防火墙技术-核心技术介绍教案.ppt

防火墙体系结构（2） * 筛选路由器 双/多宿主机 被屏蔽主机 被屏蔽子网 防火墙体系结构（3） * 筛选路由器 双/多宿主主机 屏蔽主机 屏蔽子网 进行规则配置，只允许外 部主机与堡垒主机通信 不允许外部主机直接访问 除堡垒主机之外的其它主机 问题：存在什么缺点？ 防火墙体系结构（4） * 筛选路由器 双/多宿主主机 屏蔽主机 屏蔽子网 第九讲：防火墙核心技术 * 网络地址转换技术（NAT） 虚拟专用网技术（VPN： Virtual Private Network） DMZ： Demilitarized Zone，非军事区或者隔离区 防火墙其它技术 改进 * 方向 类型 源地址 目的地址 源端口 目的端口 动作 Outside tcp * * any 80 permit * * * * any any deny 方向 类型 源地址 目的地址 源端口 目的端口 动作 Inside tcp * any 80 permit * * * * any any deny DMZ（ Demilitarized Zone，非军事区或者隔离区） * DMZ是为了解决安装防火墙后外部网络不能访问内部网络服务器或者能够访问内部网络但会带来安全隐患的问题，而设立的一个非安全网络与安全网络之间的缓冲区； 这个缓冲区位于内部网络和外部网络之间的网络区域内； 在这个区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等； 通过DMZ区域，能更加有效地保护内部网络。 三种网络 * 可信网络：企业内部网络 不可信网络：因特网和其它公众网络 中立网络：同时属于企业和因特网/其它公众网络的网络 为什么需要DMZ？ 在实际的运用中，某些主机需要对外提供服务，但会影响到内部网络的安全。将这些需要对外开放的主机与内部的众多网络设备分隔开来，根据不同的需要，有针对性地采取相应的隔离措施，这样便能在对外提供服务的同时最大限度地保护内部网络。 针对不同资源提供不同安全级别的保护，可以构建一个或多个DMZ区域。 DMZ使包含重要数据的内部系统免于直接暴露给外部网络而受到攻击，即使DMZ中服务器受到破坏，也不会对内网中的重要信息造成影响。 * DMZ防火墙组成 * DMZ网络访问控制策略 1. 内网可以访问外网 2. 内网可以访问DMZ 3. 外网不能访问内网 4. 外网可以访问DMZ 5. DMZ不能访问外网 6. DMZ不能访问内网 （或者只能访问特定设备的特定应用 ） X X X DMZ配置 地址转换 DMZ区服务器与内网区、外网区的通信是经过网络地址转换（NAT）实现的，以达到隐藏网络结构的目的。DMZ区服务器对内服务时映射成内网地址，对外服务时映射成外网地址。 DMZ安全规则制定 DMZ安全规则集是安全策略的技术实现，是实现一个成功、安全的防火墙的非常关键的一步。在建立规则集时必须注意规则次序 ，一般来说，通常的顺序是，较特殊的规则在前，较普通的规则在后，防止在找到一个特殊规则之前一个普通规则便被匹配，避免防火墙被配置错误。 * DMZ特点 解决非DMZ网络容易受到渗透攻击的问题 在内部网络和外部网络之间增加的一个或几个子网 为网络安全提供了更高级别的保护 需要更复杂的规则配置 在防火墙部署时需要重点考虑的因素 * 单防火墙的基础网络 * 基础网络、单防火墙和堡垒主机 * 带DMZ的防火墙 * 带有DMZ的双防火墙 * 多重DMZ基础结构 * 防火墙应用示例 * 防火墙其它功能 双机热备功能 双地址路由功能 端口映射功能 IP与MAC绑定 * 防火墙的双机热备功能 * 防火墙应用示例：双机热备 * 防火墙的双地址路由功能 * 端口映射功能（MAP） * :80 :21 :25 :53 MAP :80 TO :8000 IP地址与MAC地址绑定 * D D 防火墙术语（1） * 堡垒主机 双宿主机 数据包过滤 筛选路由器 屏蔽主机 屏蔽子网 堡垒主机是一种被强化的可以防御攻击的计算机。 它被暴露于因特网/外网之上，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的。 堡垒主机是网络中最容易受到侵害的主机，所以堡垒主机必须是自身保护最完善的主机。 防火墙术语（2） * 双宿主机至少具有两个网络接口，内外的网络均可与双宿主机实施通信，但内外网络之间不可直接通信，内外部网络之间的IP数据流被双宿主主机完全切断。 双宿主主机可以通过代理或让用户直接注册到其上来提供很高程度的网络控制。 堡垒主机 双宿主机 数据包过滤 筛选路由器 屏蔽主机 屏蔽子网 防火墙术语（3） * 堡垒主机 双宿主机 数据包过滤 筛选路由器 屏蔽主机 屏蔽子网