防火墙课件.pptVIP

 高平 信息科学技术学院信息对抗技术教研室 2005年3月 实验说明 （1）要求具备网络攻防基本原理、网络硬件与软件基础。 （2）本实验具体内容包括：硬件防火墙、软件防火墙的构成及应用范围；防火墙的设置与网络优化整体安全体系策略、数据传输及加密/解密系统。 （3）要求学生通过实验掌握网络防火墙的建立及安全设置，对部分学生则要求设计简单的网络防火墙系统。 1.??防火墙理论与主要构造 而防火墙是放置在局域网与外部网络之间的一个隔离设备，它可以识别并屏蔽非法请求，有效防止跨越权限的数据访问。防火墙将局域网的安全性统一到它本身，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有节点上，这就简化了局域网安全管理。 防火墙的经典功能，仅仅是以下： 1．作为一个中心“遏制点”，将局域网的安全管理集中起来。 2、屏蔽非法请求，防止跨权限访问（并产生安全报警）。 1-2防火墙的分类 1．包过滤防火墙 又叫网络级防火墙，因为它是工作在网络层。它一般是通过检查单个包的地址、协议、端口等信息来决定是否允许此数据包通过。路由器便是一个“传统”的网络级防火墙，其结构见图所示 防火墙可以提供内部信息以说明所通过的连接状态和一些数据流的内容，把判断的信息同规则表进行比较，在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。 （2）双宿网关防火墙 双宿网关防火墙又称为双重宿主主机防火墙。双宿网关是一种拥有两个连接到不同网络上的网络接口的防火墙。例如，一个网络接口连到外部的不可信任的网络上，另一个网络接口连接到内部的可信任的网络上。这种防火墙的最大特点是中层的通信是被阻止的，两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。其结构见图所示。 （3）屏蔽主机防火墙 屏蔽主机防火墙强迫所有的外部主机与一个堡垒主机相连接，而不让它们直接与内部主机相连。屏蔽主机防火墙由包过滤路由器和堡垒主机组成。这个防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全(包过滤)和应用层安全(代理服务)。所以入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。 堡垒主机配置在内部网络上，而包过滤路由器则放置在内部网络和因特网之间。在路由器上进行规则配置，使得外部系统只能访问堡垒主机，去往内部系统上其他主机的信息全部被阻塞。由于内部主机与堡垒主机处于同一个网络，内部系统是否允许直接访问因特网，或者是要求使用堡垒主机上的代理服务来访问因特网由机构的安全策略来决定。对路由器的过滤规则进行配置，使得其只接收来自堡垒主机的内部数据包，就可以强制内部用户使用代理服务。 1-3防火墙的附加功能 由于防火墙所处的优越位置（内网与外网的分界点），它在实际应用中也往往加入一些其他功能如NAT、VPN、路由管理等功能。 （1）NAT（Network Address Translation）即网络地址转换。即将内网的IP地址或者外网的IP地址转换，一般分为源地址转换Source NAT（SNAT）和目的地址转换Destination NAT（DNAT）。 （2）虚拟专用网（VPN）是指在公共网络中建立专用网络，数据通过安全的“加密通道”在公共网络中传播。VPN的基本原理是通过对IP包的封装及加密，认证等手段，从而达到保证安全的目的。 （3）路由安全管理典型实现可见checkpoint公司的Fire Wall-1防火墙，它主要指为路由器提供集中管理和访问列表控制。 1-4防火墙功能分析 1、包过滤 包过滤是防火墙所要实现的最基本功能，现在的防火墙已经由最初的地址、端口判定控制，发展到判断通信报文协议头的各部分，以及通信协议的应用层命令、内容、用户认证、用户规则甚至状态检测等等。 据此判断该通信是否符合安全策略。由于它是在网络层截获数据包的，因此它可以支持多种协议和应用程序，并可以很容易地实现应用的扩充。 2、审计和报警机制 在防火墙结合网络配置和安全策略对相关数据分析完成以后，就要作出接受、拒绝、丢弃或加密等决定（target）。如果某个访问违反安全规定，审计和报警机制开始起作用，并作记录，报告等等。 审计是一种重要的安全措施，用以监控通信行为和完善安全策略，检查安全漏洞和错误配置，并对入侵者起到一定的威慑作用。 日志由于数据量比较大，主要通过两种方式解决，一种是将日志挂接在内网的一台专门存放日志的日志服务器上；一种是将日志直接存放在防火墙本身