chapter5 防火墙技术概要1.ppt

小型网络解决方案 典型的网络安全解决方案 双机热备 本章总结 防火墙的功能和分类 三种技术类型防火墙的工作原理、优缺点（重点） 防火墙实际应用 防火墙产品 * 答案： 1.可以改为any，不影响正常用户的使用，但是某些用户伪装源IP，可以实现攻击。 2.源端口可以改为any，不影响正常用户的使用，但是对于内网是不安全的，万一其他端口的过滤规则做的不好，外面的用户可以访问内网的FTP等应用了，或者针对内网135、139等端口的扫描和SYN攻击。 * 1、可以（这里说的还是传统类型的木马——由客户端主动连接服务器的）。防火墙认为这是访问外网web服务器时， web服务器的响应包。 2、不能。 * 1、不能 2、不能 3、不能，所有的防火墙都不能阻止反弹端口的木马。 * 通过建立动态连接表，对数据包的前后关系进行检查 * * 可以，因为代理防火墙可以把的HTTP头过滤掉。 * 安全审计：通过对被保护网络的敏感信息访问保持不间断的记录，以不同类型的报擎提示向管理人员报告，帮助管理员事后分析 防御功能：能防御的 DoS攻击类型 、支持病毒扫描 、阻止 ActiveX、Java、Cookies、Javascript侵入 联动功能： 内容过滤：HTTP、FTP、SMTP等协议层，根据过滤条件，对信息流进行控制，防火墙控制的结果是：允许通过、修改后允许通过、禁止通过、记录日志、报警等。 过滤内容主要指URL、HTTP携带的信息：Java Applet、 JavaScript、ActiveX和电子邮件中的Subject、To、From域等。 Vpn功能： 带宽管理： * 负载均衡有两方面的含义：首先，大量的并发访问或数据流量分担到多台节点设备上分别处理，减少用户等待响应的时间；其次，单个重负载的运算分担到多台节点设备上做并行处理，每个节点设备处理结束后，将结果汇总，返回给用户，系统处理能力得到大幅度提高。 * 通过协议交换两台防火墙的状态信息 当主防火墙出现故障或宕机时，这台防火墙的连接不需要从新建立就可以透明的迁移到从防火墙，用户感觉不到任何变化。 * * 数据包首先排队待防火墙检查后转发 3．代理防火墙（Proxy Server） 代理防火墙的工作过程： 代理防火墙的工作原理 代理服务器的类型 HTTP代理：代理客户机的http访问，主要代理浏览器访问网页，它的端口一般为80、8080、3128等。 FTP代理：代理客户机上的ftp软件访问ftp服务器，其端口一般为21、2121。 POP3代理：代理客户机上的邮件软件用pop3方式收邮件，其端口一般为110。 Telnet代理：能够代理通信机的telnet，用于远程控制，入侵时经常使用。其端口一般为23。 Socks代理：是全能代理，支持多种协议，包括http、ftp请求及其它类型的请求，其标准端口为1080。 …… 应用实例 例1：不允许上。 方法： 1.使用包过滤防火墙把服务器的所有IP过滤掉。 2.使用代理防火墙过滤域名，而不管IP地址怎么改变。 clint 7, 30, 31, 32 33, 34, 35, 40, 0, 1, 2, 3, 61.172.201 5, 6 服务器 Client用SOCKS5 client 服务器61.172.201.* SOCKS5代理服务器 170.1.1.* 【问题】 图中的防火墙如果改为代理防火墙，是否可以过滤Client传过来的数据包？ Client用“特殊”的HTTP代理 【说明】 client端发出HTTP请求时，不包含的信息，代理防火墙就检测不到字段 ，实现不了过滤。 HTTP代理需要“特殊” 定制，代理服务器知道这类client端发出的请求是要访问，它会帮助client端下载的内容。 代理技术的优点 代理易于配置。 代理能生成各项记录。 代理能灵活、完全地控制进出流量、内容。 代理能过滤数据内容。 代理能为用户提供透明的加密机制。 代理可以方便地与其他安全手段集成。 代理技术的缺点 代理速度较路由器慢。 代理对用户不透明。 对于每项服务代理可能要求不同的服务器。 代理服务不能保证免受所有协议弱点的限制。 代理防火墙提供应用保护的协议范围是有限的 。 自适应代理防火墙 检测应用层的头部信息，然后在网络层转发。 应用层 TCP 层 IP 层 网络接口层 TCP 数据 IP 数据 TCP TCP 数据 IP ETH 数据 TCP 数据 IP 应用层 TCP 层 IP 层 网络接口层 TCP 数据 IP 数据 TCP TCP 数据 IP ETH