防火墙的关键技术技巧.ppt

静态包过滤防火墙 静态包过滤防火墙 3、代理技术 应用层代理 无ACK攻击扫描问题，不是有意义的应用请求 结合协议进行检测 如HTTP，检查是否是正确格式，而不仅仅是80端口 如FTP，可以get 不可put 3、代理技术 应用层代理优点 经常访问的信息可以缓存 支持用户认证 配置规则简单 完全控制会话，可提供详细日志和安全审计 可隐藏内部IP 代理访问解决内部IP不足 3、代理技术 应用层代理缺点 吞吐量瓶颈 有限的连接性，提供独特的Proxy 不能支持RPC、TALK等协议族 3、代理技术 传输层代理SOCKS 不再是一种应用一种代理 SOCKS服务端、 SOCKS客户端 服务端实现在应用层 客户端实现在应用层和传输层之间 无需直接的IP联通性前提 对高层透明 SOCKS 5 3、代理技术 传输层代理SOCKS 配置实例 （1） 配置实例 （2） 第二讲：防火墙关键技术 计算机科学与技术学院 主讲人：吕宏武 网络安全防护技术讲义 MAIN POINTS 包过滤技术 状态包过滤技术 NAT网络地址转换技术 代理技术 MAIN POINTS 学习的目标 理解包过滤技术 掌握NAT转换的基本原理 了解防火墙代理技术 1、包过滤技术 包过滤原理 分组交换网络，包含信息头部和数据信息两部分 工作在网络层和传输层 根据首部信息决定处理方式 理论上可以对报头的任意数据域进行过滤 1、包过滤技术 IPv4的头部 1、包过滤技术 TCP的头部 1、包过滤技术 包过滤的规则表 数据包过滤访问控制列表ACL 只有满足规则的数据包才被转发 1、包过滤技术 包过滤的规则表 还可以包含TCP包的序列号、IP校验和、网卡名称等 1、包过滤技术 通常被阻止的数据包 部分内网数据包 1、包过滤技术 包过滤的优缺点 优点是简单 缺点是： 过滤依据的信息有限 缺少审计和报警机制 不能对用户身份验证 规则数目受限，规则表太大时，性能受影响 对安全管理人员的要求很高 由于缺少上下文关联信息，难以处理动态端口连接 1、包过滤技术 包过滤的优缺点 EX1 仅开通内部主机对外部Web服务的访问 ？ 1、包过滤技术 包过滤的优缺点 EX2 包过滤防火墙对于TCP ACK隐蔽扫描的处理分析 ？ 1、包过滤技术 包过滤的优缺点 EX2 包过滤防火墙对于TCP ACK隐蔽扫描的处理分析 ？ 2、状态包过滤技术 状态包过滤技术 基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流来看待 过滤规则表+状态表 2、状态包过滤技术 状态包过滤技术 基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流来看待 过滤规则表+状态表 2、状态包过滤技术 状态包过滤技术 重新分析EX1 OUT | 主机A地址：* | 服务器地址：80 | TCP协议 | 接收并加入状态表 2、状态包过滤技术 状态包过滤技术 重新分析EX2 2、状态包过滤技术 状态包过滤技术 也可以保护更复杂的情况，如UDP FTP需要两个连接，控制端口一般为21，而数据端口一般为20 2、状态包过滤技术 状态包过滤技术的优缺点 访问控制列表管理与维护困难：规模、顺序 难以详细了解主机之间的会话关系 底层难以实现对应用层服务的过滤 查询状态表 2、NAT技术 NAT 最初只是为了将私有IP映射到公网 IP地址短缺 内部地址隐藏 负载均衡 网络地址交叠 2、NAT技术 静态NAT 私有IP：公网IP 1 to 1 5 2、NAT技术 动态NAT 私有IP：公网IP m to n 2、NAT技术 动态NAT PAT IP地址+端口号：网络套接字映射 节省IP地址 隐藏内部拓扑结构 2、NAT技术 NAT实现负载均衡 与NAT映射表中相匹配的目的地址会被内网集中的一个地址所替代 以连接为单位轮询进行 由外部发起到内部新连接时才执行 2、NAT技术 NAT实现负载均衡 2、NAT技术 NAT处理网络地址交叠 两个公司合并 方案移植 2、NAT技术 NAT技术缺点 某些应用层协议无法使用NAT：与端口关联 安全问题：静态/数据包中的相关地址不能替换 对内部主机的引诱和木马攻击无抵御能力 状态表超时问题 3、代理技术 Proxy 基于应用层信息处理问题，不再基于数据包 3、代理技术 应用层代理 针对每一种应用编制专门的代理程序 HTTP、SMTP、POP3、Telnet 3、代理技术 应用层代理 代理服务程序接受内网用户请求 访问规则检查表进行核查（允许的请求类型） IF允许，代理服务程序将请求转发给外部真正的服务程序。 当会话建立后，代理仅承担中转站的任务。 内网用户和外部服务器之间传超数据，担当C/S双重角色； 代理服务包括两个部分：代理服务器端程序