包過滤防火墙和灵巧网关设置.pptVIP

包过滤防火墙和灵巧网关设置 张焕杰 安徽中科大讯飞信息科技有限公司 james@ /~james/ Tel: 3601897(O) 主要内容 防火墙技术 包过滤防火墙 灵巧网关设置 参考资料： 计算机网络安全基础，袁津生等，人民邮电出版社 网络隔离与防火墙技术 根据安全等级不同将网络划分不同的部分 各个部分之间采用物理、逻辑隔离或受限访问方式互连 物理隔离 网络间禁止有物理通信线路连接 逻辑隔离 协议转换 受限访问 防火墙 防火墙技术 Firewall 来源于建筑业，用墙来分隔建筑物的各个部分，并具有防火功能。 万一某一部分或单元失火时，火灾被限制在一个局部范围内，其它部分不会受到损害。 防火墙技术 主要介绍： 1. 防火墙基本概念 2. 防火墙的分类 3. 包过滤 4. 代理服务 防火墙基本概念 防火墙是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，目的是保护网络不被他人侵扰。 本质上，它遵循的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。 网络边界上访问控制设施。根据预先定义的策略控制穿过防火墙的信息流通。 防火墙基本概念 由软件和硬件组成的防火墙应该具有以下功能： 所有进出网络的通信流都应该通过防火墙。 所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。 理论上说，防火墙是穿不透的。被策略禁止的通信不能通过被防火墙。 防火墙基本概念 防火墙在因特网与内部网中的位置 从逻辑上讲，防火墙是一个控制器，控制内外网之间的通信。 从物理角度看，防火墙物理实现的方式有所不同。通常防火墙是一组硬件设备，即路由器、计算机或者是路由器、计算机和配有适当软件的网络的多种组合。 防火墙基本概念 防火墙的基本功能 防火墙能够强化安全策略 防火墙能有效地记录因特网上的活动 防火墙限制暴露用户点 防火墙是一个安全策略的检查站 防火墙的不足之处 不能防范恶意的知情者 防火墙不能防范不通过它的连接 防火墙不能防备全部的威胁 防火墙不能防范病毒 防火墙分类 包过滤型 根据数据包的源地址、目的地址、协议、端口、协议内部数据、时间、物理接口来判断是否允许数据包通过。 外在表现：路由型、透明网桥型、混合型 优点：性能高，对应用透明，使用方便 缺点：安全控制粒度不够细 防火墙分类 应用层代理 对不同的应用进行相关的特殊处理，一般具有身份认证、访问控制、日志等功能。 不同的应用需要不同的代理：HTTP、FTP、TELNET、SMTP、POP3 优点： 安全控制粒度细，可以实现基于用户的控制 缺点： 每种应用要设置，对用户不透明，不是所有应用都支持代理 使用复杂 性能低 防火墙分类 代理的实现过程 防火墙分类 链路级代理 类似于应用层代理，区别是不针对专门应用协议，而是针对TCP、UDP连接进行中继服务，一般具有身份认证、访问控制、日志等功能，最典型的是socks代理。 优点： 安全控制粒度适中，可以实现基于用户的控制 在Windows环境下，通过截获winsock调用，基本上可以做到对应用透明，使用方便 缺点： 性能低 包过滤防火墙 包过滤型防火墙是应用最普遍的防火墙。 包是网络上信息流动的单位。 包过滤型防火墙对经过它的数据包进行处理，仅仅允许安全策略允许的数据包通过。其他的数据包全部丢弃。 在处理过程中可以进行日志记录。 包过滤一直是一种简单而有效的方法。通过拦截安全策略不允许的数据包，保护内部网络的安全。 防火墙产品 基于通用平台的软件系统 软件型 基于专用平台的集成产品 ASIC芯片实现包处理 通用CPU实现包处理 基于通用平台的软件产品 基于通用的硬件、软件平台 如基于Windows NT系统、Solaris系统 价格相对较低 功能丰富 强调认证的较多 安全性依赖于底层的操作系统 在国内商用的不多 Check-Point 专用ASIC芯片实现的 典型产品为Netscreen公司产品 利用ASIC芯片实现包过滤、地址转换、加密处理 可以得到极高的性能 Netscreen 5400 12Gbps 3DES加密到6Gbps 大部分的防火墙 基于IA架构 CPU: PII PIII 专用的软件 Cisco PIX，专门开发的操作系统 在Linux或Free BSD的基础上加固得到的操作系统 减少不必要的模块 增强一些安全性 国内的产品90%多属于这类 包过滤防火墙 包过滤防火墙一般放置在不同安全等级的网络之间 包过滤防火墙 每个数据包有两个部分：数据部分和包头。 每个数据包都包含有特定信息的一组报头，其主要信息是： IP协议类型（TCP、UDP，ICMP等） IP源地址 IP目标地址 IP选择域的内容 TCP或UDP源端口号 TCP或UDP目