ch4防火墙技术试卷.ppt

第4章 防火墙技术 ;4.1 概述 ;防火墙的要点： 防火墙配置在不同网络或网络安全域之间,它遵循的是一种允许或阻止业务来往的网络通信安全机制，只允许授权的通信，尽可能地对外部屏蔽网络内部的信息、结构和运行状况 ; 防火墙的发展简史 ;防火墙的五大基本功能 ;4.2 防火墙体系结构 ;防火墙的体系结构;4.2.1 双重宿主主机体系结构 ;双重宿主主机体系结构 ;4.2.2 屏蔽主机体系结构 ;屏蔽主机体系结构 ;4.2.3 屏蔽子网体系结构 ;1．周边网络 周边网络是另一个安全层,是在外部网络与被保护的内部网络之间的附加网络,提供一个附加的保护层防止内部信息流的暴露 . 2．堡垒主机 堡垒主机为内部网络服务的功能有： （1）接收外来的电子邮件（SMTP），再分发给相应的站点； （2）接收外来的FTP连接，再转接到内部网的匿名FTP服务器； （3）接收外来的对有关内部网站点的域名服务（DNS）查询。;堡垒主机向外的服务功能按以下方法实施： （1）在路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器。 （2）设置代理服务器在堡垒主机上运行，允许内部网的用户间接地访问外部网的服务器。也可以设置数据包过滤，允许内部网的用户与堡垒主机上的代理服务器进行交互，但是禁止内部网的用户直接与外部网进行通信。 ;3．内部路由器 保护内部的网络使之免受外部网和周边网的侵犯，内部路由器完成防火墙的大部分数据包过滤工作。 ? 4．外部路由器 保护周边网和内部网使之免受来自外部网络的侵犯，通常只执行非常少的数据包过滤。 外部路由器一般由外界提供。;4.2.4 防火墙体系结构的组合形式 ;4.3 包过滤防火墙 ;数据包过滤的主要依据有：;包过滤系统能进行以下情况的操作： （1）不让任何用户从外部网用Telnet登录； （2）允许任何用户使用SMTP往内部网发电子邮件； （3）只允许某台机器通过NNTP往内部网发新闻。 不能进行以下情况的操作： （1）允许某个用户从外部网用Telnet登录而不允许其他用户进行这种操作。 （2）允许用户传送一些文件而不允许用户传送其他文件。;（1）包过滤标准必须由包过滤设备端口存储起来，这些包过滤标准叫包过滤规则。 （2）当包到达端口时，对包的报头进行语法分析，大部分的包过滤设备只检查IP、TCP或UDP报头中的字段，不检查数据的内容。 （3）包过滤器规则以特殊的方式存储。 （4）如果一条规则阻止包传输或接收，此包便不允许通过。 （5）如果一条规则允许包传输或接收，该包可以继续处理。 （6）如果一个包不满足任何一条规则，该包被丢弃。 ;包过滤路由器的配置时要注意的问题 ;包过滤防火墙的缺陷 ;4.4 应用代理防火墙;代理的工作方式 ; 代理防火墙工作于应用层； 针对特定的应用层协议； 代理服务器（Proxy Server）作为内部网络客户端的服务器，拦截住所有请求，也向客户端转发响应； 代理客户机（Proxy Client）负责代表内部客户端向外部服务器发出请求，当然也向代理服务器转发响应； ;应用层网关型防火墙 ; 传统代理型防火墙； 核心技术就是代理服务器技术； 基于软件实现，通常安装在专用工作站系统上； 参与到一个TCP连接的全过程； 在网络应用层上建立协议过滤和转发功能； 优点就是安全，是内部网与外部网的隔离点； 最大缺点就是速度相对比较慢。;电路层网关防火墙 ;电路层网关防火墙 ;代理技术的优点;代理技术的缺点:;4.5 防火墙应用示例 ;网络卫士防火墙3000典型应用拓扑图 ;典型应用的特点 ;1．配置防火墙接口地址 ;2．设置路由表 ;（3）eth2上： route add 添加到网络的路由 ?（4）eth2:0上 route add 55 eth2:0 添加到的单机路由 route add 55 eth2:0 添加到路由器的单机路由 route add 定义到网络/24的路由为内部网路由器;route add 定义到网络/24的路由为内部网路由器 （5）eth2:1上 route add eth2:1 添加到的路由 （6） route add default 默认路由指向边界路由器。;3．指定防火墙接口属性 ;命令：dns 按照提示输入所在的域以及域名服务器。; 用adm用户通过otp认证，访问防火墙的10000端口。 ;4.6 防火墙攻防概述; 获取防火墙标识 穿透防火墙扫描 利用分组过滤脆弱点 利用应用代理脆弱点;1．直接扫描 2．路径跟踪 3．标志获取 4．使用nmap简单推断 ;（1）方法 查找防火墙最容易的方法是对特定的缺省端口执行扫描。 （2）对策 可以在防