网络通信安全管理员认证－中级 防火墙补充.ppt

第十六讲 防火墙 *防火墙系统的体系结构 *防火墙的主要技术详解 *防火墙的流行趋势 *主流防火墙产品市场篇 重提两个概念 防火墙的体系结构 双重宿主主机体系结构； 屏蔽主机体系结构（单宿主堡垒主机）； 屏蔽子网体系结构； 其它的防火墙结构。 双重宿主主机体系结构 双重宿主主机体系结构是围绕双重宿主主机构筑的。 双重宿主主机至少有两个网络接口，这样的主机可以充当与这些接口相连的网络之间的路由器，它能从一个网络接收IP数据包并将之发往另一网络。实现双重宿主主机的防火墙体系结构禁止这种简单发送功能，完全阻止了内外网络之间的IP通信。 两个网络之间的通信一般情况下采用代理服务的方法。也可以采用数据共享的方式。 双重宿主主机体系结构图解 双重宿主主机体系结构例子1 双重宿主主机体系结构例子2 双宿主主机防火墙优缺点 优点：安全至关重要（唯一通道）：把一个内部网络从一个不可信的外部网络中分离出来。 因为双宿主主机不能直接转发任何TCP/IP流量，所以它可以彻底阻塞内部和外部不可信网络间的任何IP流量。 缺点：性能非常重要（中转站）：必须支持很多用户的访问 提一句：多宿主主机防火墙 被屏蔽主机防火墙体系结构 双重宿主主机体系结构提供来自与多个网络相连的主机的服务(但是路由关闭)，而被屏蔽主机体系结构使用一个单独的路由器来提供与内部网络相连主机(堡垒)的服务。在这种体系结构中，主要的安全措施是数据包过滤 被屏蔽主机防火墙体系结构 典型构成：包过滤路由器＋堡垒主机。 包过滤路由器配置在内部网和外部网之间，保证外部系统对内部网络的操作只能经过堡垒主机。 堡垒主机配置在内部网络上，是外部网络主机连接到内部网络主机的桥梁，它需要拥有高等级的安全。 被屏蔽主机防火墙体系结构 被屏蔽主机防火墙优缺点： 优点： 屏蔽路由器可按如下规则之一进行配置： 允许内部主机为了某些服务请求与外部网上的主机建立直接连接（即允许那些经过过滤的服务）。 不允许所有来自外部主机的直接连接并强迫内部主机经由堡垒主机使用代理服务 。 安全性更高，双重保护：该防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。（提示：无双宿主安全） 缺点：过滤路由器能否正确配置是安全与否的关键。如果路由器被损害，堡垒主机将被穿过，整个网络对侵袭者是开放的。 屏蔽子网体系结构1 屏蔽子网体系结构在本质上与屏蔽主机体系结构一样，但添加了额外的一层保护体系——周边网络。堡垒主机位于周边网络上，周边网络和内部网络被内部路由器分开。 原因：堡垒主机是用户网络上最容易受侵袭的机器。通过在周边网络上隔离堡垒主机，能减少在堡垒主机被侵入的影响。 屏蔽子网体系结构示意图 屏蔽子网体系结构2 周边网络是一个防护层，在其上可放置一些堡垒主机、信息服务器、Modem组，以及其它公用服务器，它们是牺牲主机，可能会受到攻击，因此又被称为非军事区（DMZ中立区）。 周边网络的作用：即使堡垒主机被入侵者控制，它仍可消除对内部网的侦听。 最简单的屏蔽子网结构有两个屏蔽（包过滤）路由器，一个连接外网与边界网络，另一个连接边界网络与内网。和一个堡垒主机构成。为了攻进内网，入侵者必须通过两个屏蔽路由器。 屏蔽子网体系结构3 堡垒主机 堡垒主机位于周边网络，是整个防御体系的核心。 堡垒主机可被认为是应用层网关，可以运行各种代理服务程序。 对于出站服务不一定要求所有的服务经过堡垒主机代理，但对于入站服务应要求所有服务都通过堡垒主机。 屏蔽子网体系结构4 外部路由器（访问路由器） 作用：保护周边网络和内部网络不受外部网络的侵犯。 它把入站的数据包路由到堡垒主机。 防止部分IP欺骗，它可分辨出数据包是否真正来自周边网络，而内部路由器不可。 内部路由器（阻塞路由器） 作用：保护内部网络不受外部网络和周边网络的侵害，它执行大部分过滤工作。 外部路由器一般与内部路由器应用相同的规则。 其它的防火墙结构 一个堡垒主机和一个非军事区示意图 其它的防火墙结构 两个堡垒主机和两个非军事区 防火墙的关键技术 包过滤---根据流经该设备的数据包包头信息，决定是否允许该数据包通过 判断依据有： 数据包协议类型：TCP、UDP、ICMP、IGMP等 源、目的IP地址 源、目的端口：FTP、HTTP、DNS等 IP选项：源路由、记录路由等 TCP选项：SYN、ACK、FIN、RST等 其它协议选项：ICMP ECHO、ICMP ECHO REPLY等 数据包流向：in或out 数据包流经网络接口：eth0、eth1 包过滤示例 包过滤示例 Set internal=/24 Deny ip from $internal to any in via eth0