第12章防火墙要点分析.ppt

小结 本章重点介绍各种常见的防火墙技术，包括它们所能提供的安全特性和优缺点。 在应用防火墙是，防火墙的部署非常重要。一个部署不当或配置不当的防火墙不仅不能提供安全性，还会给网络管理员和用户造成安全上的错觉。 动态包过滤 动态包过滤是Check Point的一项称为“Stateful Inspection”的专利技术，也称状态检测防火墙 。 动态包过滤防火墙不仅以一个数据包的内容作为过滤的依据，还根据这个数据包在信息流位置加以判断。 动态包过滤防火墙可阻止未经内网请求的外部通信，而允许内网请求的外部网站传入的通信 。 动态包过滤防火墙 使用动态包过滤制定的规则 Set internal=/24 Deny ip from $internal to any in via eth0 Deny ip from not $internal to any in via eth1 Allow $internal access any dns by udp keep state Allow $Internal acess any www by tcp keep state Allow $internal access any ftp by tcp keep state Deny ip from any to any 动态包过滤的优缺点 优点： 基于应用程序信息验证一个包状态的能力 记录通过的每个包的详细信息 缺点： 造成网络连接的迟滞 系统资源要求较高 防火墙分类： 包过滤 代理型防火墙：应用代理型 代理型防火墙：电路代理型 代理型防火墙：NAT 代理服务技术 代理服务技术能够将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的连接，由两个代理服务器之间的连接来实现，外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用。 应用代理防火墙 工作在应用层 对所有规则内允许的应用程序作中转转发 牺牲了对应用程序的透明性 应用代理防火墙 应用代理防火墙 应用代理 应用代理工作原理示意 缓冲文件 应用请求 回复 应用请求 回复 应用代理防火墙 应用代理服务器的安全性 屏蔽内网用户与外网的直接通信，提供更严格的检查 提供对协议的控制，拒绝所有没有配置的连接 提供用户级控制，可近一步提供身份认证等信息 应用代理的优缺点 优点： 可以隐藏内部网络的信息； 可以具有强大的日志审核； 可以实现内容的过滤； 缺点： 价格高 速度慢 失效时造成网络的瘫痪 防火墙分类： 包过滤 代理型防火墙：应用代理型 代理型防火墙：电路代理型 代理型防火墙：NAT 电路级代理 电路级代理因此可以同时为不同的服务，如WEB、FTP、TELNET提供代理服即SOCKS代理，它工作在传输层。 应用代理 应用代理工作在应用层，对于不同的服务，必须使用不同的代理软件。 应用代理 内部主机 WEB服务 FTP服务 WEB FTP 电路级代理优缺点 优点： 隐藏内部网络信息 配置简单，无需为每个应用程序配置一个代理 缺点： 多数电路级网关都是基于TCP端口配置，不对数据包检测，可能会有漏洞 防火墙分类： 包过滤 代理型防火墙：应用代理型 代理型防火墙：电路代理型 代理型防火墙：NAT NAT防火墙 NAT定义 NAT（Network Address Transla- tion）网络地址翻译最初设计目的是用来增加私有组织的可用地址空间和解决将现有的私有TCP/IP网络连接到网上的IP地址编号问题 NAT防火墙 NAT提供的功能 内部主机地址隐藏 网络负载均衡 网络地址交叠 NAT（网络地址翻译） 根据内部IP地址和外部IP地址的数量对应关系，NAT分为： 基本NAT：简单的地址翻译 M-1，多个内部网地址翻译到1个IP地址 M-N，多个内部网地址翻译到N个IP地址池 NAT的优缺点 优点 管理方便并且节约IP地址资源。 隐藏内部 IP 地址信息。仅当向某个外部地址发送过出站包时，NAT 才允许来自该地址的流量入站。 缺点 外部应用程序却不能方便地与 NAT 网关后面的应用程序联系。 本节主要内容 一、防火墙概述 二、防火墙技术分析 三、防火墙布署 防火墙布置 简单包过滤路由 双宿/多宿主机模式 屏蔽主机模式 屏蔽子网模式 包过滤路由 内部网络 外部网络 包过滤路由器 优点：配置简单 缺点： 日志没有或很少，难以判断是否被入侵 规则表会随着应用变得很复杂 单一的部件保护，脆弱 双宿/多宿主机模式 堡垒主机：关键位置上用于安全防御的某个系统，攻击者攻击网络必须先行攻击的主机。 双宿/多宿主机防火墙又称为双宿/多宿网关防火墙，它是一种拥有两个或多个连接到不同网络上的网络接口的防火墙，通常