第二十章_防火墙.ppt

第五章 防火墙 功能配置 防火墙 防火墙基础 防火墙概念 防火墙功能 防火墙附加功能 外部攻击与防火墙对抗 防火墙 防火墙体系结构 屏蔽路由器 双穴主机网关 被屏蔽主机网关 被屏蔽子网 多重防火墙组合技术 防火墙 防火墙的基本类型 网络级防火墙 应用级网关 电路级网关 规则检查防火墙 防火墙 防火墙技术 包过滤技术 应用网关技术 状态监测防火墙 应用层防火墙 防火墙 透明防火墙 防火墙的透明模式 透明代理 防火墙设计 软硬件设计依据 Linux包过滤防火墙实例 接口隔离防火墙实例 防火墙展望 防火墙概念 防火墙是指一种保护措施，它可按照用户事先规定的方案控制信息的流入和流出，监督和控制使用者的操作。使用户可以安全使用网络，并避免受到Hacker的袭击。 防火墙通常由过滤器和网关等组成。过滤器封锁某些类型的通信量，网关提供中继服务，补偿过滤影响的一个或一组机器。网关留驻的网络经常称为隔离地带（DMZ）。 防火墙功能 包过滤是防火墙所要实现的最根本功能 防火墙可以对网络存取和访问进行监控审计 防火墙可以强化网络安全策略 防火墙可以防止内部信息的外泄 网络地址转换已经成了防火墙的功能之一 防火墙可以提供代理功能 1、透明代理(Transparentproxy） 2、传统代理 防火墙附加功能 NAT NAT的工作过程如图所示： 防火墙附加功能 虚拟专用网（VPN） 虚拟专用网（VPN）是指在公共网络中建立专用网络，数据通过安全的“加密通道”在公共网络中传播。VPN的基本原理是通过对IP包的封装及加密，认证等手段，从而达到保证安全的目的。它往往是在防火墙上附加一个加密模块实现。 外部攻击与防火墙对抗 外部攻击主要有： DOS（DDOS）攻击 IP假冒(IPspoofing） 口令字攻击 邮件诈骗 对抗防火墙（anti-firewall） 防火墙 防火墙体系结构 屏蔽路由器 双穴主机网关 被屏蔽主机网关 被屏蔽子网 多重防火墙组合技术 屏蔽路由器 屏蔽路由器ScreeningRouter这是防火墙最基本的构件。它可以由厂家专门生产的路由器实现，也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。路由器上可以装基于IP层的报文过滤软件，实现报文过滤功能。 双穴主机网关 双穴主机网关DualHomedGateway方式最简单。Dual-homedGateway放置在两个网络之间，这个Dual-homedGateway又称为bastionhost。这种结构成本低，但是它有单点失败的问题。 双穴主机网关优于屏蔽路由器的地方是：堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。这对于日后的检查很有用。但这不能帮助网络管理者确认内网中哪些主机可能已被黑客入侵。 双穴主机网关的一个致命弱点是：一旦入侵者侵入堡垒主机并使其只具有路由功能，则任何网上用户均可以随便访问内网。 被屏蔽主机网关 屏蔽主机网关（ScreenedHostGateway）易于实现也很安全，因此应用广泛。 如果受保护网是一个虚拟扩展的本地网，即没有子网和路由器，那么内网的变化不影响堡垒主机和屏蔽路由器的配置。危险带限制在堡垒主机和屏蔽路由器。 被屏蔽子网 被屏蔽子网（ScreenedSubnet）方法是在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。 Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网，称之为停火区（DMZ，即DemilitarizedZone），Bastionhost放置在停火区内。这种结构安全性好，只有当两个安全单元被破坏后，网络才被暴露，但是成本也很昂贵。 多重防火墙组合技术 多重防火墙的组合方式主要有两种：叠加式和并行式。 叠加式将多台防火墙串联在一条链路之上（如企业网络的出口位置），所有访问流量都要先后通过多台不同厂家的防火墙的审计保护，每种防火墙都将按照自己特定的体系结构和安全策略对过往流量进行核查。 与叠加方式恰恰相反，并行式组合方式首先强调的是提供整套系统的健壮性。 防火墙 防火墙的基本类型 网络级防火墙 应用级网关 电路级网关 规则检查防火墙 防火墙的基本类型 防火墙有许许多多种形式，有以软件形式运行在普通计算机之上的，也有以固件形式设计在路由器之中的。总的来说业界的分类有三种：包过滤防火墙，应用级网关和状态监视器。 实现防火墙的技术包括四大类：网络级防火墙（也叫包过滤型防火墙）、应用级网关、电路级网关和规则检查防火墙。 网络级防火墙 一般是基于源地址和目的地址、应用或协议以及每个IP包的端口