《防火墙技术 (2)2精选文档.ppt》由会员分享,可在线阅读,更多相关《防火墙技术 (2)2精选文档.ppt(19页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、防火墙技术防火墙技术本讲稿第一页,共十九页8.2.1 防火墙主要技术防火墙主要技术防火墙是一道介于开放的、不安全的公共网与信息、资源汇集的内部网之间的屏障,由一个或一组系统组成。狭义的防火墙指安装了防火墙软件的主机或路由器系统,广义的防火墙还包括整个网络的安全策略和安全行为。防火墙技术包括:包过滤技术包过滤技术 网络地址翻译网络地址翻译 应用级代理应用级代理本讲稿第二页,共十九页8.2.3 防火墙主要技术防火墙主要技术1.包过滤技术包过滤技术包过滤技术(Packet Filtering)是在网络层依据系统的过滤规则,对数据包进行选择和过滤,这种规则又称为访问控制表。这种防火墙通常安装在路由器上
2、,如图8.3所示。图8.3包过滤技术 这种技术通过检查数据流中的每个数据包的源地址、目标地址、源端口、目的端口及协议状态或它们的组合来确定是否允许该数据包通过。本讲稿第三页,共十九页8.2.3 防火墙主要技术防火墙主要技术包过滤技术包括两种基本类型:无状态检查的包过滤和有状态检查的包过滤,其区别在于后者通过记住防火墙的所有通信状态,并根据状态信息来过滤整个通信流,而不仅仅是包。有许多方法可绕过包过滤器进入Internet,包过滤技术存在以下缺陷:TCP只能在第只能在第0个分段中被过滤。个分段中被过滤。特洛伊木马可以使用特洛伊木马可以使用NAT来使包过滤器失效。来使包过滤器失效。许多包过滤器允许
3、许多包过滤器允许1024以上的端口通过。以上的端口通过。“纯”包过滤器的防火墙不能完全保证内部网的安全,而必须与代理服务器和网络地址翻译结合起来才能解决问题。本讲稿第四页,共十九页8.2.1 防火墙主要技术防火墙主要技术2.网络地址翻译网络地址翻译网络地址翻译(NAT,Network Address Translation)最初的设计目的是增加在专用网络中可使用的IP地址数,但现在则用于屏蔽内部主机。NAT通过将专用网络中的专用IP地址转换成在Internet上使用的全球唯一的公共IP地址,实现对黑客有效地隐藏所有TCP/IP级的有关内部主机信息的功能,使外部主机无法探测到它们。NAT实质上是
4、一个基本代理:一个主机充当代理,代表内部所有主机发出请求,从而将内部主机的身份从公用网上隐藏起来了。本讲稿第五页,共十九页8.2.1 防火墙主要技术防火墙主要技术按普及程度和可用性顺序,NAT防火墙最基本的翻译模式包括:静静态态翻翻译译。在在这这种种模模式式中中,一一个个指指定定的的内内部部网网络络源源有有一一个个从从改变的固定翻译表。改变的固定翻译表。动动态态翻翻译译。在在这这种种模模式式中中,为为了了隐隐藏藏内内部部主主机机的的身身份份或或扩扩展展内内部部网网的的地地址址空空间间,一一个个大大的的Internet客客户户群群共共享享单单一一一一个个或或一一组小的组小的Internet IP
5、地址。地址。负负载载平平衡衡翻翻译译。在在这这种种模模式式中中,一一个个IP地地址址和和端端口口被被翻翻译译为为同同等等配配置置的的多多个个服服务务器器的的一一个个集集中中处处,这这样样一一个个公公共共地地址址可可以以为许多服务器服务。为许多服务器服务。网网络络冗冗余余翻翻译译。在在这这种种模模式式中中,多多个个Internet连连接接被被附附加加在在一一个个NAT防防火火墙墙上上,从从而而防防火火墙墙根根据据负负载载和和可可用用性性对对这这些些连连接接进进行选择和使用。行选择和使用。本讲稿第六页,共十九页8.2.1 防火墙主要技术防火墙主要技术3.应用级代理应用级代理代理现在主要用于防火墙。
6、代理服务器通过侦听网络内部客户的服务请求,检查并验证其合法性,若合法,它将作为一台客户机一样向真正的服务器发出请求并取回所需信息,最后再转发给客户。代理的工作流程如图8.4所示。图8.4一个服务代理 本讲稿第七页,共十九页8.2.3 防火墙主要技术防火墙主要技术应用代理技术的优缺点:代理隐藏了私有客户,不让它们暴露给外界。但客户必须代理隐藏了私有客户,不让它们暴露给外界。但客户必须使用代理才能工作,且不能被设置为网络透明工作。使用代理才能工作,且不能被设置为网络透明工作。代理能阻断危险的代理能阻断危险的URL,但阻断,但阻断URL也容易被消除。也容易被消除。代理能在危险的内容传送给客户之前过滤
7、掉它们,但代理代理能在危险的内容传送给客户之前过滤掉它们,但代理无法保护操作系统。无法保护操作系统。代理能检查返回内容的一致性。但大多数一致性检查都是在发代理能检查返回内容的一致性。但大多数一致性检查都是在发现有被利用的弱点后才有效。现有被利用的弱点后才有效。代理能消除在网络之间的传输层路由。但阻断路由功能通常使代理能消除在网络之间的传输层路由。但阻断路由功能通常使用得不充分用得不充分 代理提供了单点的访问、控制和日志记录功能。代理提供了单点的访问、控制和日志记录功能。代理服务器有消除冗余访问,平衡内部多个服务器负载的代理服务器有消除冗余访问,平衡内部多个服务器负载的性能优化功能,但易形成服务
8、瓶颈。性能优化功能,但易形成服务瓶颈。本讲稿第八页,共十九页8.2.2 防火墙分类防火墙分类1.按技术分类按技术分类 根据防火墙采用的技术,防火墙分为包过滤型、代理型和监测型。包过滤型包过滤型 防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用,实现成本。其缺点只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意入侵。本讲稿第九页,共十九页8.2.2 防火墙分类防火墙分类代理型代理型代理型防火墙也称为代理服务器。从结
9、构上看,代理服务器由代理的服务器部分和代理的客户机部分组成。从客户机来看,代理服务器相当于一台真正的服务器,而从服务器来看,代理服务器又是一台真正的客户机。壁垒主机即一台软件上配置代理服务程序的计算机,也可以作为代理服务器。代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的入侵和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。本讲稿第十页,共十九页8.2.2 防火墙分类防火墙分类监测型监测型监测型防火墙是新一代的产品,它实际已经超越了最初的防火墙定义。监测型防火墙能够对
10、各层的数据进行主动的、实时的监测。并在对这些数据分析的基础上,它能够有效地判断出各层中的非法入侵。监测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,还对来自内部的恶意破坏也有极强的防范作用。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。本讲稿第十一页,共十九页8.2.2 防火墙分类防火墙分类2.按结构分类按结构分类目前,防火墙按结构可分为简单型和复合型。简单型包括只使用屏蔽路由器或者作为代理服务器的双目主机结构;复合结构一般包括屏蔽主机和屏蔽子网。双目主机结构双目主机结构 双目主机结构防
11、火墙系统主要由一台双目主机构成,具有两个网络接口,分别连接到内部网和外部网,充当转发器,如图8.5所示。这样,主机可以充当与这些接口相连的路由器,能够把IP数据包从一个网络接口转发到另一个网络接口。但是,实现双目主机的防火墙结构禁止这种转发功能。本讲稿第十二页,共十九页8.2.1 防火墙分类防火墙分类图8.5 双目主机结构防火墙 防火墙内部的系统能与双目主机通信,同时防火墙外部的系统如因特网也能与双目主机通信,但二者之间不能直接通信。本讲稿第十三页,共十九页8.2.2 防火墙分类防火墙分类屏蔽主机结构屏蔽主机结构 屏蔽主机结构使用一个单独的路由来提供与内部网相连主机即壁垒主机的服务。在这种安全
12、体系结构中,主要的安全措施是数据包过滤,如图8.6所示。在屏蔽路由器中,数据包过滤配置按以下方式执行:允许其他的内部主机为了某些服务与因特网上的主机连接,即允许那些经过数据包过滤的服务。不允许来自内部主机的所有连接,即强迫内部主机通过壁垒主机使用代理服务。由于这种结构允许数据包通过因特网访问内部数据,因此,它的设计比双目主机结构要更冒风险。本讲稿第十四页,共十九页8.2.2 防火墙分类防火墙分类图8.6 屏蔽主机结构防火墙 本讲稿第十五页,共十九页8.2.2 防火墙分类防火墙分类屏蔽子网结构屏蔽子网结构 屏蔽子网结构防火墙是通过添加隔离内外网的边界网络为屏蔽主机结构增添另一个安全层,这个边界网
13、络有时候称为非军事区。壁垒主机是最脆弱的、最易受攻击的部位,通过隔离壁垒主机的边界网络,便可减轻壁垒主机被攻破所造成的后果。因为壁垒主机不再是整个网络的关键点,所以它们给入侵者提供一些访问,而不是全部。最简单的屏蔽子网有两个屏蔽路由器,一个接外部网与边界网络,另一个连接边界网络与内部网,如图8.7所示。这样为了攻进内部网,入侵者必须通过两个屏蔽路由器。本讲稿第十六页,共十九页8.2.2 防火墙分类防火墙分类图8.5屏蔽子网防火墙本讲稿第十七页,共十九页8.2.3 防火墙的选择标准和发展方向防火墙的选择标准和发展方向1.选择防火墙标准选择防火墙标准 总拥有成本总拥有成本。防火墙产品的总拥有成本不
14、应该超过受保护网络防火墙产品的总拥有成本不应该超过受保护网络系统可能遭受最大损失的成本系统可能遭受最大损失的成本。防火墙本身的安全。防火墙本身的安全。防火墙本身应该是安全的,不给外部入侵防火墙本身应该是安全的,不给外部入侵者可乘之机。者可乘之机。管理与培训。管理与培训。管理和培训是评价一个防火墙好坏的重要方面。管理和培训是评价一个防火墙好坏的重要方面。人员培训和日常维护费用通常会在总拥有成本中占据较大的比例。人员培训和日常维护费用通常会在总拥有成本中占据较大的比例。可扩充性。可扩充性。好产品应该留给用户足够的弹性空间。好产品应该留给用户足够的弹性空间。防火墙的安全性能。防火墙的安全性能。即防火
15、墙是否能够有效地阻挡外部入侵。即防火墙是否能够有效地阻挡外部入侵。本讲稿第十八页,共十九页8.2.3 防火墙的选择标准和发展方向防火墙的选择标准和发展方向.防火墙的发展方向防火墙的发展方向为了有效抵御网络攻击,适应Internet的发展势头,防火墙表现出如下发展趋势:智能化的发展。智能化的发展。防火墙将从目前的静态防御策略向具备人工智能的智防火墙将从目前的静态防御策略向具备人工智能的智能化方向发展。能化方向发展。速度的发展。速度的发展。随着网络速率的不断提高,防火墙必须提高运算速度随着网络速率的不断提高,防火墙必须提高运算速度及包转发速度,否则成为网络的瓶颈。及包转发速度,否则成为网络的瓶颈。体系结构的发展。体系结构的发展。要求防火墙能够协同工作,共同组成一个强大的、要求防火墙能够协同工作,共同组成一个强大的、具备并行处理能力和负载均衡能力的逻辑防火墙。具备并行处理能力和负载均衡能力的逻辑防火墙。功能的发展。功能的发展。未来网络防火墙将在现有的基础上继续完善其功能并未来网络防火墙将在现有的基础上继续完善其功能并不断增加新的功能。不断增加新的功能。专业化的发展。专业化的发展。单向防火墙、电子邮件防火墙、单向防火墙、电子邮件防火墙、FTP防火墙等针防火墙等针对特定服务的专业化防火墙将作为一种产品门类出现。对特定服务的专业化防火墙将作为一种产品门类出现。本讲稿第十九页,共十九页