信息安全(防火墙)4.pptVIP

根据实现防火墙的硬件环境不同，可将防火墙分为基于路由器的防火墙和基于主机系统的防火墙。（包过滤防火墙可以基于路由器，也可基于主机系统实现；而代理服务器防火墙只能基于主机系统实现。） 根据防火墙的功能不同，可将防火墙分为FTP防火墙、Telnet防火墙、E-mail防火墙、病毒防火墙等各种专用防火墙。通常也将几种防火墙技术一起使用以弥补各自的缺陷，增加系统的安全性能。 易于配置 应用级代理服务工作于应用层，能够理解应用层上的协议， 能够做出更复杂和更细粒度的访问控制。 所有进出服务器的客户请求必须通过代理网关检查，可以 做出更细致的注册和审计记录，方便与认证和授权等安全 手段集成。 应用级代理服务目前已覆盖HTTP, FTP,SMTP，Telnet等各项服务。 代理服务技术的特点 优点 缺点 对一些新的应用和服务类型，尚没 有相应的代理服务软件 代理速度较路由器慢 　　分组过滤型防火墙通常采用一台过滤路由器实现。 对所接收的每个数据包，防火墙要根据过滤规则进行允许或拒绝。过滤规则基于IP包的头信息，如IP源地址、IP目的地址、内装协议(TCP,UDP,ICMP等)、TCP/IP目标端口、ICMP消息类型等。如果根据规则允许数据包通过，则按照路由协议进行转发，否则就将其丢弃。 　　 分组过滤型 分组过滤是防火墙系统中的最简单和基本的技术，它通过检查分组的网络层和传输层的头信息来阻挡非法连接的分组。 被检查的头信息包括IP源地址、IP目的地址、传输层协议类型、TCP或UDP的源端口、TCP或UDP的目的端口、ICMP的消息类型、TCP头信息中的ACK位、序列号、确认号等。 通过以上头信息的检查，可以了解数据分组的源主机、目的主机、传递的服务及消息类型，再根据预先确定的过滤规则，如对某主机不能进行Telnet连接，便可对数据分组过滤，即将非法数据分组丢弃。 分组过滤的关键是确定过滤规则，而这需要结合具体的协议来考虑 它不依靠应用层的代理，而依靠某种算法识别进出数据。这些算法通过已知正确数据包的形式来比较进出数据包，比应用级代理在过滤上更有效。 状态检测技术与应用级网关比较 一台防火墙连接内部网段和DMZ网段到外部路由。假设DMZ区有2台服务器。假设三块网卡：eth0，eth1和eth2。 eth0和路由器相连，eth1和内网相连，eth2和外网相连。 内网地址:/24 DMZ地址:， 路由器的ip地址: eth0: AA:AA:AA:AA:AA:AA eth1: BB:BB:BB:BB:BB:BB eth2: CC:CC:CC:CC:CC:CC 把防火墙的eth1和eth2的网卡物理地址和路由器的IP地址绑定， 将内网和DMZ网段的IP地址和eth0的网卡绑定 在linux系统上用arp命令实现: arp -s BB:BB:BB:BB:BB:BB arp -s CC:CC:CC:CC:CC:CC arp -s /24 AA:AA:AA:AA:AA:AA 设置路由： 把目标地址是外部路由的包转发到eth0，把目标地址为内网的包转发到eth1,把目标地址是DMZ网段服务器的包转发到eth2. 在linux下面用route命令实现： route add dev eth0 route add -net /24 dev eth1 route add dev eth2 route add dev eth3 (针对DMZ网段里面的每台服务器都要增加一条单独的路由) 现在我们就已经实现了一个简单的arp代理的透明接入 分布式防火墙（Distributed Firewalls） 边界防火墙的缺陷：1）企业的规模扩大，物理边界概念模糊，已成为逻辑边界 2）边界防火墙集中检查网络边界单点，一旦攻破，内网全部暴露3）无法防范内部攻击 分布式防火墙把Internet和内部网络均视为“不友好的” 网络防火墙（Network Firewall）： 相当于传统的边界防火墙 个人防火墙（Host Firewall） ： 解决来自内部的攻击 集中管理 : 解决由分布式技术带来的管理问题 分布式防火墙由三部分组成立体防护体系 系统的安全性 实现个性化的安全策略 系统的可扩展性 优点 /study/device/firewall/1085710311.html 最新防火墙技术 常见防火墙产品 Cisco 公司的PIX CheckPoint的Firewall NAI Gauntlet：支持NT和Unix Sonicwall：适合于中小企业 NetScreen:硬件产品 实例：利用防火墙来防止SYN Flood攻击 SYN Flood是当前最流行的DoS