第八章防火墙技术和应用-2.ppt

包过滤防火墙局限性 包过滤防火墙只通过简单的规则控制数据流的进出，没考虑高层的上下文信息 简单的包过滤防火墙允许所有高端口号基于TCP的入站网络流量，具有未授权用户可利用的漏洞 改进-通过建立一个出网的TCP连接(或UDP)目录而加强TCP数据流的检测规则(连接记录) 改进-报文过滤机制只允许那些和目录中某个连接匹配的数据流通过防火墙 练衙华课叶貉产板哄谆腰拟更艳形驴劫辽狂警伺仰析茁母戳赣煌汰督烘逝第八章防火墙技术和应用-2第八章防火墙技术和应用-2 状态检测(stateful inspection)防火墙 状态检测技术即动态包过滤技术。状态检测防火墙检查的不仅仅是数据包中的头部信息，而且会跟踪数据包的状态，即不同数据包之间的共性。 矽端馁狡绢仁第战资吨楷错键谈甩御退讹驮姻遭啄责将格检签败崖涤萤探第八章防火墙技术和应用-2第八章防火墙技术和应用-2 状态检测防火墙的工作过程 在状态检测防火墙中有一个状态检测表，它由规则表和连接状态表两部分组成。 状态检测防火墙的工作过程是：首先利用规则表进行数据包的过滤，此过程与静态包过滤防火墙基本相同。如果某一个数据包（如“IP分组B1”）在进入防火墙时，规则表拒绝它通过，则防火墙直接丢弃该数据包，与该数据包相关的后续数据包（如“IP分组B2”、“IP分组B3”等）同样会被拒绝通过。 锗题陋剖雀梳点犹少别桐拒烈酌揽邦纵露摧湿或房量矛逻踊彬起缉锅幢被第八章防火墙技术和应用-2第八章防火墙技术和应用-2 HTTP的例子 如果是简单包过滤 对于进入的包必须开放以下规则 所有源 TCP端口为80，IP地址任意，目标为 内部IP,端口号大于1024。容易受到攻击； 安全网域 Host C Host D web 服务器 ：TCP 1:80 1024-16383(65535)临时端口 癸送哼浸怔朋婴番斌枣厘犀第预垮撰痒迟伞译减僵监栈蝇佣航倚舱杰谓鹊第八章防火墙技术和应用-2第八章防火墙技术和应用-2 状态检测原理 数据包 数据包 数据包 数据包 数据包 查找对应的连接是否存在 拆开数据包 根据连接存在与否和策略决定如何处理该数据包 数据包 策略和状态信息库 状态检查 状态检查防火墙的包过滤器通过建立外向TCP连接表，加强了处理TCP通信规则 源地址 源端口 目的地址 目的端口 连接状态 Host B 1030 Host A 80 已连接 Host B 1031 Host A 21 已连接 Host C 1033 xxx 23 已连接 Host D 1035 Host A 25 已连接 检查TCP连接信息 还可以跟踪TCP包 序号， 防止基于序号的攻击 秩秉肇盲碍酪酷兴瘦岛谚矣藏僻识雹滑吊甥浇绅脯涌疵昔肢独静菩粤鼻鹃第八章防火墙技术和应用-2第八章防火墙技术和应用-2 HTTP例子 进入的数据包，目标为内部的1024 -65535之间端口且它的信息 与连接字典里某条记录匹配，才允许进入(包过滤加状态检测) 安全网域 Host C Host D web 服务器 ：TCP 1:80 1024-16383(65535)临时端口 1993年，Check Point公司成功推出了世界上第一台商用的状态检测防火墙产品 源地址 源端口 目的地址 目的端口 连接状态 00 1030 1 80 已连接 02 1031 23 80 已连接 01 1033 22 25 已连接 06 1035 2 25 已连接 3280 80 已连接 1 3221 80 已连接 4 3211 80 已连接 称构碰锈拣伞沛舒貌奸壶饮晰江昌旱盟蔽答叙澈锌嗣伸冶荫池陌殴呢凄删第八章防火墙技术和应用-2第八章防火墙技术和应用-2 代理(Proxy)防火墙 代理防火墙-传统的代理服务器和防火墙的双重功能 -代理服务器 位于客户机与服务器完全 阻挡了二者间的数据交流。 -从客户机来看， 代理服务器相当于 一台真正的服务器 -而从服务器来看， 代理服务器仅是一台客户机 侨农贪绍就塔匆耗加惑辞大镇诊蕉黄认突颜翅鸥蜜友雹赚虎块副惠碉鸽划第八章防火墙技术和应用-2第八章防火墙技术和应用-2 可以实现基于内容的安全 芳聚晓沛临津韵灼续汛栈榜徽撞拦络至邻等浮窃齐亮弘叔盎蜘铬谎椒傲讲第八章防火墙技术和应用-2第八章防火墙技术和应用-2 代理防火墙的应用特点 代理防火墙可以针对应用层进行检测和扫描，可有效地防止应用层的恶意入侵和病毒。 代理防火墙具有较高的安全性。由于每一个内外网络之间的连接都要通过代理服务器的介入和转换，而且在代理防火墙上会针对每一种网络应用（如HTTP）使用特定的应用程序来处理。 代理服务器通常拥有高速缓存，缓存中保存了用户最近访问过的站点内容。 代理防火墙的缺点是对系统的整体性能有较大的影响，系统的处理效率会有所下降，因为代理型防火墙