第六讲防火墙技术.pptVIP

包过滤型防火墙 规则 它工作在网络层、传输层，对每一报文根据报头进行过滤，通过预定义规则对报文进行操作。 规则定义在转发控制表中，因产品不同控制表格式不同，这里讨论抽象的过滤规则。 报文遵循自上至下的次序运用每一条规则，直到遇到与其相匹配的规则为止。 操作方式有：转发、丢弃、报错、备忘等。 根据不同实现方式，报文过滤可在进入或者离开防火墙时进行。 小型网络解决方案 典型的网络安全解决方案 双机热备 * 答案： 1.可以改为any，不影响正常用户的使用，但是某些用户伪装源IP，可以实现攻击。 2.源端口可以改为any，不影响正常用户的使用，但是对于内网是不安全的，万一其他端口的过滤规则做的不好，外面的用户可以访问内网的FTP等应用了，或者针对内网135、139等端口的扫描和SYN攻击。 * 1、可以（这里说的还是传统类型的木马——由客户端主动连接服务器的）。 2、不能。 * 1、不能 2、不能 3、不能，所有的防火墙都不能阻止反弹端口的木马。 * 通过建立动态连接表，对数据包的前后关系进行检查 * * 可以，因为代理防火墙可以把的HTTP头过滤掉。 * 安全审计：通过对被保护网络的敏感信息访问保持不间断的记录，以不同类型的报擎提示向管理人员报告，帮助管理员事后分析 防御功能：能防御的 DoS攻击类型 、支持病毒扫描 、阻止 ActiveX、Java、Cookies、Javascript侵入 联动功能： 内容过滤：HTTP、FTP、SMTP等协议层，根据过滤条件，对信息流进行控制，防火墙控制的结果是：允许通过、修改后允许通过、禁止通过、记录日志、报警等。 过滤内容主要指URL、HTTP携带的信息：Java Applet、 JavaScript、ActiveX和电子邮件中的Subject、To、From域等。 Vpn功能： 带宽管理： * 负载均衡有两方面的含义：首先，大量的并发访问或数据流量分担到多台节点设备上分别处理，减少用户等待响应的时间；其次，单个重负载的运算分担到多台节点设备上做并行处理，每个节点设备处理结束后，将结果汇总，返回给用户，系统处理能力得到大幅度提高。 * 通过协议交换两台防火墙的状态信息 当主防火墙出现故障或宕机时，这台防火墙的连接不需要从新建立就可以透明的迁移到从防火墙，用户感觉不到任何变化。 * * 数据包首先排队待防火墙检查后转发 应用实例 【问题】 动态包过滤防火墙如何解决了特殊构造了标志位的数据包？但是还是无法阻挡反弹端口的木马。 1. TCP 开始攻击 IP 规则 连接表 TCP 开始攻击 IP TCP 开始攻击 IP TCP 开始攻击 IP SYN ACK SYN 2. 允许 允许 TCP 开始攻击 IP n. …… 动态包过滤防火墙的工作流程 3．代理防火墙（Proxy Server） 代理防火墙的工作过程： 代理防火墙的工作原理 代理服务器的类型 HTTP代理：代理客户机的http访问，主要代理浏览器访问网页，它的端口一般为80、8080、3128等。 FTP代理：代理客户机上的ftp软件访问ftp服务器，其端口一般为21、2121。 POP3代理：代理客户机上的邮件软件用pop3方式收邮件，其端口一般为110。 Telnet代理：能够代理通信机的telnet，用于远程控制，入侵时经常使用。其端口一般为23。 Socks代理：是全能代理，支持多种协议，包括http、ftp请求及其它类型的请求，其标准端口为1080。 …… 应用实例 例1：不允许上。 方法： 1.使用包过滤防火墙把服务器的所有IP过滤掉。 2.使用代理防火墙过滤域名，而不管IP地址怎么改变。 clint 7, 30, 31, 32 33, 34, 35, 40, 0, 1, 2, 3, 61.172.201 5, 6 服务器 Client用SOCKS5 client 服务器61.172.201.* SOCKS5代理服务器 170.1.1.* 【问题】 图中的防火墙如果改为代理防火墙，是否可以过滤Client传过来的数据包？ Client用“特殊”的HTTP代理 【说明】 client端发出HTTP请求时，不包含的信息，代理防火墙就检测不到字段 ，实现不了过滤。 HTTP代理需要“特殊” 定制，代理服务器知道这类client端发出的请求是要访问，它会帮助client端下载的内容。 代理技术的优点 代理易于配置。 代理能生成各项记录。 代理能灵活、完全地控制进出流量、内容。 代理能过滤数据内容。 代理能为用户提供透明的加密机制。 代理可以方便地与其他安全手段集成。 代理技术的缺点 代理速度较路由器慢。 代理对用户不透明。 对于每项服务代理可能要求不