计算机系统安全防火墙.pptVIP

什么是防火墙(Firewall) ？ 一、防火墙的用途 二、好的防火墙系统 三、防火墙的优点 四、防火墙的局限性 五、防火墙的特点 五、防火墙的特点 1、服务访问政策 2、防火墙设计政策 六、防火墙的体系结构 1.屏蔽路由器（Screened Router） 包过滤路由器： 路由 + 过滤 这是最简单的防火墙。 缺点： 日志没有或很少，难以判断是否被入侵 规则表会随着应用变得很复杂 单一的部件保护，脆弱 2.双宿主机网关 3.屏蔽主机防火墙 屏蔽主机体系结构 4.屏蔽子网体系结构 屏蔽子网体系结构 内部防火墙问题 复合型防火墙 包过滤技术 包过滤技术的原理 IPv4 ICMP报文 TCP头部 UDP头部 包过滤的依据 依赖于服务的过滤 独立于服务的过滤 有些类型的攻击很难用基本包头信息加以鉴别，因为独立于服务。要防止这类攻击，需要在过滤规则中考虑其它信息，如：路由表、特定的IP选项、特定的片段偏移等。不依赖于服务的攻击有三类： 1）源IP地址欺骗攻击 入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包；这些信息包似乎像包含了一个内部系统的源IP地址。如果这些信息包到达Router的外部接口，则舍弃每个含有这个源IP地址的信息包，就可以挫败这种源欺骗攻击。 推荐的过滤规则 任何进入内网的数据包不能将内部地址作为源地址 任何进入内网的数据包必须将内部地址作为目标地址 任何离开内网的数据包必须将内部地址作为源地址 任何离开内网的数据包不能将内部地址作为目标地址 任何进入或离开内网的数据包不能把一个私有地址或者/8作为源或目标地址 保留、DHCP自动配置和多播地址也要被阻塞： /8 /16 /24 /4 /4 包过滤路由器的优点 包过滤路由器的局限性 代理服务技术 代理服务技术 应用层网关 应用层上的过滤 应用层网关 电路层网关(Circuit Gateway) 电路网关工作在OSI的会话层。分组地址是一个应用层的用户进程。电路网关在两个通信端点之间复制字节。电路网关包含有支持某些TCP/IP应用的程序代码，但通常是有限的。 电路网关适于限制内部网对外部的访问，但不能实施协议过滤。从电路网关出来的连接好象都是从防火墙产生的，故可以隐藏内部网络信息。 电路网关与包过滤相似，但比包过滤高两层，安全性更好。 电路层网关 一个例子 代理服务的优点 代理服务的缺点 速度慢：检查内容；转发/响应 代理对用户不透明 对客户端要定制软件或改动； 如何跨平台；代理服务难以让可户非常满意 不能改进底层协议的安全 IP欺骗 SYN泛滥 拒绝服务攻击 有可能受到协议漏洞的威胁 包过滤与代理的结合 用户眼中的代理 防火墙的现状 第一代 包过滤(Packet Filter) 1983年 第二代 电路层网关 1989年 应用层网关 代理服务 1990年 第三代 动态包过滤 状态监视 1992年 第四代 自适应代理 1998年 防火墙的发展趋势 优良的性能 速度瓶颈 易扩展 支持NAT VPN等 过滤深度加强，URL(页面)过滤、关键字过滤、ActiveX过滤、病毒扫描等 主动检测与报警 日志分析工具 防火墙产品介绍 以色列Checkpoint公司的Fire Wall-1 Cisco公司的PIX NAI公司的Gauntlet CyberGuard 公司的Fire Wall 个人防火墙： 澳大利亚的Secure PC 加拿大的ConSeal PC 美国的Cyber Patrol 中国的“天网”、“网络卫士”、“蓝盾” 天网防火墙 天网防火墙 天网防火墙 天网防火墙 工具条：点击上面的按钮来导入，增加，修改，删除规则。由于规则判断是由上而下的，可以通过点击调“规则上下移动”按钮调整规则的顺序，当调整好顺序后，可按保存按钮保存修改。当规则增加或修改后，为了让这些规则生效，还要点击”应用新规则“按钮。 规则列表 ：列出了所有的规则的名称，该规则所对应的数据包的方向，该规则所控制的协议，本机端口，对方地址和对方端口，以及当数据包满足本规则时所采取的策略。 在列表的左边为该规则是否有效的标志，标记为钩表示改规则有效，否则表示无效。当改变这些标志后，按保存键。 复合型防火墙 采用哪种形式的防火墙取决于经费、技术、时间等。 物理层 链路层 网络层 传输层 会话层 表示层 应用层 包过滤 应用网关 电路网关 包过滤技术 包过滤技术 在路由器上加入IP Filtering 功能，这样的路由器就成为Screening Router 。 Router逐一审查每个数据包以判定它是否与其它包