防火墙技术补充.ppt

* 硬件网络防火墙形态 Console口 内网 外网 DMZ NO.1 透明接入 受保护网络 Internet 如果防火墙支持透明模式，则内部网络主机的配置不用调整 Host A Host C Host D Host B 同一网段 透明模式下，这里不用配置IP地址 透明模式下，这里不用配置IP地址 Default Gateway= 防火墙相当于网桥，原网络结构没有改变 NO.2 路由接入 受保护网络 Internet Host A Host C Host D Host B Default Gateway= 防火墙相当于一个简单的路由器 6 7 提供简单的路由功能 NO.3 混合接入 /24 /24 路由 路由 透明 DMZ 区的概念 Demilitarized Zone 非军事化区域 非安全区域 DMZ 安全区 防火墙软件技术 简单包过滤防火墙 状态检测包过滤防火墙 新兴过滤技术防火墙 应用代理防火墙 简单包过滤防火墙 应用层 TCP 层 IP 层 网络接口层 TCP 开始攻击 IP 开始攻击 TCP TCP 开始攻击 IP ETH 开始攻击 TCP 开始攻击 IP 应用层 TCP 层 IP 层 网络接口层 TCP 开始攻击 IP 开始攻击 TCP TCP 开始攻击 IP ETH 开始攻击 只检查报头 01001001001010010000011100111 00100100101001000001110011110 简单包过滤防火墙不检查数据区 简单包过滤防火墙不建立连接状态表 前后报文无关 应用层控制很弱 状态检测包过滤防火墙 应用层 TCP 层 IP 层 网络接口层 TCP 开始攻击 IP 开始攻击 TCP TCP 开始攻击 IP ETH 开始攻击 TCP 开始攻击 IP 应用层 TCP 层 IP 层 网络接口层 TCP 开始攻击 IP 开始攻击 TCP TCP 开始攻击 IP ETH 开始攻击 只检查报头 01001001001010010000011100111 00100100101001000001110011110 不检查数据区 建立连接状态表 前后报文相关 应用层控制很弱 建立连接状态表 应用代理防火墙 应用层 TCP 层 IP 层 网络接口层 TCP 开始攻击 IP 开始攻击 TCP TCP 开始攻击 IP ETH 开始攻击 TCP 开始攻击 IP 应用层 TCP 层 IP 层 网络接口层 TCP 开始攻击 IP 开始攻击 TCP TCP 开始攻击 IP ETH 开始攻击 只检查数据 01001001001010010000011100111 00100100101001000001110011110 不检查IP、TCP报头 不建立连接状态表 网络层保护比较弱 新兴的检测技术 核检测 应用层 TCP 层 IP 层 网络接口层 TCP 开始攻击 IP 开始攻击 TCP TCP 开始攻击 IP ETH 开始攻击 应用层 TCP 层 IP 层 网络接口层 TCP 开始攻击 IP 开始攻击 TCP TCP 开始攻击 IP ETH 开始攻击 01001001001010010000011100111 00100100101001000001110011110 TCP 开始攻击 IP 检查多个报文组成的会话 建立连接状态表 TCP 主服务器 IP TCP 硬盘数据 IP 开始攻击 重写会话 主服务器 硬盘数据 报文1 报文2 报文3 防火墙的功能 从总体上看，防火墙应具有以下五大基本功能： 过滤进、出网络的数据； 管理进、出网络的访问行为； 封堵某些禁止的业务； 记录通过防火墙的信息内容和活动； 对网络攻击的检测和告警。 基本的访问控制 Access list to Access nat to any pass Access to block Access default pass 规则匹配成功 Database server 基于源IP地址 基于目的IP地址 基于源端口 基于目的端口 基于时间 基于流量 基于文件 基于网址 基于MAC地址 基于用户 Web server 审计和报警机制 在防火墙结合网络配置和安全策略对网络数据分析完成后，就要作出接受、丢弃、拒绝等动作；并通过审计功能做日志记录 通过日志的记录，我们可以找出网络中存在的问题 审计功能 Clint 响应请求 发送请求 通信日志 通信日志 69 70 审计功能 Clint 响应请求 发送请求 命令日志 命令日志 69 70 命令信息 路由功能 中国教育网 Internet Host A： Host B： Host C