ecs第10章防火墙的构造与选择.pptVIP

第10章 防火墙的构造与选择 10.1 防火墙概述 10.2 防火墙的原理 10.3 防火墙的体系结构 10.4 防火墙的选择和使用 10.1防火墙概述 10.1.1 防火墙的概念 10.1.2 防火墙设计的基本要素  10.1.1 防火墙的概念 防火墙是指隔离在本地网络与外界网络之间的一道或一组执行控制策略的防御系统。 10.1 防火墙概述 10.1.2 防火墙设计的基本要素 防火墙的姿态 机构的整体安全策略 防火墙的费用 防火墙的基本构件和拓扑结构 防火墙的维护和管理方案 10.2 防火墙的原理 10.2.1 防火墙设计的基本准则 10.2.2 防火墙的构成 10.2.3 防火墙的优点与局限性 10.2.4 防火墙的分类 10.2.1 防火墙设计的基本准则 一切未被允许的就是禁止的。 一切未被禁止的就是允许的。 10.2.2 防火墙的构成 10.2.3 防火墙的分类 (按防范方式的不同与发展时间先后划分) 1 包过滤 2 应用层网关 3 代理服务 4 动态包过滤 5 自适应代理 10.2.3 防火墙的分类(按防范方式的不同) 1 包过滤型防火墙 基本原理：处理对象IP包,其功能是处理通过网络的IP包的信息,实现进出网络的安全控制。应用数据包过滤（packet filtering）技术在网络层对数据包进行选择，只有通过检查的IP包才能正常转发出去。 选择的依据：访问控制表ACL（Access Control List），通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或通过检查它们的组合来决定是否允许该数据包通过。 包过滤型防火墙的优缺点 优点： 逻辑简单，价格便宜，易于安装和使用 网络性能和透明性好。 缺点： 数据包的源地址、目的地址以及IP的端口号都在数据包的头部，易被窃听或假冒，形成各种安全漏洞。 大多过滤器中过滤规则的数目有限制，且随着规则数目的增加，性能受影响。 包过滤的规则可能比较复杂，且不易验证其正确性。 由于缺少上下文关联信息，不能有效过滤某些协议。 大多不能对用户身份进行验证，很容易受到“地址欺骗型”攻击。 大多对安全管理人员素质要求高 日志能力弱,不能报告入侵者 2 应用网关型防火墙 应用级网关（Application Level Gateways）是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常装在专用工作站系统上。 3 代理服务型防火墙 这个层次的防火墙的实现主要是基于软件的。在某种意义上，可以把这种防火墙看作一个翻译器，由它负责外部网络和内部网络之间的通讯，当防火墙两端的用户打算进行网络通讯时候，两端的通讯终端不会直接联系，而是由应用层的代理来负责转发。 代理服务型防火墙的优缺点 优点： 易于配置,软件界面友好 成熟的日志功能 灵活控制所有进出流量 可提供透明的加密机制 便于与其他手段的集成 缺点： 速度相对比较慢 对用户的不透明 可能受到协议漏洞的威胁 升级困难 大多是基于主机的，价格比较贵，安装和使用比数据包过滤的防火墙复杂 4 动态包过滤型防火墙 动态包过滤型防火墙又称状态检测防火墙，状态检测就是从tcp连接的建立到终止都跟踪检测的技术。 基本原理：一个完全的状态检测防火墙，他在发起连接就判断，如果符合规则，就在内存登记了这个连接的状态信息,后续的属于同一个连接的数据包，就不需要在检测了，直接通过。 动态规则技术：在状态检测里，采用动态规则技术，解决高端口的问题 。实现原理是：平时，防火墙可以过滤内部网络的所有端口(1-65535),外部攻击者难于发现入侵的切入点，可是为了不影响正常的服务，防火墙一但检测到服务必须开放高端口时，如（ftp协议，irc等），防火墙在内存就可以动态地添加一条规则打开相关的高端口。等服务完成后，这条规则就又被防火墙删除。 5 自适应代理防火墙 组成这种类型防火墙的基本要素有两个：自适应代理服务器（Adaptive Proxy Server）与动态包过滤器（Dynamic Packet filter）。 在自适应代理与动态包过滤器之间存在一个控制通道。在对防火墙进行配置时，用户仅仅将所需要的服务类型、安全级别等信息通过相应Proxy的管理界面进行设置就可以了。然后，自适应代理就可以根据用户的配置信息，决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。 10.2.4 防火墙的优点与局限性 防火墙的优点 1.防止易受攻击的服务 2.控制访问网点系统 3.集