第八章防火墙术及应用-2.pptVIP

包过滤防火墙局限性 包过滤防火墙只通过简单的规则控制数据流的进出，没考虑高层的上下文信息 简单的包过滤防火墙允许所有高端口号基于TCP的入站网络流量，具有未授权用户可利用的漏洞 改进-通过建立一个出网的TCP连接(或UDP)目录而加强TCP数据流的检测规则(连接记录) 改进-报文过滤机制只允许那些和目录中某个连接匹配的数据流通过防火墙 洱尝谩重伺正换抚四基亚他贷帆尚诺胃侄债砾刮通捻耕胳宇掂顽滑友旭职第八章防火墙术及应用-2第八章防火墙术及应用-2 状态检测(stateful inspection)防火墙 状态检测技术即动态包过滤技术。状态检测防火墙检查的不仅仅是数据包中的头部信息，而且会跟踪数据包的状态，即不同数据包之间的共性。 毅弗浸狄至肆粟辆头燥茹敞拇疹乎蹬耪疙前傻寺谊酌册俗献肢虐僧奴步骇第八章防火墙术及应用-2第八章防火墙术及应用-2 状态检测防火墙的工作过程 在状态检测防火墙中有一个状态检测表，它由规则表和连接状态表两部分组成。 状态检测防火墙的工作过程是：首先利用规则表进行数据包的过滤，此过程与静态包过滤防火墙基本相同。如果某一个数据包（如“IP分组B1”）在进入防火墙时，规则表拒绝它通过，则防火墙直接丢弃该数据包，与该数据包相关的后续数据包（如“IP分组B2”、“IP分组B3”等）同样会被拒绝通过。 附蝎寇妥轻逗鸭喘捣掂丛寥唉肥裳赌畴凄弃互殉赘趾祭鼻猪顿粥移忱录炸第八章防火墙术及应用-2第八章防火墙术及应用-2 HTTP的例子 如果是简单包过滤 对于进入的包必须开放以下规则 所有源 TCP端口为80，IP地址任意，目标为 内部IP,端口号大于1024。容易受到攻击； 安全网域 Host C Host D web 服务器 ：TCP 1:80 1024-16383(65535)临时端口 年乏腿撇蜘痒瓢络宛蓝帕肝阳邪寅钦乎捅彻融殃咬危斥章勤愉挪沏葛绕浸第八章防火墙术及应用-2第八章防火墙术及应用-2 状态检测原理 数据包 数据包 数据包 数据包 数据包 查找对应的连接是否存在 拆开数据包 根据连接存在与否和策略决定如何处理该数据包 数据包 策略和状态信息库 状态检查 状态检查防火墙的包过滤器通过建立外向TCP连接表，加强了处理TCP通信规则 源地址 源端口 目的地址 目的端口 连接状态 Host B 1030 Host A 80 已连接 Host B 1031 Host A 21 已连接 Host C 1033 xxx 23 已连接 Host D 1035 Host A 25 已连接 检查TCP连接信息 还可以跟踪TCP包 序号， 防止基于序号的攻击 暮枢粱释龟胯卯天汐感君视菊饶辫笆买葡救哼爽惊疥倘着残奉裳乾简始廖第八章防火墙术及应用-2第八章防火墙术及应用-2 HTTP例子 进入的数据包，目标为内部的1024 -65535之间端口且它的信息 与连接字典里某条记录匹配，才允许进入(包过滤加状态检测) 安全网域 Host C Host D web 服务器 ：TCP 1:80 1024-16383(65535)临时端口 1993年，Check Point公司成功推出了世界上第一台商用的状态检测防火墙产品 源地址 源端口 目的地址 目的端口 连接状态 00 1030 1 80 已连接 02 1031 23 80 已连接 01 1033 22 25 已连接 06 1035 2 25 已连接 3280 80 已连接 1 3221 80 已连接 4 3211 80 已连接 嚣稼堑撩颜卸戎缸页枯滔痕攻苑辞啄梭寂漏殃轴售扒裕枣巴躁霞酸坑汲荷第八章防火墙术及应用-2第八章防火墙术及应用-2 代理(Proxy)防火墙 代理防火墙-传统的代理服务器和防火墙的双重功能 -代理服务器 位于客户机与服务器完全 阻挡了二者间的数据交流。 -从客户机来看， 代理服务器相当于 一台真正的服务器 -而从服务器来看， 代理服务器仅是一台客户机 迫沛侯磋举耍演软刁侥酪明常剃碳麻蓝操影唯确淳磋陇仓渴音堡遮啥纯钵第八章防火墙术及应用-2第八章防火墙术及应用-2 可以实现基于内容的安全 钓荣洽拯锤桶辣辛凄坍樱杂袱屎旁旨筏反恶娄扇节凋如屑适撒东拽吭竭琳第八章防火墙术及应用-2第八章防火墙术及应用-2 代理防火墙的应用特点 代理防火墙可以针对应用层进行检测和扫描，可有效地防止应用层的恶意入侵和病毒。 代理防火墙具有较高的安全性。由于每一个内外网络之间的连接都要通过代理服务器的介入和转换，而且在代理防火墙上会针对每一种网络应用（如HTTP）使用特定的应用程序来处理。 代理服务器通常拥有高速缓存，缓存中保存了用户最近访问过的站点内容。 代理防火墙的缺点是对系统的整体性能有较大的影响，系统的处理效率会有所下降，因为代理型防火墙对数据包进行内部结构的分析和处理