9防火墙技术探究.ppt

不管怎样，一个VPN至少应该能提供如下功能。 （1）加密数据，以保证通过公网传输的信息即使被他人截获也不会泄漏。 （2）信息认证和身分认证，保证信息的完整性、合法性，并能鉴别用户的身份。 （3）提供访问控制，不同的用户有不同的访问权限。 1．虚拟专用网的分类及用途 2．VPN的主要安全协议 SOCK v5、IPSec、PPTP和L2TP四种协议是用在VPN中的几种主要协议。 （1）SOCK v5协议 当SOCK协议同SSL协议配合使用，可作为建立高度安全的VPN的基础。SOCK协议的优势在访问控制，因此适合用于安全性较高的VPN。 （2）IPSec IPSec用密码技术从三个方面来保证数据的安全。 ① 认证，用于对主机和端点进行身份鉴别。 ② 完整性检查，用于保证数据在通过网络传输时没有被修改。 ③ 加密，用加密IP地址和数据以保证私有性。 表9.4 OSI模型相应层次的安全技术和所用安全协议 OSI七层模型 安 全 技 术 安 全 协 议 应用层 表示层 应用代理 ? 会话层 传输层 会话层代理 SOCK v5 网络层 数据链路层 物理层 包过滤 IPSec PPTP/L2TP 人有了知识，就会具备各种分析能力， 明辨是非的能力。 所以我们要勤恳读书，广泛阅读， 古人说“书中自有黄金屋。 ”通过阅读科技书籍，我们能丰富知识， 培养逻辑思维能力； 通过阅读文学作品，我们能提高文学鉴赏水平， 培养文学情趣； 通过阅读报刊，我们能增长见识，扩大自己的知识面。 有许多书籍还能培养我们的道德情操， 给我们巨大的精神力量， 鼓舞我们前进。 * 1．堡垒主机的主要结构 当前堡垒主机主要采用以下3种结构。 （1）无路由双宿主主机 （2）牺牲主机 （3）内部堡垒主机 9.4 防火墙的主要技术 9.4.1 数据包过滤技术 数据包过滤技术是在网络中的适当位置对数据包实施有选择的通过的技术。 图9.18 包过滤模型 包过滤一般要检查下面几项： （1）IP源地址； （2）IP目的地址； （3）协议类型（TCP包、UDP包和ICMP包）； （4）TCP或UDP的源端口； （5）TCP或UDP的目的端口； （6）ICMP消息类型； （7）TCP报头中的ACK位。 另外，TCP的序列号、确认号，IP校验以及分段偏移也往往是要检查的选项。 2．数据包过滤特性 （1）IP包过滤特性 （2）TCP包过滤特性 （3）UDP包的过滤特性 （4）ICMP包的过滤特性 图9.21 UDP动态数据包过滤 在决定包过滤防火墙是否返回ICMP错误代码时，应考虑以下几点。 ① 防火墙应该发送什么消息。 ② 是否负担得起生成和返回错误代码的高额费用。 ③ 返回错误代码能使得侵袭者得到很多有关你发送的数据包过滤信息。 ④ 什么错误代码对你的网站有意义。 （5）RPC服务中的包过滤的特点 图9.22 RPC的端口映射 （6）源端口过滤的作用 表9.1 过滤规则示例 规 则 方 向 源 地 址 目的地址 协 议 源 端 口 目的端口 动 作 A 入 任意 5 TCP / 25 拒绝 B 出 5 任意 TCP / 1023 任意 C 出 5 任意 TCP / 25 允许 D 入 任意 5 TCP / 1023 允许 ? 图9.23 进攻X窗口服务 （7）ACK位在数据包过滤中的作用 表9.2 过滤规则示例 规则 方向 源地址 目的地址 协议 源端口 目的端口 ACK设置 动作 A 出 5 任意 TCP 1023 23 任意 允许 B 入 任意 5 TCP 23 1023 是 允许 图9.24 用ACK位阻止欺骗 （8）包过滤技术的优点 ① 帮助保护整个网络，减少暴露的风险； ② 对用户完全透明，不需要对客户端做任何改动，也不需要对用户做任何培训； ③ 很多路由器可以作数据包过滤，因此不需要专门添加设备。 包过滤最明显的缺陷是即使是最基本的网络服务和协议，它也不能提供足够的安全保护，包过滤是不够安全的。 ① 包过滤规则难于配置。一旦配置，数据包过滤规则也难于检验。 ② 包过滤仅可以访问包头信息中的有限信息。 ③ 包过滤是无状态的，因为包过滤不能保持与传输相关的状态信息或与应用相关的状态信息。 ④ 包过滤对信息的处理能力非常有限。 ⑤ 一些协议不适合用数据包过滤，如基于RPC的应用的“r”命令等。 9.4.2 代理技术 代理技术也称为应用层网关技术，代理技术与包过滤