防火墙技术与VPN技术资料.ppt

第三讲 防火墙技术与VPN技术 内容提要 防火墙概述 包过滤技术 代理服务技术 电路级网关 VPN基本原理及工作流程 VPN主要技术 支持VPN的相关协议 防火墙概述（1） 防火墙的定义 防火墙是一个或一组实施访问控制策略的系统。用来隔离受保护的网络和不受保护的网络（如因特网），通过单一集中的安全检查点，审查并过滤所有从因特网到受保护网络的连接（反之亦然）。 防火墙的功能 过滤进、出网络的数据 管理进、出网络的访问行为 封堵某些禁止的业务 记录通过防火墙的信息内容和活动 对网络攻击的检测和告警 防火墙概述（2） 防火墙的层次 网络层防火墙 应用层网关 电路级网关 规则检查防火墙 防火墙的结构 双宿堡垒主机 屏蔽主机防火墙 屏蔽子网防火墙 防火墙概述（3） 包过滤技术（1） 包过滤的原理和基本准则 包过滤原理 包过滤路由器对所接收的每个数据包做允许或拒绝的决定；路由器审查每个数据包以便确定是否与某一条包过滤规则匹配。如果包的入接口匹配于出接口，并且规则允许该数据包，该数据包就会按路由表中的信息被转发；如果虽然匹配，但规则拒绝该数据包，则该数据包就丢弃；如果不相匹配，用户配置的默认参数会决定是转发还是丢弃数据包。 决定包过滤规则的信息 发出数据包的源IP地址或源IP地址的范围 接收数据包的目的IP地址或目的IP地址的范围 所涉及的网络协议（TCP，UDP，ICMP等） 所使用的端口号 包过滤的基本准则 一切未被允许的就是被禁止的。基于该准则，防火墙应封锁所有信息流，然后对希望提供的服务应用逐项开放。 一切未被禁止的就是被允许的。基于该准则，防火墙应转发所有信息流，然后逐项屏蔽可能有害的服务。 包过滤技术（2） 包过滤器的工作机制及配制 工作机制 一个包过滤器由一个“脏”端口、一个“干净”端口和一组规则组成。 “脏”端口与Internet相连，来自Internet的流量都由此端口进入。 防火墙所配置的规则库对由“脏”端口进入的流量进行处理，即防火墙根据规则库所定义的标准来决定是否让数据包由“干净”端口进入信任网络。 配制 规则1：只允许某个小子网中的源地址访问网内资源，并从一个随机高端口号上发出SSH连接到目的地址的TCP22端口上。 规则2：用于典型的HTTP流量，允许外界通过端口访问内部网络。 包过滤技术（3） 规则3：允许访问内部网络的SMTP流量。 规则4和5：允许访问两个DNS服务器，其IP地址分别为52和53。 规则6：阻塞那些与前面规则中所有的标准都不匹配的数据包。 包过滤技术（4） 包过滤的优缺点 优点 仅需很少的管理开销，对屏蔽设备的性能无太大影响。 相当便宜甚至是免费的。 对流量的管理较出色。 缺点 允许外部网络直接连接到网络内部主机。 仅能在传输层或网络层检测网络流量，容易使网络外围设备出现许多安全漏洞。 在复杂环境中难于管理和测量。 除非进行专门配制，否则很难防御源地址欺骗。 没有用户身份验证机制。 代理服务技术（1） 代理服务器的结构和工作过程 概述 代理服务器通常由两部分构成：服务器端程序和客户端程序。 客户端程序与中间节点代理服务器连接，中间节点再与要访问的外部服务器实际连接。 内部网与外部网之间不存在直接的连接，代理服务器在外部网络向内部网络申请服务时发挥中间转接作用，内部网络只接受代理服务器提出的服务请求，拒绝外部网络其他节点的直接请求。 结构 硬件结构：双宿堡垒主机、屏蔽主机、屏蔽子网三种体系结构。 软件结构：需要特殊的应用软件，却不需要特定的客户软件；由在各个程序中建立安全性的特殊目的代码组成，代理各种服务。 工作过程 有一个用户通过23端口Telnet到该代理服务器上。 提示用户进行身份认证。 通过身份认证后，系统提示用户一个系统菜单来允许用户连接到目的主机。 代理服务技术（2） 用户选择要连接的系统。 如果有要求，系统会提示用户再输入另外的身份验证信息。 代理服务技术（3） 代理服务器的缺点 对最终用户不透明 最终用户需要运行一个独立的程序以便连接到某个站点 代理服务器的应用 应用 应用级和回路级代理 公共与专用代理服务器 智能代理服务器 用于因特网服务的代理 单向与多向连接 没有代理服务器的代理 代理服务器举例 FTP代理模型 典型FTP会话的四个阶段 第一阶段，FTP客户程序与FTP服务器连接 代理服务技术（4） 第二阶段，客户登录进入FTP服务器主机 第三阶段，FTP客户服务器交换命令和应答信息 第四阶段，FTP客户关闭它同FTP服务器之间的连接 FTP代理服务器经过身份认证和访问控制策略之后，如同意请求，则替用户对资源进行实际访问，结果由代理转发给用户。 FTP代理服务器在公开端口执行被动打开，等待客户连接 FTP客户在该端口与FTP代理服务器联系，建立