第二章防火墙.pptVIP

Cisco PIX防火墙 HP Open View集成。 通过电子邮件和寻呼机提供报警和告警通知。 ?通过专用链路加密卡提供VPN支持。 符合委托技术评估计划（TTAP），经过了美国安全事务处（NSA）的认证，同时通过中国公安部安全检测中心的认证（PIX520除外）。 返回本节 3 天融信网络卫士防火墙（NGFW） 我国第一套自主版权的防火墙系统 TOPSEC（Talent Open Protocol for Security）安全体系（联动协议安全标准） 防火墙性能测试 性能测试标准：RFC 2544（2-3层）和RFC 3511（4-7层） 吞吐量：网络设备在不丢失任何一个帧情况下的最大转发速率。 延时（比特转发）：入口处输入帧第1个比特到达被测设备至出口处输出帧的第1个比特输出时所用的时间间隔 丢包率：在稳态负载下由于缺少资源应转发而没有转发的帧占所有应被转发的帧的比例 背靠背：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率，发送一定数量固定长度的帧，当出现第一个帧丢失时所发送的帧数。 防火墙设计策略 防火墙的系统环境 取消危险的系统调用；限制命令的执行权限；取消IP的转发功能；检查每个分组的接口；采用随机连接序号；驻留分组过滤模块；取消动态路由功能；采用多个安全内核等等。 设置防火墙的要素 高级的网络策略定义允许和禁止的服务以及如何使用服务，低级的网络策略描述防火墙如何限制和过滤在高级策略中定义的服务。 服务访问策略 允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务；允许内部用户访问指定的Internet主机和服务。 防火墙设计策略 允许任何服务除非被明确禁止；禁止任何服务除非被明确允许。第一种的特点是安全但不好用，第二种是好用但不安全，通常采用第二种类型的设计策略。而多数防火墙都在两种之间采取折衷。 Windows 2000环境下防火墙及NAT的实现 (试验) 实现方法 通过网络地址转换把内部地址转换成统一的外部地址，避免了使用代理服务所引起的账号安全问题和代理服务端口被利用的危险。同时为了避免各种代理服务端口探测和其他各种常用服务端口的探测，可以启用Microsoft Proxy Server的动态包过滤功能和IP分段过滤，达到端口隐形的效果。 案例环境 假定有一台Web服务器（WWW），地址为0，其完整域名为：，对应解析的IP地址为0，，在其上装有两块网卡，命名为本地连接1和本地连接2，它们的IP地址分别为：和。 MS Windows 2000 NAT网络地址转换的实现 路由和远程访问服务 网络地址转换的实现:静态路由、网络地址转换、地址和特殊端口、IP地址欺骗过滤。 地址和特殊端口配置 内部地址欺骗过滤配置 外部地址欺骗过滤配置 　Proxy Server功能的配置界面 一条记录条目的说明 表9.6　动态包过滤规则 数据包过滤 数据包过滤技术是一种简单、高效的安全控制技术，是防火墙发展初期普遍采用的技术。 工作原理： 系统在网络层检查数据包，与应用层无关。 依据在系统内设置的过滤规则（通常称为访问控制表——Access Control List）对数据流中每个数据包包头中的参数或它们的组合进行检查，以确定是否允许该数据包进出内部网络。 数据包过滤 包过滤一般要检查（网络层的IP头和传输层的头）： IP源地址 IP目的地址 协议类型（TCP包/UDP包/ICMP包） TCP或UDP的源端口 TCP或UDP的目的端口 ICMP消息类型 TCP报头中的ACK位 数据包过滤 优点： 逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好。 主要缺点： 安全控制的力度只限于源地址、目的地址和端口号等，不能保存与传输或与应用相关的状态信息，因而只能进行较为初步的安全控制，安全性较低； 数据包的源地址、目的地址以及端口号等都在数据包的头部，很有可能被窃听或假冒。 数据包过滤 注意： 创建规则比较困难； 规则过于复杂并难以测试，必须要用手工或用仪器才能彻底检测规则的正确性； 对特定协议包的过滤： FTP协议：使用两个端口，因此要作特殊的考虑； UDP协议：要对UDP数据包进行过滤，防火墙应有动态数据包过滤的特点； ICMP协议：应根据ICMP的类型进行过滤。 代理服务 代理服务 是运行于连接内部网络与外部网络的主机（堡垒主机）上的一种应用，是一种比较高级的防火墙技术。 工作过程： 当用户需要访问代理服务器另一侧的主机时，对符合安全规则的连接，代理服务器会代替主机响应，并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后，内部主机同外部主机之间的通信将通过代理程序把相应连接进行映射来实现。对于用户而言，似乎是直接与外部网络相连。 代理服务 主要优点： 内