第八章防火墙技术及应用-3.ppt

第八章 防火墙技术及应用-防火墙的部署 信息安全专业 * 网络安全协议 * 信息安全专业 Firewall NAT 薛开平（Xue Kaiping） 信息网络实验室 Lab. of Information and Networks kpxue@ 防火墙的部署 屏蔽路由器型结构(Screening Router) 双宿主主机(Dual Home Host) 屏蔽主机结构(Screened Host) 屏蔽子网结构(Screened Subnet) 双机热备 屏蔽路由器型结构 屏蔽路由器（Screening Router） 简单的包过滤功能 优点：投资小，配置简单 缺点：在ACL较多时，影响路由器的性能 适用于如下环境 网络内部的主机安全性比较好，规则简单 对性能、可靠性要求比较高 内部网络 外部网络 带包过滤功能的路由器 进行包过滤 双宿主主机 双宿主机（Dual Home Host） 至少有两块网卡的通用计算机系统 可以是包过滤软件/硬件、应用层代理 增加了单一故障点，影响网络吞吐量 内部网络 外部网络 禁止内外网络之间直接通信 双宿主主机 通过应用代理 通过登陆到双宿主主机上获得服务 缺点：如何保护双宿主主机本身的安全 所有的通信必须经过双宿主主机 适用于如下应用环境 去往Internet的流量比较小 对可靠性要求不高 不对外提供服务 屏蔽主机结构 堡垒主机 进行规则配置，只允许外部主机与堡垒主机通信 互联网 对内部其他主机的访问必须经过堡垒主机 不允许外部主机直接访问除堡垒主机之外的其他主机 包过滤路由器 考虑一下安全性？ 屏蔽路由器 堡垒主机 一台暴露在外部网络的攻击之下的计算机 要求安全性配置比较好的计算机。 适用于 只对外提供较少的服务，外部的来的连接比较少 内部主机安全性配置较好 缺点： 堡垒主机与其他主机在同一个子网 一旦包过滤路由器被攻破或被越过，整个内网和 堡垒主机之间就再也没有任何阻挡。 屏蔽子网结构 外部网络 堡垒主机 内部包过滤路由器 外部包过滤路由器 禁止内外网络直接进行通讯 内外部网络之间的通信都经过堡垒主机 内部网络 外部路由器 只允许对DMZ的访问;拒绝所有以内部网络地址为源地址的包进入内部网络;拒绝所有不以内部网络地址为原地址的包离开网络 内部路由器 保护内部网络，防止来自Internet或DMZ的访问;内部网络一般不对外部提供服务，所以拒绝外部发起的一切连接，只允许内部对外的访问;在特定需要前提下，可以允许从堡垒主机来的访问 DMZ通常放置DNS、Web 、 Email、 FTP、Proxy Server等 双机热备保证稳定性 内部网 外网 Eth 0 Eth 0 Eth1 Eth1 Eth2 Eth2 心跳线 Active Firewall Standby Firewall 周期性检测Active Firewall的状态 发现出故障，立即接管其工作 正常情况下由主防火墙工作 主防火墙出故障以后，接管它的工作 与防火墙联动的其他安全技术 基于网络的入侵检测系统（IDS) 应急响应系统 IPSec VPN网关 安全审计 IPSec VPN网关 Host C Host D Host B Host A 受保护网络 Internet Host C Host D Host B Host A 受保护网络 先判断是否允许包通过然后根据策略决定是否使用安全协议 是 交给IPSec核心处理 对数据加密或认证 得到新的数据包 将新的数据包转发到相应的端口 收到的数据包经过IPSec处理了吗 交给IPSec核心处理 去掉AH ESP头 根据策略决定如何处理数据包 是 转发到内部接口 允许 与IDS联动构成应急响应系统 Host C Host D Host B Host A 受保护网络 Internet IDS 黑客 发起攻击 发送通知报文 验证报文并采取措施 发送响应报文 识别出攻击行为 阻断连接或者报警等 * * * 防火墙软件和宿主主机在同一台机器上 * * 服务器可以放在中间区域。 * * * * 第八章 防火墙技术及应用-防火墙的部署 信息安全专业 * 网络安全协议 * 信息安全专业 Firewall NAT 薛开平（Xue Kaiping） 信息网络实验室 Lab. of Information and Networks kpxue@ * * * 防火墙软件和宿主主机在同一台机器上 * * 服务器可以放在中间区域。 * * * *