型防火墙结构(2)基于路由器的防火基于路由器的防火墙 软软件防火件防火件防火件防火墙墙的初的初的初的初级级形式,具有形式,具有形式,具有形式,具有审计审计和告警功能和告警功能和告警功能和告警功能 对对数据包的数据包的数据包的数据包的访问访问控制控制控制控制过滤过滤通通通通过专门过专门的的的的软软件件件件实现实现 与第一代防火与第一代防火与第一代防火与第一代防火墙墙相比,安全性提高了,价格降低了相比,安全性提高了,价格降低了相比,安全性提高了,价格降低了相比,安全性提高了,价格降低了 在路由器
11、中通在路由器中通在路由器中通在路由器中通过过ACLACLACLACL规则规则来来来来实现对实现对数据包的控制;数据包的控制;数据包的控制;数据包的控制; 过滤过滤判断依据:地址、端口号、判断依据:地址、端口号、判断依据:地址、端口号、判断依据:地址、端口号、协议协议号等特征号等特征号等特征号等特征 是批量上市的是批量上市的是批量上市的是批量上市的专专用用用用软软件防火件防火件防火件防火墙产墙产品品品品 安装在通用操作系安装在通用操作系安装在通用操作系安装在通用操作系统统之上之上之上之上 安全性依靠安全性依靠安全性依靠安全性依靠软软件本身和操作系件本身和操作系件本身和操作系件本身和操作系统统本身
12、的整体安全本身的整体安全本身的整体安全本身的整体安全 防火防火防火防火墙墙厂商具有操作系厂商具有操作系厂商具有操作系厂商具有操作系统统的源代的源代的源代的源代码码,并可,并可,并可,并可实现实现安全内核安全内核安全内核安全内核 功能功能功能功能强强大,安全性很高大,安全性很高大,安全性很高大,安全性很高 易于使用和管理易于使用和管理易于使用和管理易于使用和管理 是目前广泛是目前广泛是目前广泛是目前广泛应应用的防火用的防火用的防火用的防火墙产墙产品品品品基于安全操作基于安全操作系系统的防火的防火墙基于通用操作基于通用操作系系统的防火的防火墙防火防火墙工具套工具套防火防火墙的的发展展历程程小结:防火墙的体系结构防火墙的发展历程
