防火墙技术知识 计算机安全保密技术知识课程 .pptVIP

防火墙技术 教材 第8 章 内容 TCP/IP基础 防火墙 防火墙的基本介绍 几种防火墙的类型 防火墙的配置 防火墙技术的发展 安全层次 安全的密码算法 安全协议 网络安全 系统安全 应用安全 防火墙(Firewall) 防火墙的基本设计目标 对于一个网络来说，所有通过“内部”和“外部”的网络流量都要经过防火墙 通过一些安全策略，来保证只有经过授权的流量才可以通过防火墙 防火墙本身必须建立在安全操作系统的基础上 防火墙的控制能力 服务控制，确定哪些服务可以被访问 方向控制，对于特定的服务，可以确定允许哪个方向能够通过防火墙 用户控制，根据用户来控制对服务的访问 行为控制，控制一个特定的服务的行为 防火墙的作用 定义一个必经之点 挡住未经授权的访问流量 禁止具有脆弱性的服务带来危害 实施保护，以避免各种IP欺骗和路由攻击 防火墙提供了一个监视各种安全事件的位置，所以，可以在防火墙上实现审计和报警 对于有些Internet功能来说，防火墙也可以是一个理想的平台，比如地址转换，Internet日志、审计，甚至计费功能 防火墙可以作为IPSec的实现平台 防火墙体系结构 几个概念 堡垒主机(Bastion Host)：对外部网络暴露，同时也是内部网络用户的主要连接点 双宿主主机(dual-homed host)：至少有两个网络接口的通用计算机系统 DMZ(Demilitarized Zone，非军事区或者停火区)：在内部网络和外部网络之间增加的一个子网 防火墙体系结构 双重宿主主机体系结构 主机过滤体系结构 子网过滤体系结构 配置方案一 双宿主堡垒主机方案 所有的流量都通过堡垒主机 优点：简单 配置方案二 主机过滤方案：单宿主堡垒主机 只允许堡垒主机可以与外界直接通讯 优点：两层保护：包过滤+应用层网关；灵活配置 缺点：一旦包过滤路由器被攻破，则内部网络被暴露 配置方案三 主机过滤方案：双宿主堡垒主机 从物理上把内部网络和Internet隔开，必须通过两层屏障 优点：两层保护：包过滤+应用层网关；配置灵活 配置方案四 子网过滤防火墙 优点： 三层防护，用来阻止入侵者 外面的router只向Internet暴露屏蔽子网中的主机 内部的router只向内部私有网暴露屏蔽子网中的主机 防火墙的发展 分布式防火墙 应用层网关的进一步发展 认证机制 智能代理 与其他技术的集成 比如NAT、VPN(IPSec)、IDS，以及一些认证和访问控制技术 防火墙自身的安全性和稳定性 防火墙的相关概念 包过滤路由器 代理——应用层网关 电路层网关 包过滤路由器 基本的思想很简单 对于每个进来的包，适用一组规则，然后决定转发或者丢弃该包 往往配置成双向的 如何过滤 过滤的规则以IP和传输层的头中的域(字段)为基础，包括源和目标IP地址、IP协议域、源和目标端口号 过滤器往往建立一组规则，根据IP包是否匹配规则中指定的条件来作出决定。 如果匹配到一条规则，则根据此规则决定转发或者丢弃 如果所有规则都不匹配，则根据缺省策略 安全缺省策略 两种基本策略 没有被拒绝的流量都可以通过 管理员必须针对每一种新出现的攻击，制定新的规则 没有被允许的流量都要拒绝 比较保守 根据需要，逐渐开放 包过滤路由器示意图 网络层 链路层 物理层 外部网络 内部网络 包过滤防火墙 在网络层上进行监测 并没有考虑连接状态信息 通常在路由器上实现 实际上是一种网络的访问控制机制 优点： 实现简单 对用户透明 效率高 缺点： 正确制定规则并不容易 不可能引入认证机制 举例： ipchains and iptables Linux内核2.2中的包的流向 sys_write() sock_write() inet_sendmsg() tcp_v4_sendmsg()tcp_do_sendmsg()tcp_send_skb()tcp_transmit_skb() ip_queue_xmit()ip_output()ip_finish_output() dev_queue_xmit() hard_start_xmit() sys_read() sock_read() inet_recvmsg() tcp_recvmsg()tcp_v4_recv() ip_local_deliver()ip_rcv()net_bh() Netif_rx() Block_input()ei_receive()ei_interrupt() output input 包过滤防火墙的设置(1) 从内往外的telnet服务 client server 外部 内部 往外包的特性(用户操作信息) IP源是内部地址 目标地址为server TCP协议，目标端口23 源端口1023 连接的第一个包