电子商务安全技术 第08章 防火墙构造与选择 .pptVIP

堡垒主机（Bastion Host）：指一个计算机系统，它对外部网络暴露，同时又是内部网络用户的主要连接点。 几个相关概念 双宿主主机（Dual-homed Host）：至少有两个网络接口的通用计算机系统。 DMZ(Demilitarized Zone，非军事区或者停火区)：在内部网络和外部网络之间增加的一个子网，也称为参数网络。 双宿主主机结构 ——拥有两个或多个连接到不同网络上的网络接口，通常用一台装有两块或多块网卡的堡垒主机做防火墙，分别与受保护网和外部网相连。 双宿主主机结构 优点： 结构简单 可以提供很高的网络控制 缺点： 需要用户认证，使用不方便 主机过滤结构 ——主机过滤结构由包过滤路由器和堡垒主机组成，堡垒主机仅仅与内部网相连。任何外部网的主机都只能与内部网的堡垒主机建立连接，任何外部系统对内部网络的操作都必须经过堡垒主机。 主机过滤结构 优点： 两层保护：包过滤+应用层网关； 比单独的包过滤或应用网关代理更安全； 可以进行灵活配置。 缺点： 一旦包过滤路由器被攻破，堡垒主机就可能被越过，使内部网络完全暴露。 2 * 2 * 2 * 2 * 2 * 2 * 2 * 第七章 防火墙的构造与选择 7.1 防火墙概述 7.2 防火墙的基本体系结构 7.3 防火墙的选择与实施7.4 主要的防火墙产品 为什么需要防火墙 保护内部不受来自Internet的攻击 为了创建安全域 为了增强机构安全策略 强化安全策略 有效地记录Internet上的活动 隔离不同网络限制安全问题扩散 构建一个安全策略的检查站 7.1 防火墙概述 防火墙（Firewall）的定义： ——防火墙是用来限制被保护的网络与互联网络之间，或者与其他网络之间相互进行信息存取、传递操作的部件或部件集。 防火墙应具备的条件: 内部和外部之间的所有网络数据流必须经过防火墙 只有符合安全策略的数据流才能通过防火墙 防火墙——隔离内部网和Internet的有效安全机制 外部网络 防火墙 内部网络 防火墙：在两个信任程度不同的网络之间设置的、用于加强访问控制的软硬件保护设施。 服务控制：确定哪些服务可以被访问 方向控制：对于特定的服务，可以确定允许哪个方向能够通过防火墙 用户控制：根据用户来控制对服务的访问 行为控制：控制一个特定的服务的行为 防火墙的控制能力 定义了一个必经之点 挡住未经授权的访问流量 实施保护，以避免各种IP欺骗和路由攻击 防火墙提供了一个监视各种安全事件的位置，所以，可以在防火墙上实现审计和报警 对于有些Internet功能来说，防火墙也可以是一个理想的平台，比如地址转换（NAT），Internet日志，甚至计费功能 防火墙的作用 互联网 X 构筑防火墙之前，需要制定一套有效的安全策略 防火墙的策略 网络服务访问策略 一种高层次的具体到事件的策略，主要用于定义在网络中允许或禁止的服务。 防火墙设计策略 一切未被允许的就是禁止的——安全性好，但是用户所能使用的服务范围受到严格限制。 一切未被禁止的都是允许的——可以为用户提供更多的服务，但是在日益增多的网络服务面前，很难为用户提供可靠的安全防护。 防火墙实施原则 最少服务最小特权原则 使用多堡垒主机 合并内部路由器与外部路由器 合并堡垒主机与外部路由器 合并堡垒主机与内部路由器 使用多台内部路由器 使用多台外部路由器 使用多个周边网络 使用双重宿主主机与屏蔽子网 包过滤型（Packet Filter） 代理服务器型（Proxy Service） 复合型防火墙（Hybrid） 防火墙的基本类型 基本思想 对于每个进来的包适用一组规则，然后决定转发或丢弃该包 包过滤型 如何过滤 过滤的规则以IP层和运输层的头中的字段为基础 过滤器往往建立一组规则，根据IP包是否匹配规则中指定的条件来作出决定： 如果匹配到一条规则，则根据此规则决定转发或者丢弃 如果所有规则都不匹配，则根据缺省策略 网络层 链路层 外部网络 内部网络 包过滤路由器示意图 包过滤型 判断依据： 数据包协议类型：TCP、UDP、ICMP等 源IP、目的IP地址 源端口、目的端口：FTP、TELNET、HTTP等 IP选项：源路由、记录路由等 TCP选项：SYN、ACK、FIN、RST等 数据包流向：in或out 数据包流经网络接口：eth0、eth1 包过滤路由器设置实例 规则 方向 源地址 目的地址 动作 A 出 内部网络 拒绝 B 入 内部网络 拒绝 按地址 按服务 规则 方向 源地址 源端口 目的地址 目的端口 动作 注释 A 入 外部 * E-MAIL 25 拒绝 不信任 B 出 * * * * 允许 允许 C 双向 * * * * 拒绝 默认状态 client se