第9章-防火墙应用技术ppt课件.ppt

《第9章-防火墙应用技术ppt课件.ppt》由会员分享，可在线阅读，更多相关《第9章-防火墙应用技术ppt课件.ppt（50页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用第第第第9 9 9 9章章章章 防火墙应用技术防火墙应用技术防火墙应用技术防火墙应用技术上海教育高地建设项目上海教育高地建设项目上海教育高地建设项目上海教育高地建设项目高等院校规划教材高等院校规划教材高等院校规划教材高等院校规划教材（第（第2 2版）版）上海市精品课程上海市精品课程上海市精品课程上海市精品课程 网络安全技术网络安全技术网络安全技术网络安全技术经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的

2、价款或接受服务的费用目目 录录 9.2 9.2 防火墙的类型防火墙的类型2 9.3 9.3 防火墙的主要应用防火墙的主要应用 3 9.4 9.4 防火墙安全应用实验防火墙安全应用实验4经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用目目 录录教学目标教学目标掌握防火墙的概念掌握防火墙的概念掌握防火墙的功能掌握防火墙的功能了解防火墙的不同分类了解防火墙的不同分类掌握掌握SYN Flood攻击的方式及用防火墙阻止攻击的方式及用防火墙阻止其攻击的方法其攻击的方法掌握防火墙安全应用实验掌握防火墙安全应用实验重点重点重点重

3、点重点重点重点重点经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用9.1.1 9.1.1 防火墙的概念和功能防火墙的概念和功能 防防火火墙墙(firewall)(firewall)是一一种种位位于于两两个个（或或多多个个）网网络络之之间间，通通过过执执行行访访问问控控制制策策略略来来保保护护网网络络安安全全的的设设备备。它它隔离了了内内部部、外外部部网网络络，是是内内、外外部部网网络络通通信信的的唯一途途径径，能能够够根根据据制制定定的的访访问问规规则则对对流流经经它它的的信信息息进进行行监监控控和和审审查查，从

4、从而而保保护护内内部部网网络络不不受受外外界界的的非非法法访访问问和和攻攻击击。网网络络防防火火墙的结构如图墙的结构如图9-19-1所示。所示。9.1 防火墙概述防火墙概述 某某中型企业购买了适合网络特点的防火中型企业购买了适合网络特点的防火墙墙，刚投入使用后，发现以前局域网中肆虐横行的蠕虫，刚投入使用后，发现以前局域网中肆虐横行的蠕虫病毒不见了，企业网站遭受拒绝服务攻击的次数也大大病毒不见了，企业网站遭受拒绝服务攻击的次数也大大减少了，为此，公司领导特意表扬了负责防火墙安装实减少了，为此，公司领导特意表扬了负责防火墙安装实施的信息部。施的信息部。案例案例9-19-1经营者提供商品或者服务有欺

5、诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用图图9-1 网络防火墙的部署结构网络防火墙的部署结构9.1 防火墙概述防火墙概述经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用2.防火墙的主要功能防火墙的主要功能 实际上，实际上，防火墙其实是一个分离器、限制器或分析器，防火墙其实是一个分离器、限制器或分析器，它能够有效监控内部网络和外部网络之间的所有活动，它能够有效监控内部网络和外部网络之间的所有活动，主主要功能要功能如下：如下：l（1 1）建立一个集中的监

6、视点。）建立一个集中的监视点。l（2）隔绝内、外网络，保护内部网络。隔绝内、外网络，保护内部网络。l（3）强化网络安全策略。强化网络安全策略。l（4）有效记录和审计内、外网络之间的活动。有效记录和审计内、外网络之间的活动。9.1 防火墙概述防火墙概述经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用9.1.2 防火墙的特性防火墙的特性（1）安全、成熟、国际领先的特性。）安全、成熟、国际领先的特性。（2）具有专有的硬件平台和操作系统平台。）具有专有的硬件平台和操作系统平台。（3）采用高性能的全状态检测（）采用高性能的

7、全状态检测（Stateful Inspection）技术。）技术。（4）具有优异的管理功能，提供优异的）具有优异的管理功能，提供优异的GUI管理界面。管理界面。（5）支持多种用户认证类型和多种认证机制。）支持多种用户认证类型和多种认证机制。（6）需要支持用户分组，并支持分组认证和授权。）需要支持用户分组，并支持分组认证和授权。（7）支持内容过滤。）支持内容过滤。（8）支持动态和静态地址翻译）支持动态和静态地址翻译(NAT)。（9）支持高可用性，单台防火墙的故障不能影响系统的正常）支持高可用性，单台防火墙的故障不能影响系统的正常运行。运行。9.1 防火墙概述防火墙概述经营者提供商品或者服务有欺诈

8、行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用9.1.2 防火墙的特性防火墙的特性（10）支持本地管理和远程管理。）支持本地管理和远程管理。（11）支持日志管理和对日志的统计分析。）支持日志管理和对日志的统计分析。（12）实时告警功能，在不影响性能的情况下，支持较大数）实时告警功能，在不影响性能的情况下，支持较大数量的连接数。量的连接数。（13）在保持足够的性能指标的前提下，能够提供尽量丰富）在保持足够的性能指标的前提下，能够提供尽量丰富的功能。的功能。（14）可以划分很多不同安全级别的区域，相同安全级别可）可以划分很多不同安全级别的区域

9、，相同安全级别可控制是否相互通讯。控制是否相互通讯。（15）支持在线升级。）支持在线升级。（16）支持虚拟防火墙及对虚拟防火墙的资源限制等功能。）支持虚拟防火墙及对虚拟防火墙的资源限制等功能。（17）防火墙能够与入侵检测系统互动。）防火墙能够与入侵检测系统互动。9.1 防火墙概述防火墙概述经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用9.1.3 防火墙的主要缺陷防火墙的主要缺陷（1）不能防范）不能防范不经由防火墙不经由防火墙的攻击。的攻击。（2）防火墙是一种）防火墙是一种被动被动安全策略执行设备，即对安全策略执

10、行设备，即对于新的未知攻击或者策略配置有误，防火墙就无能于新的未知攻击或者策略配置有误，防火墙就无能为力了。为力了。（3）防火墙不能防止）防火墙不能防止利用标准网络协议中的缺陷利用标准网络协议中的缺陷进行的攻击。一旦防火墙允许某些标准网络协议，进行的攻击。一旦防火墙允许某些标准网络协议，就不能防止利用协议缺陷的攻击。就不能防止利用协议缺陷的攻击。（4）防火墙不能防止）防火墙不能防止利用服务器系统漏洞利用服务器系统漏洞进行的进行的攻击。攻击。9.1 防火墙概述防火墙概述经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费

11、用9.1.3 防火墙的主要缺点防火墙的主要缺点（5）防火墙不能防止）防火墙不能防止数据驱动式的攻击数据驱动式的攻击。（6）防火墙无法保证）防火墙无法保证准许服务的安全性准许服务的安全性。（7）防火墙不能防止）防火墙不能防止本身的安全漏洞威胁本身的安全漏洞威胁。（8）防火墙不能防止）防火墙不能防止感染了病毒的软件或文件的感染了病毒的软件或文件的传输传输。此外，防火墙在性能上不具备实时监控入侵的此外，防火墙在性能上不具备实时监控入侵的能力，其功能与速度成能力，其功能与速度成反比反比。防火墙的功能越多，。防火墙的功能越多，对对CPU和内存的消耗越大，速度越慢。管理上，人和内存的消耗越大，速度越慢。管

12、理上，人为因素对防火墙安全的影响也很大。因此，仅仅依为因素对防火墙安全的影响也很大。因此，仅仅依靠现有的防火墙技术，是远远不够的。靠现有的防火墙技术，是远远不够的。9.1 防火墙概述防火墙概述经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用9.2.1 以防火墙的软硬件形式分类以防火墙的软硬件形式分类 从防火墙的软硬件形式来分：从防火墙的软硬件形式来分：1软件防火墙软件防火墙 软件防火墙运行于特定的计算机上，需要客户预先安装软件防火墙运行于特定的计算机上，需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机

13、就是整个好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。俗称网络的网关。俗称“个人防火墙个人防火墙”。2硬件防火墙硬件防火墙 这里说的硬件防火墙是指这里说的硬件防火墙是指“所谓的硬件防火墙所谓的硬件防火墙”。之所。之所以加上以加上“所谓所谓”二字是针对芯片级防火墙说的。它们最大的二字是针对芯片级防火墙说的。它们最大的差别在于是否基于专用的硬件平台。差别在于是否基于专用的硬件平台。3芯片级防火墙芯片级防火墙 芯片级防火墙基于专门的硬件平台，没有操作系统。专芯片级防火墙基于专门的硬件平台，没有操作系统。专有的有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理芯片促使它们比其他

14、种类的防火墙速度更快，处理能力更强，性能更高。能力更强，性能更高。9.2 防火墙的类型防火墙的类型经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用9.2.2 以防火墙的技术分类以防火墙的技术分类 按照防火墙的技术分类，分为按照防火墙的技术分类，分为包过滤型包过滤型和和应用代理型应用代理型 1包过滤包过滤(Packet filtering)型型 包过滤型防火墙工作在包过滤型防火墙工作在OSI网络参考模型的网络层和传网络参考模型的网络层和传输层，根据数据包头源地址，目的地址、端口号和协议类输层，根据数据包头源地址，目

15、的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢才被转发到相应的目的地，其余数据包则被从数据流中丢弃。其网络结构如图弃。其网络结构如图9-2所示。所示。图图9-2 包过滤防火墙的网络结构包过滤防火墙的网络结构9.2 防火墙的类型防火墙的类型经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用 在整个防火墙技术的发展过程中，包过滤技术出现了两种在整个防火墙技术的发展过程中，包过滤技术出现了两种不同

16、版本，称为不同版本，称为“第一代静态包过滤第一代静态包过滤”和和“第二代动态包过滤第二代动态包过滤”。（1）第一代静态包过滤类型防火墙）第一代静态包过滤类型防火墙 这类防火墙几乎是与路由器同时产生的，它是根据定义好这类防火墙几乎是与路由器同时产生的，它是根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括息中包括IP源地址、源地址、IP目标地址、传输协议目标地址、传输协议(TCP、UDP、ICMP等等等等)、TCP

17、/UDP目标端口、目标端口、ICMP消息类型等。其数据消息类型等。其数据通路如图通路如图9-3所示。所示。图图9-3 第一代静态包过滤防火墙的数据通路第一代静态包过滤防火墙的数据通路9.2 防火墙的类型防火墙的类型经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用（2）第二代动态包过滤类型防火墙）第二代动态包过滤类型防火墙 这类防火墙采用动态设置包过滤规则的方法，避免了静这类防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为包状态监态包过滤所具有的问题。这种技术后来发展成为包状态

18、监测测(Stateful Inspection)技术。采用这种技术的防火墙对通技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目，具体的数据通路如图地在过滤规则中增加或更新条目，具体的数据通路如图9-4所示。所示。图图9-4 第二代包过滤防火墙的数据通路第二代包过滤防火墙的数据通路9.2 防火墙的类型防火墙的类型经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用2应用代理应用代理(Application Pr

19、oxy)型型 应用代理型防火墙是工作在应用代理型防火墙是工作在OSI的最高层，即应用层。的最高层，即应用层。其特点是完全其特点是完全“阻隔阻隔”了网络通信流，通过对每种应用服了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的务编制专门的代理程序，实现监视和控制应用层通信流的作用。其典型网络结构如图作用。其典型网络结构如图9-5所示所示。图图9-5 应用代理型防火墙的网络结构应用代理型防火墙的网络结构9.2 防火墙的类型防火墙的类型经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用 在代

20、理型防火墙技术发展中，经历了两个不同的版本。在代理型防火墙技术发展中，经历了两个不同的版本。（1）第一代应用网关）第一代应用网关(Application Gateway)型防火墙型防火墙 这类防火墙是通过一种代理这类防火墙是通过一种代理(Proxy)技术参与到一个技术参与到一个TCP连接的全过程。如图连接的全过程。如图9-6所示，从内部发出的数据包经所示，从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒

21、体公认为是最安全的防火墙。它火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。的核心技术就是代理服务器技术。图图9-6 第一代应用网关型防火墙数据通路第一代应用网关型防火墙数据通路9.2 防火墙的类型防火墙的类型经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用（2）第二代自适应代理）第二代自适应代理(Adaptive proxy)型防火墙型防火墙 它是近几年才得到广泛应用的一种新防火墙类型。它可它是近几年才得到广泛应用的一种新防火墙类型。它可以结合代理类型防火墙的安全性和包过滤防火墙

22、的高速度以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高性能提高10倍以上。此类防火墙的数据通路如图倍以上。此类防火墙的数据通路如图9-7所示。所示。组成这种类型防火墙的基本要素有两个：自适应代理服务组成这种类型防火墙的基本要素有两个：自适应代理服务器器(Adaptive Proxy Server)与动态包过滤器与动态包过滤器(Dynamic Packet filter)。图图9-7 第二代自适应代理型防火墙数据通路第二代自适应代理型防火墙数据通路9.2 防火墙的类型防火墙的类型经营者

23、提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用*9.2.3 以防火墙体系结构分类以防火墙体系结构分类 主要有：主要有：单一主机防火墙单一主机防火墙、路由器集成式防火墙路由器集成式防火墙和和分布分布式防火墙式防火墙三种。三种。（1）单一主机防火墙是最为传统的防火墙，独立于其它网）单一主机防火墙是最为传统的防火墙，独立于其它网络设备，它位于络设备，它位于网络边界网络边界。（2）路由器集成式防火墙是将防火墙功能集成在中、高档）路由器集成式防火墙是将防火墙功能集成在中、高档路由器中，大大降低了网络设备购买成本。路由器中，大大

24、降低了网络设备购买成本。（3）分布式防火墙不是只是位于网络边界，而是渗透于网）分布式防火墙不是只是位于网络边界，而是渗透于网络的每一台主机，对整个内部网络的主机实施保护。络的每一台主机，对整个内部网络的主机实施保护。9.2 防火墙的类型防火墙的类型经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用9.2.4 防火墙在性能等级上的分类防火墙在性能等级上的分类 如果按防火墙的性能来分可以分为如果按防火墙的性能来分可以分为百兆级防火墙百兆级防火墙和和千千兆级防火墙兆级防火墙两类。两类。因为防火墙通常位于网络边界，所以不可

25、能只是十兆级因为防火墙通常位于网络边界，所以不可能只是十兆级的。这主要是指防火的通道带宽的。这主要是指防火的通道带宽(Bandwidth)，或者说是吞，或者说是吞吐率。当然通道带宽越宽，性能越高，这样的防火墙因包吐率。当然通道带宽越宽，性能越高，这样的防火墙因包过滤或应用代理所产生的延时也越小，对整个网络通信性过滤或应用代理所产生的延时也越小，对整个网络通信性能的影响也就越小。能的影响也就越小。讨论思考：讨论思考：讨论思考：讨论思考：（1 1 1 1）软件防火墙、硬件防火墙和芯片防火墙的主要区别是什么？）软件防火墙、硬件防火墙和芯片防火墙的主要区别是什么？）软件防火墙、硬件防火墙和芯片防火墙的

26、主要区别是什么？）软件防火墙、硬件防火墙和芯片防火墙的主要区别是什么？（2 2 2 2）包过滤防火墙工作在）包过滤防火墙工作在）包过滤防火墙工作在）包过滤防火墙工作在OSIOSIOSIOSI模型的哪一层？模型的哪一层？模型的哪一层？模型的哪一层？（3 3 3 3）应用代理防火墙为什么比包过滤防火墙的性能要好？）应用代理防火墙为什么比包过滤防火墙的性能要好？）应用代理防火墙为什么比包过滤防火墙的性能要好？）应用代理防火墙为什么比包过滤防火墙的性能要好？（4 4 4 4）什么是）什么是）什么是）什么是DMZDMZDMZDMZ？有什么作用？有什么作用？有什么作用？有什么作用？9.2 防火墙的类型防火

27、墙的类型经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用9.3.1 企业网络体系结构企业网络体系结构 企业网络体系结构如图企业网络体系结构如图9-8所示，通常由三个区域组成：所示，通常由三个区域组成：边界网络边界网络：此网络通过路由器直接面向：此网络通过路由器直接面向 Internet，应该以基，应该以基本网络通信筛选的形式提供初始层面的保护。本网络通信筛选的形式提供初始层面的保护。外围网络外围网络：此网络通常称为：此网络通常称为 DMZ（demilitarized zone network，无戒备区网络）或者边

28、缘网络，它将外来用户与，无戒备区网络）或者边缘网络，它将外来用户与 Web 服务器或其他服务链接起来。然后，服务器或其他服务链接起来。然后，Web 服务器将通过内服务器将通过内部防火墙链接到内部网络。部防火墙链接到内部网络。内部网络内部网络：内部网络则链接各个内部服务器（如：内部网络则链接各个内部服务器（如 SQL Server）和内部用户。）和内部用户。9.3 防火墙的主要应用防火墙的主要应用图图9-8 企业网络体系结构企业网络体系结构经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用图图9-9 使用天网防火墙典

29、型企业结构使用天网防火墙典型企业结构以天网防火墙为例，以天网防火墙为例，组建的小型企业网络方案组建的小型企业网络方案如图如图9-9所示。所示。9.3 防火墙的主要应用防火墙的主要应用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用9.3.2 内部防火墙系统应用内部防火墙系统应用 内部防火墙用于控制对内网访问和从内网访问。用户类型：内部防火墙用于控制对内网访问和从内网访问。用户类型：1）完全信任用户完全信任用户：例如组织的雇员，可以是要到外围区域或：例如组织的雇员，可以是要到外围区域或 Internet 的内部用户

30、、外部用户（如分支办事处工作人员）、远的内部用户、外部用户（如分支办事处工作人员）、远程用户或在家中办公的用户。程用户或在家中办公的用户。2）部分信任用户部分信任用户：例如组织的业务合作伙伴，这类用户的信：例如组织的业务合作伙伴，这类用户的信任级别比不受信任的用户高。但是，其信任级别经常比组织的雇任级别比不受信任的用户高。但是，其信任级别经常比组织的雇员要低。员要低。3）不信任用户不信任用户：例如组织公共网站的用户。：例如组织公共网站的用户。9.3 防火墙的主要应用防火墙的主要应用表表 9-1内部防火内部防火墙类别选择问题墙类别选择问题问题问题以此容量以此容量实现实现的防火的防火墙墙的典型特征

31、的典型特征所需的防火墙功能，如安全管理员所指定的这是所需的安全程度与功能的成本以及增加的安全可能导致的性能的潜在下降之间的权衡。虽然许多组织希望这一容量的防火墙提供最高的安全性，但是有些组织并不愿意接受伴随而来的性能降低。例如，对于容量非常大的非电子商务网站，基于通过使用静态数据包筛选器而不是应用程序层筛选获得的较高级别的吞吐量，可能允许较低级别的安全。无论是专用物理设备，提供其他功能，还是物理设备上的逻辑防火墙这取决于所需的性能、数据的敏感性和需要从外围区域进行访问的频率。设备的管理功能要求如组织的管理体系结构所指定的。通常使用某种形式的日志，但是通常还需要事件监视机制。您可能在这里选择不允

32、许远程管理以阻止恶意用户远程管理设备。吞吐量要求很可能由组织内的网络和服务管理员来确定。这些将根据每个环境而变化，但是设备或服务器中硬件的功能以及要使用的防火墙功能将确定整个网络的可用吞吐量。可用性要求也要取决于来自Web 服务器的访问要求。如果它们主要用于处理提供网页的信息请求，则内部网络的通信量将很低。但是，电子商务环境将需要高级别的可用性经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用1.内部防火墙规则内部防火墙规则 堡堡垒垒（Bastion）主主机机，堡堡垒垒主主机机是是位位于于外外围围网网络络中中的的服

33、服务务器器，向向内内部部和和外外部部用用户户提提供供服服务务。堡堡垒垒主主机机包包括括 Web 服务器和服务器和 VPN 服务器。服务器。2.内部防火墙的可用性内部防火墙的可用性 为为了了增增加加防防火火墙墙的的可可用用性性，可可以以将将它它实实现现为为具具有有或或不不具具有有冗冗余余组组件件的的单单一一防防火火墙墙设设备备，或或者者合合并并了了某某些些类类型型的的故故障转移和障转移和/或负载平衡机制的防火墙的冗余对。或负载平衡机制的防火墙的冗余对。9.3 防火墙的主要应用防火墙的主要应用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商

34、品的价款或接受服务的费用（1）没有冗余组件的单一防火墙）没有冗余组件的单一防火墙（2）具有冗余组件的单一防火墙）具有冗余组件的单一防火墙图图9-10没有冗余组件的单一防火墙没有冗余组件的单一防火墙 图图9-11 具有冗余组件的单一防火墙具有冗余组件的单一防火墙9.3 防火墙的主要应用防火墙的主要应用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用（3）容错防火墙）容错防火墙 图图9-12 容错防火墙容错防火墙 9.3 防火墙的主要应用防火墙的主要应用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿

35、其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用9.3.3 外围防火墙系统设计外围防火墙系统设计 设置外围防火墙是为了满足组织边界之外用户的需要。这些设置外围防火墙是为了满足组织边界之外用户的需要。这些用户类型包括：用户类型包括：完全信任用户：完全信任用户：例如组织的员工，如各个分支办事处工作人例如组织的员工，如各个分支办事处工作人员、远程用户或者在家工作的用户。员、远程用户或者在家工作的用户。部分信任用户：部分信任用户：例如组织的业务合作伙伴，这类用户的信任例如组织的业务合作伙伴，这类用户的信任级别比不受信任的用户高。但是，这类用户通常又比组织的员工级别比不受信任的用户高。

36、但是，这类用户通常又比组织的员工低一个信任级别。低一个信任级别。不信任用户：不信任用户：例如组织公共网站的用户。例如组织公共网站的用户。9.3 防火墙的主要应用防火墙的主要应用表表9-2 外外围围防火防火墙类别选择问题墙类别选择问题问题在此位置实现的典型防火墙特征安全管理员指定的必需防火墙功能这是一个必需安全性级别与功能成本以及增加安全性可能导致的性能下降之间的平衡问题。虽然很多组织想通过外围防火墙得到最高的安全性，但有些组织不想影响性能。例如，不涉及电子商务的高容量网站，在通过使用静态数据包筛选器而不是使用应用程序层筛选而获取较高级别吞吐量的基础上，可能允许较低级别的安全性。该设备是一个专门

37、的物理设备、提供其他功能，还是物理设备上的一个逻辑防火墙作为 Internet 和企业网络之间的通道，外围防火墙通常实现为专用的设备，这样是为了在该设备被侵入时将攻击的范围和内部网络的可访问性降到最低。组织的管理体系结构决定了设备的可管理性要求通常，需要使用某些形式的记录，一般还同时需要一种事件监视机制。为了防止恶意用户远程管理该设备，此处可能不允许远程管理，而只允许本地管理。吞吐量要求可能是由组织内部的网络和服务管理员决定的这些要求会根据每个环境的不同而发生变化，但是设备或者服务器中的硬件处理能力以及所使用的防火墙功能将决定可用的网络整体吞吐量。可用性要求作为大型组织通往 Internet

38、的通道，通常需要高级的可用性，尤其是当外围防火墙用于保护一个产生营业收入的网站时。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用1.外围防火墙规则外围防火墙规则2.外围防火墙可用性外围防火墙可用性（1）单个无冗余组件的防火墙）单个无冗余组件的防火墙图图9-13 单个无冗余组件的防火墙单个无冗余组件的防火墙 9.3 防火墙的主要应用防火墙的主要应用图图9-14 单个带冗余组件的防火墙单个带冗余组件的防火墙（2）单个带冗余组件的防火墙）单个带冗余组件的防火墙经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增

39、加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用（3）容错防火墙）容错防火墙图图9-15 容错防火墙容错防火墙 9.3 防火墙的主要应用防火墙的主要应用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用9.3.4 用防火墙阻止用防火墙阻止SYN Flood攻击攻击 1SYN Flood攻击原理攻击原理 SYN Flood攻攻击击所所利利用用的的是是TCP协协议议存存在在的的漏漏洞洞。TCP协协议议是是面面向向连连接接的的，在在每每次次发发送送数数据据以以前前，都都会会在在服服务务器器与与客客

40、户户端端之之间间先先虚虚拟拟出出一一条条路路线线，称称TCP连连接接，以以后后的的各各数数据据通通信信都都经经由由该该路路线线进进行行，直直到到本本次次TCP连连接接结结束束。而而UDP协协议议则则是是无无连连接接的的协协议议，基基于于UDP协协议议的的通通信信，各各数数据据报报并并不不经经由由相相同同的的路路线线。在在整整个个TCP连连接接中中需需要要经经过过三三次次协协商商，俗称俗称“三次握手三次握手”来完成。来完成。9.3 防火墙的主要应用防火墙的主要应用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用 第

41、一次：客户端发送一个带有第一次：客户端发送一个带有SYN标记的标记的TCP报文报文到服务端，正式开始到服务端，正式开始TCP连接请求。在发送的报文中连接请求。在发送的报文中指定了自己所用的端口号以及指定了自己所用的端口号以及TCP连接初始序号等信连接初始序号等信息。息。第二次：服务器端在接收到来自客户端的请求之后第二次：服务器端在接收到来自客户端的请求之后,返回一个带有返回一个带有SYN+ACK标记的报文，表示接受连接标记的报文，表示接受连接,并将并将TCP序号加序号加l。第三次：客户端接收到来自服务器端的确认信息后第三次：客户端接收到来自服务器端的确认信息后,也返回一个带有也返回一个带有AC

42、K标记的报文，表示已经接收到来标记的报文，表示已经接收到来自服务器端的确认信息。服务器端在得到该数据报文自服务器端的确认信息。服务器端在得到该数据报文后，一个后，一个TCP连接才算真正建立起来。连接才算真正建立起来。9.3 防火墙的主要应用防火墙的主要应用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用 在以上三次握手中，当客户端发送一个在以上三次握手中，当客户端发送一个TCP连接请求连接请求给服务器端，服务器也发出了相应的响应数据报文之后给服务器端，服务器也发出了相应的响应数据报文之后,可能由于某些原因（如客户

43、端突然死机或断网等原因），可能由于某些原因（如客户端突然死机或断网等原因），客户端不能接收到来自服务器端的确认数据报，这就造客户端不能接收到来自服务器端的确认数据报，这就造成了以上三次连接中的第一次和第二次握手的成了以上三次连接中的第一次和第二次握手的TCP半连半连接接。由于服务器端发出了带。由于服务器端发出了带SYN+ACK标记的报文，却并标记的报文，却并没有得到客户端返回相应的没有得到客户端返回相应的ACK报文，于是服务器就进报文，于是服务器就进入等待状态，并定期反复进行入等待状态，并定期反复进行SYN+ACK报文重发，直到报文重发，直到客户端确认收到为止。这样服务器端就会一直处于等待客户

44、端确认收到为止。这样服务器端就会一直处于等待状态，使得状态，使得CPU及其他资源严重消耗，不仅服务器可能及其他资源严重消耗，不仅服务器可能崩溃，而且网络也可能处于瘫痪。崩溃，而且网络也可能处于瘫痪。9.3 防火墙的主要应用防火墙的主要应用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用 SYN Flood攻击正是利用了攻击正是利用了TCP连接的这样一个漏洞来连接的这样一个漏洞来实现攻击目的的。当恶意的客户端构造出大量的这种实现攻击目的的。当恶意的客户端构造出大量的这种TCP半连接发送到服务器端时，服务器端就会一直

45、陷入等待的半连接发送到服务器端时，服务器端就会一直陷入等待的过程中，并且耗用大量的过程中，并且耗用大量的CPU资源和内存资源来进行资源和内存资源来进行SYN+ACK报文的重发，最终使得服务器端崩溃。报文的重发，最终使得服务器端崩溃。2用防火墙防御用防火墙防御SYN Flood攻击攻击 （1）两种主要类型防火墙（包过滤型和应用代理型防）两种主要类型防火墙（包过滤型和应用代理型防火墙）的防御原理火墙）的防御原理 9.3 防火墙的主要应用防火墙的主要应用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用 应用代理型防火墙

46、的防御方法应用代理型防火墙的防御方法是客户端要与服务器建立是客户端要与服务器建立TCP连接的三次握手过程中，充当代理角色，这样客户端连接的三次握手过程中，充当代理角色，这样客户端要与服务器端建立一个要与服务器端建立一个TCP连接，就必须先与防火墙进行连接，就必须先与防火墙进行三次三次TCP握手，当客户端和防火墙三次握手成功之后，再握手，当客户端和防火墙三次握手成功之后，再由防火墙与客户端进行三次由防火墙与客户端进行三次TCP握手，完成后再进行一个握手，完成后再进行一个TCP连接的三次握手。防火墙相当于起到一种隔离保护作连接的三次握手。防火墙相当于起到一种隔离保护作用，安全性较高。当外界对内部网

47、络中的服务器端进行用，安全性较高。当外界对内部网络中的服务器端进行SYN Flood攻击时，实际上遭受攻击的不是服务器而是防攻击时，实际上遭受攻击的不是服务器而是防火墙。而防火墙自身则又是具有抗攻击能力的，可以通过火墙。而防火墙自身则又是具有抗攻击能力的，可以通过规则设置，拒绝外界客户端不断发送的规则设置，拒绝外界客户端不断发送的SYN+ACK报文。如报文。如图图9-16所示。所示。9.3 防火墙的主要应用防火墙的主要应用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用图9-16 两个三次握手过程 从整个过程可以

48、看出，由于所有的报文都是通过防火墙转从整个过程可以看出，由于所有的报文都是通过防火墙转发，而且未同防火墙建立起发，而且未同防火墙建立起TCP连接就无法同服务器端建立连连接就无法同服务器端建立连接，所以使用这种防火墙就相当于起到一种隔离保护作用，安接，所以使用这种防火墙就相当于起到一种隔离保护作用，安全性较高。当外界对内部网络中的服务器端进行全性较高。当外界对内部网络中的服务器端进行SYN Flood攻攻击时，实际上遭受攻击的不是服务器而是防火墙。而防火墙自击时，实际上遭受攻击的不是服务器而是防火墙。而防火墙自身则又是具有抗攻击能力的，可以通过规则设置，拒绝外界客身则又是具有抗攻击能力的，可以通

49、过规则设置，拒绝外界客户端不断发送的户端不断发送的SYN+ACK报文。报文。服务器端防火墙客户端第一个三次握手第二个三次握手9.3 防火墙的主要应用防火墙的主要应用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用 包过滤型防火墙包过滤型防火墙是工作于是工作于IP层或者层或者IP层之下，对于层之下，对于外来的数据报文，它只是起一个过滤的作用。当数据外来的数据报文，它只是起一个过滤的作用。当数据包合法时，它就直接将其转发给服务器，起到的是转包合法时，它就直接将其转发给服务器，起到的是转发作用。发作用。在包过滤型防火墙

50、中，客户端同服务器的三次握手在包过滤型防火墙中，客户端同服务器的三次握手直接进行，并不需要通过防火墙来代理进行。包过滤直接进行，并不需要通过防火墙来代理进行。包过滤型防火墙效率要较网关型防火墙高，允许数据流量大。型防火墙效率要较网关型防火墙高，允许数据流量大。但是这种防火墙如果配置不当的话，会让攻击者绕过但是这种防火墙如果配置不当的话，会让攻击者绕过防火墙而直接攻击到服务器。而且允许数据量大会更防火墙而直接攻击到服务器。而且允许数据量大会更有利于有利于SYN Flood攻击。这种防火墙适合于大流量的攻击。这种防火墙适合于大流量的服务器，但是需要设置妥当才能保证服务器具有较高服务器，但是需要设置