第5章防火墙技术精选.pptVIP

第五章 防火墙技术 防火墙的功能 访问控制 *** 对网络存取和访问进行监控审计 支持VPN功能 支持网络地址转换 …… 防火墙的局限性 防火墙不能防范不经过防火墙的攻击。如拨号访问、内部攻击等。 防火墙不能解决来自内部网络的攻击和安全问题。 防火墙不能防止策略配置不当或错误配置引起的安全威胁。 防火墙不能防止利用标准网络协议中的缺陷进行的攻击。 防火墙不能防止利用服务器系统漏洞所进行的攻击。 防火墙不能防止受病毒感染的文件的传输。 防火墙不能防止数据驱动式的攻击。有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动式的攻击。 防火墙不能防止本身的安全漏洞的威胁。目前还没有厂商绝对保证防火墙不会存在安全漏洞。 防火墙不能防止可接触的人为或自然的破坏。 防火墙的发展简史 防火墙的分类 按性能分类：百兆级防火墙和千兆级防火墙。 按形式上划分：软件防火墙和硬件防火墙； 按保护对象分类：单机防火墙和网络防火墙； 按技术上划分：包过滤防火墙、应用代理型防火墙、状态检测防火墙和复合型防火墙。 按CPU架构的分类：通用CPU、NP（Network Processor，网络处理器）、ASIC（Application Specific Integrated Circuit，专用集成电路）架构的防火墙。 通用CPU 在百兆防火墙时代，防火墙厂商普遍采用的是通用CPU配合软件的技术方案。 所有的数据包解析和审查工作基本由软件来完成。 网络处理器（NP） NP是专门为处理数据包而设计的可编程处理器，它的特点是内含了多个数据处理引擎。这些引擎可以并发进行数据处理工作，在处理2到4层的分组数据上比通用处理器具有明显的优势。 具有以下几个方面的特性：完全的可编程性、简单的编程模式、最大化系统灵活性、高处理能力、高度功能集成、开放的编程接口、第三方支持能力。 NP的主要提供商是Intel和Motorola，国内基于NP技术开发千兆防火墙的厂商也比较多，联想、紫光等 。 专用集成电路（ASIC） ASIC防火墙通过专门设计的ASIC芯片进行硬件加速处理。ASIC通过把指令或计算逻辑固化到芯片中，获得了很高的处理能力，因而明显提升了防火墙的性能。 ASIC的缺点：它的灵活性和扩展性不够，开发费用高，开发周期太长，一般耗时接近2年。 NetScreen在ASIC防火墙领域占有优势地位 。 5.3 防火墙实现技术原理 简单包过滤防火墙 动态包过滤(状态检测) 防火墙 应用代理防火墙 包过滤与应用代理复合型防火墙 1．简单包过滤防火墙（Packet filtering） 数据包过滤技术的发展：静态包过滤、动态包过滤。 包过滤防火墙在网络层实现数据的转发，包过滤模块一般检查网络层、传输层内容，包括下面几项： ① 源、目的IP地址； ② 源、目的端口号； ③ 协议类型； ④ TCP报头的标志位。 简单包过滤防火墙的工作原理1 包过滤防火墙的工作流程 包过滤防火墙的特点 优点： 保护整个网络；对用户透明；可用路由器，不需要其他设备。 缺点： 1.包过滤的一个重要的局限是它不能分辨好的和坏的用户，只能区分好的包和坏的包。 2.包过滤规则难配置。 3.新的协议的威胁。 4.IP欺骗 2. 动态包过滤 (状态检测) 防火墙 动态包过滤防火墙的工作流程 3．代理防火墙（Proxy Server） 代理防火墙的工作过程： 代理防火墙的工作原理 代理服务器的类型 HTTP代理：代理客户机的http访问，主要代理浏览器访问网页，它的端口一般为80、8080、3128等。 FTP代理：代理客户机上的ftp软件访问ftp服务器，其端口一般为21、2121。 POP3代理：代理客户机上的邮件软件用pop3方式收邮件，其端口一般为110。 Telnet代理：能够代理通信机的telnet，用于远程控制，入侵时经常使用。其端口一般为23。 Socks代理：是全能代理，支持多种协议，包括http、ftp请求及其它类型的请求，其标准端口为1080。 …… 应用实例 例1：不允许上。 方法： 1.使用包过滤防火墙把服务器的所有IP过滤掉。 2.使用代理防火墙过滤域名，而不管IP地址怎么改变。 Client用SOCKS5 Client用“特殊”的HTTP代理 【说明】 client端发出HTTP请求时，不包含的信息，代理防火墙就检测不到字段 ，实现不了过滤。 HTTP代理需要“特殊” 定制，代理服务器知道这类client端发出的请求是要访问，它会帮助client端下载的内容。 代理技术的优点 代理易于配置。 代理能生成各项记录。 代理能灵活、完全地控制进出流量、内容。 代理能过滤数据内容。 代理能为用户提供透明的加密机制。 代理可以方便地与其他安