g第七周 防火墙技术(第8章).ppt

《g第七周 防火墙技术(第8章).ppt》由会员分享，可在线阅读，更多相关《g第七周 防火墙技术(第8章).ppt（44页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、华南理工大学电子商务学院本科课程电子商务安全与保密大纲第7章防火墙技术1ServerClient 防火墙（防火墙（Firewall）注解：防火墙类似一堵城墙，将服务器与客户主机进行物理隔注解：防火墙类似一堵城墙，将服务器与客户主机进行物理隔离，并在此基础上实现服务器与客户主机之间的授权互访、互离，并在此基础上实现服务器与客户主机之间的授权互访、互通等功能。通等功能。2防火墙技术防火墙是指设置在不同网络或网络安全域（公共网和企业内部网）之间的一系列部件的组合。它是不同网络（安全域）之间的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有很高的抗攻击能力，它是提供

2、信息安全服务，实现网络和信息安全的基础设施。n基本工作原理是在可信任网络的边界上n建立起网络控制系统n隔离内部和外部网络n执行访问控制策略n防止外部的未授权节点访问内部网络和非法向外传递内部信息n同时也防止非法和恶意的网络行为导致内部网络的运行被破坏。n可信任的网络和不可信任的网络,即常说的在内部网络和外部网络之间，我们认为内部网络是可信任的，而外部网络是不可信的3防火墙相关概念防火墙相关概念n主机：与网络系统相连的计算机系统。n堡垒主机：是指一个计算机系统，它对外部网络（互联网络）暴露，同时又是内部网络用户的主要连接点，所以非常容易被侵入，因此这个系统需要严加保护。n双宿主主机：具有至少两个

3、网络接口的通用计算机系统。n包：在互联网络上进行通信时的基本信息单位。4防火墙相关概念防火墙相关概念n路由：为转发的包分组选择正确的接口和下一个路径片段的过程。n包过滤：设备对进出网络的数据流进行有选择的控制与操作。参数网络：为了增加一层安全控制，而在外部网络与内部网络之间增加的一个网络。参数网络有时也被称为停火带。n代理服务器：代表内部网络用户与外部网络服务器进行信息交换的程序。它将内部用户的请求送达外部服务器，同时将外部服务器的响应再回送给用户。5 从总体上看，防火墙应具有以下五大基本功能：4过滤进、出网络的数据；4管理进、出网络的访问行为；4封堵某些禁止的业务；4记录通过防火墙的信息内容

4、和活动；4对网络攻击的检测和告警。防火墙功能防火墙功能6防火墙的局限性n不能防范不经过它的连接n是网络安全体系结构设计的问题n当使用端到端加密时，其作用会受到很大限制。n与局限性1是相同的n过于依赖于拓扑结构n防火墙不能防范病毒n病毒防火墙只是一个概念，实际上，仍然要在单机上完成病毒检测工作n是一种静态防御技术7防火墙的分类n按网络体系结构分类n工作在OSI参考模型中的不同位置（教材312图12.2）n最常见：n网络层：包过滤防火墙n应用层：代理服务器n按应用技术分类n包过滤防火墙：按照规则和策略对IP包进行过滤n代理服务器：n电路级网关n按拓扑结构分类n双宿主主机防火墙；n屏蔽主机防火墙；n

5、屏蔽子网防火墙。8 防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型，但总体来讲可分为三大类：n分组过滤（Packet filtering）：作用在网络层和传输层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。n应用代理（Application Proxy）：也叫应用网关（Application Gateway）,它作用在应用层，其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。

6、n电路中继(Circuit Relay)：也叫电路网关(Circuit Gateway)或TCP代理（TCP Proxy）,其工作原理与应用代理类似，不同之处是该代理程序是专门为传输层的TCP协议编制的。防火墙技术内容防火墙技术内容9防火墙技术内容防火墙技术内容分组过滤应用层应用层应用层应用层表示层表示层表示层表示层会话层会话层会话层会话层传输层传输层传输层传输层网络层网络层网络层网络层数据链路层数据链路层数据链路层数据链路层物理层物理层物理层物理层物理层物理层数据链路层数据链路层网络层网络层应用层应用层应用层应用层表示层表示层表示层表示层会话层会话层会话层会话层传输层传输层传输层传输层网络层

7、网络层网络层网络层数据链路层数据链路层数据链路层数据链路层物理层物理层物理层物理层外部网络主机内部网络主机分组过滤型防火墙10包过滤防火墙n工作在网络层（IP层）n根据过滤规则和安全策略，逐个检查IP包（TCP包、UDP包），确定是否允许通过n优点n对应用透明，合法建立的连接不被中断。n速度快、效率高。n安全性级别低：不能识别高层信息、容易受到欺骗n配置简单，但要求有一定专业知识n例子：n只允许telnet的出站规则n类比类比：天网个人防火墙、金山网镖的包过滤规则n天网个人防火墙中的IP规则及规则的设置界面（后页1、2）11规则n一般包含以下各项：源地址、源端口、目的地址、目的端口、协议类型、

8、协议标志、服务类型、动作。n规则原则n按地址过滤；n按服务过滤。n防火墙的规则动作有以下几种类型：n通过（accept）允许IP包通过防火墙传输。n放弃（deny）不允许IP包通过防火墙传输，但仅仅丢弃，不做任何响应。n拒绝（reject）不允许IP包通过防火墙传输，并向源端发送目的主机不可达的ICMP报文。n返回（return）没有发现匹配的规则，省缺动作。12天网防火墙举例13防火墙技术内容防火墙技术内容应用代理应用层表示层会话层传输层网络层数据链路层物理层物理层物理层数据链路层数据链路层网络层网络层应用层表示层会话层传输层网络层数据链路层物理层外部网络主机内部网络主机应用代理型防火墙应用

9、层应用层表示层表示层会话层会话层传输层传输层14代理服务器型防火墙代理服务器型防火墙n代理服务器:ProxyServer.每个代理服务器都有所支持的协议nHttpProxy,Socket4/5Proxy,FtpProxy等等n代理服务器的应用模式n工作在应用层，根据规则为客户请求建立新的服务连接，或拒绝服务连接要求n从网络层切断了内外网络之间的连通性，安全性大大提高。n能够识别高层协议信息，进行高层协议过滤。n对应用不透明，客户端需要重新配置（如IE、QQ、CuteFTP）n速度较慢、效率低。15防火墙技术内容防火墙技术内容应用代理(cont.)外部外部Telnet服务器服务器内部内部Teln

10、et服务器服务器日志系统日志系统Telnet代理代理FTP代理代理认证系统认证系统应用网关应用网关一个Telnet代理的例子16一个一个Telnet应用代理的过程应用代理的过程n用户首先Telnet到应用网关主机，并输入内部目标主机的名字（域名、IP地址）n应用网关检查用户的源IP地址等，并根据事先设定的访问规则来决定是否转发或拒绝n然后用户必须进行是否验证（如一次一密等高级认证设备）n应用网关中的代理服务器为用户建立在网关与内部主机之间的Telnet连接n代理服务器在两个连接（用户/应用网关，代理服务器/内部主机）之间传送数据n应用网关对本次连接进行日志记录防火墙技术内容防火墙技术内容应用代

11、理(cont.)17电路级网关n工作在传输层。n它在两个主机首次建立TCP连接时创立一个电子屏障，建立两个TCP连接。n一旦两个连接建立起来，网关从一个连接向另一个连接转发数据包，而不检查内容。n也称为通用代理，统一的代理应用程序，各协议可透明地通过通用代理防火墙。n电路级网关实现的典型例子是SOCKS软件包，是DavidKoblas在1990年开发的。18三种防火墙技术安全功能比较源地址目的地址用户身份数据内容包过滤YYNN应用代理YYY（Proxy认证）P电路级网关YYYN19双宿主主机结构防火墙n核心是具有双宿主功能的主机。n至少有两个网络接口（内网、外网），充当路由器。n不允许两网之间

12、的直接发送功能。n仅仅能通过防火墙所在主机上的内部代理n或让用户直接登陆到双宿主主机来提供服务（即作为该主机的一个远程用户，绕过防火墙）n提供高级别的安全控制。n问题：n用户账号本身会带来明显的安全问题，会允许某种不安全的服务；通过登陆来使用因特网太麻烦。20双宿主主机结构防火墙21屏蔽主机防火墙n主要的安全机制由屏蔽路由器来提供n包过滤，只允许外部访问堡垒主机的IP包通过n堡垒主机位于内部网络上，是外部能访问的惟一的内部网络主机（而看不到内部网络其它部分）n因此，堡垒主机需要保持更高的安全等级n内部网的其它主机可自由访问外网22屏蔽主机防火墙23屏蔽主机防火墙n优点：n外部网对内部网的可控访

13、问n适合于向外提供网络服务的系统n问题：n如果路由器被破坏，整个网络对侵袭者是开放的。如堡垒主机被侵，内部网络的主机失去任何的安全保护。n配置复杂24堡垒主机堡垒主机n设计与构筑堡垒主机的原则：n使堡垒主机尽量简单；n随时做好堡垒主机可能被损害的准备。n堡垒主机提供的服务：n同因特网相关的一些服务；n删除所有不需要的服务；n不要在堡垒主机上保留用户账号25屏蔽子网防火墙n添加额外的安全层：周边网，将内部网与因特网进一步隔开。n周边网即：非军事化区，提供附加的保护层，入侵者如侵入周边网，可防止监听（sniffer）内部网的通信（窃取密码），不会损伤内部网的完整性。周边网上的主机主要通过主机安全来

14、保证其安全性。n屏蔽子网防火墙使用了两个屏蔽路由器，消除了内部网络的单一侵入点，增强了安全性。n两个屏蔽路由器的规则设置的侧重点不同。n外部路由器只允许外部流量进入，内部路由器只允许内部流量进入。26屏蔽子网防火墙27三种防火墙拓扑结构的区别n三者的区别在于：内网与外网的数据连接“鸿沟”n双宿主主机：在一台主机上n屏蔽主机：一层屏蔽路由器n屏蔽子网：两层屏蔽路由器28防火墙体系结构的种种变化和组合防火墙体系结构的种种变化和组合n1）使用多堡垒主机）使用多堡垒主机29n2）合并内外部由器）合并内外部由器防火墙体系结构的种种变化和组合防火墙体系结构的种种变化和组合30n3）合并堡垒主机和外部路由器

15、）合并堡垒主机和外部路由器防火墙体系结构的种种变化和组合防火墙体系结构的种种变化和组合31n4）将堡垒主机与内部路由器合并）将堡垒主机与内部路由器合并防火墙体系结构的种种变化和组合防火墙体系结构的种种变化和组合32n5）采用多内部路由器结构）采用多内部路由器结构防火墙体系结构的种种变化和组合防火墙体系结构的种种变化和组合33n5）采用多内部路由器结构）采用多内部路由器结构多个内部网防火墙体系结构的种种变化和组合防火墙体系结构的种种变化和组合34n6）使用多外部路由器）使用多外部路由器防火墙体系结构的种种变化和组合防火墙体系结构的种种变化和组合35内部防火墙内部防火墙n1）试验网络）试验网络36

16、n2）低保密度网络）低保密度网络n3）高保密度网络）高保密度网络n4）联合防火墙）联合防火墙n共享参数网络共享参数网络n内部防火墙的堡垒主机内部防火墙的堡垒主机内部防火墙内部防火墙37防火墙设计策略必须针对具体的防火墙，它定义过滤规则等，以实现高层的网络服务策略。这个策略在设计时必须考虑到防火墙本身的性能、限制及具体协议如TCP/IP。常用的两种基本防火墙设计策略是：n允许所有除明确拒绝之外的通信或服务（很少考虑，因为这样的防火墙可能带来许多风险和安全问题。攻击者完全可以使用一种拒绝策略中没有定义的服务而被允许并攻击网络）n拒绝所有除明确允许之外的通信或服务（常用，但操作困难，并有可能拒绝网络

17、用户的正常需求与合法服务）防火墙实现策略防火墙实现策略38作为一个安全策略的设计者，应懂得以下问题的要点：n哪些Internet服务是本网络系统打算使用或提供的？（如TELNET、FTP、HTTP）n这些Internet服务在哪或哪个范围内使用？（如在本地网内、整个Internet或拨号服务等）n可能有哪些额外或临时的服务或需求？（如加密、拨入服务等）n提供这些服务和访问有哪些风险和总的花费？防火墙实现策略防火墙实现策略39防火墙核心技术网络地址转换（NAT）n作用：按内部定义，将原包中的IP地址“翻译”成内部使用地址n目的：n解决IP地址空间不够问题；n向外界隐藏内部网结构n实现真正的动态均

18、衡（通常会缓存IP）n方式：n静态NAT，简单的地址翻译（一一对应）n端口NAT，多个内部网地址翻译到一个IP地址n多对一翻译，不同的内部网地址在外部用“公用IP：端口”的形式表示nNAT池，M个内部地址翻译到N个外部IP地址池40网络地址转换原理41利用NAT实现负载均衡（附加功能）42第四代防火墙的主要技术与功能 第四代防火墙产品将网关与安全系统合二为一，具有以下技术与功能特点：4双端口或三端口的结构4透明的访问方式4灵活的代理系统4多级的过滤技术4网络地址转换技术4Internet网关技术4安全服务器网络（SSN）4用户鉴别与加密4用户定制服务4审计和告警43第四代防火墙的抗攻击能力 作为一种安全防护设备，防火墙在网络中自然是众多攻击者的目标，故抗攻击能力也是防火墙的必备功能，在 Internet环境中针对防火墙的攻击方法主要有：4抗IP假冒攻击4抗特洛伊木马攻击4抗口令字探寻攻击4抗网络安全性分析4抗邮件诈骗攻击44