防火墙技术177797

49,第 6 章,防火墙技术,本章学习目标：,什么是防火墙,防火墙的作用,防火墙常见的几种类型,如何在网络中配置防火墙,引言,破坏者,红客,间谍,技术爱好者,好奇的年青人,1、影响网络安全的人群,2、网络攻击的层次,第一层：,基于应用层的操作,。如,拒绝服务或邮件炸弹攻击,。,第二层：,指本地用户获得不应获得的文件(或目录)读权限,。,第三层：,指本地用户获得不应获得的文件(或目录),写,权限,。,第四层：,指外部用户获得访问内部文件的权利。,第五层：,指获得特权文件的写权限,。,第六层：,指获得系统管理员的权限或根权限。,1、隐藏,IP,2、,踩点扫描,3,、获得系统或管理员权限,4,、种植后门,5,、在网络中隐身,3、网络攻击的步骤,攻击技术：,网络踩点、网络扫描和网络监听,引言,4、网络攻击手段,社会工程学攻击,物理攻击,暴力攻击,利用,Unicode,漏洞攻击,利用缓冲区溢出漏洞进行攻击,引言,1、防火墙技术,2、,入侵检测技术,3,、系统脆弱性扫描技术,4,、隔离技术,5、,VPN,技术,6、网络防病毒技术,7、数据加密技术,5、网络防护的方法,引言,6.1 防火墙概述,6.1 防火墙概述,通常意义上的防火墙： ,不同安全级别的网络或安全域之间的唯一通道,只有被防火墙策略明确授权的通信才可以通过 ,系统自身具有高安全性和高可靠性,注意区分个人防火墙、病毒防火墙,防火墙是位于两个(或多个)网络间，实施网络间访问控制的一组组件的集合。防火墙的英文名为“,FireWall,”，,它是最重要的网络防护设备之一。,1,、基本概念,网络边界,即是采用不同安全策略的两个网络连接处，比如用户网络和因特网之间连接、和其他业务往来单位的网络连接、用户内部网络不同部门之间的连接等。,6.1 防火墙概述,(1)不同安全级别的网络或安全域之间的唯一通道,防火墙的目的,就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。,6.1 防火墙概述,(2)只有被防火墙策略明确授权的通信才可以通过,6.1 防火墙概述,(3),系统自身具有高安全性和高可靠性,防火墙自身应具有非常强的抗攻击免疫力是防火墙之所以能担当企业内部网络安全防护重任的先决条件。,防火墙自身具有非常低的服务功能，除了专门的防火墙嵌入系统外，再没有其他应用程序在防火墙上运行。,一般采用,Linux、UNIX,或,FreeBSD,系统作为支撑其工作的操作系统。,6.1 防火墙概述,2、防火墙的功能,1）限定内部用户访问特殊站点。,2）防止未授权用户访问内部网络。,3）允许内部网络中的用户访问外部网络的服务和资源而不泄漏内部网络的数据和资源。,4）记录通过防火墙的信息内容和活动。,5）对网络攻击进行监测和报警。,6.1 防火墙概述,2、防火墙的功能(续),防火墙的,基本功能,：,访问控制,基于源,MAC,地址,基于目的,MAC,地址,基于源,IP,地址,基于目的,IP,地址,基于源端口,基于目的端口,基于方向,基于时间,基于用户,基于流量,基于内容,路由功能,NAT,功能,VPN,功能,用户认证,6.1 防火墙概述,2、防火墙的功能(续),防火墙的,扩展功能,：,带宽控制,日志审计,流量分析,6.,2,防火墙在网络中的位置,安装防火墙以前的网络,6.,2,防火墙在网络中的位置,安装防火墙后的网络,DMZ,是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的,一个非安全系统与安全系统之间的缓冲区,，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，,在这个小网络区域内可以放置一些必须公开的服务器设施,，如企业,Web,服务器、,FTP,服务器和论坛等。,通过这样一个,DMZ,区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。这样，不管是外部还是内部与对外服务器交换信息数据也要通过防火墙，实现了真正意义上的保护。,6.,2,防火墙在网络中的位置,DMZ,区(,demilitarized zone，,也称非军事区),6.,3,防火墙的体系结构,防火墙的体系结构一般有以下几种:,1）双重宿主主机体系结构。,2）屏蔽主机体系结构。,3）屏蔽子网体系结构。,6.,3,防火墙的体系结构,1、,双重宿主主机体系结构,双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的，该计算机至少有两个网络接口。可,充当与这些接口相连的网络之间的路由器；它能够从一个网络到另一个网络发送,IP,数据包。,实现双重宿主主机的防火墙体系结构禁止这种发送功能。因而，,IP,数据包从一个网络（例如，因特网）并不是直接发送到其他网络（例如，内部的、被保护的网络）。防火墙内部的系统能与双重宿主主机通信，同时防火墙外部的系统（在因特网上）能与双重宿主主机通信，但是这些系统不能直接互相通信。它们之间的,IP,通信被完全阻止。,6.,3,防火墙的体系结构,2、屏蔽主机体系结构,屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务。,堡垒主机是互联网上的主机能连接到内部网络上的系统的桥梁,数据包过滤也许堡垒主机开放可允许的连接到外部世界,6.,3,防火墙的体系结构,3、屏蔽子网体系结构,屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步地把内部网络和外部网络（通常是,Internet）,隔离开。,最简单的形式为：两个屏蔽路由器，每一个都连接到周边网。,一个位于周边网,络,与内部网络之间，另一个位于周边网与外部网络（通常为,Internet）,之间。这样就在内部网络与外部网络之间形成了一个“,隔离带,”。,6.,3,防火墙的体系结构,3、屏蔽子网体系结构(续),侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机，它将仍然必须通过内部路由器,。,软件防火墙,和,硬件防火墙,以及,芯片级防火墙,。,6.,4,防火墙的类型与特点,6.4.1 按物理实体分类,X86,架构,（,PC,架构工控机）,NP,架构,（,网络处理器）,ASIC,架构,（,专用集成电路）,至少应具备三个端口，分别接内网、外网和,DMZ,区（非军事区）,防火墙,的工作方式主要分,包过滤型,和,应用代理型,两种,。,6.,4,防火墙的类型与特点,6.4.,2,按工作方式分类,1包过滤型,包过滤（,Packet filtering）,型防火墙工作在,OSI,网络参考模型的网络层和传输层，它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。,6.,4,防火墙的类型与特点,6.4.,2,按工作方式分类（,续,）,2应用代理型,应用代理型防火墙(,Application Proxy),是工作在,OSI,的最高层，即应用层。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。,6.,4,防火墙的类型与特点,6.4.3 按部署结构分类,从防火墙结构分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。,单一主机防火墙：,是最为传统的防火墙，独立于其它网络设备，它位于网络边界。,与一台计算机结构差不多，价格昂贵,。,路由器集成式防火墙：,这种防火墙通常是较低级的包过滤型。许多中、高档路由器中集成了防火墙功能，如,CiscoIOS,防火墙系列。这样企业就不用再同时购买路由器和防火墙，大大降低了网络设备购买成本。,分布式防火墙：,不只是位于网络边界，而是渗透于网络的每一台主机，对整个内部网络的主机实施保护。在网络服务器中，通常会安装一个用于防火墙系统管理软件，在服务器及各主机上安装有集成网卡功能的,PCI,防火墙卡。,6.,4,防火墙的类型与特点,6.4.4 按部署位置分类,按防火墙的应用部署位置分为边界防火墙、个人防火墙和混合式防火墙三大类。,6.4.5 按性能分类,按防火墙性能分为,百兆级防火墙,和,千兆级防火墙,两类。,目前还针对小企业用户（网络流量小、用户数量较少）生产出了,桌面型防火墙,。,6.,5,防火墙的,工作模式与主要技术,6.5.1,防火墙的工作模式,防火墙的,工作模式有路由模式、透明桥模式和混合模式,三大类。,路由模式,：,防火墙可以充当路由器，提供路由功能。,透明桥模式,：,防火墙可以方便的接入到网络，而且保持所有的网络设备配置完全不变。,混合模式,：,防火墙同时工作在路由模式和桥模式。,路由模式,防火墙缺省工作模式，防火墙可以充当路由器，提供路由功能,FTP,www,DMZ,区,内部网络,连接,DMZ,的接口需要设置成公网地址或在出接口启用,destination nat,防火墙的各个接口处于不同的网段,Internet,策略路由,透明模式（桥模式）,L3 Switch,Router,防火墙可以方便的接入到网络，而且保持所有的网络设备配置完全不变,此时防火墙类似网桥的工作方式，降低网络管理的复杂度,Internet,内部网络,混合模式,桥,防火墙同时工作在路由模式和桥模式,FTP,www,DMZ,区,内部网络,Internet,路由,NAT,防火墙的网桥接口启用,NAT,转换,外部接口和,DMZ,接口组成透明方式,混合模式防火墙的应用,源,ip,地址转换（,NAT）,目的,ip,地址转换（目的,ip,地址映射,/,MAP/,反向,NAT）,一对一,/,静态,ip,地址转换,/,SAT,地址池（,ip,pool）,目的端口转换（端口映射,/,PAT）,地址伪装,透明应用代理,NAT (,网络地址转换,),6.5.2,防火墙的主要技术,6.,5,防火墙的,工作模式与主要技术,应用一：目的端口映射,在,WIN2K,中端口映射,查,开放端口的小程序,应用二：防,BT,应用三：防,Flood,攻击,Hacker,ICMP Flood,UDP Flood,TCP Flood,目标网络,基于数据流的防范,基于数据包的防范,当源,主机在,1,秒内发起的,连接数,达到,门限值,时，在,该秒内的剩余时段和下一秒,中，,丢弃,该源主机发起的,同类,连接,当源,主机在,1,秒内发出的数据包达到,门限值,时，在,该秒内的剩余时段和下一秒,中,，,丢弃,该源主机发出的,同类,数据,All-In-One,技术：大集成，需解决模块安全,6.6 防火墙的发展趋势,大多数防火墙的功能都比较全面，几乎包括了所有的安全功能，如,VPN、,防病毒、,IDS、,安全审计等。性能不断提升，国内已有千兆线速防火墙；架构已发生变化，从,X86,架构，开始向,ASIC、NP,等网络设备标准架构蜕变。,功能性能不断突破：需解决集成、核心技术,下一代网络的新需求：,IPv6,网络需求,高速、安全、可用：,高性能,、,抗毁,、,业务连续,6.,7,应用案例(一)：,某市局网上下互连,防火墙网络地址分配,外口：,221.12.118.179/,29,内口：,10.33.120.20/,24,DMZ,口：,21.24.117.2,6.,7,应用案例(二)：,单计算机保护,利用防火墙软件实现。目前可选天网、瑞星、趋势、诺顿等。此处以单机版软件为例，介绍防火墙规则设置与使用。(,有条件的应该安排3-4次防火墙实验，如端口设置、,NAT、,规则管理、,VPN,及与,IDS,的联动等。,),瑞星,个人防火墙的设置与使用,瑞星,个人防火墙的设置与使用,瑞星,个人防火墙的设置与使用,瑞星,个人防火墙的设置与使用,趋势,05,网络安全版设置与使用,趋势,05,网络安全版设置与使用,趋势,05,网络安全版设置与使用,趋势,05,网络安全版设置与使用,本章小结,防火墙是隔离在本地网络与外界网络之间执行访问控制策略的一道防御系统，目的是保护网络不被他人侵扰。防火墙,在,企业内网与,Internet,之间或与其他外部网络互相隔离、限制网络互访,，从而实现,内网保护。,典型的防火墙具有三个,基本特性,：内部网络和外部网络之间的所有网络数据流都必须经过防火墙；只有符合安全策略的数据流才能通过防火墙；防火墙自身应具有非常强的抗攻击免疫力。,防火墙具有以下,几种功能,：限定内部用户访问特殊站点；防止未授权用户访问内部网络；允许内部网络中的用户访问外部网络的服务和资源而不泄漏内部网络的数据和资源；记录通过防火墙的信息内容和活动；对网络攻击进行监测和报警。,防火墙的,体系结构,有以下几种: 双重宿主主机体系结构；被屏蔽主机体系结构；被屏蔽子网体系结构。,防火墙的类型有多种,分类方法,：,技术,上,分“包过滤型”和“应用代理型”；结构,上,分单一主机防火墙、路由器集成式防火墙和分布式防火墙三种；应用部署位置分为边界防火墙、个人防火墙和混合式防火墙；性能,上,分为百兆级防火墙和千兆级防火墙。,防火墙的,发展趋势,：功能性能不断突破；下一代网络的新需求；高速、安全、可用。,作业：,P123,2、3、4,建议实验：,使用瑞星或天网防火墙，制定规则，体会规则的应用。,