- 1、本文档共105页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
第七章 防火墙技术 主要内容 防火墙基本知识。 防火墙原理: 包过滤防火墙、代理防火墙 防火墙的常见体系结构。 防火墙设计策略 防火墙的产品选购 知识回顾:系统常见的威胁 粗心大意或不满的员工 恶意代码(Malware) 病毒、蠕虫、特洛伊木馬、恶作剧程序 黑客(Hacker) 端口扫描 、漏洞扫描 拒绝服务攻击(Denial of Service Attacks) 各级网络安全技术 1.防火墙基本知识 防火墙是位于两个(或多个)网络间,实施网间访问控制的一组组件的集合,它满足以下条件: 内部和外部之间的所有网络数据流必须经过防火墙; 只有符合安全政策的数据流才能通过防火墙; 防火墙自身能抗攻击; 防火墙 = 硬件 + 软件 + 控制策略 防火墙的必要性 保护内部不受来自Internet的攻击 创建安全域 强化机构安全策略 防火墙的控制能力 服务控制:确定哪些服务可以被访问; 方向控制:对于特定的服务,可以确定允许哪个 方向能够通过防火墙; 用户控制:根据用户来控制对服务的访问; 行为控制:控制一个特定的服务的行为; 防火墙的局限性 2. 防火墙的技术分类 包过滤型防火墙 传输级网关型防火墙 应用级网关型防火墙 (代理服务型防火墙) 复合型防火墙 2.1 包过滤型防火墙 包过滤防火墙基本原理 基本思想 对于每个进来的包,适用一组规则,然后决定转发或者丢弃该包 往往配置成双向的(出站和入站) 过滤路由器与普通路由器的差别 普通路由器只是简单地查看每一个数据包的目标地址,并且选取数据包发往目标地址的最佳路径。 如何过滤? 过滤的规则以IP报头中的域(字段)为基础;每个数据包有两个部分:数据部分和报头;报头信息主要包含: IP协议类型(TCP、UDP,ICMP等) IP源地址 IP目标地址 IP选择域的内容 TCP或UDP源端口号 TCP或UDP目标端口号 ICMP消息类型 过滤器往往建立一组规则,根据IP包是否匹配规则中指定的条件来作出决定。 如果匹配到一条规则,则根据此规则决定转发或者丢弃 如果所有规则都不匹配,则根据缺省策略 两种安全缺省策略 一切未被禁止的就是允许的 一切未被允许的就是禁止的 例 包过滤系统只能让我们进行类似以下情况的操作: 外部用户仅仅能访问服务器上的www服务 允许任何用户使用SMTP往内部网发电子邮件; 只允许某台机器使用QQ 包过滤原理示意图 优点: 实现简单 对用户透明 速度快、效率高 缺点: 正确制定规则并不容易 不可能引入认证机制 针对包过滤防火墙的攻击 IP地址欺骗,例如,假冒内部的IP地址 对策:在外部接口上禁止内部地址 源路由攻击,即由源指定路由(通常针对路由器的攻击) 对策:禁止这样的选项 小碎片攻击,利用IP分片功能把TCP头部切分到不同的分片中 对策:丢弃分片太小的分片 利用复杂协议和管理员的配置失误进入防火墙 例如,利用ftp协议对内部进行探查 2.2 应用级网关型防火墙 应用级网关(Application Level Gateways)是在应用层上建立协议过滤和转发功能; 针对特定的网络应用服务协议使用指定的数据过滤逻辑; 并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。 应用级网关型防火墙示意图 2.3 代理服务型防火墙 代理服务(Proxy Service)也称电路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels),也有人将它归于应用级网关一类。 特点是将所有跨越防火墙的网络通信分为两段。 内外网之间不能直接连接,必须通过代理链接。 代理服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。 代理服务防火墙示意图 代理服务型防火墙的优缺点 优点 允许用户“直接”访问Internet 易于记录日志 缺点 新的服务不能及时地被代理 每个被代理的服务都要求专门的代理软件 客户软件需要修改,重新编译或者配置 有些服务要求建立直接连接,无法使用代理 比如聊天服务、或者即时消息服务 代理服务不能避免协议本身的缺陷或者限制 包过滤和代理防火墙技术的对比 3. 防火墙体系结构 双宿主主机体系结构; 堡垒主机过滤体系结构; 过滤子网体系结构; 应用层网关体系结构。 3.1双宿主主机 双宿主机(Dual Home Host) 至少有两块网卡的通用计算机系统 可以是包过滤软件/硬件、应用层代理 增加了单一故障点,影响网络吞吐量 3.2
文档评论(0)