网络与信息安全防火墙技术及其应用.pptVIP

* * * * * 防火墙技术及其应用 Page:* 多宿主机模式 堡垒主机 内部网1 外 部 网 络 内部网2 * 防火墙技术及其应用 Page:* 屏蔽主机模式 包过滤路由器 内部网 外 部 网 络 堡垒主机 * 防火墙技术及其应用 Page:* 屏蔽子网模式 内部路由器 内部网 外 部 网 络 堡垒主机 外部路由器 DMZ区 周边网 解决了单点失效问题 * 防火墙技术及其应用 Page:* 实施中的其他问题 最少服务、最小特权原则 使用多堡垒主机 合并内部路由器与外部路由器 合并堡垒主机与外部路由器 合并堡垒主机与内部路由器 使用多台内部路由器 使用多台外部路由器 使用多个周边网络 使用双重宿主主机与屏蔽子网 * 报告内容 基本概念 防火墙配置模式 防火墙相关技术 几个新的方向 * 防火墙技术及其应用 Page:* 防火墙相关技术 静态包过滤 动态包过滤 应用程序网关(代理服务器) 电路级网关 网络地址翻译 虚拟专用网 * 防火墙技术及其应用 Page:* 静态包过滤 根据流经该设备的数据包地址信息，决定是否允许该数据包通过 判断依据有(只考虑IP包)： 数据包协议类型：TCP、UDP、ICMP、IGMP等 源、目的IP地址 源、目的端口：FTP、HTTP、DNS等 IP选项：源路由、记录路由等 TCP选项：SYN、ACK、FIN、RST等 其它协议选项：ICMP ECHO、ICMP ECHO REPLY等 数据包流向：in或out 数据包流经网络接口：eth0、eth1 * 防火墙技术及其应用 Page:* 包过滤示例 堡垒主机 内部网 外 部 网 络 在上图所示配置中，内部网地址为：/24， 堡垒主机内网卡eth1地址为：， 外网卡eth0地址为：3 DNS地址为： 要求允许内部网所有主机能访问外网WWW、FTP服务， 外部网不能访问内部主机 * 防火墙技术及其应用 Page:* 包过滤示例(续) Set internal=/24 Deny ip from $internal to any in via eth0 Deny ip from not $internal to any in via eth1 Allow udp from $internal to any dns Allow udp from any dns to $internal Allow tcp from any to any established Allow tcp from $internal to any www in via eth1 Allow tcp from $internal to any ftp in via eth1 Allow tcp from any ftp-data to $internal in via eth0 Deny ip from any to any * 防火墙技术及其应用 Page:* 动态包过滤 Check point一项称为“Stateful Inspection”的技术 可动态生成/删除规则 分析高层协议 * 防火墙技术及其应用 Page:* 上一个示例的另一种解法(续) Set internal=/24 Deny ip from $internal to any in via eth0 Deny ip from not $internal to any in via eth1 Allow $internal access any dns by udp keep state Allow $internal acess any www by tcp keep state Allow $internal access any ftp by tcp keep state Deny ip from any to any * 防火墙技术及其应用 Page:* 包过滤技术的一些实现 商业版防火墙产品 个人防火墙 路由器 Open Source Software Ipfilter (FreeBSD、OpenBSD、Solaris，…) Ipfw (FreeBSD) Ipchains (Linux 2.0.x/2.2.x) Iptables (Linux 2.4.x) * 防火墙技术及其应用 Page:* 应用程序网关(代理服务器) 客 户 网 关 服务器 网关理解应用协议，可以实施更细粒度的访问控制 对每一类应用，都需要一个专门的代理 灵活性不够 发送请求 转发请求 请求响应 转发响应 * 防火墙技术及其应用 Page:* 应用程序网关的一些实现 商业版防火墙产品 商业版代理(cache)服务器 Open Source TIS FWTK(Fir