防火墙介绍精品.pptVIP

本章复习思考题 什么是防火墙？古时候的防火墙和目前通常说的防火墙有什么联系和区别？ 简述防火墙的分类，并说明分组过滤防火墙的基本原理。 常见防火墙模型有哪些？比较他们的优缺点。 编写防火墙规则：禁止除管理员计算机（IP为10）外任何一台电脑访问某主机（IP为09）的终端服务（TCP端口3389）。 防火墙 华南师范大学 Changshema@ 学习目标 了解防火墙的定义和类型 掌握防火墙的原理 了解防火墙技术的发展趋势 防火墙(Firewall)的定义 在互联网上，防火墙是一种有效的网络安全系统，通过它可以隔离风险区域（Internet或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问。 防火墙 防火墙的基本设计目标 对于一个网络来说，所有通过“内部”和“外部”的网络流量都要经过防火墙 通过一些安全策略，来保证只有经过授权的流量才可以通过防火墙 防火墙本身必须建立在安全操作系统的基础上 防火墙的控制能力 服务控制，确定哪些服务可以被访问 方向控制，对于特定的服务，可以确定允许哪个方向能够通过防火墙 用户控制，根据用户来控制对服务的访问 行为控制，控制一个特定的服务的行为 防火墙的功能 防火墙定义一个必经之点，一般都包含以下三种基本功能 可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户 防止入侵者接近网络防御设施 限制内部用户访问特殊站点 由于防火墙假设了网络边界和服务，因此适合于相对独立的网络，例如Intranet等种类相对集中的网络。任何关键性的服务器，都应该放在防火墙之后。 防火墙提供了一个监视各种安全事件的位置，可以在防火墙上实现审计和报警 防火墙可以是地址转换，Internet日志、审计，甚至计费功能的理想平台 防火墙可以作为IPSec的实现平台 防火墙的局限性 防火墙不能防范网络内部的攻击。比如：防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。 防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予其临时的网络访问权限。 防火墙不能防止传送己感染病毒的软件或文件，不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。 对于绕过防火墙的攻击，它无能为力，例如，在防火墙内部通过拨号出去 防火墙的分类 分组过滤（Packet Filtering）：作用在协议组的网络层和传输层，根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余的数据包则从数据流中丢弃。 应用代理（Application Proxy）：也叫应用网关（Application Gateway），它作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。 电路级网关，又叫状态检测（Status Detection）：直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断，然后决定是否允许该数据包通过。 包过滤路由器 基本思想简单 对于每个进来的包，适用一组规则，然后决定转发或者丢弃该包 往往配置成双向的 如何过滤 过滤的规则以IP和传输层的头中的域(字段)为基础，包括源和目标IP地址、IP协议域、源和目标端口号 过滤器往往建立一组规则，根据IP包是否匹配规则中指定的条件来作出决定。 如果匹配到一条规则，则根据此规则决定转发或者丢弃 如果所有规则都不匹配，则根据缺省策略 安全缺省策略 两种基本策略，或缺省策略 没有被拒绝的流量都可以通过(默认转发) 管理员必须针对每一种新出现的攻击，制定新的规则 没有被允许的流量都要拒绝（默认丢弃） 比较保守 根据需要，逐渐开放 包过滤防火墙 数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃所各个数据包。 通常情况下，如果规则中没有明确允许指定数据包的出入，那么数据包将被丢弃 包过滤路由器示意图 网络层 链路层 物理层 外部网络 内部网络 包过滤防火墙(小结) 在网络层上进行监测 并没有考虑连接状态信息 通常在路由器上实现 实际上是一种网络的访问控制机制 优点 实现简单 对用户透明 效率高 缺点 正确制定规则并不容易 不可能引入认证机制 针对包过滤防火墙的攻击 IP地址欺骗，例如，假冒内部的IP地址 对策：在外部接口上禁止内部地址 源路由攻击，即由源指定路由 对策：禁止这样的选项 小碎片攻击，利用IP分片功能把TCP头部切分到不同的分片中 对策：丢弃分片太小的分片 利用复杂协议和管理员的配置失误进入防火墙 例如，利用ftp协议对内部进行探查 应用层网关 也称为代理服务器 特点 所有的连接都通过防火墙，防火墙作为网关 在应用