chap4-01-防火墙技术.ppt

学习目标主要内容 学习目标： 了解防火墙的基本概念，特性与局限性。 掌握包过滤防火墙和和代理防火墙的实现原理、技术特点和实现方式；熟悉防火墙的常见配置。 了解DMZ的概念 主要内容： 防火墙的概念 防火墙的特性 防火墙的分类 防火墙的体系结构 非军事区（DMZ）网络 防火墙的局限 防火墙的概念 防火墙是一个或一组实施访问控制策略的系统，在内部网络（专用网络）与外部网络（公用网络）之间形成一道安全保护屏障，以防止非法用户访问内部网络上的资源和非法向外传递内部消息，同时也防止这类非法和恶意的网络行为导致内部网络的运行遭到破坏。 防火墙的特性 从内到外和从外到内的所有通信流都要经过。为此，首先要防止对本地网的所有访问，只允许通过防火墙访问。 只允许本地安全策略授权的通信流经过。 防火墙本身对于渗透是免疫的。 防火墙的访问控制能力 服务控制，确定哪些服务可以被访问 方向控制，对于特定的服务，可以确定允许哪个方向能够通过防火墙 用户控制，根据用户来控制对服务的访问 行为控制，控制一个特定的服务的行为 防火墙的作用 确保一个单位内的网络与因特网的通信符合该单位的安全方针，为管理人员提供下列问题的答案: 谁在使用网络 他们在网络上做什么 他们什么时间使用了网络 他们上网去了何处 谁要上网没有成功 防火墙的分类 从防火墙的软、硬件形式来分的话，防火墙可以分为软件防火墙和硬件防火墙。 根据防火墙应用在网络中的层次不同进行划分，从总体来讲可分为：网络层防火墙、应用层防火墙。 网络层防火墙又称包过滤防火墙，数据包过滤技术是防火墙为系统提供安全保障的主要技术，其技术依据是网络中的分包传输技术。 应用层防火墙也称为应用层网关 数据包过滤技术——静态包过滤 根据流经该设备的数据包头信息，决定是否允许该数据包通过 创建包过滤规则 打算提供何种网络服务，并以何种方向提供这些服务？ 需要限制任何内部主机与因特网连接的能力吗？ 因特网上是否有可信任的主机，可以某种形式访问内部网络吗？ 静态包过滤防火墙工作示意图 针对包过滤防火墙的攻击 IP地址欺骗，例如，假冒内部的IP地址 对策：在外部接口上禁止内部地址 源路由攻击，即由源指定路由 对策：禁止这样的选项 小碎片攻击，利用IP分片功能把TCP头部切分到不同的分片中 对策：丢弃分片太小的分片 利用复杂协议和管理员的配置失误进入防火墙 例如，利用ftp协议对内部进行探查 静态包过滤特点 包过滤防火墙的优点是逻辑简单，价格便宜，对网络性能的影响较小，有较强的透明性。并且它的工作与应用层无关，无须改动任何客户机和主机上的应用程序，易于安装和使用。 他的弱点是：配置基于包过滤方式的防火墙，需要对IP、TCP、UDP、ICMP等各种协议有深入的了解，否则容易出现因配置不当带来的问题；据以过滤判别的只有网络层和传输层的有限信息，因而各种安全要求不能得到充分满足；由于数据包的地址及端口号都在数据包的头部，不能彻底防止地址欺骗；允许外部客户和内部主机的直接连接；不提供用户的鉴别机制。 数据包过滤技术——动态包过滤 Check point一项称为“Stateful Inspection”的技术 防火墙跟踪客户端口，而不是打开全部高编号端口给外部访问，因而更安全。 状态检测防火墙建立连接状态表，记录外出的TCP连接及相应的高编号客户端口，以验证任何进入的通信是否合法。可动态生成/删除规则 目前的状态检测技术仅可用于TCP/IP网络。 分析高层协议 状态监测防火墙工作示意图 状态监测防火墙工作原理图 数据包在数据链路层和网络层操作系统核心中被检查 创建通信状态表保存每一连接状态内容 动态包过滤(状态检查防火墙)实例 动态包过滤特点 这种防火墙采用了一个在网关上执行网络安全策略的软件引擎，称之为监测模块。对网络通信的各层实施监测分析，提取相关的通信和状态信息，并在动态连接表中进行状态及上下文信息的存储和更新，这些表被持续更新，为下一个通信检查提供累积的数据。状态监视器的 另一个优点是：能够提供对基于无连接的协议（UDP）的应用（DNS、WAIS、etc）及基于端口动态分配的协议（RPC）的应用（如NFS、NIS）的安全支持，静态的包过滤和代理网关都不支持此类应用。 总之，这类防火墙减少了端口的开放时间，提供了对几乎所有服务的支持 缺点是它也允许外部客户和内部主机的直接连接；不提供用户的鉴别机制。 应用层网关（代理服务器） 代理服务器象一堵墙一样挡在内部网络和外部网络之间，扮演者一个消息传递着的角色，从外部只能看到该代理服务器而无法获知任何内部资源。 优点；比单一的包过滤防火墙可靠，且可以详细记录所有访问状态信息。 缺点：执行速度慢，在每次连接过程中有多余的处理开销，且安装代理服务器的操作系统本身