第7章防火墙要点分析.pptVIP

7 防火墙 7.1 防火墙的概念 7.2 防火墙的特性 7.3 防火墙的技术 7.4 防火墙的体系结构 7.5 个人防火墙 7.6 防火墙的应用与发展 7 防火墙 机构自己的网络 ? Internet 大量信息 服务 影响 威胁 安全 防火墙嵌入在本地网和Internet之间 看不见 受控制的连接 边界 阻塞点 防火墙是一种有效的防御工具，是网络安全政策和策略中的一个组成部分。 网络经济社会 7.1 防火墙的概念 防火墙的本义 房屋之间 墙 阻止火灾蔓延 7.1 防火墙的概念 7.1 防火墙的概念 防火墙的概念 是一个由软件或硬件设备的组合而成起过滤和封锁作用的计算机或网络系统。它一般布置在本地网（可信内部网）和(不安全和不可信赖的)外部网络之间，作用隔离风险区域和安全区域的连接；阻止不希望或未授权的通信进出内部网络。通过边界控制强化内部网络的安全，同时不影响内部网络对外部网路的访问。 防护墙被设计成只运行专用访问控制软件的设备… 没有其它服务 较少缺陷和安全漏洞； 改进登录和监测功能，专用管理 内部网的主机安全管理 ?防火墙的安全管理。第一道关口 防火墙放置于网络拓扑结构的合适结点 进出内部网络的信息必须通过防火墙 防火墙本身是不可入侵的 7.2 防火墙的特性 防火墙的设计目标（3） 为了访问控制和加强站点安全策略，防火墙采用了4项常用技术。 防火墙的功能（5） 防火墙的局限性（4） 防火墙发展经历的4个阶段 -7.2 防火墙的特性 防火墙的设计目标 所有通信，内部→外部，外部→内部，都必须经过防火墙； 只有被授权(符合安全政策)的数据流才能通过防火墙； 防火墙自身能抗攻击； -7.2 防火墙的特性 为了访问控制和加强站点安全策略，防火墙采用了4项常用技术: 服务控制: 决定哪些服务可以被访问。通过IP地址和TCP端口过滤；代理软件；执行服务器软件功能，邮件服务。 方向控制：决定哪个方向的服务可以被发起并通过防火墙。 用户控制：内部用户和通过安全认证(IPSec) 的外部用户 行为控制：控制一个具体服务怎样被实现。过滤邮件清除垃圾邮件。 -7.2 防火墙的特性 防火墙的典型功能（5） 访问控制功能 禁止 允许； 单一阻塞点 内容控制 过滤垃圾邮件 日志功能 完整记录，审计查实 集中管理 自身安全和可用性 被入侵 可用性 防火墙的局限性（4） 不能防御不经由防护墙的攻击； 不能防范来自内部的攻击； 不能防止病毒感染程序和文件出入内部网； 不能防止数据驱动式攻击。电子邮件复制本地机上，执行后攻击 -7.2 防火墙的特性 防火墙发展经历的4个阶段 基于路由器 : 路由器防火墙一体；包过滤技术 由一系列具有防火墙功能的工具集组成，将过滤功能从路由器中独立出来，加入告警和审计功能，纯软件，系统管理员技术要求高。 应用层防护墙 分组过滤，代理系统 监控 保护 动态包过滤技术 状态检测技术 多种通信协议数据包 通信状态动态响应 7.3 防火墙的技术 分类 工作原理层次 网络层 应用。 具体实现：包过滤 代理服务 状态检测 自适应 实现防火墙的硬件环境：路由器 主机 功能：FTP防火墙 Telnet Email 病毒 个人 7.3.1 包过滤技术 （重点） 7.3.2 代理服务技术 7.3.3 状态检测技术（难点） 7.3.4 自适应代理技术 7.3.1 包过滤技术（重点） TCP/IP 信息分割IP分组 包中包含源目的IP地址 路由器路径选择，包重组 -7.3.1 包过滤技术 包过滤规则配置依据 源IP地址 目的IP地址 TCP/UDP源端口 TCP/UDP目的端口 协议类型（TCP包、UDP包、ICMP包） 23 Telnet TCP报头中的ACK位 ICMP消息类型 -7.3.1 包过滤技术 包过滤防火墙的原则：最小特权原则。 建立包过滤防火墙步骤： 安全策略转为过滤规则表： 以IP和传输层的包头中的域(字段)为基础，包括源和目标IP地址、IP协议域、源和目标端口号、标识，协议。 事先建立一组规则，根据IP包是否匹配规则中指定的条件来作出决定： 如果匹配到一条规则，则根据此规则决定转发或丢弃 如果所有规则都不匹配，则根据缺省策略 7.3.1 -包过滤配置实例 表7-1 p165 -7.3.1 包过滤技术 包过滤防火墙技术的优点（4） 一个过滤路由器能协助保护整个网络. 包过滤对用户透明; 包过滤路由器速度快，效率高。 技术通用，廉价，有效；易于安装、使用维护 包过滤防火墙