防火墙技术导论.ppt

第8讲 网络防火墙技术 杨 明 紫金学院计算机系 内容 防火墙的概念 防火墙基本技术 防火墙的体系结构 防火墙的概念 概念 防火墙实际上是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问, 也可以使用防火墙阻止保密信息从受保护网络上被非法输出。 分离器 限制器 分析器 有效地监控了内部网和 Internet之间的任何活动， 保证了内部网络的安全。 防火墙特性和主要功能 特性 所有内部到外部或外部到内部的通信流都必须经过防火墙 只有经过安全策略许可的通信流量才能通过防火墙 系统本身具有高可靠性，防火墙本身是不可穿透的 功能 保护脆弱和有缺陷的网络服务 集中化的安全管理 加强对网络系统的访问控制 加强隐私保护 对网络存取和访问进行监控审计 利用防火墙保护内部网的主要优点 允许网络管理员定义一个中心“扼制点”来防止非法用户进入内部网络 集中安全性 保护网络中的脆弱服务 对网络攻击进行检测和告警 作为部署网络地址变换的逻辑地址 缓解地址空间紧张、隐藏内部网络结构 增强保密性、强化私有权 阻塞一些常用的信息服务功能 是审计和记录网络使用量的最佳地方 防火墙的主要缺陷 限制有用的网络服务 提高了限制或关闭了很多有用但存在安全缺陷的网络服务 无法防护内部网络用户的攻击 内部叛徒、间谍 不能完全防止带病毒的软件或文件 无法防范数据驱动型的攻击 DoS攻击 一切未被允许的就是禁止的。 防火墙应该封锁所有的信息流，然后对希望提供的服务逐项开放。 特点：安全但不好用 一切未被禁止的就是允许的。 防火墙应该转发所有的信息流，然后逐项屏蔽有害的服务。 特点：好用但不安全 防火墙的发展 四个发展阶段 基于路由器的防火墙 用户化的防火墙工具套 建立在通用操作系统上的防火墙 具有安全操作系统的防火墙 基于路由器的防火墙 第1代防火墙产品：路由器防火墙 特点 利用路由器本身具有的分组过滤功能 过滤判决依据 地址、端口号、报文类型 防火墙与路由器是一体的 不足之处 路由协议十分灵活、存在安全漏洞 外部探询内部网络很容易 伪造路由信息欺骗防火墙 过滤规则设置与配置存在安全隐患 路由器的功能与防火墙之间存在矛盾 用户化的防火墙工具套 第2代防火墙产品：专门的防火墙 特点 将过滤功能从路由器中独立出来，外加审计和告警功能。 针对用户需求，提供模块化软件包。 安全性提高了，价格降低了。 问题 纯软件产品，安全性和处理速度有局限。 配置和维护复杂 对用户的技术要求高 软件方式的防火墙 概念 软件方式：在Web主机上或单独一台计算机上运行一类软件，监测、侦听来自网络上的信息，对访问内部网的数据起到过滤的作用，从而保护内部网免受破坏。 建立在通用操作系统上的防火墙 第3代防火墙产品 特点 包括分组过滤或借用路由器的分组过滤功能 装有专用的代理系统，监控所有协议的数据和指令 保护用户的编程空间和用户可配置内核参数设置 安全性和速度大为提高 有硬件实现，也有纯软件实现 问题 源代码保密，安全性无从保证 用户必须依赖防火墙产商和操作系统产商两方面的安全支持 建立在通用操作系统上的防火墙 具有安全操作系统的防火墙 第4代防火墙产品 特点 获得操作系统源码 固化操作系统内核来提高安全性 组件的安全增强 功能增强 加密和鉴别功能 透明性好，易于使用 防火墙外观与内部结构 防火墙与OSI模型对应关系 防火墙的基本技术 包过滤技术 状态检查技术 代理技术 地址翻译技术 包过滤技术 原理 对进出的IP包进行检查，根据一个过滤规则，确定转发或丢弃该IP包。 过滤规则 检查字段 动作 匹配（转发/丢弃) 不匹配（默认策略） 包过滤技术 检查字段 IP源地址 IP目的地址 源端口号 目的端口号 协议类型（TCP、UDP、ICMP） ICMP消息类型 TCP包头中的ACK位 其他 序列号、确认号、校验和、分割偏移 包过滤的例子 包过滤的例子 包过滤的例子 设置实例 数据包过滤 HTTP示例 现有一公司网络，其内部网络地址为/24 现需对其进行配置，使得该公司内部的所用主机都能够访问Internet上Web服务器：4 包过滤技术的特点 优点 对用户完全透明，不需要对客户端作任何改动 一般路由器均具有这样的功能 效率高、速度快 缺点 包过滤规则难于配置 包过滤仅可以访问包头中的有限信息 包过滤是无状态的 缺乏鉴别功能 不适合某些协议，如RPC 易受攻击 对过滤路由器的攻击 IP地址欺骗 入侵者来自外部网络的，但源IP地址字段中包含一个内部主机地址的分组 源站选路攻击 该类分组说明了采用指定的路由传输 这种指定的路由可能会绕过安全检查 微小分片攻击 入侵者使用IP分片选项来创建更小的分片，并迫使TCP首部信息进入一个单独的分组分片。 攻击者希望