网络安全技术10.ppt

内容提要 防火墙的基本概念。 防火墙的分类。 常见防火墙系统模型。 创建防火墙的步骤。 10.1 防火墙的基本概念 防火墙的本义 10.1 防火墙的基本概念 防火墙的定义 指隔离在本地网络与外界网络之间的一道防御系统。 防火墙的功能 根据不同的需要，防火墙的功能有比较大差异，但是一般都包含以下三种基本功能： 可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户。 防止入侵者接近网络防御设施。 限制内部用户访问特殊站点。 10.1 防火墙的基本概念 防火墙的局限性 防火墙不能防范网络内部的攻击。比如：防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。 防火墙也不能防止数据驱动攻击。 防火墙不能防止传送己感染病毒的软件或文件，不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。 10.2 防火墙的分类 防火墙的分类 分组过滤（Packet Filtering）：作用在协议组的网络层和传输层，根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过。 应用代理（Application Proxy）：也叫应用网关（Application Gateway），它作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。 状态检测（Status Detection）：直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断，然后决定是否允许该数据包通过。 分组过滤防火墙 数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃所各个数据包。 分组过滤防火墙 一个可靠的分组过滤防火墙依赖于规则集，下表列出了几条典型的规则集。 案例：用WinRoute创建包过滤规则 WinRoute目前应用比较广泛，既可以作为一个服务器的防火墙系统，也可以作为一个代理服务器软件。目前比较常用的是WinRoute4.1，安装文件如图9-4所示。 应用代理防火墙 应用代理（Application Proxy）是运行在防火墙上的一种服务器程序，防火墙主机可以是一个具有两个网络接口的双重宿主主机，也可以是一个堡垒主机。代理服务器被放置在内部服务器和外部服务器之间，用于转接内外主机之间的通信，它可以根据安全策略来决定是否为用户进行代理服务。代理服务器运行在应用层，因此又被称为“应用网关”。 应用代理防火墙 10.３防火墙系统模型 （１）筛选路由器模型 ： 是网络的第一道防线，功能是实施包过滤。创建相应的过滤策略时对工作人员的TCP/IP的知识有相当的要求，如果筛选路由器被黑客攻破那么内部网络将变的十分的危险。该防火墙不能够隐藏你的内部网络的信息、不具备监视和日志记录功能。 10.３防火墙系统模型 10.３防火墙系统模型 10.３防火墙系统模型 （４）屏蔽子网模型： 用了两个包过滤路由器和一个堡垒主机。它是最安全的防火墙系统之一，因为在定义了“中立区”(DMZ，Demilitarized Zone)网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、Modem组，以及其它公用服务器放在DMZ网络中。如果黑客想突破该防火墙那么必须攻破以上三个单独的设备。 10.4 创建防火墙的步骤 成功的创建一个防火墙系统一般需要六步： 制定安全策略 搭建安全体系结构 制定规则次序 落实规则集 注意更换控制 做好审计工作。 * * 第十章 防火墙技术 10.1 防火墙的基本概念 TCP 1024 20 10.1.1.1 * 禁止 3 TCP * 20 10.1.1.1 * 允许 2 TCP * * * 10.1.1.1 允许 1 协议类型 目的端口 源端口 目的IP 源IP 动作 组序号 （２）单宿主堡垒主机（屏蔽主机防火墙）模型： 由包过滤路由器和堡垒主机组成。该防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。所以入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。 （３）双宿主堡垒主机模型（屏蔽防火墙系统）： 可以构造更加安全的防火墙系统。双宿主堡垒主机有两种网络接口但是主机在两个端口之间直接转发信息的功能被关掉了。在物理结构上强行将所有去往内部网络的信息经过堡垒主机。