防火墙技术与VPN技术课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,第三讲防火墙技术与PN技术,来南大亭,All rights reserved 0 2010,So,diversity,第三讲防火墙技术与PN技术,1,内容提要,防火墙概述,包过滤技术,代理服务技术,电路级网关,VPN基本原理及工作流程,VPN主要技术,支持VPN的相关协议,来南大亭,All rights reserved 0 2010,So,diversity,内容提要,2,防火墙概述(1),防火墙的定义,防火墙是一个或一组实施访问控制策略的系统。用来隔离受保护的网络和不受,的网络(如因特网),通过单一集中的安全检查点,审查并过滤所有从I,特网到受保护网络的连接(反之亦然)。,内部局域网过滤,防火,防火墙的功能,过滤进、出网络的数据,管理进、出网络的访问行为,封堵某些禁止的业务,记录通过防火墙的信息内容和活动,对网络攻击的检测和告警,来南大亭,All rights reserved(2 2010,Southeast University,防火墙概述(1),3,防火墙概述(2),防火墙的层次,网络层防火墙,应用层网关,电路级网关,规则检查防火墙,物拜,防火墙的结构,双宿堡垒主机,因特网,屏蔽主机防火墙,为自自,屏蔽子网防火墙區區s,外部路由春,DMZ网络,内部网络,堡垒主机,區區,屏蔽路由器,區岛區區,内部网络,来南大亭,All rights reserved(2 2010,Southeast University,防火墙概述(2),4,防火墙概述(3),防火墙产品的选择,基本思路,明确内部网络安全的最终目标,明确网络安全要达到什么级别监测和控制,防火墙安全标准,Secure/WAN(SWAN)标准:RSA、Sun Microsystem、Check Point,FTP等,防火墙测试标准:由NCSA成立的FWPD联盟制,常用工具,Firewal|-1:Check Point公司。,PIX Firewall|和OS放火墙集:CSco公司,SA Server2000:Microsoft公司,Symantec Firewall:Symantec公司。,国内产品:“网络卫士”、清华紫光系列防火墙等。,来南大亭,All rights reserved 0 2010,So,diversity,防火墙概述(3),5,包过滤技术(1),包过滤的原理和基本准则,包过滤原理,包过滤路由器对所接收的毎个数据包做允许或拒绝的决定;路由器审查毎个数据,包以便确定是否与某一条包过滤规则匹配。如果包的入接口匹配于出接口,并且,规则允许该数据包,该数据包就会按路由表中的信息被转发;如果虽然匹配,但,规则拒绝该数据包,则该数据包就丢弃;如果不相匹配,用户配置的默认参数会,决定是转发还是丢弃数据包,决定包过滤规则的信息,发出数据包的源|P地址或源IP地址的范围,接收数据包的目的P地址或目的|P地址的范围,所涉及的网络协议(TCP,UDP,CMP等),所使用的端口号,包过滤的基本准则,切未被允许的就是被禁止的。基于该准则,防火墙应封锁所有信息流,然后对,切未被禁止的就是被允许的。基于该准则,防火墙应转发所有信息流,然后逐,项屏蔽可能有害的服务。,来南大亭,All rights reserved(2 2010,Southeast University,包过滤技术(1),6,包过滤技术(2),包过滤器的工作机制及配制,工作机制,个包过滤器由一个“脏”端口、一个“干净”端口和一组规则组成,“脏”端口与 Internet相连,来自 Internet的流量都由此端口进入,库所定义的标准来决定是否让数据包由“干净”端口进入信任网络根捃规则,防火墙所配置的规则库对由“脏”端口进入的流量进行处理,即防火,配制,则协议类型源地址目的地址源端口目的端口措施,128.5.6.024,29.,规则1:只允许某个小子网中的源地址访问网内资源,并从一个随机高端口号上发,出SSH连接到目的地址的TCP22端口上,规则2:用于典型的HTTP流量,允许外界通过端口访问内部网络。,来南大亭,All rights reserved(2 2010,Southeast University,包过滤技术(2),7,包过滤技术(3),规则3:允许访问内部网络的SMTP流量,规则4和5:允许访问两个DNS服务器,其|P地址分别为1291.5.152和12915.153,规则6:阻塞那些与前面规则中所有的标准都不匹配的欻据包,经授权的,用户子网,防火墙,外部路由器,服务器网络,旬國自圆自,Ssh Http smtP DnsDns,192.1.5.150/155,来南大亭,All rights reserved 0 2010,So,diversity,包过滤技术(3),8,包过滤技术(4),包过滤的优缺点,优,仅需很少的管理开销,对屏蔽设备的性能无太大影响.,相当便宜甚至是免费的。,对流量的管理较出色,缺点,允许外部网络直接连接到网络内部主杋。,仅能在传输层或网络层检测网络流量,容易使网络外围设备出现许多安,全漏洞,在复杂环境中难于管理和测量。,除非进行专门配制,否则很难防御源地址欺骗,没有用户身份验证机制,来南大亭,All rights reserved 0 2010,So,diversity,包过滤技术(4),9,代理服务技术(1),代理服务器的结构和工作过程,概述,代理服务器通常由两部分构成:服务器端程序和客户端程序,客户端程序与中间节点代理服务器连接,中间节点再与要访问的外部服务器实际,内部网,网之间不存在直接的连接,代理服务器,网络,服务时发挥中间转接作用,内部网络只接受代理服务器提出的服务请求,拒绝外,部网络其他节点的直接请求,结构,硬件结构:双宿堡垒主机、屏蔽主机、屏蔽子网三种体系结构。,软件结构:需要特殊的应用软件,却不需要特定的客户软件;由在各个程序中建,立安全性的特殊目的代码组成,代理各种服务。,工作过程,有一个用户通过23端口 Telnet到该代理服务器上,提示用户进行身份认证,通过身份认证后,系统提示用户一个系统菜单来允许用户连接到目的主机,来南大亭,All rights reserved 0 2010,So,diversity,代理服务技术(1),10,防火墙技术与VPN技术课件,11,防火墙技术与VPN技术课件,12,防火墙技术与VPN技术课件,13,防火墙技术与VPN技术课件,14,防火墙技术与VPN技术课件,15,防火墙技术与VPN技术课件,16,防火墙技术与VPN技术课件,17,防火墙技术与VPN技术课件,18,防火墙技术与VPN技术课件,19,防火墙技术与VPN技术课件,20,防火墙技术与VPN技术课件,21,防火墙技术与VPN技术课件,22,防火墙技术与VPN技术课件,23,防火墙技术与VPN技术课件,24,防火墙技术与VPN技术课件,25,防火墙技术与VPN技术课件,26,防火墙技术与VPN技术课件,27,防火墙技术与VPN技术课件,28,防火墙技术与VPN技术课件,29,防火墙技术与VPN技术课件,30,防火墙技术与VPN技术课件,31,防火墙技术与VPN技术课件,32,防火墙技术与VPN技术课件,33,防火墙技术与VPN技术课件,34,防火墙技术与VPN技术课件,35,防火墙技术与VPN技术课件,36,防火墙技术与VPN技术课件,37,防火墙技术与VPN技术课件,38,防火墙技术与VPN技术课件,39,防火墙技术与VPN技术课件,40,防火墙技术与VPN技术课件,41,防火墙技术与VPN技术课件,42,防火墙技术与VPN技术课件,43,防火墙技术与VPN技术课件,44,防火墙技术与VPN技术课件,45,防火墙技术与VPN技术课件,46,防火墙技术与VPN技术课件,47,防火墙技术与VPN技术课件,48,防火墙技术与VPN技术课件,49,防火墙技术与VPN技术课件,50,防火墙技术与VPN技术课件,51,防火墙技术与VPN技术课件,52,防火墙技术与VPN技术课件,53,防火墙技术与VPN技术课件,54,防火墙技术与VPN技术课件,55,防火墙技术与VPN技术课件,56,防火墙技术与VPN技术课件,57,防火墙技术与VPN技术课件,58,防火墙技术与VPN技术课件,59,防火墙技术与VPN技术课件,60,防火墙技术与VPN技术课件,61,防火墙技术与VPN技术课件,62,