《防火墙技术 (2)精选文档.ppt》由会员分享,可在线阅读,更多相关《防火墙技术 (2)精选文档.ppt(45页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、防火墙技术本讲稿第一页,共四十五页1 防火墙的定义防火墙的定义n防火墙是设置在被保护网络和外部网络之间的一道屏障,实现网络的安全保护,以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力,它是提供信息安全服务、实现网络和信息安全的基础设施。图 1为防火墙示意图。本讲稿第二页,共四十五页图图 1防火墙示意图防火墙示意图 本讲稿第三页,共四十五页防火墙的发展简史防火墙的发展简史n第一代防火墙:采用了包过滤(Packet Filter)技术。n第二、三代防火墙:1989年,推出了电路层防火墙,和应用层防火墙的初步结构。n第四代防火墙:1992年,开发出了基于动态包过滤技术的第四代防
2、火墙。n第五代防火墙:1998年,NAI公司推出了一种自适应代理技术,可以称之为第五代防火墙。本讲稿第四页,共四十五页图图 2防火墙技术的简单发展历史防火墙技术的简单发展历史 本讲稿第五页,共四十五页设置防火墙的目的和功能设置防火墙的目的和功能n(1)防火墙是网络安全的屏障n(2)防火墙可以强化网络安全策略n(3)对网络存取和访问进行监控审计n(4)防止内部信息的外泄本讲稿第六页,共四十五页防火墙的局限性防火墙的局限性n限制有用的网络服务。限制有用的网络服务。n无法防护内部网用户的攻击。无法防护内部网用户的攻击。n防火墙无法防范通过防火墙以外的其防火墙无法防范通过防火墙以外的其他途径的攻击。他
3、途径的攻击。n防火墙也不能完全防止传送已感染病防火墙也不能完全防止传送已感染病毒的软件或文件。毒的软件或文件。n防火墙无法防范数据驱动型的攻击。防火墙无法防范数据驱动型的攻击。n不能防备新的网络安全问题。不能防备新的网络安全问题。本讲稿第七页,共四十五页2 防火墙技术发展动态和趋势防火墙技术发展动态和趋势n(1)优良的性能n(2)可扩展的结构和功能n(3)简化的安装与管理n(4)主动过滤n(5)防病毒与防黑客本讲稿第八页,共四十五页 3 防火墙的体系结构防火墙的体系结构 防火墙按体系结构可以分为包过滤防火墙、屏蔽主机防防火墙按体系结构可以分为包过滤防火墙、屏蔽主机防火墙、屏蔽子网防火墙、多宿主
4、主机防火墙和通过混合组火墙、屏蔽子网防火墙、多宿主主机防火墙和通过混合组合而衍生的其他结构的防火墙。合而衍生的其他结构的防火墙。3.1 包过滤型防火墙包过滤型防火墙 包过滤型防火墙的核心技术就是安全策略设计即包包过滤型防火墙的核心技术就是安全策略设计即包过滤算法的设计。过滤算法的设计。本讲稿第九页,共四十五页图 5包过滤型防火墙 本讲稿第十页,共四十五页包过滤型防火墙具有以下优点。包过滤型防火墙具有以下优点。(1 1)处处理理包包的的速速度度比比代代理理服服务务器器快快,过过滤滤路路由由器器为为用用户户提提供供了了一一种种透透明明的的服服务务,用用户户不不用用改改变变客客户端程序或改变自己的行
5、为。户端程序或改变自己的行为。(2 2)实实现现包包过过滤滤几几乎乎不不再再需需要要费费用用(或或极极少少的的费费用用),因为这些特点都包含在标准的路由器软件中。,因为这些特点都包含在标准的路由器软件中。(3 3)包过滤路由器对用户和应用来讲是透明的。)包过滤路由器对用户和应用来讲是透明的。本讲稿第十一页,共四十五页包过滤型防火墙存在以下的缺点。包过滤型防火墙存在以下的缺点。(1 1)防火墙的维护比较困难,定义数据包过滤器会比较)防火墙的维护比较困难,定义数据包过滤器会比较复杂,因为网络管理员需要对各种复杂,因为网络管理员需要对各种InternetInternet服务、包头服务、包头格式以及每
6、个域的意义有非常深入的理解,才能将过滤规格式以及每个域的意义有非常深入的理解,才能将过滤规则集尽量定义得完善。则集尽量定义得完善。(2 2)只能阻止一种类型的)只能阻止一种类型的IPIP欺骗,即外部主机伪装内欺骗,即外部主机伪装内部主机的部主机的IPIP,对于外部主机伪装其他可信任的外部主,对于外部主机伪装其他可信任的外部主机的机的IPIP却不可阻止。却不可阻止。(3 3)任何直接经过路由器的数据包都有被用做数据驱动攻)任何直接经过路由器的数据包都有被用做数据驱动攻击的潜在危险。击的潜在危险。本讲稿第十二页,共四十五页(4 4)一些包过滤网关不支持有效的用户认证。)一些包过滤网关不支持有效的用
7、户认证。(5 5)不不可可能能提提供供有有用用的的日日志志,或或根根本本就就不不提提供供,这这使使用用户户发发觉觉网网络络受受攻攻击击的的难难度度加加大大,也也就就谈谈不不上上根根据据日日志来进行网络的优化、完善以及追查责任。志来进行网络的优化、完善以及追查责任。(6 6)随随着着过过滤滤器器数数目目的的增增加加,路路由由器器的的吞吞吐吐量量会会下降。下降。(7 7)IPIP包包过过滤滤器器无无法法对对网网络络上上流流动动的的信信息息提提供供全全面面的的控制。控制。(8 8)允允许许外外部部网网络络直直接接连连接接到到内内部部网网络络的的主主机机上上,易易造成敏感数据的泄漏。造成敏感数据的泄漏
8、。本讲稿第十三页,共四十五页包过滤路由器常见的攻击有以下几种。包过滤路由器常见的攻击有以下几种。(1)源)源IP地址欺骗式攻击。地址欺骗式攻击。(2 2)源路由攻击。)源路由攻击。(3 3)极小数据段式攻击。)极小数据段式攻击。本讲稿第十四页,共四十五页 3.2 多宿主主机(多宿主网关)防火墙多宿主主机(多宿主网关)防火墙 多宿主主机拥有多个网络接口,每一个接口多宿主主机拥有多个网络接口,每一个接口都连在物理上和逻辑上都分离的不同的网段上。都连在物理上和逻辑上都分离的不同的网段上。每个不同的网络接口分别连接不同的子网,不同每个不同的网络接口分别连接不同的子网,不同子网之间的相互访问实施不同的访
9、问控制策略。子网之间的相互访问实施不同的访问控制策略。本讲稿第十五页,共四十五页图 6双宿主机防火墙本讲稿第十六页,共四十五页 双宿主主机防火墙采用主机取代路由器执行双宿主主机防火墙采用主机取代路由器执行安全控制功能,故类似于包过滤防火墙,双宿安全控制功能,故类似于包过滤防火墙,双宿主主机可以在内部网络和外部网络之间进行寻主主机可以在内部网络和外部网络之间进行寻径。径。双宿主主机防火墙的最大特点是双宿主主机防火墙的最大特点是IPIP层的通信被阻层的通信被阻止,两个网络之间的通信可通过应用层数据共享或应止,两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成,而不能直接通信。用层代理服务
10、来完成,而不能直接通信。本讲稿第十七页,共四十五页图 8运行代理服务器的双宿主机 使用双宿主主机作为防火墙,防火墙本身的安全使用双宿主主机作为防火墙,防火墙本身的安全性至关重要。性至关重要。本讲稿第十八页,共四十五页 3.3 屏蔽主机型防火墙屏蔽主机型防火墙 屏蔽主机型防火墙由堡垒主机和包过滤路由器组屏蔽主机型防火墙由堡垒主机和包过滤路由器组成,所有的外部主机与一个堡垒主机相连接而不让它成,所有的外部主机与一个堡垒主机相连接而不让它们与内部主机直接相连。们与内部主机直接相连。本讲稿第十九页,共四十五页图 10被屏蔽主机结构 本讲稿第二十页,共四十五页图 11堡垒主机转发数据包 本讲稿第二十一页
11、,共四十五页 3.4 屏蔽子网型防火墙屏蔽子网型防火墙图 12被屏蔽子网防火墙系统(DMZ)本讲稿第二十二页,共四十五页 3.5 堡垒主机堡垒主机 堡垒主机是一种被强化的可以防御进攻的计算机,是堡垒主机是一种被强化的可以防御进攻的计算机,是高度暴露于高度暴露于Internet中的,也是网络中最容易受到侵害的主中的,也是网络中最容易受到侵害的主机。机。构筑堡垒主机的基本原则有以下两条。构筑堡垒主机的基本原则有以下两条。(1)使堡垒主机尽可能简单)使堡垒主机尽可能简单(2)做好备份工作以防堡垒主机受损)做好备份工作以防堡垒主机受损本讲稿第二十三页,共四十五页1堡垒主机的主要结构堡垒主机的主要结构当
12、前堡垒主机主要采用以下当前堡垒主机主要采用以下3种结构。种结构。(1)无路由双宿主主机)无路由双宿主主机(2)牺牲主机)牺牲主机(3)内部堡垒主机)内部堡垒主机本讲稿第二十四页,共四十五页 4 4 防火墙的主要技术防火墙的主要技术 4.1 数据包过滤技术 数据包过滤技术是在网络中的适当位置对数据包实数据包过滤技术是在网络中的适当位置对数据包实施有选择的通过的技术。施有选择的通过的技术。本讲稿第二十五页,共四十五页图 18包过滤模型 本讲稿第二十六页,共四十五页包过滤一般要检查下面几项:包过滤一般要检查下面几项:(1 1)IPIP源地址;源地址;(2 2)IPIP目的地址;目的地址;(3 3)协
13、议类型()协议类型(TCPTCP包、包、UDPUDP包和包和ICMPICMP包);包);(4 4)TCPTCP或或UDPUDP的源端口;的源端口;(5 5)TCPTCP或或UDPUDP的目的端口;的目的端口;(6 6)ICMPICMP消息类型;消息类型;(7 7)TCPTCP报头中的报头中的ACKACK位。位。另另外外,TCPTCP的的序序列列号号、确确认认号号,IPIP校校验验以以及及分分段段偏偏移也往往是要检查的选项。移也往往是要检查的选项。本讲稿第二十七页,共四十五页包过滤技术的优点包过滤技术的优点 帮助保护整个网络,减少暴露的风险;帮助保护整个网络,减少暴露的风险;对用户完全透明,不需
14、要对客户端做任何改动,对用户完全透明,不需要对客户端做任何改动,也不需要对用户做任何培训;也不需要对用户做任何培训;很多路由器可以作数据包过滤,因此不需要专门添很多路由器可以作数据包过滤,因此不需要专门添加设备。加设备。本讲稿第二十八页,共四十五页 包过滤最明显的缺陷是即使是最基本的网络服包过滤最明显的缺陷是即使是最基本的网络服务和协议,它也不能提供足够的安全保护,包过滤务和协议,它也不能提供足够的安全保护,包过滤是不够安全的。是不够安全的。包过滤规则难于配置。一旦配置,数据包过滤规则也包过滤规则难于配置。一旦配置,数据包过滤规则也难于检验。难于检验。包过滤仅可以访问包头信息中的有限信息。包过
15、滤仅可以访问包头信息中的有限信息。包过滤是无状态的,因为包过滤不能保持与传输相关包过滤是无状态的,因为包过滤不能保持与传输相关的状态信息或与应用相关的状态信息。的状态信息或与应用相关的状态信息。包过滤对信息的处理能力非常有限。包过滤对信息的处理能力非常有限。一些协议不适合用数据包过滤,如基于一些协议不适合用数据包过滤,如基于RPC的应用的应用的的“r”命令等。命令等。本讲稿第二十九页,共四十五页 4.2 代理技术代理技术 代理技术也称为应用层网关技术,代理技术与包过代理技术也称为应用层网关技术,代理技术与包过滤技术完全不同,包过滤技术是在网络层拦截所有的信滤技术完全不同,包过滤技术是在网络层拦
16、截所有的信息流,代理技术是针对每一个特定应用都有的一个程序。息流,代理技术是针对每一个特定应用都有的一个程序。本讲稿第三十页,共四十五页1 1应用级代理应用级代理 应用级代理有两种情况,一种是内部网通过代理访应用级代理有两种情况,一种是内部网通过代理访问外部网。另一种情况是,外部网通过代理访问内部网。问外部网。另一种情况是,外部网通过代理访问内部网。代理使得网络管理员能够实现比包过滤路由器更代理使得网络管理员能够实现比包过滤路由器更严格的安全策略,它会对应用程序的数据进行校验以严格的安全策略,它会对应用程序的数据进行校验以确保数据格式可以接受。确保数据格式可以接受。本讲稿第三十一页,共四十五页
17、 提供代理应用层网关主要有以下优点。提供代理应用层网关主要有以下优点。(1 1)应应用用层层网网关关有有能能力力支支持持可可靠靠的的用用户户认认证证并并提提供供详细的注册信息。详细的注册信息。(2 2)应应用用层层的的过过滤滤规规则则相相对对于于包包过过滤滤路路由由器器来来说说更容易配置和测试。更容易配置和测试。(3 3)代代理理工工作作在在客客户户机机和和真真实实服服务务器器之之间间,完完全全控控制制会话,所以可以提供很详细的日志和安全审计功能。会话,所以可以提供很详细的日志和安全审计功能。(4 4)提提供供代代理理服服务务的的防防火火墙墙可可以以被被配配置置成成惟惟一一的的可可被被外外部部
18、看看见见的的主主机机,这这样样可可以以隐隐藏藏内内部部网网的的IPIP地地址址,可以保护内部主机免受外部网的进攻。可以保护内部主机免受外部网的进攻。(5 5)通通过过代代理理访访问问InternetInternet,可可以以解解决决合合法法的的IPIP地地址不够用的问题。址不够用的问题。本讲稿第三十二页,共四十五页 然而,应用层代理也有明显的缺点,主要包括以下几然而,应用层代理也有明显的缺点,主要包括以下几点。点。(1 1)有限的连接性。)有限的连接性。(2 2)有限的技术。应用层网关不能为)有限的技术。应用层网关不能为RPCRPC、TalkTalk和其他和其他一些基于通用协议簇的服务提供代理
19、。一些基于通用协议簇的服务提供代理。(3 3)性能。应用层实现的防火墙会造成明显的性能下降。)性能。应用层实现的防火墙会造成明显的性能下降。本讲稿第三十三页,共四十五页(4 4)每个应用程序都必须有一个代理服务程序来进)每个应用程序都必须有一个代理服务程序来进行安全控制,每一种应用程序升级时,一般代理服行安全控制,每一种应用程序升级时,一般代理服务程序也要升级。务程序也要升级。(5 5)应用层网关要求用户改变自己的行为,或者在)应用层网关要求用户改变自己的行为,或者在访问代理服务的每个系统上安装特殊的软件。(访问代理服务的每个系统上安装特殊的软件。(6 6)对用户不透明。在一个要求用户接口和用
20、户体系结构对用户不透明。在一个要求用户接口和用户体系结构友好易操作的今天,这种友好易操作的今天,这种“不友好不友好”性显得不合时宜。性显得不合时宜。本讲稿第三十四页,共四十五页2电路级网关代理技术电路级网关代理技术 应用层代理为一种特定的服务(如应用层代理为一种特定的服务(如FTP和和Telnet等)等)提供代理服务。提供代理服务。这种代理的优点是它可以对各种不同的协议提供服这种代理的优点是它可以对各种不同的协议提供服务,但这种代理需要改进客户程序。务,但这种代理需要改进客户程序。Socks是一种非常强大的电路级网关防火墙,它只中是一种非常强大的电路级网关防火墙,它只中继基于继基于TCP的数据
21、包的数据包本讲稿第三十五页,共四十五页图 28电路级网关 本讲稿第三十六页,共四十五页图 29Socks服务器 本讲稿第三十七页,共四十五页 4.3 状态检查技术状态检查技术 状态检查技术能在网络层实现所有需要的防火墙状态检查技术能在网络层实现所有需要的防火墙能力,它既有包过滤机制的速度和灵活,也有应用级能力,它既有包过滤机制的速度和灵活,也有应用级网关安全的优点,它是包过滤器和应用级网关功能的网关安全的优点,它是包过滤器和应用级网关功能的折衷。折衷。本讲稿第三十八页,共四十五页表 3防火墙技术比较表防火墙的能力包 过 滤 器代 理状 态 检 查传输的信息部分部分能传输状态不能部分能应用的状态
22、不能能能信息处理部分能能本讲稿第三十九页,共四十五页状态检查防火墙有如下的优点。状态检查防火墙有如下的优点。1高安全性高安全性2高效性高效性3伸缩性和易扩展性伸缩性和易扩展性4针对性针对性5应用范围广应用范围广本讲稿第四十页,共四十五页 4.4 地址翻译技术地址翻译技术 地址翻译(地址翻译(Network Address Translation,NAT)就是将一个)就是将一个IP地址用另一个地址用另一个IP地址代替。地址代替。地址翻译地址翻译主要用在以下两个方面。主要用在以下两个方面。(1)网络管理员希望隐藏内部网络的)网络管理员希望隐藏内部网络的IP地址。地址。(2)内部网络的)内部网络的I
23、P地址是无效的地址是无效的IP地址。地址。本讲稿第四十一页,共四十五页 应用层网关有如下的缺陷。应用层网关有如下的缺陷。(1)要为每一种应用定制代理)要为每一种应用定制代理(2)代理是不透明的)代理是不透明的(3)应用层网关不能为基于)应用层网关不能为基于TCP以外的应用提供很好的提供以外的应用提供很好的提供代理。代理。地址翻译可以提供一种透明而完善的解决方案。网络地址翻译可以提供一种透明而完善的解决方案。网络管理员可以决定那些内部的管理员可以决定那些内部的IP地址需要隐藏,哪些地址需地址需要隐藏,哪些地址需要映射成为一个对要映射成为一个对Internet可见的可见的IP地址。地址。本讲稿第四十二页,共四十五页图 31地址翻译 本讲稿第四十三页,共四十五页图 32将内部地址翻译成网关地址 本讲稿第四十四页,共四十五页地址翻译可以有多种模式,主要有如下几种。地址翻译可以有多种模式,主要有如下几种。(1 1)静态翻译)静态翻译(2)动态翻译)动态翻译(3)端口转换)端口转换(4)负载平衡翻译)负载平衡翻译(5)网络冗余翻译)网络冗余翻译本讲稿第四十五页,共四十五页