《第5章防火墙技术1》-课件设计（公开）.ppt

根据防火墙性能分类 百兆级防火墙 千兆级防火墙 网络技术应用网 强化操作系统 防火墙要求尽可能只配置必需的少量的服务。为了加强操作系统的稳固性，防火墙安装程序要禁止或删除所有不需要的服务。多数的防火墙产品，包括Axent Raptor()，CheckPoint()和Network Associates Gauntlet ()都可以在目前较流行的操作系统上运行。如Axent Raptor防火墙就可以安装在Windows NT Server4.0，Solaris及HP-UX操作系统上。 从理论上来讲，让操作系统只提供最基本的功能，利用系统BUG来攻击的方法非常困难。 最后，当你加强你的系统时，还要考虑到除了TCP/IP协议外不要把任何协议绑定到你的外部网卡上。 网络技术应用网 五、实训 网络技术应用网 实训 金山网镖的实用 网络卫士防火墙的应用 参考教材5.4节,上网下载相关软件,练习防火墙的应用. 网络技术应用网 * （1）、静态包过滤防火墙 网络技术应用网 静态包过滤防火墙 这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。 过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。 包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”，即明确允许那些管理员希望通过的数据包，禁止其他的数据包。 网络技术应用网 静态包过虑防火墙的工作原理 网络技术应用网 包过滤防火墙的工作流程 网络技术应用网 过滤规则-ACL 包过滤规则一般基于部分的或全部的包头信息： 1．IP协议类型 2．IP源地址 3．IP目标地址 4． TCP（ UDP ）源端口号 5． TCP （ UDP ）目标端口号 网络技术应用网 优点一：是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。 优点二：保护整个网络；对用户透明；可用路由器，不需要其他设备。 包过滤防火墙的优点 网络技术应用网 包过滤防火墙的缺点 1.非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击； 2.是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。这是包过滤的一个重要的局限：即它不能分辨好的和坏的用户，只能区分好的包和坏的包。 3.包过滤规则难配置。 4.新的协议的威胁。 5.IP欺骗 网络技术应用网 包过滤防火墙的应用 方向 动作 源地址 源端口 目的地址 目的端口 协议 进站 允许 /24 1023 any 80 TCP 进站 拒绝 any ? any ? ? E0端口 网络技术应用网 默认的防火墙安全策略 没有明确禁止的行为都是允许的 举例：华为的ACL 没有明确允许的行为都是禁止的 举例：思科的ACL 网络技术应用网 （2）动态包过滤防火墙 网络技术应用网 动态包过滤 这种类型的防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测（Stateful Inspection）技术。 采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新 。 网络技术应用网 动态包过滤 防火墙的工作原理 网络技术应用网 2、代理防火墙 网络技术应用网 代理防火墙的原理 代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人将它归于应用级网关一类。 它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的 “ 链接 ”，由两个终止代理服务器上的 “ 链接 ”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。 此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。 应用代理型防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作 用。同时也常结合入过滤器的功能。它工作在OSI模型的最高层，掌握着应用系统中可用作安全决策的全部信息。 网络技术应用网 2．代理防火墙的原理 代理防火墙（应用级网关型防火墙） 代理防火墙通过编程来弄清用户应用层的流量，并能在用户层和应用协议层间提供访问控制；而且，还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要