《网络安全,防火墙.ppt》由会员分享,可在线阅读,更多相关《网络安全,防火墙.ppt(44页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、安全防火墙朱思如20114161一:防火墙由于Internet的迅速发展,提供了发布信息和检索信息的场所,但它也带来了信息污染和信息破坏的危险,人们为了保护其数据和资源的安全,出现了防火墙。防火墙从本质上说是一种保护装置。它保护的是数据、资源和用户的声誉。1.Internet防火墙防火墙原是建筑物大厦设计来防止火灾从大厦的一部分传播到另一部分的设施。从理论上讲Internet防火墙服务也属于类似目的。它防止Internet上的危险(病毒、资源盗用等)传播到你的网络内部。而事实上Internet防火墙不象一座现代化大厦中的防火墙,更象北京故宫的护城河。它服务多个目的:(1)限制人们从一个特别的控
2、制点进入;(2)防止侵入者接近你的其它设施;(3)限定人们从一个特别的点离开;(4)有效的阻止破坏者对你的计算机系统进行破坏。因特网防火墙常常被安装在受保护的内部网络连接到因特网的点上。2.防火墙的优点(1)防火墙能强化安全策略(2)防火墙能有效地记录Internet上的活动(3)防火墙限制暴露用户点(4)防火墙是一个安全策略的检查站3、防火墙的不足之处(1)不能防范恶意的知情者(2)不能防范不通过它的连接(3)不能防备全部的威胁(4)防火墙不能防范病毒7二、防火墙体系结构包过滤型防火墙包过滤型防火墙(Package Filtering Firewall)双宿双宿/多宿主机防火墙多宿主机防火墙
3、(Dual-Homed/Multi-Homed Host Firewall)屏蔽主机防火墙屏蔽主机防火墙(Screened Host Firewall)屏蔽子网防火墙屏蔽子网防火墙(Screened Subnet Firewall)其它防火墙结构其它防火墙结构8包过滤型防火墙包过滤型防火墙,往往可以用一台过滤路由器(Screened Router)来实现,对所接收的每个数据包做允许/拒绝的决定包过滤型防火墙一般作用在网络层,故也称网络层防火墙或IP过滤器9查找对应的查找对应的控制策略控制策略根据策略决定如根据策略决定如何处理该数据包何处理该数据包数据包数据包 包过滤型防火墙数据包数据包拆开数据
4、包拆开数据包数据TCP报头IP报头分组过滤判断信息分组过滤判断信息企业内部网企业内部网UDPDiscardHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource包过滤规则包过滤规则Host CHost A10 包过滤型防火墙路由器审查每个数据包,确定其是否与某一条包过滤规则匹配过滤规则基于可以提供给IP转发过程的包头信息,包头信息中包括:源IP地址、目标IP地址协议类型(TCP、UDP、ICMP等等)TCP/UDP源端口、目标端口ICMP消息类型TCP包头中的ACK位等11 包过滤型防火墙对到达包过滤防火墙的数据包:规则允许
5、该数据包通过,那么该数据包就会按照路由表中的信息被转发规则拒绝该数据包,那么该数据包就会被丢弃如果没有匹配规则,根据系统的设计策略(缺省禁止/缺省允许)决定是转发还是丢弃数据包12包过滤型防火墙优点:处理数据包的速度比较快(与代理服务器相比)在流量适中并定义较少过滤规则时,路由器的性能几乎不受影响实现包过滤几乎不再需要费用标准的路由器软件包含数据包过滤功能包过滤路由器对用户和应用来讲是透明的不必对用户进行特殊的培训不必在每台主机上安装特定的软件用户不用改变客户端程序或改变自己的行为13 包过滤型防火墙缺点:包过滤防火墙的维护比较困难定义数据包过滤器比较复杂,网络管理员需要对各种Internet
6、服务、包头格式、以及每个域的意义有非常深入的理解 只能阻止一种类型的IP欺骗即外部主机伪装内部主机的IP,对于外部主机伪装其他可信任的外部主机的IP不能阻止任何直接经过路由器的数据包都有被用做数据驱动式攻击的潜在危险数据驱动式攻击:表面上无害的数据被邮寄或拷贝到内部主机上,但其中包含了一些隐藏的指令,一旦执行能够让主机修改访问控制和与安全有关的文件,使得入侵者能够获得对系统的访问权14包过滤型防火墙缺点:一些包过滤路由器不支持有效的用户认证因为IP地址是可以伪造的,因此如果没有基于用户的认证,仅通过IP地址来判断是不安全的不能提供有用的日志,或根本不提供日志随着过滤器数目的增加,路由器的吞吐量
7、会下降IP包过滤器可能无法对网络上流动的信息提供全面的控制包过滤路由器能够允许或拒绝特定的服务,但是不能理解特定服务的上下文环境和数据15包过滤型防火墙应用场合机构是非集中化管理机构没有强大的集中安全策略网络的主机数非常少主要依赖于主机安全来防止入侵,但是当主机数增加到一定的程度的时候,仅靠主机安全是不够的没有使用DHCP这样的动态IP地址分配协议16 双宿/多宿主机防火墙双宿/多宿主机:有两个或多个网络接口的计算机系统,可以连接多个网络,实现多个网络之间的访问控制双宿/多宿主机防火墙:用双宿/多宿主机实现防火墙的功能17 双宿/多宿主机防火墙特点:IP层通信被阻止双宿主机内外的网络均可与双宿
8、主机实时通信内外网络之间不可直接通信,内外部网络之间的IP数据流被双宿主机完全切断上图:网络层路由功能未被禁止,数据包绕过防数据包绕过防火墙火墙18双宿/多宿主机防火墙两个网络之间的通信方式:应用层数据共享,用户直接登录应用层代理服务,在双宿主机上运行代理服务器19双宿/多宿主机防火墙用户直接登录的不足支持用户账号会降低机器本身的稳定性和可靠性用户账号的存在会给入侵者提供相对容易的入侵通道因为用户的行为是不可预知的,如双宿主机上有很多用户账户,这会给入侵检测带来很大的麻烦如果双宿主机上有很多账号,管理员维护困难20双宿/多宿主机防火墙运行代理服务的优点可以将被保护的网络内部结构屏蔽起来,增强网
9、络的安全性可用于实施较强的数据流监控、过滤、记录和报告等运行代理服务的缺点使访问速度变慢提供服务相对滞后应用级网关需要针对每一个特定的Internet服务安装相应的代理服务器软件,用户不能使用未被服务器支持的服务,可能会花费一定的时间等待新服务器软件有些服务无法提供21 屏蔽主机防火墙专门设置一个过滤路由器,把所有外部到内部的连接都路由到堡垒主机上,强迫所有的外部主机与一个堡垒主机相连,而不让它们直接与内部主机相连22屏蔽主机防火墙过滤路由器连接Internet和内部网络,它是内部网络的第一道防线过滤路由器需要进行适当的配置,使所有的外部连接被路由到堡垒主机上过滤路由器的重要性:是否正确配置是
10、这种防火墙安全与否的关键过滤路由器的路由表应当受到严格的保护,否则如果路由表遭到破坏,数据包就不会被路由到堡垒主机上,使堡垒主机被绕过23 屏蔽主机防火墙堡垒主机(Bastion Host)位于内部网络位于内部网络,是一台安全性很高的主机,其上没有任何入侵者可以利用的工具,不能作为黑客进一步入侵的基地堡垒主机上一般安装的是代理服务器程序,即外部网络访问内部网络的时候,首先经过外部路由器的过滤,然后通过代理服务器代理后才能进入内部网络堡垒主机在应用层对客户的请求做判断,允许或禁止某种服务。如果该请求被允许,堡垒主机就把数据包发送到某一内部主机或屏蔽路由器上,否则抛弃该数据包24 屏蔽主机防火墙对
11、于入站连接,根据安全策略,屏蔽路由器可以:允许某种服务的数据包先到达堡垒主机,然后与内部主机连接直接禁止某种服务的数据包入站连接对于出站连接,根据安全策略:对于一些服务(Telnet),可以允许它直接通过屏蔽路由器连接到外部网络,而不通过堡垒主机其它服务(WWW和SMTP等),必须经过堡垒主机才能连接到Internet,并在堡垒主机上运行该服务的代理服务器25 屏蔽主机防火墙屏蔽主机防火墙转发数据包的过程26屏蔽主机防火墙与包过滤型防火墙的比较:其提供的安全等级比包过滤防火墙系统要高,实现了网络层安全网络层安全(包过滤)和应用层安全应用层安全(代理服务)入侵者在破坏内部网络的安全性之前,必须首
12、先渗透两种不同的安全系统即使入侵者进入了内部网络,也必须和堡垒主机竞争,堡垒主机是一台安全性很高的主机27屏蔽主机防火墙路由器不被正常路由的例子:正常路由情况:内部网络地址:202.112.108.0堡垒主机地址:202.112.108.8路由表内容所有流量发到堡垒主机上28 屏蔽主机防火墙路由表被破坏的情况:堡垒主机的路由项目被从路由表中删除进入屏蔽路由器的流量不会被转发到堡垒主机上,可能被转发到另一主机上,外部主机直接访问了内部主机,绕过了防火墙过滤路由器成为唯一一道防线,入侵者很容易突破屏蔽路由器,内部网络不再安全29屏蔽子网防火墙本质上同屏蔽主机防火墙一样,但增加了一层保护体系周边网络
13、(DMZ)。堡垒主机位于周边网络上,周边网络和内部网络被内部屏蔽路由器分开30屏蔽子网防火墙为什么使用周边网络在屏蔽主机结构中,堡垒主机最容易受到攻击。而且内部网对堡垒主机是完全公开的,入侵者只要破坏了这一层的保护,那么入侵也就大功告成了屏蔽子网结构就是在屏蔽主机结构中再增加一台路由器的安全机制,这台路由器的意义就在于它能够在内部网和外部网之间构筑出一个安全子网,从而使得内部网与外部网之间有两层隔断。要想侵入用这种体系结构构筑的内部网络,侵袭者必须通过两个路由器,即使侵袭者已设法侵入堡垒主机,他将仍然必须通过内部路由器31屏蔽子网防火墙周边网络也称为停火区或非军事区(DeMilitarised
14、 Zone,DMZ)处于Internet和内部网络之间包含两个包过滤路由器和一个/多个堡垒主机可以放置一些信息和服务器,如WWW和FTP服务器,以便于公众访问,这些服务器可能会受到攻击,因为它们是牺牲服务器,但内部网络还被保护着通过DMZ网络直接进行信息传输是严格禁止的是最安全的防火墙系统,因为在定义了“非军事区网络后,它支持网络层和应用层安全功能32屏蔽子网防火墙周边网络的作用堡垒主机位于周边网络,即使被控制,入侵者仍然不能直接侵袭内部网络,内部网络仍受到内部过滤路由器的保护原因:大部分局域网采用以太网,以太网的特点是广播,一台位于网络上的机器可以监听网络上的所有信息如果没有周边网络,一旦堡
15、垒主机被攻破,入侵者可以监听整个网络的对话,获得用户的口令和帐号私人的敏感文件(email等)33屏蔽子网防火墙如果堡垒主机位于周边网络上,即使入侵者控制了堡垒主机,也只能侦听到Internet和堡垒主机之间的会话内部主机和堡垒主机之间的会话内部网络之间的通信仍然是安全的,因为内部网络上的数据包虽然在内部网络上是广播式的,但内部过滤路由器会阻止这些数据包流入周边网络(发往周边网络和Internet的数据包除外)34屏蔽子网防火墙堡垒主机位于周边网络运行各种各样的代理服务器可以被认为是应用层网关,是这种防御体系的核心入站服务,要求所有服务都通过堡垒主机出站服务,不一定要求所有服务都经过堡垒主机,
16、可以由内部路由器和Internet直接通话35 屏蔽子网防火墙内部路由器又称阻塞路由器,位于内部网和周边网之间用于保护内部网不受周边网和因特网的侵害完成防火墙的大部分的过滤工作36 屏蔽子网防火墙外部路由器保护周边网上的主机外部路由器还可以防止部分IP欺骗内部路由器分辨不出一个声称从非军事区来的数据包是否真的从非军事区来,而外部路由器很容易分辨出真伪37屏蔽子网防火墙分层系列的周边网一些站点还可以在外部与内部网络之间建立分层系列的周边网信任度低的和易受侵袭的服务被放置在外层的周边网上,远离内部网络在周边网络中设置堡垒主机这样增加了内部网络的安全性,即使侵袭者侵入外层周边网的机器,由于在外层周边
17、网和内部网络之间有了附加安全层,也将难于成功地侵袭内部的机器383.5 其它防火墙结构一个堡垒主机和一个非军事区合并内部路由器和堡垒主机合并外部路由器和堡垒主机合并DMZ的内部路由器和外部路由器两个堡垒主机和两个非军事区使用多台堡垒主机使用多台外部路由器怎么打开和关闭windows7系统的自带防火墙防火墙能保护我们的电脑免受网络上的黑防火墙能保护我们的电脑免受网络上的黑客攻击,客攻击,windows7系统中的防火墙功能已系统中的防火墙功能已经足够强大,可以保证我们的电脑免受危经足够强大,可以保证我们的电脑免受危害。可是在各种不慎的操作中或者下载的害。可是在各种不慎的操作中或者下载的杀毒软件有时
18、都会关闭或者打开系统自带杀毒软件有时都会关闭或者打开系统自带的防火墙,那么我们怎么打开或者关闭它的防火墙,那么我们怎么打开或者关闭它呢?呢?点击开始菜单,打开控制面板选项。在控制面板中找到windows防火墙选项,单击打开。在弹出来的界面中如果你发现有如下图中显示的那样,说明你的防火墙是关闭着的,如果你想打开的话就请单击使用推荐的设置就可以了。这样windows的防火墙就打开了。如果你在控制面板中点击打开windows防火墙后发现界面是这样的,说明你的防火墙是本来就开着的,你关闭窗口就可以了,但是如果你想关闭防火墙,那么就点击左边栏的“打开或关闭windows防火墙”选项。在接下来的界面中,选中图中两个不推荐的选项然后点击确定就可以了,这样就把windows自带的防火墙给关闭了。