[计算机硬件及网络]网络安全-20：防火墙.ppt

西安电子科技大学计算机学院 Chapter 20  防 火 墙 简介 信息系统不断发展完善 每个人都希望与互联网相连或连接到网上 存在安全忧虑 不能很容易地使组织中的各系统得到安全保护 典型地使用防火墙 用以提供边界防御 作为复杂的安全策略的一部分 什么是防火墙? 是网络控制和监视的关键点 用不同的信任与网络相连接 对网络服务进行强制性限制 只准允许授权的通信通过 对访问进行审查和控制 对于异常行为能够实现报警 提供NAT和使用监视 用 IPSec 实现VPN 对于渗透必须是免疫的。 防火墙的设计目标 所有通信都必须经过防火墙 只有被授权的通信才能通过防火墙 对于渗透必须是免疫的 防火墙的局限性 防火墙的局限性 防火墙的分类 包过滤路由器 应用级网关 电路级网关 防火墙设计政策 防火墙的体系结构 1.屏蔽路由器（Screened Router） 包过滤路由器： 路由 + 过滤 这是最简单的防火墙。 缺点： 日志没有或很少，难以判断是否被入侵 规则表会随着应用变得很复杂 单一的部件保护，脆弱 2.双宿主机网关 3.屏蔽主机防火墙 屏蔽主机体系结构 4.屏蔽子网体系结构 屏蔽子网体系结构 内部防火墙问题 复合型防火墙 包过滤技术 包过滤技术的原理 IPv4 ICMP报文 TCP头部 UDP头部 包过滤的依据 依赖于服务的过滤 独立于服务的过滤 有些类型的攻击很难用基本包头信息加以鉴别，因为独立于服务。要防止这类攻击，需要在过滤规则中考虑其它信息，如：路由表、特定的IP选项、特定的片段偏移等。不依赖于服务的攻击有三类： 1）源IP地址欺骗攻击 入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包；这些信息包似乎像包含了一个内部系统的源IP地址。如果这些信息包到达Router的外部接口，则舍弃每个含有这个源IP地址的信息包，就可以挫败这种源欺骗攻击。 推荐的过滤规则 任何进入内网的数据包不能将内部地址作为源地址 任何进入内网的数据包必须将内部地址作为目标地址 任何离开内网的数据包必须将内部地址作为源地址 任何离开内网的数据包不能将内部地址作为目标地址 任何进入或离开内网的数据包不能把一个私有地址或者/8作为源或目标地址 保留、DHCP自动配置和多播地址也要被阻塞： /8 /16 /24 /4 /4 包过滤路由器的优点 包过滤路由器的局限性 代理服务技术 代理服务技术 应用层网关 应用层上的过滤 应用层网关 电路层网关(Circuit Gateway) 电路网关工作在OSI的会话层。分组地址是一个应用层的用户进程。电路网关在两个通信端点之间复制字节。电路网关包含有支持某些TCP/IP应用的程序代码，但通常是有限的。 电路网关适于限制内部网对外部的访问，但不能实施协议过滤。从电路网关出来的连接好象都是从防火墙产生的，故可以隐藏内部网络信息。 电路网关与包过滤相似，但比包过滤高两层，安全性更好。 电路层网关 一个例子 代理服务的优点 代理服务的缺点 速度慢：检查内容；转发/响应 代理对用户不透明 对客户端要定制软件或改动； 如何跨平台；代理服务难以让可户非常满意 不能改进底层协议的安全 IP欺骗 SYN泛滥 拒绝服务攻击 有可能受到协议漏洞的威胁 包过滤与代理的结合 用户眼中的代理 防火墙的现状 第一代 包过滤(Packet Filter) 1983年 第二代 电路层网关 1989年 应用层网关 代理服务 1990年 第三代 动态包过滤 状态监视 1992年 第四代 自适应代理 1998年 防火墙的发展趋势 优良的性能 速度瓶颈 易扩展 支持NAT VPN等 过滤深度加强，URL(页面)过滤、关键字过滤、ActiveX过滤、病毒扫描等 主动检测与报警 日志分析工具 防火墙产品介绍 以色列Checkpoint公司的Fire Wall-1 Cisco公司的PIX NAI公司的Gauntlet CyberGuard 公司的Fire Wall 个人防火墙： 澳大利亚的Secure PC 加拿大的ConSeal PC 美国的Cyber Patrol 中国的“天网”、“网络卫士”、“蓝盾” 天网防火墙 天网防火墙 天网防火墙 天网防火墙 数据访问控制 可信系统 information security is increasingly important have varying degrees of sensitivity of information cf military info classifications