主题4+网络防火墙概述.ppt

专题4 网络防火墙;破坏者 黑客 间谍 技术爱好者 好奇的年青人 ……;1、隐藏IP 2、踩点扫描 3、获得系统或管理员权限 4、种植后门 5、在网络中隐身;4、网络攻击手段 社会工程学攻击 物理攻击 暴力攻击 利用Unicode漏洞攻击 利用缓冲区溢出漏洞进行攻击 ……;1、防火墙技术 2、入侵检测技术 3、系统脆弱性扫描技术 4、隔离技术 5、VPN（虚拟专用网）技术 6、网络防病毒技术 7、数据加密技术 ……;;;一、 防火墙基本概念;网络边界即是采用不同安全策略的两个网络连接处，比如用户网络和因特网之间连接、和其他业务往来单位的网络连接、用户内部网络不同部门之间的连接等。;2.只有被防火墙策略明确授权的通信才可以通过;3.系统自身具有高安全性和高可靠性;二、防火墙的功能;防火墙的基本功能：访问控制;路由功能 NAT功能 VPN功能 用户认证; 软件防火墙、硬件防火???、芯片级防火墙 ;包过滤型和应用代理型 ;数据包过滤：通过对数据包的IP头和TCP头或UDP头的检查来实现。主要信息有： IP源地址 IP目标地址 协议（TCP包、UDP包和ICMP包） TCP或UDP包的源端口 TCP或UDP包的目标端口 ICMP消息类型 TCP包头中的ACK位 数据包到达的端口 数据包出去的端口 ;过滤器的实现： 数据包过滤一般使用过滤路由器来实现，这种路由器与普通的路由器有所不同。 普通的路由器只检查数据包的目标地址，并选择一个达到目的地址的最佳路径。它处理数据包是以目标地址为基础的，存在着两种可能性：若路由器可以找到一个路径到达目标地址则发送出去；若路由器不知道如何发送数据包则通知数据包的发送者“数据包不可达”。 过滤路由器会更加仔细地检查数据包，除了决定是否有到达目标地址的路径外，还要决定是否应该发送数据包。“应该与否”是由路由器的过滤策略决定并强行执行的。;包过滤技术的优缺点 1）优点： 对一个小型的、不太复杂的站点，包过滤较容易实现。 过滤路由器在价格上一般比代理服务器便宜。由于过滤路由器工作在IP层和TCP层，所以处理包的速度比代理服务器快。 过滤路由器为用户提供了一种透明的服务，用户不需要改变客户端的任何应用程序，也不需要用户学习任何新的东西（过滤路由器工作在IP层和TCP层，而IP层和TCP层与应用层的问题毫不相关）。所以，过滤路由器有时也被称为“包过滤网关”或“透明网关”。之所被称为网关，是因为包过滤路由器和传统路由器不同，它涉及到了传输层。; 2）缺点： 一些包过滤网关不支持有效的用户认证。 规则表很快会变得很大而且复杂，规则很难测试。随着表的增大和复杂性的增加，规则结构出现漏洞的可能性也会增加。 这种防火墙最大的缺陷是它依赖一个单一的部件来保护系统。如果这个部件出现了问题，会使得网络大门敞开，而用户其至可能还不知道。 在一般情况下，如果外部用户被允许访问内部主机，则它就可以访问内部网上的任何主机。 包过滤防火墙只能阻止一种类型的IP欺骗，即外部主机伪装内部主机的IP，对于外部主机伪装外部主机的IP欺骗却不可能阻止，而且它不能防止DNS欺骗。 ;2．应用代理型(Application Proxy)防火墙;优点：安全 由于每一个内外网络之间的连接都要通过Proxy的介入和转换，通过专门为特定的服务如Http编写的安全化的应用程序进行处理，然后由防火墙本身提交请求和应答，没有给内外网络的计算机以任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。而包过滤类型的防火墙则很难彻底避免这一漏洞。 缺点：速度相对比较慢 当用户对内外网络网关的吞吐量要求比较高时，（如要求达到75-100Mbps时）代理防火墙就会成为内外网络之间的瓶颈。所幸的是，目前用户接入Internet的速度一般都远低于这个数字。现实环境中，要考虑使用包过滤类型防火墙来满足速度要求的情况，大部分是高速网（ATM或千兆位以太网等）之间的防火墙。 ;（三）按部署结构分类 ;分布式防火墙：不只是位于网络边界，而是渗透于网络的每一台主机，对整个内部网络的主机实施保护。在网络服务器中，通常会安装一个用于防火墙系统管理软件，在服务器及各主机上安装有集成网卡功能的PCI防火墙卡。 ;（四）按部署位置分类 ;四、防火墙的体系结构 ;1、双重宿主主机体系结构;2、屏蔽主机体系结构;3、屏蔽子网体系结构;最简单的形式：两个屏蔽路由器，每一个都连接到周边网。 一个位于周边网络与内部网络之间，另一个位于周边网与外部网络（通常为Internet）之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。 ;五、防火墙的安装与使用;安装防火墙后的网络 ;DMZ：为解决安装防火墙后外部网络不能访问内部网络服务器的问题，