防火墙技术-计算机安全保密技术课程-教学课件.ppt

《防火墙技术-计算机安全保密技术课程-教学课件.ppt》由会员分享，可在线阅读，更多相关《防火墙技术-计算机安全保密技术课程-教学课件.ppt（29页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、防火墙技术教材 第8 章内容n TCP/IP 基础n 防火墙n 防火墙的基本介绍n 几种防火墙的类型n 防火墙的配置n 防火墙技术的发展安全层次安全的密码算法安全协议网络安全系统安全应用安全防火墙(Firewall)n 防火墙的基本设计目标n 对于一个网络来说，所有通过“内部”和“外部”的网络流量都要经过防火墙n 通过一些安全策略，来保证只有经过授权的流量才可以通过防火墙n 防火墙本身必须建立在安全操作系统的基础上n 防火墙的控制能力n 服务控制，确定哪些服务可以被访问n 方向控制，对于特定的服务，可以确定允许哪个方向能够通过防火墙n 用户控制，根据用户来控制对服务的访问n 行为控制，控制一个

2、特定的服务的行为防火墙的基本功能n 强化安全策略n 有效记录网上活动n 限制暴露用户点n 安全策略检查站防火墙本身的一些局限性n 对于绕过防火墙的攻击，它无能为力，例如，在防火墙内部通过拨号出去n 防火墙不能防止内部的攻击，以及内部人员与外部人员的联合攻击(比如，通过tunnel 进入)n 防火墙不能防止被病毒感染的程序或者文件、邮件等n 防火墙不能防备全部的威胁防火墙体系结构n 几个概念n 堡垒主机(Bastion Host)：对外部网络暴露，同时也是内部网络用户的主要连接点n 双宿主主机(dual-homed host)：至少有两个网络接口的通用计算机系统n DMZ(Demilitariz

3、ed Zone，非军事区或者停火区)：在内部网络和外部网络之间增加的一个子网配置方案一n 双宿主堡垒主机方案n 所有的流量都通过堡垒主机n 优点：简单配置方案二n 主机过滤方案：单宿主堡垒主机n 只允许堡垒主机可以与外界直接通讯n 优点：两层保护：包过滤+应用层网关；灵活配置 n 缺点：一旦包过滤路由器被攻破，则内部网络被暴露配置方案四n 子网过滤防火墙n 优点：n 三层防护，用来阻止入侵者n 外面的router 只向Internet 暴露屏蔽子网中的主机n 内部的router 只向内部私有网暴露屏蔽子网中的主机防火墙的相关概念n 包过滤路由器n 代理 应用层网关n 电路层网关包过滤路由器n

4、基本的思想很简单n 对于每个进来的包，适用一组规则，然后决定转发或者丢弃该包n 往往配置成双向的n 如何过滤n 过滤的规则以IP 和传输层的头中的域(字段)为基础，包括源和目标IP 地址、IP 协议域、源和目标端口号n 过滤器往往建立一组规则，根据IP 包是否匹配规则中指定的条件来作出决定。n 如果匹配到一条规则，则根据此规则决定转发或者丢弃n 如果所有规则都不匹配，则根据缺省策略包过滤路由器示意图网络层链路层物理层外部网络内部网络包过滤防火墙n 在网络层上进行监测n 并没有考虑连接状态信息n 通常在路由器上实现n 实际上是一种网络的访问控制机制n 优点：n 实现简单n 对用户透明n 效率高n

5、 缺点：n 正确制定规则并不容易n 不可能引入认证机制n 举例：ipchains and iptablesLinux 内核2.2 中的包的流向sys_write()sock_write()inet_sendmsg()tcp_v4_sendmsg()tcp_do_sendmsg()tcp_send_skb()tcp_transmit_skb()ip_queue_xmit()ip_output()ip_finish_output()dev_queue_xmit()hard_start_xmit()sys_read()sock_read()inet_recvmsg()tcp_recvmsg()tcp

6、_v4_recv()ip_local_deliver()ip_rcv()net_bh()Netif_rx()Block_input()ei_receive()ei_interrupt()output input包过滤防火墙的设置(1)n 从内往外的telnet 服务client server外部内部往外包的特性(用户操作信息)IP 源是内部地址目标地址为serverTCP 协议，目标端口23源端口1023连接的第一个包ACK=0，其他包ACK=1往内包的特性(显示信息)IP 源是server目标地址为内部地址TCP 协议，源端口23目标端口1023所有往内的包都是ACK=1包过滤防火墙的设置(

7、2)n 从外往内的telnet 服务client server内部 外部往内包的特性(用户操作信息)IP 源是外部地址目标地址为本地serverTCP 协议，目标端口23源端口1023连接的第一个包ACK=0，其他包ACK=1往外包的特性(显示信息)IP 源是本地server目标地址为外部地址TCP 协议，源端口23目标端口1023所有往内的包都是ACK=1Ftp 文件传输协议client命令通道：21端口数据通道：20端口5151 515021 20PORT 5151OK建立数据通道OKFtp 文件传输协议(续)client命令通道：21端口数据通道：10235151 515021 20PA

8、SVOK3267建立数据通道OK3267针对ftp 的包过滤规则注意事项n 建立一组复杂的规则集n 是否允许正常模式的ftp 数据通道？n 有些不支持pasv 模式n 动态监视ftp 通道发出的port 命令n 有一些动态包过滤防火墙可以做到n 启示n 包过滤防火墙比较适合于单连接的服务(比如smtp,pop3)，不适合于多连接的服务(比如ftp)应用层网关 代理服务器n 发展方向 智能代理n 不仅仅完成基本的代理访问功能n 还可以实现其他的附加功能，比如n 对于内容的自适应剪裁n 增加计费功能n 提供数据缓冲服务n 代理服务器的实现例子n MSP Microsoft Proxy ServerMicrosoft Proxy Server 2.0n 一个功能强大的代理服务器n 提供常用的Internet 服务n 除了基本的Web Proxy，还有Socks Proxy 和Winsock Proxyn 强大的cache 和log 功能n 对于软硬件的要求比较低n 安装管理简单n 与NT/2000 集成的认证机制n 扩展的一些功能n 反向proxy:proxy 作为Internet 上的一个Web servern 反向hosting，以虚拟Web Server 的方式为后面的Web Server 独立地发布到Internet 上n 安全报警