体系结构屏蔽子网防火墙——ScreenedSubnet-湖南大学.ppt

第三讲 防火墙 杨秋伟 湖南大学 计算机与通信学院 什么是防火墙(Firewall) ？ 防火墙：用途 用途 作为“扼制点”，限制信息的进入或离开； 防止侵入者接近并破坏你的内部设施； 监视、记录、审查重要的业务流； 实施网络地址转换，缓解地址短缺矛盾。 防火墙只允许已授权的业务流通过，而且本身也应抵抗渗透攻击。 建立防火墙必须全面考虑安全策略，否则形同虚设。 防火墙：特点 广泛的服务支持 通过将动态的、应用层的过滤能力和认证相结合，可实现WWW浏览器、HTTP服务器、 FTP等； 对私有数据的加密支持 保证通过Internet进行虚拟私人网络和商务活动的安全； 客户端认证 只允许指定的用户访问内部网络或选择服务：企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分； 反欺骗 欺骗是从外部获取网络访问权的常用手段，它使数据包好似来自网络内部。防火墙能监视这样的数据包并能扔掉它们； C/S模式和跨平台支持 能使运行在一平台的管理模块控制运行在另一平台的监视模块。 防火墙：优点 防止易受攻击的服务 通过过滤不安全的服务来降低子网上主系统的风险； 可以禁止某些易受攻击的服务(如NFS)进入或离开受保护的子网； 可以防护基于路由选择的攻击，如源路由选择和企图通过ICMP改向把发送路径转向遭致损害的网点。 控制访问网点系统 可以提供对系统的访问控制，如允许从外部访问某些主机(Mail Server和Web Server) ，同时禁止访问另外的主机。 防火墙：优点 集中安全性 防火墙定义的安全规则可用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。 可以定义不同的认证方法，而不需要在每台机器上分别安装特定的认证软件。外部用户只需要经过一次认证即可访问内部网。例如对于密码口令系统或其他的身份认证软件等，放在防火墙系统中更是优于放在每个Internet能访问的机器上。 防火墙：优点 增强的保密、强化私有权 使用防火墙系统，站点可以防止finger 以及DNS域名服务。Finger能列出当前用户，上次登录时间，以及是否读过邮件等。 有关网络使用、滥用的记录和统计 防火墙可以记录各次访问，并提供有关网络使用率等有价值的统计数字。 网络使用率统计数字可作为网络需求研究和风险分析的依据；收集有关网络试探的证据，可确定防火墙上的控制措施是否得当，能否抵御试探和攻击。 防火墙：缺点 防火墙防外不防内 防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去。如果入侵者已经在防火墙内部，防火墙是无能为力的。内部用户偷窃数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理，如主机安全和用户教育、管理、制度等。 不能防范绕过防火墙的攻击 防火墙能够有效地防止通过它进行传输信息，然而不能防止不通过它而传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。 防火墙：缺点 防火墙配置复杂，容易出现安全漏洞 防火墙往往只认机器(IP地址)不认人(用户身份)，并且控制粒度较粗 防火墙不能防范病毒 防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。 防火墙不能防止数据驱动式攻击。 当有些表面看来无害的数据被邮寄或复制到内部网主机上并被执行而发起攻击时，就会发生数据驱动攻击。特别是随着Java、JavaScript、ActiveX的应用，这一问题更加突出。 防火墙：好的防火墙 好的防火墙评判标准 内部网络和外部网络之间传输的数据必须通过防火墙； 只有防火墙系统中安全策略允许的数据可以通过防火墙； 防火墙本身不受各种攻击的影响。 防火墙：服务访问政策 服务访问政策 整个机构信息安全政策的延伸，既要可靠又要切合实际。 两个典型政策 可以不允许从Internet访问网点，但要允许从网点访问Internet。 允许从Internet进行某些访问，但是或许只许可访问经过选择的系统，如Web服务器和电子邮件服务器。 防火墙：设计策略 防火墙一般实施两个基本设计方针之一 “没有明确允许的都是被禁止的”，即拒绝一切未予特许的东西； “没有明确禁止的都是被允许的”，即允许一切未被特别拒绝的东西。 防火墙：体系结构 屏蔽路由器——Screened Router 双宿主机网关—— Dual Homed Host Gateway 屏蔽主机防火墙——Screened Gateway 屏蔽子网防火墙——Screened Subnet 防火墙：体系结构 屏蔽路由器——Screened Router 包过滤路由器——路由 + 过滤 这是最简单的防火墙 缺点 日志没有或很少，难以判断是否被入侵 规则表会随着