第10讲防火墙技术.ppt

全军通信网络安全研究中心 第十讲 防火墙技术 防火墙概念 防火墙的作用:防止对内部网络的恶意攻击. 性质: 进出网络的双向信息流均必须通过防火墙. 只能允许授权的信息流通过. 防火墙不能影响网络信息的流通. 防火墙与ISO模型的关系 路由器防火墙（包过滤技术） 应用级网关（代理技术） 混合防火墙. 防火墙的分类 网络层防火墙 过滤路由器、过滤主机防火墙、过滤子网防火墙 应用层防火墙 代理服务器主机防火墙、双宿网关防火墙、电路网关防火墙 防火墙的问题 网络瓶颈 防火墙需要对所有信息流进行处理。 安全隐患 现实中，使用防火墙的网络往往没有其它安全保护。 不断更新 网络服务的增加，迫使应用代理防火墙不断更新。 路由器的安全机制 包过滤路由器操作方式 在包过滤设备端口设置包过滤标准，即包过滤规则； 当数据包到达包过滤路由器的端口时，包过滤路由器对其报头进行语法分析； 包过滤规则以特定方式存储。应用于数据包的规则与包过滤器规则存储的顺序相同； 包过滤路由器操作方式 如果一条规则阻止数据包传输或接收，此数据包便被禁止； 如果一条规则允许数据包传输或接收，该数据包可以被继续处理； 如果一个数据包不满足任何一条规则，该数据包被丢掉。 包过滤路由器的特点 不要求用户机器和主应用程序作出修改 工作速度很快 过滤路由器的实现比较简单 完成各种用户定制的过滤要求 过滤规则的制定和实施很麻烦、费时 对部分服务难以执行过滤任务 没有审核和报警功能（以前的防火墙） 无法察觉网络上的攻击 包过滤路由器其他安全机制 网络地址转换（network address translation--NAT）：在路由器设置NAT可以隐藏内部主机的地址。NAT可以动态改变通过路由器的IP报文的内容，以便修改报文的源地址或目的地址，离开路由器的报文的源地址或目的地址会被转换为不同地址。 在路由器内部有一个真（内部）、假（外部）地址转换表。 包过滤技术 根据过滤规则对TCP、UDP数据包进行检测.过滤规则规定了包的通过、丢弃和返回。包过滤防火墙从数据包中提取收发IP地址，TCP端口，TCP链路状态信息按预先设置的规则过滤。滤除不符合规定的IP包。 大多数路由器产品包含包过滤能力。 理解包过滤 包过滤和网络安全策略：网络安全策略主要集中在阻截入侵者，而不是试图警戒内部用户。 包过滤模型 学习目标 IP访问列表的关键功能和处理过程 配置标准IP访问列表 配置扩展IP访问列表 重点内容 掌握访问列表的使用环境和目的，区分标准访问列表和扩展访问列表的 掌握一般访问列表对数据包的处理过程 掌握如何为指定地址定义过滤的关键参数和掩码 掌握在多路由器环境下如何部署扩展访问列表以提高效率 依据策略配置标准访问列表和扩展访问列表 为什么要使用访问列表? 访问列表的应用 离开路由器的访问列表 访问列表检查：拒绝或者允许 访问列表的命令 访问列表编号 使用标准访问列表判断数据包 使用扩展访问列表判断数据包 通配符：检查相应的地址 使用通配符匹配一个指定的主机地址 使用通配符匹配所有的主机地址 使用通配符匹配一个IP子网 子网匹配举例 检查IP子网地址从/24到/24 上述例题的解决方案 无法使用一个通配符掩码完成匹配 将上述子网分解为两个子网 检查IP子网地址从/24到/24 检查指定子网/24 根据指定子网情况，可以将其分解为两个以上的子网，而后再设计所需要的通配符掩码 访问列表配置指导方针 访问列表编号表明过滤何种协议（IP或IPX） 每个访问列表用于一个端口、一种协议、一个方向（进出路由器） 访问列表的语句存储顺序决定数据包的判断顺序 最严格的语句应该放在访问列表的最前面 访问列表的最后默认拒绝任何数据包通过语句，因此在访问列表中至少要包含一条允许通过的语句 在将访问列表应用到某指定端口前，应先创建这个访问列表 访问列表仅仅用于过滤那些试图通过路由器的数据包，而不能用于那些路由器本身产生的数据包的过滤 标准IP访问列表的配置 标准IP访问列表的配置 如果在编写访问列表之前将访问列表配置到某端口，则默认所有数据包都可以通过。当第一条语句编写完成后，该访问列表在上述端口被激活，其可能的后果是绝大部分数据包被拒绝。 在删除时，应先将访问列表从指定端口删除，而后再删除访问列表。如果删除一个访问列表，则该表应用的所有端口都被取消。如果在老本本的IOS，可能会导致出现故障。 标准访问列表示例2 标准访问列表示例3 标准访问列表与扩展访问列表对照 配置扩展访问列表 扩展访问列表对应的逻辑解释 扩展访问列表对应的逻辑解释 扩展访问列表对应的逻辑解释 扩展访问列表对应的逻辑解释 扩展访问列表对应的逻辑解释 扩展访问列表示例 1 扩展访问列表示例 2 使用命名访问列表 命名访问列表 可以单独删除命名访问列表中的指定