10 元
下载资源

防火墙技术的原理与应用1课件

上传人:仙*** 文档编号:242009058 上传时间:2024-08-09 格式:PPT 页数:65 大小:927.04KB
返回 下载 相关 举报
防火墙技术的原理与应用1课件_第1页
第1页 / 共65页
防火墙技术的原理与应用1课件_第2页
第2页 / 共65页
防火墙技术的原理与应用1课件_第3页
第3页 / 共65页
点击查看更多>>
资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第,8,章,防火墙技术的原理与应用,单击此处编辑母版标题样式,*,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,防火墙技术的原理与应用,防火墙技术的原理与应用防火墙技术的原理与应用8.1 防 火 墙 概 述 8.1.1 防火墙技术背景,目前,各组织机构都是通过便利的公共网络及客户、合作伙伴进行信息交换的,但是,一些敏感的数据有可能泄露给第三方,特别是连上因特网的网络将面临黑客的攻击和入侵。为了应对网络威胁,连网的机构或公司将自己的网络与公共的不可信任的网络进行隔离,其方法是根据网络的安全信任程度和需要保护的对象,人为地划分若干安全区域,这些安全区域有:,8.1,防 火 墙 概 述,8.1.1,防火墙技术背景,目前,各组织机构都是通过便利的公共网络,及,客户、合作伙伴进行信息交换的,但是,一些敏感的数据有可能泄露给第三方,特别是连上因特网的网络将面临黑客的攻击和入侵。为了应对网络威胁,连网的机构或公司将自己的网络与公共的不可信任的网络进行隔离,其方法是根据网络的安全信任程度和需要保护的对象,人为地划分若干安全区域,这些安全区域有:,*公共外部网络,如。,*内联网,(),,如某个公司或组织的专用网络,网络访问限制在组织内部。,*,是内联网的扩展延伸,常用作组织,及,合作伙伴之间进行通信。,*军事缓冲区域,简称,该区域是介于内部网络和外部网络之间的网络段,常放置公共服务设备,向外提供信息服务。,在安全区域划分的基础上,通过一种网络安全设备,控制安全区域间的通信,就能实现隔离有害通信的作用,进而可以阻断网络攻击。这种安全设备的功能类似于防火使用的墙,因而人们就把这种安全设备俗称为“防火墙”,它一般安装在不同的安全区域边界处,用于网络通信安全控制,由专用硬件或软件系统组成。,8.1.2,防火墙工作原理,防火墙是由一些软、硬件组合而成的网络访问控制器,它根据一定的安全规则来控制流过防火墙的网络包,如禁止或转发,能够屏蔽被保护网络内部的信息、拓扑结构和运行状况,从而起到网络安全屏障的作用。防火墙一般用来将内部网络,及,或者其他外部网络互相隔离,限制网络互访,保护内部网络的安全,如图,8-1,所示。,图,8-1,防火墙部署安装示意图,防火墙根据网络包所提供的信息实现网络通信访问控制:如果网络通信包符合网络访问控制策略,就允许该网络通信包通过防火墙,否则不允许,如图,8-2,所示。防火墙的安全策略有两种类型,即:,(1),只允许符合安全规则的包通过防火墙,其他通信包禁止。,(2),禁止,及,安全规则相冲突的包通过防火墙,其他通信包都允许。,图,8-2,防火墙工作示意图,防火墙简单的可以用路由器、交换机实现,复杂的就要用一台计算机,甚至一组计算机实现。按照协议的层次,防火墙的访问控制可以作用于网络接口层、网络层、传输层、应用层,首先依据各层所包含的信息判断是否遵循安全规则,然后控制网络通信连接,如禁止、允许。防火墙简化了网络的安全管理。如果没有它,网络中的每个主机都处于直接受攻击的范围之内。为了保护主机的安全,就必须在每台主机上安装安全软件,并对每台主机都要定时检查和配置更新。归纳起来,防火墙的功能有:,*过滤非安全网络访问。将防火墙设置为只有预先被允许的服务和用户才能通过防火墙,禁止未授权的用户访问受保护的网络,降低被保护网络受非法攻击的风险。,*限制网络访问。防火墙只允许外部网络访问受保护网络的指定主机或网络服务,通常受保护网络中的、服务器等可让外部网络访问,而其他类型的访问则予以禁止。防火墙也用来限制受保护网络中的主机访问外部网络的某些服务,例如某些不良网址。,*网络访问审计。防火墙是外部网络,及,受保护网络之间的惟一网络通道,可以记录所有通过它的访问并提供网络使用情况的统计数据。依据防火墙的日志,可以掌握网络的使用情况,例如网络通信带宽和访问外部网络的服务数据。防火墙的日志也可用于入侵检测和网络攻击取证。,*网络带宽控制。防火墙可以控制网络带宽的分配使用,实现部分网络质量服务,(),保障。,*协同防御。目前,防火墙和入侵检测系统通过交换信息实现联动,根据网络的实际情况配置并修改安全策略,增强网络安全。,8.1.3,防火墙缺陷,尽管防火墙有许多防范功能,但它也有一些力不能及的地方,因为防火墙只能对通过它的网络通信包进行访问控制,所以对未经过它的网络通信就无能为力了。例如,如果允许从内部网络直接拨号访问外部网络,则防火墙就失效了,攻击者通过用户拨号连接直接访问内部网络,绕过防火墙控制,也能造成潜在的攻击途径。,除此之外,防火墙还有一些脆弱点,例如,:,*防火墙不能完全防止感染病毒的软件或文件传输。防火墙是网络通信的瓶颈,因为已有的病毒、操作系统以及加密和压缩二进制文件的种类太多,以致于不能指望防火墙逐个扫描每个文件查找病毒,而只能在每台主机上安装反病毒软件。,*防火墙不能防止基于数据驱动式的攻击。当有些表面看来无害的数据被邮寄或复制到主机上并被执行而发起攻击时,就会发生数据驱动攻击效果。防火墙对此无能为力。,*防火墙不能完全防止后门攻击。防火墙是粗粒度的网络访问控制,某些基于网络隐蔽通道的后门能绕过防火墙的控制,例如 等。,8.2,防火墙技术,及,类型,8.2.1,包过滤,包过滤是在层实现的防火墙技术。包过滤根据包的源地址、目的地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过。此外,还有一种可以分析包中数据区内容的智能型包过滤器。基于包过滤技术的防火墙,简称包过滤型防火墙,英文表示就是,其工作机制如图,8-3,所示。,图,8-3,包过滤工作机制,目前,包过滤是防火墙的基本功能之一。多数现代的路由软件或设备都支持包过滤功能,并默认转发所有的包。、是有名的自由过滤软件,可以运行在操作系统平台上。包过滤的控制依据是规则集,典型的过滤规则表示格式由规则号、匹配条件、匹配操作三部分组成,包过滤规则格式随所使用的软件或防火墙设备的不同而略有差异,但一般的包过滤防火墙都用源地址、目的地址、源端口号、目的端口号、协议类型,(,,,),、通信方向及规则运算符来描述过滤规则条件。而匹配操作有拒绝、转发、审计等三种。表,8-1,是包过滤型防火墙过滤规则表,这些规则的作用在于只允许内、外网的邮件通信,其他的通信都禁止。,表,8-1,防火墙过滤规则表,包过滤型防火墙对用户透明,合法用户在进出网络时,感觉不到它的存在,使用起来很方便。在实际网络安全管理中,包过滤技术经常用来进行网络访问控制。下面以 为例,说明包过滤器的作用。有两种访问规则形式,即标准访问表和扩展访问表,它们的区别主要是访问控制的条件不一样。标准访问表只是根据包的源地址进行。标准访问控制规则的格式如下:,而扩展访问规则的格式是,:,其中:,*标准访问控制规则的 规定为,1,99,,而扩展访问规则的规定为,100,199,;,*表示若经过 过滤器的包条件匹配,则禁止该包通过;,*表示若经过 过滤器的包条件匹配,则允许该包通过;,*表示来源的地址;,*表示发送数据包的主机地址的通配符掩码,其中,1,代表“忽略”,,0,代表“需要匹配”,代表任何来源的包;,*表示目的地址;,*表示接收数据包的主机地址的通配符掩码;,*表示协议选项,如、等;,*表示记录符合规则条件的网络包。,下面给出一个例子,用路由器防止攻击,配置信息如下:,!,170 27665,170 31335,170 27444,!,170 16660,170 65000,!3,170 33270,170 39268,!,170 6711 6712,170 6776,170 6669,170 2222,170 7000,简而言之,包过滤成为当前解决网络安全问题的重要技术之一,不仅可以用在网络边界上,而且也可应用在单台主机上。例如,现在的个人防火墙以及,2000,和 都提供了对、等协议的过滤支持,用户可以根据自己的安全需求,通过过滤规则的配置来限制外部对本机的访问。图,8-4,是利用,2000,系统自带的包过滤功能对,139,端口进行过滤,这样可以阻止基于的漏洞攻击。,图,8-4 2000,过滤配置示意图,包过滤防火墙技术的优点是低负载、高通过率、对用户透明;但是包过滤技术的弱点是不能在用户级别进行过滤,如不能识别不同的用户和防止地址的盗用。如果攻击者把自己主机的地址设置成一个合法主机的地址,就可以轻易通过包过滤器。,8.2.2,应用服务代理,应用服务代理防火墙扮演着受保护网络的内部网主机和外部网络主机的网络通信连接“中间人”的角色,代理防火墙代替受保护网络的主机向外部网络发送服务请求,并将外部服务请求响应的结果返回给受保护网络的主机,如图,8-5,所示。,图,8-5,代理服务工作流程示意图,采用代理服务技术的防火墙简称代理服务器,它能够提供在应用级的网络安全访问控制。代理服务器按照所代理的服务可以分为代理、代理、代理、邮件代理等。代理服务器通常由一组按应用分类的代理服务程序和身份验证服务程序构成。每个代理服务程序应用到一个指定的网络端口,代理客户程序通过该端口获得相应的代理服务。例如,浏览器支持多种代理配置,包括、等,如图,8-6,所示。,图,8-6,浏览器配置示意图,代理服务技术也是常用的防火墙技术,安全管理员为了对内部网络用户进行应用级上的访问控制,常安装代理服务器,如图,8-7,所示。,受保护内部用户对外部网络访问时,首先需要通过代理服务器的认可,才能向外提出请求,而外网的用户只能看到代理服务器,从而隐藏了受保护网的内部结构及用户的计算机信息。因而,代理服务器可以提高网络系统的安全性。应用服务代理技术的优点是:,图,8-7,代理服务器工作示意图,*不允许外部主机直接访问内部主机;,*支持多种用户认证方案;,*可以分析数据包内部的应用命令;,*可以提供详细的审计记录。,而它的缺点是:,*速度比包过滤慢;,*对用户不透明;,*,及,特定应用协议相关联,代理服务器并不能支持所有的网络协议。,8.2.3,网络地址转换,是“”的英文缩写,中文的意思是“网络地址转换”。技术主要是为了解决公开地址不足而出现的,它可以缓解少量因特网地址和大量主机之间的矛盾。但技术用在网络安全应用方面,则能透明地对所有内部地址作转换,使外部网络无法了解内部网络的内部结构,从而提高内部网络的安全性。基于技术的防火墙上装有一个合法的地址集,当内部某一用户访问外网时,防火墙动态地从地址集中选一个未分配的地址分配给该用户,该用户即可使用这个合法地址进行通信。,实现网络地址转换的方式有:静态,(),、池,(),和端口,(),三种类型。其中,静态设置起来最为简单,此时内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而池则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。则是把内部地址映射到外部网络的一个地址的不同端口上。的三种方式目前已被许多的路由器产品支持。在路由器上定义启用的一般步骤如下:,第一步,确定使用的接口,通常将连接到内部网络的接口设定为内部接口,将连接到外网的接口设定为的外部接口。,第二步,设定内部全局地址的转换地址及转换方式。,第三步,根据需要将外部全局地址转换为外部本地地址。,目前,专用的防火墙产品都支持地址转换技术,比较常见的有:和。的功能强大,它可完成、等防火墙的功能,而且安装配置相对比较简单。,8.3,防火墙主要技术参数,8.3.1,防火墙功能指标,防火墙主要功能类指标项如表,8-2,所示。,表,8-2,防火墙主要功能类指标项,8.3.2,防火墙性能指标,评估防火墙性能指标涉及到防火墙所采用的技术,根据现有防火墙产品,防火墙在性能方面的指标主要有:,*最大吞吐量:检查防火墙在只有一条默认允许规则和不丢包的情况下达到的最大吞吐速率。,*转送速率:检查防火墙在通常安全规则发生作用的情况下,能以多快的速度转送正常的网络通信量。,*最大规则数:检查在添加大数量访问规则的情况下,防火墙的性能变化状况。,*并发连接数:防火墙在单位时间内所能建立的最大 连接数,即每秒的连接数。,8.3.3,防火墙安全指标,由于防火墙在网络安全中扮演着重要的角色,因此防火墙的自身安全至关重要。当前,评价防火墙的安全功能的指标主要有:,*入侵实时警告:防火墙能够对自身和受保护网络的非法攻击进行多种告警,如声音、日志、邮件、呼机、手机等。,*实时入侵防范:提供实时入侵响应功能,当发生入侵事件时,防火墙能够动态响应,调整安全策略,阻挡恶意报文。,*抗攻击性要求:防火墙具有抵抗针对本身和受保护网络的攻击能力,这些攻击包括地址欺骗、拒绝服务攻击、渗透性攻击等。,*防火墙所采用的操作系统应是安全可信的:防火墙应采用安全的操作系统或安全增强型的操作系统。,8.4,防火墙防御体系结构类型,8.4.1,基于双宿主主机防火墙结构,基于双宿主主机结构是最基本的防火墙系统结构。这种系统实质上是至少具有两个网络接口卡的主机系统。在这种结构中,一般都是将一个内部网络和外部网络分别连接在不同的网卡上,使内外网络不能直接通信。对从一块网卡上送来的包,经过一个安全检查模块检查后,如果是合法的,则转发到另一块网卡上,以实现网络的正常通信;如果不合法,则阻止通信。这样,内外网络直接的数据流完全在双宿主主机的控制之中,如图,8-8,所示。,图,8-8,双宿主主机防火墙结构,8.4.2,基于代理型防火墙结构,双宿主主机结构由一台同时连接内外网络的主机提供安全保障,代理型结构则不同。代理型结构中由一台主机同外部网连接,该主机代理内部网和外部网的通信。同时,代理型结构中还包括过滤路由器,即代理服务器和路由器共同构建了一个网络安全边界防御架构,如图,8-9,所示。,图,8-9,代理型防火墙结构,在这种结构中,代理主机位于内部网络。一般情况下,过滤路由器可按如下规则进行配置:,*允许其他内部主机为某些类型的服务请求,及,外部网络建立直接连接。,*任何外部网,(,或,),的主机只能与内部网络的代理主机建立连接。,*任何外部系统对内部网络的操作都必须经过代理主机。同时,代理主机本身要求要有较全面的安全保护。,由于这种结构允许包从外部网络直接传送到内部网,(,代理主机,),,因此这种结构的安全控制看起来似乎比双宿主主机结构差。在双宿主主机结构中,外部网络的包理论上不可能直接抵达内部网。但实际上,应用双宿主主机结构防护数据包从外部网络进入内部网络也很容易失败,并且这种失败是随机的,所以无法有效地预先防范。一般来说,代理型结构比双宿主主机结构能提供更好的安全保护,同时操作也更加简便。代理型结构的主要缺点是,只要攻击者设法攻破了代理主机,那么对于攻击者来说,整个内部网络,及,代理主机之间就没有任何障碍了,攻击者变成了内部合法用户,完全可以侦听到内部网络上的所有信息。,8.4.3,基于屏蔽子网的防火墙结构,如图,8-10,所示,子网过滤结构是在代理型结构中增加了一层周边网络的安全机制,使内部网络和外部网络有两层隔离带。周边网络隔离堡垒主机,及,内部网,减轻攻击者攻破堡垒主机时对内部网络的冲击力。攻击者即使攻破了堡垒主机,也不能侦听到内部网络的信息,不能对内部网络直接操作。基于屏蔽子网的防火墙结构的特点是:,*应用代理位于被屏蔽子网中,内部网络向外公开的服务器也放在被屏蔽子网中,外部网络只能访问被屏蔽子网,不能直接进入内部网络。,*两个包过滤路由器的功能和配置是不同的,包过滤路由器,A,的作用是过滤外部网络对被屏蔽子网的访问。包过滤路由器,B,的作用是过滤被屏蔽子网对内部网络的访问。所有外部网络经由被屏蔽子网对内部网络的访问,都必须经过代理服务器的检查和认证。,*优点:安全级别最高。,*缺点:成本高,配置复杂。,图,8-10,屏蔽子网防火墙结构,8.5,防火墙部署,及,应用案例,8.5.1,防火墙部署的基本方法,及,步骤,防火墙部署是指根据受保护的网络环境和安全策略,如网络物理结构或逻辑区域,将防火墙安装在网络系统中的过程。防火墙部署的基本过程包含以下几个步骤:,第一步,根据组织或公司的安全策略要求,将网络划分成若干安全区域;,第二步,在安全区域之间设置针对网络通信的访问控制点;,第三步,针对不同访问控制点的通信业务需求,制定相应的边界安全策略;,第四步,依据控制点的边界安全策略,采用合适的防火墙技术和防范结构;,第五步,在防火墙上,配置实现对应的边界安全策略;,第六步,测试并验证边界安全策略是否正常执行。,第七步,运行和维护防火墙。,8.5.2,基于路由器的安全应用案例,图,8-11,某公司的网络结构,为了保证内部网络和路由器的安全,特定义如下安全策略:,*只允许指定的主机收集管理信息;,*禁止来自外部网络的非法通信流通过;,*禁止来自内部网络的非法通信流通过;,*只允许指定的主机远程访问路由器。,路由器的安全配置信息如下:,!,0,14.1.0.0/16,14.1.1.20 255.255.0.0,100,!,1,14.2.6.0/24,14.2.6.250.255.255.255.0,102,!,44,14.1.0.0 0.0.255.255 0,14.2.6.0 0.0.0.255 1,!,!75,!,75,75 14.2.6.6,75 14.2.6.18,!,!100,!,100,100 14.2.6.0 0.0.0.255,100 14.1.1.2,0 14.1.1.20,100 127.0.0.0 0.255.255.255,100 10.0.0.0 0.255.255.255,100 0.0.0.0 0.255.255.255,100,172.16.0.0,0.15.255.255,100 192.168.0.00.0.255.255,100 192.0.2.0 0.0.0.255,100 169.254.0.00.0.255.255,100 224.0.0.0 15.255.255.255,100 14.2.6.255,100 14.2.6.0,100 14.2.6.0 0.0.0.255,100,100,100,100 14.2.6.0 0.0.0.255,100 14.1.0.0 0.0.255.255 14.1.1.20,100 6000 6063,100 6667,100 12345 12346,100 31337,100 20 14.2.6.0 0.0.0.255 1023,100 2049,100 31337,100 33400 34400,100 53 14.2.6.0 0.0.0.255 1023,100 0 65535 0 65535,100 0 65535 0 65535,100,!,!102,!,102,102 14.2.6.250 14.2.6.250,102 14.2.6.0 0.0.0.255,102 14.2.6.0 0.0.0.255,102 14.2.6.0 0.0.0.255,102 14.2.6.0 0.0.0.255,102 1 19,102 43,102 93,102 135 139,102 445,102 512 518,102 540,102 14.2.6.0 0.0.0.255 1023 1024,102 14.2.6.0 0.0.0.255 1023 53,102 14.2.6.0 0.0.0.255 33400,34400,102 0 65535 0 65535,102 0 65535 0 65535,102,!,!,!150,!(14.2.6.10,14.2.6.11 14.2.6.12),150,150 14.2.6.10 0.0.0.0 23,150 14.2.6.11 0.0.0.0 23,150 14.2.6.12 0.0.0.0 23,150,!,n33m3 75,!,0 4,150,7 1234567891234,8.6,本 章 小 结,本章介绍了防火墙的概念及其工作机制,重点分析了防火墙所采用的技术原理和防火墙的评价指标。本章对防火墙的防御体系类型进行了归纳分析,主要有双宿主主机结构、代理型结构、屏蔽子网结构。同时,本章还给出了防火墙的应用案例。,本章思考,及,练习,1.,简述各种不同类型防火墙的工作机制。,2.,试比较分析防火墙所采用的技术的优缺点。,3.,防火墙体系结构类型有哪些?请举例说明其应用。,4.,请给出防火墙防范网络蠕虫的案例。,5.,防火墙是如何保护网站服务器的?,6.,请从网上下载,Linux Netfilter(iptables,和,ipchains),等常用防火墙软件,并安装配置,掌握其用法。,谢谢!,
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 管理文书 > 施工组织


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!