防火墙技术包过滤防火墙讲稿.ppt

《防火墙技术包过滤防火墙讲稿.ppt》由会员分享，可在线阅读，更多相关《防火墙技术包过滤防火墙讲稿.ppt（35页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、关于防火墙技术包过滤防火墙第一页，讲稿共三十五页哦2TCP/IP与防火墙协议目的物理地址目的物理地址源物理地址源物理地址类型数据数据链路层网络层传输层第二页，讲稿共三十五页哦3TCP/IP与防火墙协议防火墙第三页，讲稿共三十五页哦4TCP/IP与防火墙IP地址通过TCP/IP协议形成的互联网是一个虚拟的网络，它隐藏了底层各种物理网络的细节。一个逻辑的、通用的、虚拟的TCP/IP互联网尽管各底层网络可能不一样，但在网络层（及以上层）是一致的。在这个一致的TCP/IP互联网上实现源端和目的端间的数据通信，需要有一个统一的、逻辑的通信端点标识方案，TCP/IP在网络层上使用IP地址编址方案。IP地址

2、是以TCP/IP协议进行数据通信的双方必须的、符合标准格式的节点（主机或路由器等）地址标识符，同一网络上联网的节点IP地址不能重复（冲突）。在互联网上进行数据通信，每个节点必须拥有全球认可的、统一管理的、唯一的IP地址。（内部网络不受此限制，只要它的设备不直接与互联网通信；而通过代理服务器或地址转换设备可以间接与互联网通信。）每个具体的PC、服务器、路由器的各通信端口（如网卡）均需赋予IP地址；一个物理通信端口可以赋予多个IP地址，每个IP地址成为一个通信节点（连接点）第四页，讲稿共三十五页哦5TCP/IP与防火墙端口端口（Port）传输层提供应用程序与网络之间的各接口点称为端口，它是个预定义

3、的内部地址（编号），以16位字标识，提供从应用程序到传输层或从传输层到应用程序之间的一条通路，如：80端口。在TCP/IP系统中，应用程序根据端口号通过TCP或UDP软件将数据送往目的主机或从源主机接收数据。源主机和目的主机上的应用程序间要进行传输层及以上的通信，必须将该应用程序绑定在某个端口上。因此，通信除了需要IP地址外，还需要源和目的端口。这样，通信根据网络层（IP层）的IP地址指明了源、目的主机，而根据传输层（TCP或UDP）的端口指明主机上各应用程序。端口的分配有2种方式：静态端口（统一管理的静态指定和应用程序的静态指定）和动态端口（操作系统的动态绑定）。第五页，讲稿共三十五页哦6T

4、CP/IP与防火墙端口知名（Well-known）端口应用程序在使用端口时不能重复（冲突）。通常，端口0255保留归系统使用；2561023是通用服务端口；1024以上用户程序可使用。应用程序在通信时需要知道对方的端口号。典型的情况，在C/S模型下，Client（应用程序）向Server（服务程序）请求服务时，Client需要知道Server的服务端口。通用的服务使用所谓“知名”端口号，如：FTP21，Telnet23，SMTP25，DNS53，TFTP69，Gopher70，Finger79，HTTP80，POP3110，NNTP119，SNMP161，BGP179等。第六页，讲稿共三十五页

5、哦7TCP/IP与防火墙端口端口应用例数据链路层网络层TCP21,22,23,80UDP9,11,161FTPTCP 21WebTCP 80SNMPUDP 161计算机A至计算机B，TCP端口21计算机B至计算机B，TCP端口80TCP：2340TCP：2349第七页，讲稿共三十五页哦8 10 permitted tcp 10.1.1.5(1828)137.45.126.5(25)11 permitted tcp 10.1.1.5(2310)137.45.62.121(80)12 permitted tcp 10.1.1.9(1828)137.45.12.15(445)13 permitted

6、 tcp 10.1.1.9(8428)137.45.90.110(445)14 permitted tcp 10.1.1.9(1240)137.45.62.121(80)15 permitted tcp 10.1.1.5(2311)137.45.62.121(80)16 permitted tcp 10.1.1.5(2312)137.45.62.121(80)17 permitted tcp 10.1.1.5(2121)137.45.98.9(80)18 permitted tcp 10.1.1.20(1840)137.45.126.5(25)19 permitted tcp 10.1.1.2

7、0(2311)137.45.62.2(80)20 permitted udp 10.1.1.5(1833)137.45.126.5(161)21 permitted tcp 10.1.1.5(3210)137.45.62.121(80)22 permitted tcp 10.1.1.9(2003)137.45.90.34(445)23 permitted tcp 10.1.1.210(6500)137.45.190.10(21)24 permitted tcp 10.1.1.200(5328)137.45.90.110(445)25 permitted tcp 10.1.1.200(4433)

8、137.45.12.15(445)26 permitted tcp 10.1.1.10(2433)137.45.1.2(80)27 permitted tcp 10.1.1.10(2433)137.45.126.5(25)28 permitted tcp 10.1.1.10(6783)137.45.1.2(80)29 permitted tcp 137.45.9.8(2439)10.1.1.50(80)30 permitted tcp 137.45.9.8(4139)10.1.1.50(80)31 permitted tcp 137.45.9.88(5577)10.1.1.50(80)32 p

9、ermitted tcp 137.45.209.44(5432)10.1.1.50(80)TCP/IP与防火墙防火墙日志第八页，讲稿共三十五页哦9第五讲：防火墙知识1.TCP/IP与防火墙与防火墙2.防火墙的发展历程防火墙的发展历程3.简单包过滤防火墙简单包过滤防火墙第九页，讲稿共三十五页哦102000基于实现方式基于技术手段防火墙的发展历程第十页，讲稿共三十五页哦11由于多数路由器中本身就包含有分组过滤功能，故网络访问控制可通过路由控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代：基于路由器的防火墙第十一页，讲稿共三十五页哦12基于路由器的防火墙特点：利用路由器本身对数

10、据包的解析，以访问控制表方式控制数据包的过滤；过滤判决的依据可以是：IP地址、端口号、以及其它网络特征；只有数据包过滤功能，配置简单。第十二页，讲稿共三十五页哦13基于路由器的防火墙工作原理：检查数据链路层的物理地址检查网络层的IP地址10.10.8.0网段10.10.9.0网段第十三页，讲稿共三十五页哦14基于路由器的防火墙缺点：本身具有安全漏洞；过滤规则的设置存在安全隐患；最大的隐患是：攻击者可以“假冒”地址进行攻击；本质性缺陷是：会大大降低路由器的性能。代表产品：Cisco路由器第十四页，讲稿共三十五页哦15第二代：防火墙工具套件用户化的防火墙，将过滤功能从路由器中独立出来，并加上审计和

11、告警功能。针对用户需求，提供模块化的软件包，是纯软件产品。第十五页，讲稿共三十五页哦16防火墙工具套件特点：特点：将过滤功能从路由器中独立出来，并加上审计和告警功将过滤功能从路由器中独立出来，并加上审计和告警功能；能；提供模块化的软件包；提供模块化的软件包；用户可以自己动手构造防火墙（用户可以自己动手构造防火墙（iptable）；）；与第一代防火墙相比，安全性提高了，价格降低了。与第一代防火墙相比，安全性提高了，价格降低了。第十六页，讲稿共三十五页哦17防火墙工具套件缺点：缺点：配置和维护过程复杂、费时；对用户的技术要求高；全软件实现，安全性和处理速度均有限制。代表产品：iptable、TIS

12、 FWTK、AXNET Raptor、SecureZone第十七页，讲稿共三十五页哦18第三代：通用操作系统防火墙建立在通用操作系统上的防火墙，近年来在市场上广泛使用的就是这一代产品。包括分组过滤和代理功能。有以纯软件实现的，也有以硬件方式实现的。第十八页，讲稿共三十五页哦19通用操作系统防火墙特点：特点：是批量生产的专用防火墙；具备数据包过滤功能；具备专用的代理系统；安全性和速度大大提高。第十九页，讲稿共三十五页哦20通用操作系统防火墙缺点：缺点：由于大多数防火墙厂商并非通用操作系统的厂商，通用操作系统厂商不会对操作系统的安全性负责；该类防火墙既要防止外部网络的攻击，还要防止来自针对操作系统

13、的攻击；用户必须依赖防火墙厂商和操作系统厂商两方面的安全支持。第二十页，讲稿共三十五页哦21通用操作系统防火墙代表产品：代表产品：Check Point fireWall-1CA Etrust FireWallMicrosoft Proxy Server天融信网络卫士东大阿派NetEyes联想网御.第二十一页，讲稿共三十五页哦22第四代：安全操作系统防火墙具有安全操作系统的防火墙本身就是一个操作系统，因而在安全性上得到提高。第二十二页，讲稿共三十五页哦23安全操作系统防火墙特点：特点：防火墙厂商具有操作系统的源代码，并可实现安全内核；对安全内核实现加固处理：去掉不必要的系统特性，强化安全保护；

14、在功能上包括了数据包过滤、应用网关、电路级网关，具有加密与鉴别功能；透明性好，易于使用；取消危险的系统调用；限制命令的执行权限；采用随机连接序号；采用多个安全内核；第二十三页，讲稿共三十五页哦24安全操作系统防火墙代表产品：代表产品：Cisco PIXNetScreen第二十四页，讲稿共三十五页哦25第五讲：防火墙知识1.TCP/IP与防火墙与防火墙2.防火墙的发展历程防火墙的发展历程3.简单包过滤防火墙简单包过滤防火墙第二十五页，讲稿共三十五页哦26防火墙技术分类1.简单包过滤简单包过滤/分组过滤防火墙分组过滤防火墙2.状态检测包过滤防火墙状态检测包过滤防火墙3.应用代理防火墙应用代理防火墙

15、4.电路中继防火墙电路中继防火墙应用层传输层网络层数据链路层传输层网络层应用层传输层网络层第二十六页，讲稿共三十五页哦27简单包过滤/分组过滤防火墙原理作用在网络层和传输层，它根据数据包的包头源地址、目的地址和源端口号、目的端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。第二十七页，讲稿共三十五页哦28包过滤防火墙设计目标与能力防火墙的基本设计目标防火墙的基本设计目标首先能够区分“内部”与“外部”网络。所有通过“内部”和“外部”的网络流量都要经过防火墙通过设置安全策略，来保证只有经过授权的数据才可以通过防火墙防火

16、墙本身具备较高的性能与安全防火墙的控制能力防火墙的控制能力设备控制，确定哪些设备可以被访问服务/应用控制，确定哪些服务/应用可以被访问方向控制，对于特定的服务，可以确定允许哪个方向能够通过防火墙用户控制，根据用户来控制对服务的访问第二十八页，讲稿共三十五页哦29如何过滤？对于每个进来的数据包，适用一组规则，然后决定转发或者丢弃该包过滤的规则以网络层和传输层为基础，包括源和目标IP地址、协议类型、源和目标端口号过滤器往往建立一组规则，根据IP数据包是否匹配规则中指定的条件来作出决定如果匹配到一条规则，则根据此规则决定转发或者丢弃如果所有规则都不匹配，则根据缺省策略第二十九页，讲稿共三十五页哦30

17、过滤依据协议类型：协议类型：TCP、UDP、ICMP等源源IP地址、目的地址、目的IP地址地址源端口、目的端口：源端口、目的端口：FTP(21)、HTTP(80)等数据包流向：数据包流向：in或outIP选项：选项：源路由选项等TCP选项：选项：SYN、ACK、FIN、RST等数据包流经网络接口：数据包流经网络接口：eth0、eth1等第三十页，讲稿共三十五页哦31包过滤防火墙工作协议应用层应用层应用层应用层传输层传输层传输层传输层网络层网络层网络层网络层数据链路层数据链路层数据链路层数据链路层物理层物理层物理层物理层物理层物理层数据链路层数据链路层网络层网络层应用层应用层应用层应用层传输层传

18、输层传输层传输层网络层网络层网络层网络层数据链路层数据链路层数据链路层数据链路层物理层物理层物理层物理层外部网络主机内部网络主机包过滤型防火墙IPTCP传输层传输层第三十一页，讲稿共三十五页哦32过滤规则设置方向方向类型类型源地址源地址目的地址目的地址源端口源端口目的端口目的端口动作动作insidetcp*123.4.5.6any21permitinsidetcp*123.4.6.7any80permitinsideudp129.6.1.2123.4.5.8any161permit*deny第三十二页，讲稿共三十五页哦33优点n不用改动客户机和主机上的应用程序 n创建一个可以有效监控数据包的单独控制点n性能和效率较高n实现简单，易于配置n支持网络内部隐藏，免遭网络扫描的威胁第三十三页，讲稿共三十五页哦34缺点难防IP地址欺骗不能提供有效用户认证设计和配置一个真正安全的过滤规则比较困难不能过滤所有的协议对网络性能有一定影响第三十四页，讲稿共三十五页哦感感谢谢大大家家观观看看第三十五页，讲稿共三十五页哦