第七章 防火墙.ppt

《第七章 防火墙.ppt》由会员分享，可在线阅读，更多相关《第七章 防火墙.ppt（50页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、黄淮学院信工系2011第7章 防火墙（一）黄淮学院信工系2011一、防火墙基本知识1、防火墙的提出2、防火墙示意图3、防火墙是什么4、防火墙概念5、防火墙实现层次6、防火墙功能7、防火墙的作用8、争议及不足黄淮学院信工系2011企业上网企业上网 面面 临临 的的 安安 全全 问问 题之一题之一:内部网与互联网的有效隔离内部网与互联网的有效隔离解答解答:防火墙防火墙网络间的访问网络间的访问 -需隔离需隔离 FIREWALL1、防火墙的提出黄淮学院信工系20112、防火墙示意图Internet1.企业内联网企业内联网2.部门子网部门子网3.分公司网络分公司网络黄淮学院信工系20113 3、防火墙是

2、、防火墙是什么（什么（1 1）在一个受保护的企业内部网络与互联网间,用来强制执强制执行企业安全策略行企业安全策略的一个或一组系统.黄淮学院信工系2011防火墙主要用于保护内部安全网络免受防火墙主要用于保护内部安全网络免受外部网不安全网络的侵害。外部网不安全网络的侵害。典型情况：安全网络为企业内部网络，典型情况：安全网络为企业内部网络，不安全网络为因特网。不安全网络为因特网。但防火墙不只用于因特网，也可用于但防火墙不只用于因特网，也可用于IntranetIntranet各部门网络之间（内部防火墙）各部门网络之间（内部防火墙）。例：财务部与市场部之间。例：财务部与市场部之间。3 3、防火墙是什么（

3、、防火墙是什么（2 2）黄淮学院信工系20114、防火墙概念（1）最初含义：当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙。Rich Kosinski(Internet Security公司总裁）：防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问。换句话说，防火墙是一道门槛，控制进/出两个方向的通信。黄淮学院信工系2011William CheswickWilliam Cheswick和和Steve Steve BeilovinBeilovin（19941994）：）：防火墙是放置在两个网防火墙是放置在

4、两个网络之间的一组组件，这组组件共同具有下列络之间的一组组件，这组组件共同具有下列性质：性质：1.只允许本地安全策略授权的通信信息通只允许本地安全策略授权的通信信息通过过2.双向通信信息必须通过防火墙双向通信信息必须通过防火墙3.防火墙本身不会影响信息的流通防火墙本身不会影响信息的流通4、防火墙概念（2）黄淮学院信工系20114、防火墙概念（3）简单的说，网络安全的第一道防线 防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的

5、。黄淮学院信工系20115、防火墙实现层次黄淮学院信工系20116、防火墙功能（1）基本功能模块应用程序代理应用程序代理包过滤包过滤&状态检测状态检测用户认证用户认证NATNATVPNVPN日志日志IDSIDS与报警与报警内容过滤内容过滤黄淮学院信工系2011防火墙的功能过滤进出网络的数据管理进出网络的访问行为封堵某些禁止的业务记录进出网络的信息和活动对网络攻击进行检测和告警6、防火墙功能（2）黄淮学院信工系20117、防火墙的作用（1）Internet防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户，如黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络，并抗击来自各种路

6、线的攻击。Internet防火墙能够简化安全管理，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。在防火墙上可以很方便的监视网络的安全性，并产生报警。应该注意的是：对一个内部网络已经连接到Internet上的机构来说，重要的问题并不是网络是否会受到攻击，而是何时会受到攻击。网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录，防火墙就形同虚设。在这种情况下，网络管理员永远不会知道防火墙是否受到攻击。黄淮学院信工系2011Internet防火墙可以作为部署NAT(Network Address Translator，网络地址变换）的

7、逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题，并消除机构在变换ISP时带来的重新编址的麻烦。Internet防火墙是审计和记录Internet使用量的一个最佳地方。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈的位置，并能够根据机构的核算模式提供部门级的记费。Internet防火墙也可以成为向客户发布信息的地点。Internet防火墙作为部署WWW服务器和FTP服务器的地点非常理想。还可以对防火墙进行配置，允许Internet访问上述服务，而禁止外部对受保护的内部网络上其它系统的访问。黄淮学院信工系2011互聯网互聯网互聯网互聯网非法获取内部数非法获取

8、内部数非法获取内部数非法获取内部数据据据据7、防火墙的作用（、防火墙的作用（2）示意图）示意图黄淮学院信工系20118、争议及不足使用不便，认为防火墙给人虚假的安全感使用不便，认为防火墙给人虚假的安全感对用户不完全透明，可能带来传输延迟、瓶颈对用户不完全透明，可能带来传输延迟、瓶颈及单点失效及单点失效不能替代墙内的安全措施不能替代墙内的安全措施n不能防范恶意的知情者不能防范恶意的知情者 n不能防范不通过它的连接不能防范不通过它的连接 n不能防范全新的威胁不能防范全新的威胁 n当使用端当使用端-端加密时，其作用会受到很大的限制端加密时，其作用会受到很大的限制黄淮学院信工系2011二、防火墙种类1

9、、防火墙的种类2、包过滤防火墙3、NAT模式4、代理服务器5、全状态检查黄淮学院信工系20111、防火墙的种类防火墙的存在形式：软件、硬件。根据防范方式和侧重点的不同可分为四类：n包过滤n应用层代理n电路层代理n状态检查黄淮学院信工系20112、包过滤防火墙（1）黄淮学院信工系20112、包过滤防火墙（2）包过滤防火墙对所接收的每个数据包做允许拒绝的决定。防火墙审查每个数据报以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。包头信息中包括IP源地址、IP目标端地址、类型（TCP、UDP、ICMP、或IPTunnel）、TCP/UDP目标端口、ICMP消息类型、

10、TCP包头中的ACK位置。黄淮学院信工系2011包的进入接口和出接口如果有匹配并且规则允许该数据包，那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包，那么该数据包就会被丢弃。如果没有匹配规则，用户配置的缺省参数会决定是转发还是丢弃数据包。包过滤防火墙使得防火墙能够根据特定的服务允许或拒绝流动的数据，因为多数的服务收听者都在已知的TCP/UDP端口号上。例如，Telnet服务器在TCP的23号端口上监听远地连接，而SMTP服务器在TCP的25号端口上监听人连接。为了阻塞所有进入的Telnet连接，防火墙只需简单的丢弃所有TCP端口号等于23的数据包。为了将进来的Telnet

11、连接限制到内部的数台机器上，防火墙必须拒绝所有TCP端口号等于23并且目标IP地址不等于允许主机的IP地址的数据包。黄淮学院信工系20112、包过滤防火墙（3）检查内容数据包过滤一般要检查网络层的IP头和传输层的头：nIP源地址nIP目标地址n协议类型（TCP包、UDP包和ICMP包）nTCP或UDP包的目的端口nTCP或UDP包的源端口nICMP消息类型nTCP包头的ACK位nTCP包的序列号、IP校验和等黄淮学院信工系2011优点：优点：速度快，性能高速度快，性能高 对用户透明对用户透明缺点：缺点：维护比较困难维护比较困难(需要对需要对TCP/IPTCP/IP了解）了解）安全性低（安全性低

12、（IPIP欺骗等）欺骗等）不提供有用的日志，或根本就不提供不提供有用的日志，或根本就不提供 不能根据状态信息进行控制不能根据状态信息进行控制 不能处理网络层以上的信息不能处理网络层以上的信息 无法对网络上流动的信息提供全面的无法对网络上流动的信息提供全面的 控制控制2、包过滤防火墙（4）优缺点互连的物理介质互连的物理介质应用层应用层表示层表示层会话层会话层传输层传输层应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理物理层层网络层网络层数据链路层数据链路层物理层物理层网络层网络层数据链路层数据链路层物理层物理层黄淮学院信工系20112、包过滤防火墙（5）透明模

13、式包过滤:网桥形式黄淮学院信工系20113.网络地址翻译n网络地址翻译（NAT，Network Address Translation）最初的设计目的是增加在专用网络中可使用的IP地址数，但现在则用于屏蔽内部主机。nNAT通过将专用网络中的专用IP地址转换成在Internet上使用的全球唯一的公共IP地址，实现对黑客有效地隐藏所有TCP/IP级的有关内部主机信息的功能，使外部主机无法探测到它们。nNAT实质上是一个基本代理：一个主机充当代理，代表内部所有主机发出请求，从而将内部主机的身份从公用网上隐藏起来了。黄淮学院信工系20114、代理服务器（1）代理服务是运行在防火墙主机上的专门的应用程序

14、或者服务器程序。不允许通信直接经过外部网和内部网。将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终端代理服务器上的“链接”来实现。外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。黄淮学院信工系20114、代理服务器（2）黄淮学院信工系20114、代理服务器（3）Telnet代理服务器黄淮学院信工系20114、代理服务器（4）代理服务的分类代理服务分类：代理服务可分为应用级代理与电路级代理：应用级代理是已知代理服务向哪一应用提供的代理，它在应用协议中理解并解释命令。应用级代理的优点为它能解释应用协议从而获得更多的信息，缺点

15、为只适用于单一协议。电路级代理是在客户和服务器之间不解释应用协议即建立回路。电路级代理的优点在于它能对各种不同的协议提供服务，缺点在于它对因代理而发生的情况几乎不加控制。黄淮学院信工系20114、代理服务器（5）应用层代理的优点应用层代理能够让网络管理员对服务进行全面的控制，因为代理应用限制了命令集并决定哪些内部主机可以被该服务访问。网络管理员可以完全控制提供那些服务，因为没有特定服务的代理就表示该服务不提供。防火墙可以被配置成唯一的可被外部看见的主机，这样可以保护内部主机免受外部主机的进攻。应用层代理有能力支持可靠的用户认证并提供详细的注册信息。另外，用于应用层的过滤规则相对于包过滤防火墙来

16、说更容易配置和测试。代理工作在客户机和真实服务器之间，完全控制会话，所以可以提供很详细的日志和安全审计功能。应用层代理的最大缺点是要求用户改变自己的行为，或者在访问代理服务的每个系统上安装特殊的软件。比如，透过应用层代理Telnet访问要求用户通过两步而不是一步来建立连接。不过，特殊的端系统软件可以让用户在Telnet命令中指定目标主机而不是应用层代理来使应用层代理透明。每个应用程序都必须有一个代理服务程序来进行安全控制，每一种应用升级时，一般代理服务程序也要升级。4、代理服务器（6）应用层代理的缺点应用层代理的缺点黄淮学院信工系20115、全状态检查（1）状态检测技术：在包过滤的同时，检察数

17、据包之间的关联性，数据包中动态变化的状态码。监测引擎：一个在网关上执行网络安全策略的软件模块。监测引擎采用抽取有关数据的方法对网络通信的各层实施监测，抽取状态信息，并动态地保存起来作为以后执行安全策略的参考。当用户访问请求到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。黄淮学院信工系2011应用层应用层表示层表示层会话层会话层传输层传输层应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理物理层层网络层网络层数据链路层数据链路层物理层物理层网络层网络层数据链路层数据链路层物理层

18、物理层应用层应用层表示层表示层会话层会话层传输层传输层监测引擎5、全状态检查（2）黄淮学院信工系20115、全状态检查（3）状态检测的优缺点优点：n一旦某个访问违反安全规定，就会拒绝该访问，并报告有关状态作日志记录。n它会监测无连接状态的远程过程调用（RPC）和用户数据报（UDP）之类的端口信息。缺点：n降低网络速度n配置比较复杂 黄淮学院信工系2011三、防火墙体系结构1、双重宿主主机体系结构2、屏蔽主机体系结构3、屏蔽子网体系结构4、其它的防火墙结构黄淮学院信工系20111、双重宿主主机体系结构（1）双重宿主主机体系结构是围绕双重宿主主机构筑的。双重宿主主机至少有两个网络接口，它位于内部网

19、络和外部网络之间，这样的主机可以充当与这些接口相连的网络之间的路由器，它能从一个网络接收IP数据包并将之发往另一网络。然而实现双重宿主主机的防火墙体系结构禁止这种发送功能，完全阻止了内外网络之间的IP通信。两个网络之间的通信可通过应用层数据共享和应用层代理服务的方法实现。一般情况下采用代理服务的方法。黄淮学院信工系2011Internet防火墙双重宿主主机内部网络内部网络1、双重宿主主机体系结构（2）黄淮学院信工系20111、双重宿主主机体系结构（3）双重宿主主机的特性：n安全至关重要（唯一通道），其用户口令控制安全是关键。n必须支持很多用户的访问（中转站），其性能非常重要。缺点：双重宿主主机

20、是隔开内外网络的唯一屏障，一旦它被入侵，内部网络便向入侵者敞开大门。黄淮学院信工系20112、屏蔽主机体系结构（1）屏蔽主机体系结构由防火墙和内部网络的堡垒主机承担安全责任。一般这种防火墙较简单，可能就是简单的路由器。典型构成：包过滤路由器堡垒主机。n包过滤路由器配置在内部网和外部网之间，保证外部系统对内部网络的操作只能经过堡垒主机。n堡垒主机配置在内部网络上，是外部网络主机连接到内部网络主机的桥梁，它需要拥有高等级的安全。黄淮学院信工系20112、屏蔽主机体系结构（2）屏蔽路由器可按如下规则之一进行配置：n允许内部主机为了某些服务请求与外部网上的主机建立直接连接（即允许那些经过过滤的服务）。

21、n不允许所有来自外部主机的直接连接。安全性更高，双重保护：实现了网络层安全（包过滤）和应用层安全（代理服务）。缺点：过滤路由器能否正确配置是安全与否的关键。如果路由器被损害，堡垒主机将被穿过，整个网络对侵袭者是开放的。黄淮学院信工系2011因特网2、屏蔽主机体系结构（3）黄淮学院信工系20113、屏蔽子网体系结构（1）屏蔽子网体系结构在本质上与屏蔽主机体系结构一样，但添加了额外的一层保护体系周边网络。堡垒主机位于周边网络上，周边网络和内部网络被内部路由器分开。原因：堡垒主机是用户网络上最容易受侵袭的机器。通过在周边网络上隔离堡垒主机，能减少在堡垒主机被侵入的影响。黄淮学院信工系2011Inte

22、rnet周边网络内部网络外部路由器堡垒主机内部路由器3、屏蔽子网体系结构（2）黄淮学院信工系20113、屏蔽子网体系结构（3）周边网络是一个防护层，在其上可放置一些信息服务器，它们是牺牲主机，可能会受到攻击，因此又被称为非军事区（DMZ）。周边网络的作用：即使堡垒主机被入侵者控制，它仍可消除对内部网的侦听。黄淮学院信工系20113、屏蔽子网体系结构（4）堡垒主机n堡垒主机位于周边网络，是整个防御体系的核心。n堡垒主机可被认为是应用层网关，可以运行各种代理服务程序。n对于出站服务不一定要求所有的服务经过堡垒主机代理，但对于入站服务应要求所有服务都通过堡垒主机。黄淮学院信工系20113、屏蔽子网体

23、系结构（5）外部路由器（访问路由器）n作用：保护周边网络和内部网络不受外部网络的侵犯。w它把入站的数据包路由到堡垒主机。w防止部分IP欺骗，它可分辨出数据包是否真正来自周边网络，而内部路由器不可。内部路由器（阻塞路由器）n作用：保护内部网络不受外部网络和周边网络的侵害，它执行大部分过滤工作。n外部路由器一般与内部路由器应用相同的规则。黄淮学院信工系20114、其它的防火墙结构（1）OutsideDemilitarizedDemilitarizedZones(Zones(DMZsDMZs)Public Access ServerPublic Access Server黄淮学院信工系20114、其它的防火墙结构（2）一个堡垒主机和一个非军事区示意图DMZ堡垒主机内部网外部路由器InternetInternet黄淮学院信工系20114、其它的防火墙结构（3）两个堡垒主机和两个非军事区外部DMZ外部堡垒主机内部网外部路由器InternetInternet内部堡垒主机内部DMZ黄淮学院信工系2011