- 1、本文档共46页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
信息安全综合实验 陈伟 Email: chenwei@ Tel:实验二 防火墙实验 防火墙的原理 防火墙的分类 常用防火墙 实验内容 网络安全保护急需解决的问题 防火墙的基本概念 所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法, 实际上是一种隔离技术。 防火墙是位于两个(或多个)网络间,实施网络之间访问控制的一组组件集合。 防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。 防火墙必须只允许授权的数据通过,而且防火墙本身也必须能够免于渗透。 防火墙的功能 允许网络管理员定义一个中心点来防止非法用户进入内部网络。 可以很方便地监视网络的安全性,并报警。 可以作为部署NAT(Network Address Translation,网络地址变换)的地点 利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。 是审计和记录Internet使用费用的一个最佳地点。 防火墙的基本特性 内部网络和外部网络之间的所有网络数据流都必须经过防火墙 只有符合安全策略的数据流才能通过防火墙 防火墙自身应具有非常强的抗攻击免疫力 实验二 防火墙实验 防火墙的原理 防火墙的分类 常用防火墙 实验内容 防火墙的分类 包过滤防火墙 以色列的Checkpoint防火墙 Cisco公司的PIX防火墙 代理防火墙(应用层网关防火墙) 美国NAI公司的Gauntlet防火墙 包过滤防火墙 第一代:静态包过滤 根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。 过滤规则基于数据包的报头信息进行制订。包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。 包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”,即明确允许那些管理员希望通过的数据包,禁止其他的数据包。 包过滤防火墙 第二代:动态包过滤 采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。 这种技术后来发展成为所谓包状态监测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪 根据需要可动态地在过滤规则中增加或更新。 只对网络级数据包做保护是不够的 代理防火墙 第一代:代理防火墙 代理防火墙也叫应用层网关(Application Gateway)防火墙。这种防火墙通过一种代理(Proxy)技术参与到一个TCP连接的全过程。 从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。 这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。 代理防火墙的优缺点 代理类型防火墙的最突出的优点就是安全。 通过专门为特定的服务如Http编写的安全化的应用程序进行处理,然后由防火墙本身提交请求和应答 没有给内外网络的计算机以任何直接会话的机会 代理防火墙的最大缺点就是速度相对比较慢 比如要求达到75-100Mbps时,代理防火墙就会成为内外网络之间的瓶颈 代理防火墙 第二代:自适应代理防火墙 自适应代理技术(Adaptive proxy)是最近在商业应用防火墙中实现的一种革命性的技术。 它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点 组成这种类型防火墙的基本要素有两个:自适应代理服务器(Adaptive Proxy Server)与动态包过滤器(Dynamic Packet filter)。 在自适应代理与动态包过滤器之间存在一个控制通道。 自适应代理就可以根据用户的配置信息,决定是使用代理服务从应用层代理请求还是从网络层转发包。 如果是后者,它将动态地通知包过滤器增减过滤规则,满足用户对速度和安全性的双重要求。 两种防火墙技术的对比 包过滤防火墙 优点 价格较低 ,性能开销小,处理速度较快 缺点 定义复杂,容易出现因配置不当带来问题,允许数据包直接通过,容易造成数据驱动式攻击的潜在危险 代理防火墙 能够透彻地理解相关服务的命令 对来往的数据包进行安全化处理速度较慢,不太适用于高速网(ATM或千兆位以太网等)之间的应用 防火墙的配置 几个概念 堡垒主机(Bastion Host):对外部网络暴露,同时也是内部网络用户的主要连接点 多宿主主机(multi-homed host):至少有两个网络接口的通用计算机系统 DMZ(Demilitarized Zone,非军事区或者停火区):在内部网络和外部网络之间增加的一个子网 双宿主主机 所有的流量都通过堡垒主机 优点:简单 屏蔽主机 从物理上把内
文档评论(0)