计算机侦查技术9.ppt

linying@ 网络犯罪侦察技术 林英.信息安全 第九章 防火墙的技术原理与应用 9.1 防火墙概念 9.2 防火墙原理及实现方法 9.3 防火墙体系结构 9.4 防火墙的构成 9.5 防火墙所采用的技术及其作用 9.6 防火墙建立实例 9.1 防火墙技术 防火墙是在两个网络之间执行控制策略的系统(包括硬件和软件），目的是保护网络不被可疑人入侵。本质上，它遵从的是一种允许或组织业余来往的网络通信安全机制，也就是提供可控的过滤网络通信，或者只允许授权的通信。 利用防火墙能保护站点不被任意互连，甚至能建立跟踪工具，帮助总结并记录有关连接来源、服务器提供的通信量以及试图闯入者的任何企图。 防火墙的功能有以下几点： 1）过滤非安全网络访问； 一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的 NFS 协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如 IP 选项中的源路由攻击和 ICMP 重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 2）限制网络访问； 3）网络访问审计； 如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 4）网络带宽控制； 5）协同防御。 按照网络的分层体系结构，在不同的分层结构上实现的防火墙不同，所采用的实现方法和安全性能也就不同，通常有： （1）基于网络层实现的防火墙，通常称为包过滤防火墙； （2）基于传输层实现的防火墙，通常称为传输级网关； （3）基于应用层实现的防火墙，通常称为应用级网关； （4）整合上述技术，形成混合型防火墙。 2、基于Dual Network Stack 防火墙的实现 为了进一步提高防火墙的安全性，有的防火墙除了在不同的分层协议栈上实现安全通信外，还采用了连接隔离和通信协议栈的堆叠，以增加安全性。 （5）TCP或UDP源端口号； （6）TCP或UDP目标端口号； （7）ICMP消息类型。 包过滤器通过拦截数据包，读出并拒绝那些不符合标准的包头，过滤掉不应入站的信息。 包过滤器又称为过滤路由器，它把包头信息和管理员设定的规则表进行比较，如果有一条规则不允许发送某个数据包，路由器将会丢弃它。 过滤路由器和普通路由器的区别是，普通路由器只是简单地查看每一个数据包的目标地址，并且选取数据包发往目标地址的最佳路径。 优点：一个过滤路由器能协助保护整个网络；数据包过滤对用户透明；过滤路由器速度快、效率高。 缺点：不能彻底防止地址欺骗；一些应用协议不适合于数据包过滤；正常的数据包过滤路由器无法执行某些安全策略。 2、代理服务 代理服务位于内部用户（在内部的网络上）和外部服务（在因特网上）之间。代理在幕后处理所有用户和因特网服务之间的通信以代替相互间的直接交谈。 优点：代理易于配置；代理能生成各项记录；代理能灵活、完全地控制进出的流量、内容；代理能过滤数据内容；代理能为用户提供透明的加密机制；代理可以方便地与其他安全手段集成。 缺点：代理速度较路由器慢；代理对用户不透明；对于每项服务代理可能要求不同的服务器；代理服务不能保证你免受所有协议弱点的限制；代理不能改进底层协议的安全性。 在TCP/IP网络中，多宿主主机指具有多个网络接口的主机。通常，每个网络接口都与网络互连。 1）一个路由功能被禁止的双宿主主机防火墙 2）双宿主主机防火墙 3）具有应用程序转发进程的双宿主主机防火墙 7）无配置的双宿主主机防火墙 双宿主防火墙主机的重要特性是路由器被禁止；网络段之间唯一的路径是通过应用层的转发功能。如果路由意外的没有配置，同时允许IP转发，那么双宿主防火墙的应用层功能就可能被越过。