第5章防火墙技术PPT学习课件.ppt

《第5章防火墙技术PPT学习课件.ppt》由会员分享，可在线阅读，更多相关《第5章防火墙技术PPT学习课件.ppt（45页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、防火墙技术防火墙技术11 防火墙的定义防火墙的定义n防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力，它是提供信息安全服务、实现网络和信息安全的基础设施。图 1为防火墙示意图。2图图 1防火墙示意图防火墙示意图 3防火墙的发展简史防火墙的发展简史n第一代防火墙：采用了包过滤（Packet Filter）技术。n第二、三代防火墙：1989年，推出了电路层防火墙，和应用层防火墙的初步结构。n第四代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。n第五代防火墙：1998年，NAI公司推出了一种自

2、适应代理技术，可以称之为第五代防火墙。4图图 2防火墙技术的简单发展历史防火墙技术的简单发展历史 5设置防火墙的目的和功能设置防火墙的目的和功能n（1）防火墙是网络安全的屏障n（2）防火墙可以强化网络安全策略n（3）对网络存取和访问进行监控审计n（4）防止内部信息的外泄6防火墙的局限性防火墙的局限性n限制有用的网络服务。限制有用的网络服务。n无法防护内部网用户的攻击。无法防护内部网用户的攻击。n防火墙无法防范通过防火墙以外的其防火墙无法防范通过防火墙以外的其他途径的攻击。他途径的攻击。n防火墙也不能完全防止传送已感染病防火墙也不能完全防止传送已感染病毒的软件或文件。毒的软件或文件。n防火墙无法

3、防范数据驱动型的攻击。防火墙无法防范数据驱动型的攻击。n不能防备新的网络安全问题。不能防备新的网络安全问题。72 防火墙技术发展动态和趋势防火墙技术发展动态和趋势n（1）优良的性能n（2）可扩展的结构和功能n（3）简化的安装与管理n（4）主动过滤n（5）防病毒与防黑客8 3 防火墙的体系结构防火墙的体系结构 防火墙按体系结构可以分为包过滤防火墙、屏防火墙按体系结构可以分为包过滤防火墙、屏蔽主机防火墙、屏蔽子网防火墙、多宿主主机防火蔽主机防火墙、屏蔽子网防火墙、多宿主主机防火墙和通过混合组合而衍生的其他结构的防火墙。墙和通过混合组合而衍生的其他结构的防火墙。3.1 包过滤型防火墙包过滤型防火墙

4、包过滤型防火墙的核心技术就是安全策略设计包过滤型防火墙的核心技术就是安全策略设计即包过滤算法的设计。即包过滤算法的设计。9图 5包过滤型防火墙 10包过滤型防火墙具有以下优点。包过滤型防火墙具有以下优点。（1 1）处处理理包包的的速速度度比比代代理理服服务务器器快快，过过滤滤路路由由器器为为用用户户提提供供了了一一种种透透明明的的服服务务，用用户户不不用用改改变客户端程序或改变自己的行为。变客户端程序或改变自己的行为。（2 2）实实现现包包过过滤滤几几乎乎不不再再需需要要费费用用（或或极极少少的的费费用用），因因为为这这些些特特点点都都包包含含在在标标准准的的路路由由器器软件中。软件中。（3

5、3）包包过过滤滤路路由由器器对对用用户户和和应应用用来来讲讲是是透透明明的。的。11包过滤型防火墙存在以下的缺点。包过滤型防火墙存在以下的缺点。（1 1）防火墙的维护比较困难，定义数据包过滤器）防火墙的维护比较困难，定义数据包过滤器会比较复杂，因为网络管理员需要对各种会比较复杂，因为网络管理员需要对各种InternetInternet服务、包头格式以及每个域的意义有非常深入的理服务、包头格式以及每个域的意义有非常深入的理解，才能将过滤规则集尽量定义得完善。解，才能将过滤规则集尽量定义得完善。（2 2）只能阻止一种类型的）只能阻止一种类型的IPIP欺骗，即外部主机伪欺骗，即外部主机伪装内部主机的

6、装内部主机的IPIP，对于外部主机伪装其他可信任的，对于外部主机伪装其他可信任的外部主机的外部主机的IPIP却不可阻止。却不可阻止。（3 3）任何直接经过路由器的数据包都有被用做数）任何直接经过路由器的数据包都有被用做数据驱动攻击的潜在危险。据驱动攻击的潜在危险。12（4 4）一些包过滤网关不支持有效的用户认证。）一些包过滤网关不支持有效的用户认证。（5 5）不不可可能能提提供供有有用用的的日日志志，或或根根本本就就不不提提供供，这这使使用用户户发发觉觉网网络络受受攻攻击击的的难难度度加加大大，也也就就谈谈不不上上根根据据日日志志来来进进行行网网络络的的优优化化、完完善善以以及及追追查查责责任

7、。任。（6 6）随随着着过过滤滤器器数数目目的的增增加加，路路由由器器的的吞吞吐吐量量会下降。会下降。（7 7）IPIP包包过过滤滤器器无无法法对对网网络络上上流流动动的的信信息息提提供供全面的控制。全面的控制。（8 8）允允许许外外部部网网络络直直接接连连接接到到内内部部网网络络的的主主机机上，易造成敏感数据的泄漏。上，易造成敏感数据的泄漏。13包过滤路由器常见的攻击有以下几种。包过滤路由器常见的攻击有以下几种。（1）源）源IP地址欺骗式攻击。地址欺骗式攻击。（2 2）源路由攻击。）源路由攻击。（3 3）极小数据段式攻击。）极小数据段式攻击。14 3.2 多宿主主机（多宿主网关）防火墙多宿主

8、主机（多宿主网关）防火墙 多宿主主机拥有多个网络接口，每一个多宿主主机拥有多个网络接口，每一个接口都连在物理上和逻辑上都分离的不同的接口都连在物理上和逻辑上都分离的不同的网段上。每个不同的网络接口分别连接不同网段上。每个不同的网络接口分别连接不同的子网，不同子网之间的相互访问实施不同的子网，不同子网之间的相互访问实施不同的访问控制策略。的访问控制策略。15图 6双宿主机防火墙16 双宿主主机防火墙采用主机取代路由器执双宿主主机防火墙采用主机取代路由器执行安全控制功能，故类似于包过滤防火墙，双行安全控制功能，故类似于包过滤防火墙，双宿主主机可以在内部网络和外部网络之间进行宿主主机可以在内部网络和

9、外部网络之间进行寻径。寻径。双宿主主机防火墙的最大特点是双宿主主机防火墙的最大特点是IPIP层的通层的通信被阻止，两个网络之间的通信可通过应用层信被阻止，两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成，而不能直数据共享或应用层代理服务来完成，而不能直接通信。接通信。17图 8运行代理服务器的双宿主机 使用双宿主主机作为防火墙，防火墙本身使用双宿主主机作为防火墙，防火墙本身的安全性至关重要。的安全性至关重要。18 3.3 屏蔽主机型防火墙屏蔽主机型防火墙 屏蔽主机型防火墙由堡垒主机和包过滤路由屏蔽主机型防火墙由堡垒主机和包过滤路由器组成，所有的外部主机与一个堡垒主机相连接器组成，所

10、有的外部主机与一个堡垒主机相连接而不让它们与内部主机直接相连。而不让它们与内部主机直接相连。19图 10被屏蔽主机结构 20图 11堡垒主机转发数据包 21 3.4 屏蔽子网型防火墙屏蔽子网型防火墙图 12被屏蔽子网防火墙系统（DMZ）22 3.5 堡垒主机堡垒主机 堡垒主机是一种被强化的可以防御进攻的计算堡垒主机是一种被强化的可以防御进攻的计算机，是高度暴露于机，是高度暴露于Internet中的，也是网络中最容中的，也是网络中最容易受到侵害的主机。易受到侵害的主机。构筑堡垒主机的基本原则有以下两条。构筑堡垒主机的基本原则有以下两条。（1）使堡垒主机尽可能简单）使堡垒主机尽可能简单（2）做好备

11、份工作以防堡垒主机受损）做好备份工作以防堡垒主机受损231堡垒主机的主要结构堡垒主机的主要结构当前堡垒主机主要采用以下当前堡垒主机主要采用以下3种结构。种结构。（1）无路由双宿主主机）无路由双宿主主机（2）牺牲主机）牺牲主机（3）内部堡垒主机）内部堡垒主机24 4 4 防火墙的主要技术防火墙的主要技术 4.1 数据包过滤技术 数据包过滤技术是在网络中的适当位置对数据数据包过滤技术是在网络中的适当位置对数据包实施有选择的通过的技术。包实施有选择的通过的技术。25图 18包过滤模型 26包过滤一般要检查下面几项：包过滤一般要检查下面几项：（1 1）IPIP源地址；源地址；（2 2）IPIP目的地址

12、；目的地址；（3 3）协议类型（）协议类型（TCPTCP包、包、UDPUDP包和包和ICMPICMP包）；包）；（4 4）TCPTCP或或UDPUDP的源端口；的源端口；（5 5）TCPTCP或或UDPUDP的目的端口；的目的端口；（6 6）ICMPICMP消息类型；消息类型；（7 7）TCPTCP报头中的报头中的ACKACK位。位。另另外外，TCPTCP的的序序列列号号、确确认认号号，IPIP校校验验以以及及分分段段偏移也往往是要检查的选项。偏移也往往是要检查的选项。27包过滤技术的优点包过滤技术的优点 帮助保护整个网络，减少暴露的风险；帮助保护整个网络，减少暴露的风险；对用户完全透明，不需

13、要对客户端做任何改对用户完全透明，不需要对客户端做任何改动，也不需要对用户做任何培训；动，也不需要对用户做任何培训；很多路由器可以作数据包过滤，因此不需要很多路由器可以作数据包过滤，因此不需要专门添加设备。专门添加设备。28 包过滤最明显的缺陷是即使是最基本的网络包过滤最明显的缺陷是即使是最基本的网络服务和协议，它也不能提供足够的安全保护，包服务和协议，它也不能提供足够的安全保护，包过滤是不够安全的。过滤是不够安全的。包过滤规则难于配置。一旦配置，数据包过滤包过滤规则难于配置。一旦配置，数据包过滤规则也难于检验。规则也难于检验。包过滤仅可以访问包头信息中的有限信息。包过滤仅可以访问包头信息中的

14、有限信息。包过滤是无状态的，因为包过滤不能保持与传包过滤是无状态的，因为包过滤不能保持与传输相关的状态信息或与应用相关的状态信息。输相关的状态信息或与应用相关的状态信息。包过滤对信息的处理能力非常有限。包过滤对信息的处理能力非常有限。一些协议不适合用数据包过滤，如基于一些协议不适合用数据包过滤，如基于RPC的的应用的应用的“r”命令等。命令等。29 4.2 代理技术代理技术 代理技术也称为应用层网关技术，代理技术与代理技术也称为应用层网关技术，代理技术与包过滤技术完全不同，包过滤技术是在网络层拦截包过滤技术完全不同，包过滤技术是在网络层拦截所有的信息流，代理技术是针对每一个特定应用都所有的信息

15、流，代理技术是针对每一个特定应用都有的一个程序。有的一个程序。301 1应用级代理应用级代理 应用级代理有两种情况，一种是内部网通过应用级代理有两种情况，一种是内部网通过代理访问外部网。另一种情况是，外部网通过代代理访问外部网。另一种情况是，外部网通过代理访问内部网。理访问内部网。代理使得网络管理员能够实现比包过滤路由代理使得网络管理员能够实现比包过滤路由器更严格的安全策略，它会对应用程序的数据进器更严格的安全策略，它会对应用程序的数据进行校验以确保数据格式可以接受。行校验以确保数据格式可以接受。31 提供代理应用层网关主要有以下优点。提供代理应用层网关主要有以下优点。（1 1）应应用用层层网

16、网关关有有能能力力支支持持可可靠靠的的用用户户认认证证并并提供详细的注册信息。提供详细的注册信息。（2 2）应应用用层层的的过过滤滤规规则则相相对对于于包包过过滤滤路路由由器器来来说更容易配置和测试。说更容易配置和测试。（3 3）代代理理工工作作在在客客户户机机和和真真实实服服务务器器之之间间，完完全全控控制制会会话话，所所以以可可以以提提供供很很详详细细的的日日志志和和安安全全审计功能。审计功能。（4 4）提提供供代代理理服服务务的的防防火火墙墙可可以以被被配配置置成成惟惟一一的的可可被被外外部部看看见见的的主主机机，这这样样可可以以隐隐藏藏内内部部网网的的IPIP地址，可以保护内部主机免受

17、外部网的进攻。地址，可以保护内部主机免受外部网的进攻。（5 5）通通过过代代理理访访问问InternetInternet，可可以以解解决决合合法法的的IPIP地址不够用的问题。地址不够用的问题。32 然而，应用层代理也有明显的缺点，主要包括然而，应用层代理也有明显的缺点，主要包括以下几点。以下几点。（1 1）有限的连接性。）有限的连接性。（2 2）有限的技术。应用层网关不能为）有限的技术。应用层网关不能为RPCRPC、TalkTalk和其他一些基于通用协议簇的服务提供代理。和其他一些基于通用协议簇的服务提供代理。（3 3）性能。应用层实现的防火墙会造成明显的性）性能。应用层实现的防火墙会造成明

18、显的性能下降。能下降。33（4 4）每个应用程序都必须有一个代理服务程序来）每个应用程序都必须有一个代理服务程序来进行安全控制，每一种应用程序升级时，一般代进行安全控制，每一种应用程序升级时，一般代理服务程序也要升级。理服务程序也要升级。（5 5）应用层网关要求用户改变自己的行为，或者）应用层网关要求用户改变自己的行为，或者在访问代理服务的每个系统上安装特殊的软件。在访问代理服务的每个系统上安装特殊的软件。（6 6）对用户不透明。在一个要求用户接口和用户）对用户不透明。在一个要求用户接口和用户体系结构友好易操作的今天，这种体系结构友好易操作的今天，这种“不友好不友好”性性显得不合时宜。显得不合

19、时宜。342电路级网关代理技术电路级网关代理技术 应用层代理为一种特定的服务（如应用层代理为一种特定的服务（如FTP和和Telnet等）提供代理服务。等）提供代理服务。这种代理的优点是它可以对各种不同的协议提这种代理的优点是它可以对各种不同的协议提供服务，但这种代理需要改进客户程序。供服务，但这种代理需要改进客户程序。Socks是一种非常强大的电路级网关防火墙，它是一种非常强大的电路级网关防火墙，它只中继基于只中继基于TCP的数据包的数据包35图 28电路级网关 36图 29Socks服务器 37 4.3 状态检查技术状态检查技术 状态检查技术能在网络层实现所有需要的防火状态检查技术能在网络层

20、实现所有需要的防火墙能力，它既有包过滤机制的速度和灵活，也有应墙能力，它既有包过滤机制的速度和灵活，也有应用级网关安全的优点，它是包过滤器和应用级网关用级网关安全的优点，它是包过滤器和应用级网关功能的折衷。功能的折衷。38表 3防火墙技术比较表防火墙的能力包 过 滤 器代 理状 态 检 查传输的信息部分部分能传输状态不能部分能应用的状态不能能能信息处理部分能能39状态检查防火墙有如下的优点。状态检查防火墙有如下的优点。1高安全性高安全性2高效性高效性3伸缩性和易扩展性伸缩性和易扩展性4针对性针对性5应用范围广应用范围广40 4.4 地址翻译技术地址翻译技术 地址翻译（地址翻译（Network

21、Address Translation，NAT）就是将一个）就是将一个IP地址用另一个地址用另一个IP地址代替。地址代替。地址翻译主要用在以下两个方面。地址翻译主要用在以下两个方面。（1）网络管理员希望隐藏内部网络的）网络管理员希望隐藏内部网络的IP地址。地址。（2）内部网络的）内部网络的IP地址是无效的地址是无效的IP地址。地址。41 应用层网关有如下的缺陷。应用层网关有如下的缺陷。（1）要为每一种应用定制代理）要为每一种应用定制代理（2）代理是不透明的）代理是不透明的（3）应用层网关不能为基于）应用层网关不能为基于TCP以外的应用提供很以外的应用提供很好的提供代理。好的提供代理。地址翻译可以提供一种透明而完善的解决方案。地址翻译可以提供一种透明而完善的解决方案。网络管理员可以决定那些内部的网络管理员可以决定那些内部的IP地址需要隐藏，哪地址需要隐藏，哪些地址需要映射成为一个对些地址需要映射成为一个对Internet可见的可见的IP地址。地址。42图 31地址翻译 43图 32将内部地址翻译成网关地址 44地址翻译可以有多种模式，主要有如下几种。地址翻译可以有多种模式，主要有如下几种。（1 1）静态翻译）静态翻译（2）动态翻译）动态翻译（3）端口转换）端口转换（4）负载平衡翻译）负载平衡翻译（5）网络冗余翻译）网络冗余翻译45