计算机安全技术-防火墙.pptVIP

防火墙技术 主要内容 1 防火墙的 基本概念 2 防火墙的几种技术 3 防火墙的配置结构 4 防火墙的设计 防火墙技术 定义为：“设置在两个或多个网络之间的安全阻隔，用于保证本地网络资源的安全，通常是包含软件部分和硬件部分的一个系统或多个系统的组合”。 基本工作原理是在可信任网络的边界（即常说的在内部网络和外部网络之间，我们认为内部网络是可信任的，而外部网络是不可信的）建立起网络控制系统，隔离内部和外部网络，执行访问控制策略，防止外部的未授权节点访问内部网络和非法向外传递内部信息，同时也防止非法和恶意的网络行为导致内部网络的运行被破坏。 基本思想不是对每台主机系统进行保护，而是让所有对系统的访问通过某一点，并且保护这一点，并尽可能地对外界屏蔽被保护网络的信息和结构。 防火墙特征 保护脆弱和有缺陷的网络服务 一个防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。 由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。 防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 防火墙特征(cont.) 加强对网络系统的访问控制 一个防火墙的主要功能是对整个网络的访问控制。 比如防火墙可以屏蔽部分主机，使外部网络无法访问，同样可以屏蔽部分主机的特定服务，使得外部网络可以访问该主机的其它服务，但无法访问该主机的特定服务。 防火墙不应向外界提供网络中任何不需要服务的访问权。 控制对特殊站点的访问 如有些主机或服务能被外部网络访问，而有些则需被保护起来，防止不必要的访问。 防火墙特征(cont.) 对网络存取和访问进行监控审计 如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。 另外，收集一个网络的使用和误用情况是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 防火墙的功能 过滤进出网络的数据包； 管理进出网络的访问行为； 封堵某些禁止的访问行为； 记录通过防火墙的信息内容和活动； 对网络攻击进行检测和告警 抵挡大部分的拒绝服务攻击 防火墙的不足 它能保护网络系统的可用性和系统安全，但由于无法理解数据内容，不能提供数据安全。 是一种静态防御技术，对新出现的漏洞和攻击方式不能迅速提供有效的防御方法 管理困难,容易出现配置的安全误区,并且紧急情况下无法做到迅速响应 性能和稳定性制约了大范围的使用 不能关闭需提供对外服务的端口 过于依赖于拓扑结构。 防火墙不能防范病毒。 OSI参考模型与Internet协议簇 防火墙技术 包过滤防火墙 工作在网络层（IP 层） 根据过滤规则，逐个检查 IP 包，确定是否允许通过。 对应用透明，合法建立的连接不被中断。 速度快、效率高。 安全性级别低：不能识别高层信息、容易受到欺骗。 一个分组过滤型防火墙通常能根据IP分组的以下各项过滤： IP 源地址和目标地址 协议 (TCP, UDP,ICMP, BGP等) TCP/UDP源端口号和目标端口号 协议类型 包的大小 电路级网关 工作在传输层。 它在两个主机首次建立TCP连接时创立一个电子屏障，建立两个TCP连接。 一旦两个连接建立起来，网关从一个连接向另一个连接转发数据包，而不检查内容。 也称为通用代理，统一的代理应用程序，各协议可透明地通过通用代理防火墙。 电路级网关实现的典型例子是SOCKS软件包，是David Koblas在1990年开发的。 SOCKS系统 电路级网关的优缺点 优点 效率高 精细控制，可以在应用层上授权 为一般的应用提供了一个框架 缺点 客户程序需要修改 动态链接库？ 对应用不透明，应用软件必须经过socksified才能使用防火墙 保持状态，可能造成网络中断 性能的开销较大 防火墙本身易受DOS攻击 三种防火墙技术安全功能比较 规则 一般包含以下各项： 源地址、源端口 、目的地址、目的端口、协议类型、协议标志、服务类型、动作。 规则原则 按地址过滤； 按服务过滤。 防火墙的规则动作 有以下几种类型： 通过（accept） 允许IP包通过防火墙传输。 放弃（deny） 不允许IP包通过防火墙传输，但仅仅丢弃，不做任何响应。 拒绝（reject） 不允许