CIW-09(防火墙的体系结构)------------.ppt

防火墙的体系结构 防火墙的体系结构 防火墙的体系结构：防火墙系统实现所采用的架构及其实现所采用的方法，它决定着防火墙的功能、性能以及使用范围。 防火墙可以被设置成许多不同的结构，并提供不同级别的安全，而维护运行的费用也各不相同。 分组过滤路由器 分组过滤路由器 作为内外网连接的唯一通道，要求所有的报文都必须在此通过检查。 通过在分组过滤路由器上安装基于IP层的报文过滤软件，就可利用过滤规则实现报文过滤功能。 缺点： 在单机上实现，是网络中的“单失效点”。 不支持有效的用户认证、不提供有用的日志，安全性低。 双宿主机 双宿主机 在被保护网络和Internet之间设置一个具有双网卡的堡垒主机，IP层的通信完全被阻止，两个网络之间的通信可以通过应用层数据共享或应用层代理服务来完成 通常采用代理服务的方法 堡垒主机上运行着防火墙软件，可以转发应用程序和提供服务等 优缺点： 堡垒主机的系统软件可用于身份认证和维护系统日志，有利于进行安全审计 该方式的防火墙仍是网络的“单失效点”。 隔离了一切内部网与Internet的直接连接，不适合于一些高灵活性要求的场合 屏蔽主机 屏蔽主机 一个分组过滤路由器连接外部网络，同时一个运行网关软件的堡垒主机安装在内部网络。通常在路由器上设立过滤规则，使这个堡垒主机成为从外部唯一可直接到达的主机。 提供的安全等级较高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。 过滤路由器是否正确配置是这种防火墙安全与否的关键。过滤路由器的路由表应当受到严格的保护，如果路由表遭到破坏，则堡垒主机就有被越过的危险。 屏蔽子网 屏蔽子网 是最安全的防火墙系统，它在内部网络和外部网络之间建立一个被隔离的子网（非军事区，DMZ（Demilitarized Zone）） 在很多实现中，两个分组过滤路由器放在子网的两端，内部网络和外部网络均可访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信 通常将堡垒主机、各种信息服务器等公用服务器放于DMZ中 堡垒主机通常是黑客集中攻击的目标，如果没有DMZ，入侵者控制堡垒主机后就可以监听整个内部网络的会话 扩展实验8-1 配置黑盾防火墙的DMZ区（对外服务） 防火墙的实现技术 数据包过滤（1/6） 数据包过滤（2/6） 数据包过滤技术是一种简单、高效的安全控制技术，是防火墙发展初期普遍采用的技术。 工作原理： 系统在网络层检查数据包，与应用层无关。 依据在系统内设置的过滤规则（通常称为访问控制表——Access Control List）对数据流中每个数据包包头中的参数或它们的组合进行检查，以确定是否允许该数据包进出内部网络。 数据包过滤（3/6） 包过滤一般要检查（网络层的IP头和传输层的头）： IP源地址 IP目的地址 协议类型（TCP包/UDP包/ICMP包） TCP或UDP的源端口 TCP或UDP的目的端口 ICMP消息类型 TCP报头中的ACK位 数据包过滤（4/6） 举例： 某条过滤规则为：禁止地址1的任意端口到地址８的80端口的TCP包。 含义？ 表示禁止地址1的计算机连接地址８的计算机的WWW服务。 包过滤器的工作流程： 数据包过滤（5/6） 优点： 逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好。 主要缺点： 安全控制的力度只限于源地址、目的地址和端口号等，不能保存与传输或与应用相关的状态信息，因而只能进行较为初步的安全控制，安全性较低； 数据包的源地址、目的地址以及端口号等都在数据包的头部，很有可能被窃听或假冒。 注意： ① 创建规则比较困难； ② 规则过于复杂并难以测试，必须要用手工或用仪器才能彻底检测规则的正确性； ③ 对特定协议包的过滤： FTP协议：使用两个端口，因此要作特殊的考虑； UDP协议：要对UDP数据包进行过滤，防火墙应有动态数据包过滤的特点； ICMP协议：应根据ICMP的类型进行过滤。 代理服务（1/4） 代理服务（2/4） 是运行于连接内部网络与外部网络的主机（堡垒主机）上的一种应用，是一种比较高级的防火墙技术。 工作过程： 当用户需要访问代理服务器另一侧的主机时，对符合安全规则的连接，代理服务器会代替主机响应，并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后，内部主机同外部主机之间的通信将通过代理程序把相应连接进行映射来实现。对于用户而言，似乎是直接与外部网络相连。 代理服务（3/4） 主要优点： 内部网络拓扑结构等重要信息不易外泄，从而减少了黑客攻击时所必需的必要信息； 可以实施用户认证、详细日志、审计跟踪和数据加密等功能和对具体协议及应用的过滤，同时当发现被攻击迹象时会向网络管理