第13章 防火墙技术-精品·公开课件.ppt

第13章 防火墙技术 第13章 防火墙技术 谈到网络安全，首先想到的一般就是防火墙。防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止不可预测的、潜在破坏性的侵入。防火墙作为网络安全体系的基础和核心控制设备，在网络安全中具有举足轻重的地位。 13.1 防火墙基本概念 防火墙作为网络防护的第一道防线，它由软件或/和硬件设备组合而成，它位于企业或网络群体计算机与外界网络的边界，限制着外界用户对内部网络的访问以及管理内部用户访问外界网络的权限。 13.2 防火墙的类型 13.2.1 包过滤防火墙 包是网络上信息流动的基本单位，它由数据负载和协议头两个部分组成。包过滤是基于协议头的内容进行过滤的。 13.2.2 应用代理防火墙 真正可靠的安全防火墙应该禁止所有通过防火墙的直接连接——在协议栈的最高层检验所有的输入数据。 13.2.3 电路级网关型防火墙 电路级网关型防火墙起一定的代理服务作用，它监视两台主机建立连接时的握手信息，从而判断该会话请求是否合法，一旦会话连接有效，该网关仅复制、传递数据。 13.2.4 状态检测防火墙 状态包检测模式增加了更多的包和包之间的安全上下文检查，以达到与应用级代理防火墙相类似的安全性能。 13.3 防火墙在网络上的设置 13.3.1 单防火墙结构 1．屏蔽防火墙 2．单DMZ防火墙 3．多DMZ防火墙 13.3.2 双防火墙结构 13.4 防火墙基本技术 13.4.1 包过滤技术 用来生成规则进行过滤的包头部信息通常都包括以下信息： （1）接口和方向。 （2）源和目的IP地址。 （3）IP选项。 （4）高层协议。 （5）TCP包的ACK位检查。 （6）ICMP的报文类型。 （7）TCP和UDP包的源和目的端口。 1．用于包过滤的IP头信息 IP地址 所有防火墙都具有IP地址过滤功能。这项任务就是要检查IP包头，根据其IP源地址和目标地址作出放行/禁止决定。 2.协议字段 这一字段定义了包负载所使用的协议。例如，可以是TCP和UDP两种因特网上常用的协议，也可以是诸如ICMP等其它协议。通常，承载ICMP数据的包都应丢弃，因为ICMP数据将会告知对方本网内部的信息。 （3）IP包分片与选项字段 另一个IP包过滤要注意的是IP包分片与其他选项字段，它们都有可能导致某些攻击，而且现在IP包分片与选项字段用得越来越少，因此可以拒绝这样的IP包。 2.用于包过滤的TCP头信息 控制SMTP连接流入和流出的例子,规则2和规则4允许大于端口1023的所有服务，不论是流入还是流出方向。黑客可以利用这一个漏洞去做各种事情。 改进以后的例子, 指定了源端口。 在TCP协议头中，有一个控制比特位：SYN。在三次握手建立连接期间，需要指明对序列号进行同步时，这一同步位要置1。 有一种常见的攻击是拒绝服务攻击，SYN洪水就是这样的一种攻击。它不做其它的事情，黑客只是不断发送SYN位已经置1的包，这样目标主机就要浪费宝贵的CPU周期建立连接，并且分配内存。检查SYN位虽然不可能过滤所有SYN位已经置1的包，但是可以监视日志文件，发现不断发送这类包的主机以便让那些主机不能通过防火墙。 检查ACK位，防火墙只允许内部客户访问外部Web服务器，反之则禁止。 ICMP数据很有用，但也很有可能被利用来收集网络的有关信息，我们必须加以区别对待。防火墙的一个重要功能就是让外部不能得到网络内部主机的信息。因为这一点，需要阻止以下几种报文类型： ● 流入的echo请求和流出的echo响应——允许内部用户使用ping命令测试外部主机的连通性，但不允许相反方向的类似报文。 ● 流入的重定向报文——这些信息可以用来重新配置网络的路由表。 ●流出的目的不可到达报文和流出的服务不可用报文——不允许任何人刺探网络。通过找出那些不可到达或那些不可提供的服务，黑客就更加容易锁定攻击目标。 包过滤器是建立防火墙的第一步。与代理服务器相比较，包过滤器有其优缺点。以下是包过滤器的一些优点： ● 包过滤是“免费的”。如果己经有了路由器，它很可能支持包过滤。在小型局域网内，单个路由器用作包过滤器足够了。 ● 理论上只需要在局域网连接到因特网或外部网的地方布置一个过滤器。这里是网络的一个扼流点。 ● 使用包过滤器，不需要专门培训用户或使用专门的客户端和服务器程序。屏蔽路由器或者包过滤主机会为网络的客户端透明地完成各种工作。 当然，包过滤器也有不足之处： ● 使路由器难以配置，特别是使用大量规则进行复杂配置的时候。在这种情况下，很难进行完全地测试。 ● 当包过滤器出现故障，或者配置不正确的时候，对网络产生的危害比代理服务器产生的危害大得多。 ● 包过滤器只对少量数据，如IP包的头部信息进行操作。由于仅使用