《网络安全技术与实践》课件 清华 第4章 防火墙技术.pptx

第4章 防火墙技术;;01;4.1.1 防火墙的定义;4.1.1 防火墙的定义;防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，它有效地监控了内部网络和互联网之间的任何活动，保证了内部网络的安全。;4.1.2 防火墙的分类;4.1.2 防火墙的分类;4.1.2 防火墙的分类;4.1.2 防火墙的分类;4.1.2 防火墙的分类;4.1.2 防火墙的分类;4.1.2 防火墙的分类;4.1.2 防火墙的分类;4.1.3 防火墙的功能;4.1.4 防火墙的局限性;;02;;;;;;;4.2.2 状态检测型防火墙优点 ;4.2.3 状态检测防火墙缺点;如果要允许内网用户访问公网的WEB服务，针对普通包过滤防火墙我们应该建立一条如下图所示的规则：;以上规划只是允许内网向公网请求WEB服务，但WEB服务响应数据包怎么进来呢？还必须建立一条允许相应响应数据包进入的规则。如果按上面的规则增加的话，由于现在数据包是从外进来，所以源地址应该是所有外部的，在源端口填80，目标地址暂不限定。访问网站时本地端口是临时分配的，也就是说这个端口是不定的，只要是1023以上的端口都有可能，所以只有把大于1023的所有端口都开放，于是在目标端口填上1024-65535，这样规则就如下图所示了，这就是普通包过滤防火墙所采用的方法。;4.2.4 状态检测防火墙与普通包过滤防火墙对比;4.2.4 状态检测防火墙与普通包过滤防火墙对比;4.2.4 状态检测防火墙与普通包过滤防火墙对比;4.2.4 状态检测防火墙与普通包过滤防火墙对比;03;4.3.1 包过滤技术;4.3.1 包过滤技术; 课业任务： WYL公司在设计公司内部网络时，出于对网络设备的安全考虑在靠近服务器的路由器上设置了不允许所有终端设备远程连接进该路由器AR2 。如下图所示，全网使用默认路由进行互通，使用ACL实现公司需求。;4.3.2 防火墙安全策略;4.3.2 防火墙安全策略;4.3.2 防火墙安全策略;4.3.3 防火墙转发原理;4.3.3 防火墙转发原理;由下图中可以看出，对于已经建立好会话表的报文，检查过程就比没有建立好会话表的报文要简短很多。在通常情况下，通过对一条应用流量的首包进行安全检查并建立好会话表后，该条应用流量后续的绝大部分报文都不在需要重新检查，这就是状态检测防火墙的优胜之处。;状态检测机制开启状态下，只有首包通过防火墙设备才能收集对应信息建立起会话表项，后续报文直接匹配会话表项进行转发。但是如果首包没过来，后续报文过来了是无法通过后续报文来创建会话表项的。 而状态检测机制关闭状态下，即使首包没有经过防火墙设备，后续报文只要通过防火墙设备也可以生成会话表项。;防火墙一般是检查IP报文头部的五个元素，又称为五元组，即源IP地址、目的IP地址、源端口号、目的端口号、协议类型。通过IP报文头部的五元组属性就可以判断一条应用数据流的相同IP数据报文。NGFW（下一代防火墙）除了检查五元组属性外，还会检查报文的用户、应用和时间段等。所对应的就是安全策略中的一些安全匹配选项。 会话是状态检测防火墙的基础，每一个经过防火墙的数据流量都会在防火墙上建立一个对应的会话表项，以五元组为关键字，通过建立动态的会话表来提供域间转发数据流量的高安全性和高效性。 其实简单来说就是把防火墙收到的数据报文后，把数据报文里面的一些关键信息提取出来作为关键字，将这些关键字的参数提取后放在一个表里面，而这个表就叫做会话表项，如上图所示。;（1）在上图所示的拓扑图中，在防火墙上输入display firewall session table 命令，显示会话表的简要信息如下图所示。;（1）在上图所示的拓扑图中，在防火墙上输入display firewall session table 命令，显示会话表的简要信息如下图所示。;（2）输入display firewall session table verbose命令，显示会话表的详细信息，如下图所示。;4.3.4 防火墙的查询和创建会话; 课业任务： WYL公司在设计公司内部WEB服务器时，规划了一台防火墙，防火墙的g0/0/0接口连接内部网络，g1/0/0接口连接服务器区域网络，现在的需求是配置安全策略使得Trust区域的客户端可以访问DMZ区域的http服务。WYL公司的网络拓扑如下图所示。;04;4.4.1 安全策略业务流程;4.4.1 安全策略业务流程;4.4.2 安全策略的配置流程;