防火墙技术及其应用.pptVIP

防火墙技术及其应用 防火墙技术及其应用 报告内容 基本概念 防火墙定义 为什么需要防火墙 对防火墙的两大需求 防火墙系统四要素 防火墙技术的发展过程 引入防火墙技术的好处 争议及不足 防火墙定义 防火墙是位于两个(或多个)网络间，实施网间访问控制的一组组件的集 合，它满足以下条件： 内部和外部之间的所有网络数据流必须经过防火墙 只有符合安全政策的数据流才能通过防火墙 防火墙自身应对渗透(peneration)免疫 为什么需要防火墙 Why Security is Harder than it Looks 内部网特点 组成结构复杂 各节点通常自主管理 信任边界复杂，缺乏有效管理 有显著的内外区别 机构有整体的安全需求 最薄弱环节原则 为什么需要防火墙 保护内部不受来自Internet的攻击 为了创建安全域 为了增强机构安全策略 对防火墙的两大需求 保障内部网安全 保证内部网同外部网的连通 防火墙系统四要素 安全策略 内部网 外部网 技术手段 防火墙技术发展过程 20世纪70年代和80年代，多级系统和安全模型吸引了大量的研究 屏蔽路由器、网关 防火墙工具包 商业产品防火墙 新的发展 防火墙技术带来的好处 强化安全策略 有效地记录Internet上的活动 隔离不同网络，限制安全问题扩散 是一个安全策略的检查站 争议及不足 使用不便，认为防火墙给人虚假的安全感 对用户不完全透明，可能带来传输延迟、瓶颈及单点失效 不能替代墙内的安全措施 不能防范恶意的知情者 不能防范不通过它的连接 不能防范全新的威胁 不能有效地防范数据驱动式的攻击 当使用端-端加密时，其作用会受到很大的限制 报告内容 防火墙简图 防火墙的位置 默认安全策略 没有明确禁止的行为都是允许的 没有明确允许的行为都是禁止的 防火墙体系结构 包过滤路由器 单宿/多宿主机模式 (dual-homed/multi-homed) 屏蔽主机模式 屏蔽子网模式 包过滤路由器 包过滤路由器 最常见的防火墙是放在Internet和内部网络之间的包过滤路由器。 包过滤路由器在网络之间完成数据包转发的普通路由功能，并利用包过滤规则来允许或拒绝数据包。 一般情况下，是这样来定义过滤规则的：内部网络上的主机可以直接访问Internet，Internet上的主机对内部网络上的主机进行访问是有限制的。 这种类型的防火墙系统的默认安全策略是对没有特别允许的外部数据包都拒绝。 工作原理 包过滤路由器对所接收的每个数据包做允许拒绝的决定。 路由器审查每个数据报以便确定其是否与某一条包过滤规则匹配。 如果有匹配并且规则允许该数据包，那么该数据包就会按照路由表中的信息被转发。 如果匹配并且规则拒绝该数据包，那么该数据包就会被丢弃。如果没有匹配规则，用户配置的缺省参数会决定是转发还是丢弃数据包。 过滤规则 过滤规则基于可以提供给IP转发过程的包头信息。 包头信息中包括IP源地址、IP目标端Ｆ地址、内装协（ICP、UDP、ICMP、或IP Tunnel）、TCP/UDP目标端口、ICMP消息类型、包的进入接口和出接口。 与服务相关的过滤 包过滤路由器使得路由器能够根据特定的服务允许或拒绝流动的数据，因为多数的服务收听者都在已知的TCP/UDP端口号上。 例如，Telnet服务器在TCP的23号端口上监听远地连接，而SMTP服务器在TCP的25号端口上监听人连接。为了阻塞所有进入的Telnet连接，路由器只需简单的丢弃所有TCP端口号等于23的数据包。为了将进来的Telnet连接限制到内部的数台机器上，路由器必须拒绝所有TCP端口号等于23并且目标IP地址不等于允许主机的IP地址的数据包。 与服务无关的过滤 有几种类型的攻击很难使用基本的包头信息来识别，因为这几种攻击是与服务无关的。 可以对路由器配置以便防止这几种类型的攻击。但是它们很难指定，因为过滤规则需要附加的信息，并且这些信息只能通过审查路由表和特定的IP选项、检查特定段的内容等等才能学习到。 与服务无关的过滤 ----源IP地址欺骗式攻击（Sowrce IP Address Spoofing Attacks）。 这种类型的攻击的特点是入侵者从外部传输一个假装是来自内部主机的数据包，即数据包中所包含的IP地址为内部网络上的IP地址。入侵者希望借助于一个假的源IP地址就能渗透到一个只使用了源地址安全功能的系统中。 在这样的系统中，来自内部的信任主机的数据包被接受，而来自其它主机的数据包全部被丢弃。 对于源IP地址欺骗式攻击，可以利用丢弃所有来自路由器外部端口的使用内部源地址的数据包的方法来挫败。 与服务无关的过滤 ---- 源路由攻击（Source Rowing Attacks