网络与信息安全第十三章防火墙技术.pptVIP

第13章 防火墙技术 谈到网络安全，首先想到的一般就是防火墙。防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止不可预测的、潜在破坏性的侵入。防火墙作为网络安全体系的基础和核心控制设备，在网络安全中具有举足轻重的地位。 13.1 防火墙基本概念 防火墙作为网络防护的第一道防线，它由软件或/和硬件设备组合而成，它位于企业或网络群体计算机与外界网络的边界，限制着外界用户对内部网络的访问以及管理内部用户访问外界网络的权限。 13.2 防火墙类型及体系结构 13.2.1 包过滤防火墙 包是网络上信息流动的基本单位，它由数据负载和协议头两个部分组成。包过滤是基于协议头的内容进行过滤的。 13.2.2 应用代理防火墙 真正可靠的安全防火墙应该禁止所有通过防火墙的直接连接——在协议栈的最高层检验所有的输入数据。 13.2.3 电路级网关型防火墙 电路级网关型防火墙起一定的代理服务作用，它监视两台主机建立连接时的握手信息，从而判断该会话请求是否合法，一旦会话连接有效，该网关仅复制、传递数据。 13.2.4 状态包检测防火墙 状态包检测模式增加了更多的包和包之间的安全上下文检查，以达到与应用级代理防火墙相类似的安全性能。 13.2.5 双重宿主主机体系结构(Dual Homed Host) 双重宿主主机体系结构是围绕具有双重宿主的计算机构筑的，该计算机至少有两个网络接口(NIC)。 13.2.6 屏蔽主机体系结构(Screened Host) 屏蔽主机体系结构使用一个单独的路由器来提供外部网络与内部堡垒主机(Bastion Host)连接的服务。 13.2.7 屏蔽子网结构(Screened Subnet Architectures) 屏蔽子网结构通过进一步增加隔离内外网的边界网络(Perimeter Network)为屏蔽主机结构增添了额外的安全层。 13.3 防火墙的基本技术及附加功能 13.3.1 包过滤技术 包过滤器是最原始的防火墙。包过滤器根据每个包头部内的信息来决定是否要将包继续传输，从而增强安全性。理论上，包过滤器可以被配置为根据协议包头的任何部分进行判断，但是大部分的过滤器被配置成只过滤最有用的数据域，主要是： ① IP地址 ② 协议类型 ③ TCP/UDP头信息 ④ 分片字段 包过滤器通常可以使用路由器来实现。 创建包过滤规则 在确定包过滤的配置规则之前，需要作如下决定： ● 打算提供何种网络服务，并以何种方向(从内部网络到外部网络，或者从外部网络到内部网络)提供这些服务。 ● 是否限制内部主机与因特网进行连接。 ● 因特网上是否存在某些可信任主机，它们需要以什么形式访问内部网。 对于不同的包过滤产品，用来生成规则的信息也不同，但通常都包括以下信息： ● 接口和方向：包是流入还是离开网络，这些包通过哪种接口。 ● 源和目的IP地址：检查包从何而来(源IP地址)、发往何处(目的IP地址)。 ● IP选项：检查所有选项字段，特别是要阻止源路由(Source Routing)选项。 ● 高层协议：使用IP包的上层协议类型，例如TCP还是UDP。 ● TCP包的ACK位检查：这一字段可帮助确定是否有，及以何种方向建立连接。 ● ICMP的报文类型：可以阻止某些刺探网络信息的企图。 ● TCP和UDP包的源和目的端口：此信息帮助确定正在使用的是哪些服务。 以下是一些明确不能让它们通过防火墙的危险服务： ● Telnet：如果让一个主机的这个端口打开，很可能给黑客提供一条访问系统资源的通路。 ● NetBIOS：如果让Windows或SMB服务器的这个端口对互联网提供服务，就等于让黑客像本地用户一样访问你的网络。 ● 网络文件系统(NFS)：如果允许这种服务数据通过防火墙，网络外部的某人很有可能会在网络中安装一个文件系统，然后就像是被连接到本地网络一样访问该文件和目录。 ● 网络信息服务(NIS)：这种服务，被人们称为“黄页”，会给黑客提供重要的信息，例如网络上的主机名或用户名。 ● X窗口：使用X客户和服务器会引发许多安全问题。 IP包的头部信息很有限。头部信息中有三种信息在包过滤中很重要： ● IP地址，包括源和目的地址； ● 协议类型，例如TCP、UDP、ICMP； ● IP选项，例如源路由选择。 1.IP地址 所有防火墙都具有IP地址过滤功能。这项任务就是要检查IP包头，根据其IP源地址和目标地址作出放行/禁止决定。 2.协议字段 这一字段定义了包负载所使用的协议。例如，可以是TCP和UDP两种因特网上常用的协议，也可以是诸如ICMP等其它协议。通常，承载ICMP数据的包都应丢弃，因为ICMP数据将会告知对方本网内部的信息。 另一个IP级数据包过滤要注意的是分片字段。 由于TCP报