Firewall.pptVIP

第十三章 防火牆 13-1 私有網路安全簡介 13-2 防火牆簡介 13-3 防火牆架構 13-4 封包過濾器 13-5 IP 封包過濾器 13-6 IP/TCP 封包過濾 13-7 IP/UDP 封包過濾 13-8 IP/ICMP 封包過濾 13-9 代理系統 13-10 網路位址轉譯 13-1 私有網路安全簡介 網路型態 公眾網路 (Public Network) WAN 網路：網路服務提供者 (Network Service Provider, NSP) MAN 網路：網際網路服務提供者 (Internet Service Provider, ISP) 私有網路 (Private Network) LAN 網路 公司或單位內私有網路 私有網路安全 防火牆 (Firewall) 『點』的安全考量 虛擬私有網路 (Virtual Private Network) 『線』的安全考量 13-2 防火牆簡介 何謂防火牆 ? 如城牆管制人民進出 依安全政策而定 13-2-1 防火牆的功能 隔離公眾網路與私有網路 並保持私有網路與外部網路流通 13-2-2 防火牆的措施 （A）防火牆的措施 封包過濾 (Packet Filter) 代理機制 (Proxy) 應用階層閘門 (Application Level Gateway) 電路層次閘門 (Circuit Level Gateway) 網路位址轉譯 (Network Address Translation, NAT) 13-2-2 防火牆的措施 （B）防火牆與 Internet 協定堆疊 13-3 防火牆的架構 架設防火牆所需設備 雙介面主機 (Dual-homed Host) 路由器、網路閘門、防禦主機 防禦主機 (Bastion Host) 封包進出管制 封包 (Packet) 防火牆進出單位 屏蔽路由器 (Screening Router) 外部路由器 內部路由器 周圍網路 (Perimeter Network) DMZ (De-Militarized Zone) 13-3-1 雙介面主機架構 雙介面主機架構 SOCKS 或 ISA 2000 13-3-2 屏蔽主機架構 屏蔽主機架構 屏蔽路由器 防禦主機 13-3-3 屏蔽網路架構 屏蔽網路架構 外部路由器 防禦主機 內部路由器 DMZ 網路 13-3-3 屏蔽網路架構 多層防火牆架構 安全等級分類網路 13-4 封包過濾器 (A) 封包過濾器的種類 ?IP 封包過濾器 IP/TCP 封包過濾器 IP/UDP 封包過濾器 IP/ICMP 封包過濾器 (B) 封包過濾器應注意事項 關閉路由功能 關閉閒置的埠口 關閉不需要的服務 協定是雙向的 進入 (Inbound) 和出去 (Outbound) 的方向性 內定值為拒絕 (C)封包過濾設定步驟 關閉所有封包過濾 選擇欲開放的應用協定 選擇欲拆解的封包標頭 列出『封包訊息表』 尋找出『過濾規則表』 建立封包過濾規則 iptable ISA 2000 13-5 IP 封包過濾 (1) (A) IP 封包過濾訊息 來源位址 (Source Address, SA) 目的位址 (Destination Address, DA) 協定 (Protocol, Pro) 13-5 IP 封包過濾 (2) (B) 範例 允許 /16 進入內部網路 內部網路可任意通往外部網路 封包過濾規則 13-6 IP/TCP 封包過濾 IP/TCP 封包過濾訊息 來源位址 (SA) 目的位址 (DA) 協定型態 (Pro) 來源埠口 (SP)：1024 以前為系統專屬 目的埠口 (DP)：1024 以前為系統專屬 位元碼 (Code bit) ACK (Acknowledge) SYN (Synchronous) 13-6-1 過濾參數之選擇 TCP 連線(三向握手式連絡法) 要求連線：SYN=1、ACK=0 同意連線：SYN=0、ACK=1 再確認同意連線：SYN=1、ACK=1 ACK 內容判斷： ACK=0：表示連線要求訊號（發起者發送） ACK=1：表示回應同意連線訊號（回應者發送） 13-6-2 Telnet 連線範例 Telnet 連線範例 內部可 Telnet 連線到外部網路 不允許外部網路以 Telnet 連線到內部網路 封包訊息表 13-6-3 Telnet 封包訊息表 Telnet 連線範例 封包訊息表 13-6-4 允許內外部 Telnet 連線 允許內外部 Telnet 連線，無採用 ACK 訊號 封包過濾表 13-6-