[整理]k第十一周 防火墙技术(第23章).pptVIP

*;*;*;;*;*;*;包过滤模型 ;*;包过滤一般要检查下面几项： （1）IP源地址； （2）IP目的地址； （3）协议类型（TCP包、UDP包和ICMP包）； （4）TCP或UDP的源端口； （5）TCP或UDP的目的端口； （6）ICMP消息类型； （7）TCP报头中的ACK位。 另外，TCP的序列号、确认号，IP校验以及分段偏移也往往是要检查的选项。 ;*;*;包过滤操作过程 ： (1)包过滤规则必须被存储在包过滤设备的端口； (2)当数据包在端口到达时，包头被提取，同时包 过滤设备检查IP、TCP、UDP等包头中的信息； (3)包过滤规则以特定的次序被存储，每一规则按 照被存储的次序作用于包； (4)如果一条规则允许传输，包就被通过；如果一条规则阻止传输，包就被弃掉或进入下一条规则。 ;包过滤防火墙;*;第二代：动态包过滤 即包状态监测（Stateful Inspection）技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪 状态包检测模式增加了更多的包和包之间的安全上下文检查，以达到与应用级代理防火墙相类似的安全性能。 状态包检测防火墙在网络层拦截输入包，并利用足够的企图连接的状态信息做出决策。 根据需要可动态地在过滤规则中增加或更新。;优点 安全性相比静态包过滤技术要高，提升了防火墙的性能 状态检测机制可以区分连接的发起方与接收方 可以通过状态分析阻断更多的复杂攻击行为，可以通过分析打开相应的端口而不是“一刀切” 工作在协议栈的较低层，通过防火墙的所有数据包都在低层处理，不需要协议栈的上层来处理数据包，减少了高层协议的开销执行效率高。 通过已知合法数据包的模式来比较进出数据包，比应用级代理在过滤数据包上更加有效； 缺点 主要工作在网络层和传输层，对报文的数据部分检查很少，安全性还不够高。对高层协议栈内容有足够的能见度较低。 检查内容多，对防火墙性能提出了更高的要求 ;*;*;;*;*;代理防火墙 ;代理防火墙;*;;*;;*;*;*;*;*;*; 下面来看一下路由器不被正常路由的情况，这会降低系统的安全性。 下图显示了正常的路由情况，路由器的路由表指向堡垒主机。内部网络号是，堡垒主机的IP地址为，路由表的内容为： 目的： 转发至： 这样，网络上所有的流量都被转发到堡垒主机上。;图 正常的路由情况; 下图显示了路由表被破坏的情形，堡垒主机的路由项目被从路由表中删除，这样，进入屏蔽路由器的流量就不会被转发到堡垒主机上，可能被转发到另一主机上，即外部主机直接访问了内部主机而绕过了防火墙。在这种情况下，过滤路由器成了惟一的防线，在前面讲过屏蔽路由器的安全性较差，这样入侵者就很容易突破屏蔽路由器，内部网络也就处于危险之中了。;图 路由表被破坏的情形;*;*;*;*;*;*;*;*;*;*;*;*;*;*;实现NAT的地址映射有许多方法： 使用静态地址分配(Static Translation，也称为端口转发，Port Forwarding)，它们用NAT为内部网络的客户绑定一个固定IP地址。 使用动态地址分配(Dynamic Translation，也称为自动模式，隐藏模式或IP伪装)的NAT为访问外部网络的客户分配一个IP地址。在客户会话结束，或者超过某一时限后，合法的外部网络地址会返回到地址池，等待下次分配，实现IP地址的复用。 NAT可以工作在单向方式，当初始化外出的会话时，NAT为内部网络客户分配一个网络地址。它也可以工作在双向方式，以便进入的目的IP地址可以被修改，从而发送数据包到处于内部网络的服务器。;*;VPN概述;VPN概述;PPTPvsL2TP 联系：PPTP和L2TP都使用PPP协议对数据进行封装，然后添加附加包头用于数据在互联网络上的传输。 区别： 1）PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP（使用UDP），桢中继永久虚拟电路（PVCs），X.25虚拟电路（VCs）或ATM VCs网络上使用。 2）PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP，用户可以针对不同的服务质量创建不同的隧道。 3）L2TP可以提供包头压缩。。 4）L2TP可以提供隧道验证，而PPTP不支持隧道验证。。 PPTP和L2TF端点用户需要在连接前手工建立加密信道。认证和加密受到限制，没有强加密和认证支持。 ;IPSECvsMPLS ;IPSEC vs SSL 1、 IPsec VPN多用于“网—网”连接，SSL VPN用于“移动客户—网”连接。SSL VPN的移动用户使用标准的浏览器，无需安装客户端程序