《【教学课件】第八章防火墙技术.ppt》由会员分享,可在线阅读,更多相关《【教学课件】第八章防火墙技术.ppt(38页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第八章 防火墙技术 本章内容:本章内容:第一节第一节 防火墙简介防火墙简介第二节第二节 防火墙的类型防火墙的类型 第三节第三节 防火墙配置防火墙配置 第四节第四节 防火墙系统防火墙系统 第五节第五节 防火墙的选购和使用防火墙的选购和使用 第六节第六节 防火墙产品介绍防火墙产品介绍 1/10/20231知识点l防火墙的概念、功能特点和安全性防火墙的概念、功能特点和安全性l防火墙的分类防火墙的分类l防火墙配置及防火墙系统防火墙配置及防火墙系统l防火墙的选购、安装和维护防火墙的选购、安装和维护1/10/20232难 点 防火墙系统防火墙系统防火墙的选购、安装和维护防火墙的选购、安装和维护1/10/2
2、0233要求熟练掌握以下内容熟练掌握以下内容:l防火墙的概念、功能特点和安全性防火墙的概念、功能特点和安全性l防火墙的分类、防火墙的配置防火墙的分类、防火墙的配置l防火墙的选购、安装和维护防火墙的选购、安装和维护了解以下内容了解以下内容:l防火墙系统防火墙系统l常用防火墙产品常用防火墙产品1/10/20234第一节 防火墙简介 l防火墙的概念防火墙的概念l防火墙的功能特点防火墙的功能特点l防火墙的安全性防火墙的安全性1/10/202358.1.1 防火墙的概念防火墙是具有以下特征的计算机硬件或软件:防火墙是具有以下特征的计算机硬件或软件:(1)由由内内到到外外和和由由外外到到内内的的所所有有访
3、访问问都都必必须须通通过过它它;(2)只只有有本本地地安安全全策策略略所所定定义义的的合合法法访访问问才才被被允允许许通通过过它它;(3)防防火火墙墙本本身身无无法法被穿透。被穿透。通通常常意意义义上上讲讲的的硬硬防防火火墙墙为为硬硬件件防防火火墙墙,它它是是通通过过硬硬件件和和软软件件的的结结合合来来达达到到隔隔离离内内、外外部部网网络络的的目目的的,价价格格较较贵贵,但但效效果果较较好好,一一般般小小型型企企业业和和个个人人很很难难实实现现;软软件件防防火火墙墙是是通通过过软软件件的的方方式式来来达达到到,价价格格很很便便宜宜,但但这这类类防防火火墙墙只只能能通通过过一一定定的的规规则则来
4、来达达到到限限制制一一些些非非法法用用户户访问内部网的目的。访问内部网的目的。1/10/202368.1.2 防火墙的功能特点 1.保护那些易受攻击的服务保护那些易受攻击的服务2.控制对特殊站点的访问控制对特殊站点的访问3.集中化的安全管理集中化的安全管理4.对网络访问进行记录和统计对网络访问进行记录和统计1/10/202378.1.3防火墙的安全性设计防火墙的安全性设计1.用户认证用户认证对对于于防防火火墙墙来来说说,认认证证主主要要是是对对防防火火墙墙用用户户的的认认证证和和防防火火墙墙管管理理员员对对认认证证的的认证。认证。1/10/202382.域名服务域名服务防防火火墙墙可可以以对对
5、内内部部网网内内外外用用户户提提供供修修改改名名录录的的服服务务功功能能。防防火火墙墙不不能能将将内内部部网网内内主主机机的的IP地地址址泄泄露露出出去去。因因此此,对对于于来来自自Internet主主机机的的请请求求,防防火火墙墙应应当当分分辨辨内内部部网网内内所所有有到到防防火火墙墙IP地地址址的的主主机机名名字字;而而对对于于来来自自内内部部网网内内主主机机的的请请求求,防防火火墙墙提提供供寻寻址址名名字字,以以分分辨辨Internet上的主机。上的主机。1/10/202393.邮件处理邮件处理电电子子邮邮件件是是内内部部网网络络到到Internet连连通通的的一一个个主主要要业业务务,
6、是是Internet上上用用户户之之间间交交换换信信息息时时广广泛泛采采用用的的手手段段,一一般般采采用用SMTP(简简单单邮邮件件传传送送协协议议SimpleMailTransferProtocol)。这这些些邮邮件件都都要要通通过过防防火火墙墙验验证证通通行行,在在内内部部网网上上设设置置一一个个邮邮件件网网关关,通通过过它它与与防防火火墙墙连连通通,再与再与Internet上用户连通。上用户连通。1/10/2023104.IP层的安全性层的安全性IP层层的的安安全全包包括括两两个个功功能能:认认证证和和保保密密。认认证证机机构构保保证证接接收收的的数数据据组组就就是是由由数数据据组组报报
7、头头中中所所识识别别出出的的作作为为该该数数据据组组的的源源所所发发送送的的。此此外外,认认证证机机构构还还要要保保证证该该数数据据组组在在传传送送中中未未被被篡篡改改。保保密密性性保保证证通通信信节节点点对对所所传传消消息息进进行行加加密密,防防止第三者窃听。止第三者窃听。1/10/2023115.防火墙的防火墙的IP安全性安全性防防火火墙墙可可以以提提供供保保密密性性和和完完整整性性。一一个个协协作作网网可可能能由由两两个个或或更更多多内内部部网网通通过过Internet相相互互连连接接而而成成。这这些些网网之之间间的的数数据据保保密密性性和和完完整整性性可可以以通通过过IP的的安安全全机
8、机制实现。制实现。1/10/202312第二节 防火墙的类型 l包过滤防火墙包过滤防火墙l 代理服务器防火墙代理服务器防火墙l 状态监视器防火墙状态监视器防火墙1/10/2023138.2.1 包过滤防火墙1.包过滤防火墙的工作原理包过滤防火墙的工作原理采采用用这这种种技技术术的的防防火火墙墙产产品品,通通过过在在网网络络中中的的适适当当位位置置对对数数据据包包进进行行过过滤滤,根根据据检检查查数数据据流流中中每每个个数数据据包包的的源源地地址址、目目的的地地址址、所所有有的的TCP端端口口号号和和TCP链链路路状状态态等等要要素素,然然后后依依据据一一组组预预定定义义的的规规则则,以以允允许
9、许合合乎乎逻逻辑辑的的数数据据包包通通过过防防火火墙墙进进入入到到内内部部网网络络,而而将将不不合合乎乎逻逻辑辑的数据包加以删除。的数据包加以删除。1/10/2023142.包过滤防火墙的优缺点包过滤防火墙的优缺点包包过过滤滤防防火火墙墙最最大大的的优优点点是是:价价格格较较低低、对对用用户户透透明、对网络性能的影响很小、速度快、易于维护。明、对网络性能的影响很小、速度快、易于维护。但但它它也也有有一一些些缺缺点点:包包过过滤滤配配置置起起来来比比较较复复杂杂、它它对对IP欺欺骗骗式式攻攻击击比比较较敏敏感感、它它没没有有用用户户的的使使用用记记录录,这这样样就就不不能能从从访访问问记记录录中
10、中发发现现黑黑客客的的攻攻击击记记录录。而而攻攻击击一一个个单单纯纯的的包包过过滤滤式式的的防防火火墙墙对对黑黑客客来来说说是是比比较较容容易易的的,他他们们在在这这一一方方面面已已经经积积累累了了大量的经验。大量的经验。1/10/2023158.2.2代理服务器防火墙 1.代理服务器防火墙的工作原理代理服务器防火墙的工作原理代代理理服服务务器器运运行行在在两两个个网网络络之之间间,它它对对于于客客户户来来说说像像是是一一台台真真的的服服务务器器一一样样,而而对对于于外外界界的的服服务务器器来来说说,它它又又是是一一台台客客户户机机。当当代代理理服服务务器器接接收收到到用用户户的的请请求求后后
11、,会会检检查查用用户户请请求求的的站站点点是是否否符符合合公公司司的的要要求求,如如果果公公司司允允许许用用户户访访问问该该站站点点的的话话,代代理理服服务务器器会会像像一一个个客客户户一一样样,去去那那个个站站点取回所需信息再转发给客户。点取回所需信息再转发给客户。1/10/2023162.代理服务器防火墙的优缺点代理服务器防火墙的优缺点代代理理服服务务器器防防火火墙墙的的优优点点:可可以以将将被被保保护护的的网网络络内内部部结结构构屏屏蔽蔽起起来来,增增强强网网络络的的安安全全性性;可可用用于于实实施施较较强强的的数数据据流流监监控控、过过滤滤、记记录录和和报报告告等。等。代代理理服服务务
12、器器防防火火墙墙的的缺缺点点:使使访访问问速速度度变变慢慢,因因为为它它不不允允许许用用户户直直接接访访问问网网络络;应应用用级级网网关关需需要要针针对对每每一一个个特特定定的的Internet服服务务安安装装相相应应的的代代理理服服务务器器软软件件,用用户户不不能能使使用用未未被被服服务务器器支支持持的的服服务务,这这就就意意味味着着用用户户可可能能会会花花费费一一定定的的时时间间等等待待新新服服务务器器软软件件的的安安装装;并并不不是是所所有有的的Internet应用软件都可以使用代理服务器。应用软件都可以使用代理服务器。1/10/2023178.2.3状态监视器防火墙状态监视器防火墙1.
13、状态监视器防火墙的工作原理状态监视器防火墙的工作原理这这种种防防火火墙墙安安全全特特性性非非常常好好,它它采采用用了了一一个个在在网网关关上上执执行行网网络络安安全全策策略略的的软软件件引引擎擎,称称之之为为检检测测模模块块。检检测测模模块块在在不不影影响响网网络络正正常常工工作作的的前前提提下下,采采用用抽抽取取相相关关数数据据的的方方法法对对网网络络通通信信的的各各层层实实施施监监测测,抽抽取取部部分分数数据据,即即状状态态信信息息,并并动动态态地地保保存存起起来来作作为为以以后后指指定定安安全全决决策策的参考。的参考。1/10/2023182.状态监视器防火墙的优缺点状态监视器防火墙的优
14、缺点状态监视器的优点:状态监视器的优点:(1)检检测测模模块块支支持持多多种种协协议议和和应应用用程程序序,并并可可以以很容易地实现应用和服务的扩充。很容易地实现应用和服务的扩充。(2)它它会会监监测测RPC和和UDP之之类类的的端端口口信信息息,而而包包过滤和代理网关都不支持此类端口。过滤和代理网关都不支持此类端口。(3)性能坚固性能坚固状态监视器的缺点:状态监视器的缺点:(1)配置非常复杂。)配置非常复杂。(2)会降低网络的速度。会降低网络的速度。1/10/202319第三节 防火墙配置l服务器置于防火墙之内服务器置于防火墙之内l服务器置于防火墙之外服务器置于防火墙之外l服务器置于防火墙之
15、上服务器置于防火墙之上1/10/202320 内部网Web 服务器防火墙防火墙Internet8.3.1 服务器置于防火墙之内 如图所示,将如图所示,将Web服务器装在防服务器装在防火墙内的好处是它得到了安全保护,不火墙内的好处是它得到了安全保护,不容易被黑客闯入。容易被黑客闯入。1/10/202321 内部网Web 服务器防火墙防火墙Internet 如图所示,为保证内部网络的安如图所示,为保证内部网络的安全,将全,将Web服务器完全置于防火墙之外服务器完全置于防火墙之外是比较合适的。在这种模式中,是比较合适的。在这种模式中,Web服服务器不受保护,但内部网则处于保护之务器不受保护,但内部网
16、则处于保护之下。下。8.3.2 服务器置于防火墙之外1/10/2023228.3.3 服务器置于防火墙之上 内部网Web 防火墙和 服务器Internet 如图所示,有些管理者试图在防如图所示,有些管理者试图在防火墙机器上运行火墙机器上运行Web服务器,以此增强服务器,以此增强Web站点的安全性。站点的安全性。1/10/202323第四节 防火墙系统 l 屏蔽主机(屏蔽主机(Screened HostScreened Host)防火墙)防火墙l 屏蔽子网(屏蔽子网(Screened SubnetScreened Subnet)防火墙)防火墙1/10/2023248.4.1 屏蔽主机(Scree
17、ned Host)防火墙屏蔽主机防火墙由包过滤路由器和屏蔽主机防火墙由包过滤路由器和堡垒主机(堡垒主机(BastionHost)组成,它所提)组成,它所提供的安全性能要比包过滤防火墙系统要供的安全性能要比包过滤防火墙系统要强,因为它实现了网络层安全(包过滤)强,因为它实现了网络层安全(包过滤)和应用层安全(代理服务)的结合。当和应用层安全(代理服务)的结合。当入侵者在破坏内部网络的安全性之前,入侵者在破坏内部网络的安全性之前,必须首先突破这两种不同的安全系统。必须首先突破这两种不同的安全系统。1/10/202325屏蔽主机防火墙的原理和实现过程:堡垒主机位于内部网络上,而包过滤路由堡垒主机位于
18、内部网络上,而包过滤路由器则放置在内部网络和外部网络之间。在路由器则放置在内部网络和外部网络之间。在路由器上设置相应的规则,使得外部系统只能访问器上设置相应的规则,使得外部系统只能访问堡垒主机。由于内部主机与堡垒主机处于同一堡垒主机。由于内部主机与堡垒主机处于同一个网络,内部系统是否允许直接访问外部网络,个网络,内部系统是否允许直接访问外部网络,或者是要求使用堡垒主机上的代理服务来访问或者是要求使用堡垒主机上的代理服务来访问外部网络完全由企业的安全策略来决定。对路外部网络完全由企业的安全策略来决定。对路由器的过滤规则进行配置,使得其只接收来自由器的过滤规则进行配置,使得其只接收来自堡垒主机的内
19、部数据包,就可以强制内部用户堡垒主机的内部数据包,就可以强制内部用户使用代理服务,从而加强内部用户对外部使用代理服务,从而加强内部用户对外部Internet访问的管理。访问的管理。1/10/2023268.4.2屏蔽子网(屏蔽子网(ScreenedSubnet)防火墙)防火墙屏蔽子网防火墙利用两台屏蔽路由屏蔽子网防火墙利用两台屏蔽路由器把子网与内外部网络隔离开,堡垒主器把子网与内外部网络隔离开,堡垒主机、信息服务器、机、信息服务器、Modem组,以及其他组,以及其他公用服务器放在该子网中,这个子网称公用服务器放在该子网中,这个子网称为为“停火区停火区”或或“非军事区非军事区”(DeMilita
20、risedZone,DMZ)1/10/202327l 防火墙的选购策略防火墙的选购策略l 防火墙的安装防火墙的安装l 防火墙的维护防火墙的维护 第五节 防火墙的选购和使用 1/10/2023288.5.1防火墙的选购策略防火墙的选购策略1.购购买买防防火火墙墙之之前前,首首先先要要知知道道防防火火墙墙的的最基本性能最基本性能2.选选购购防防火火墙墙前前,还还应应认认真真制制定定安安全全政政策策,也就是要制定一个周密计划。也就是要制定一个周密计划。3.在在满满足足实实用用性性、安安全全性性的的基基础础上上,还还要要考虑经济性考虑经济性1/10/2023298.5.2防火墙的安装防火墙的安装安安装
21、装防防火火墙墙最最简简单单的的方方法法是是使使用用可可编编程程路路由由器器作作为为包包过过滤滤,此此法法是是目目前前用用得得最最普普通通的的网网络络互互连连安安全全结结构构。路路由由器器根根据据源源/目目的的地地址址或或包包头部的信息,有选择地使数据包通过或阻塞。头部的信息,有选择地使数据包通过或阻塞。安安装装防防火火墙墙的的第第二二种种方方法法是是,把把防防火火墙墙安安装装在在一一台台双双端端口口的的主主机机系系统统中中,连连接接内内部部网网络络。而而不不管管是是内内部部网网络络还还是是外外部部网网络络均均可可访访问问这这台台主机,但内部网上的主机不能直接进行通信。主机,但内部网上的主机不能
22、直接进行通信。第第三三种种方方法法是是把把防防火火墙墙安安装装在在一一个个公公共共子子网网中,其作用相当于一台双端口的主机。中,其作用相当于一台双端口的主机。1/10/202330第第四四种种方方法法是是采采用用应应用用与与线线路路入入口口及及信信息息包包过过滤滤来来安安装装防防火火墙墙。所所谓谓应应用用与与线线路路入入口口,就就是是把把所所有有的的包包都都按按地地址址送送给给入入口口上上的的用用户户级级应应用用程程序序,入入口口在在两两点点间间传传送送这这些些包包。对对于于多多数数应应用用入入口口,需需要要一一个个附附加加的的包包过过滤滤机机制制来来控控制制、筛筛选选入入口口与与网网络络之之
23、间间的的信信息息流流。典典型型的的配配置置包包括括两两个个路路由由器器,其其中中之之一一作作设设防防主主站站,起起两两者者间间的的应应用用入入口口的的作作用用。而而应应用用入入口口对对用用户户、对对应应用用程程序序、对对运运行行的的入入口口主主站站均均不不透透明明。对对用用户户而而言言,必必须须对对他他们们使使用用的的每每一一个个应应用用程程序序安安装装一一个个特特定定的的客客户户机机应应用用程程序序,而而带带有有入入口口的的每每一一个个应应用用程程序序均均是是一一段段独独立立的的专专用用软软件件,需需要要一一组组自自己己的的管管理理工工具具和许可才行。和许可才行。1/10/2023318.5
24、.3防火墙的维护防火墙的维护对网络管理维护人员的要求:对网络管理维护人员的要求:第第一一,必必须须经经过过一一定定水水平平的的业业务务培培训训,对对自自己己的的计计算算机机网网络系统,包括防火墙在内的结构配置要清楚;络系统,包括防火墙在内的结构配置要清楚;第第二二,实实施施定定期期的的扫扫描描和和检检查查,发发现现系系统统结结构构出出了了问问题题时时能及时排除和恢复;能及时排除和恢复;第第三三,保保证证系系统统监监控控及及防防火火墙墙之之间间的的通通信信线线路路能能够够畅畅通通无无阻阻,以以便便对对安安全全问问题题进进行行报报警警、恢恢复复、处处理理其其他他的的安安装装信息等;信息等;第第四四
25、,保保证证整整个个系系统统处处于于优优质质服服务务状状态态,必必须须全全天天候候的的对对主机系统进行监控、管理和维护,达到万无一失。主机系统进行监控、管理和维护,达到万无一失。1/10/202332第六节 防火墙产品介绍 lCheckPointFirewall-1lAXENTRaptorlCyberGuardFirewalllCiscoPIXFirewall5201/10/2023338.6.1CheckPointFirewall-1CheckPoint公公司司推推出出的的Firewall-1共共支支持持两两个个平平台台:一一个个是是Unix平平台台;另另一一个个是是WindowsNT平平台台
26、。Firewall-1具具有有一一种种很很特特别别的的结结构构,称称为为多多层层次次状状态态监监视视结结构构。这这种种结结构构让让Firewall-1可可以以对对复复杂杂的的网网络络应应用用软软件件进进行行快快速速支支持持。也也因因为为这这个个功功能能,使使得得CheckPoint在在防防火火墙墙产产品品的的厂厂商商中中位位居居领领导导地地位位。有有很很多多第第三三方方厂厂商商对对它它进进行行支支持持。而而Check Point 也也提提供供了了一一套套APL供开发者使用,以便开发更多的辅助工具。供开发者使用,以便开发更多的辅助工具。1/10/2023348.6.2AXENTRaptorRap
27、tor是代理型防火墙中最好的。它的界面易读、是代理型防火墙中最好的。它的界面易读、易操作,在实时日志方面,仅次于易操作,在实时日志方面,仅次于Firewall-1。Raptor的优势在于其代理的深度和广度。只有的优势在于其代理的深度和广度。只有它提供对它提供对MicrosoftNT服务器的保护。它还具服务器的保护。它还具有有SQL*NET代理功能,可控制对代理功能,可控制对Oracle数据数据库的访问。库的访问。Raptor在在SMTP方面做得很好,而方面做得很好,而且它是唯一可防止缓存溢出的防火墙,它可以且它是唯一可防止缓存溢出的防火墙,它可以代理代理NNTP(网络新闻传输协议)和(网络新闻
28、传输协议)和NTP(网(网络时间协议)。络时间协议)。1/10/2023358.6.3CyberGuardFirewallCyberGuardFirewall是是由由CyberGuard公公司司制制作作的的,其其主主要要结结构构是是基基于于CX/SX多多层层式式安安全全操操作作系系统统,它它的的操操作作相相当当容容易易上上手手。CyberGuardFirewall跟跟其其他他防防火火墙墙产产品品不不同同的的地地方方在在于于,它它提提供供一一种种可可以以安安装装在在防防火火墙墙上上的的界界面面卡卡。通通过过界界面面卡卡,可可以以进进行行硬硬件件加加密密。这这对对于于整整体体效效果果有有显显著著的
29、的提提高高。另另外外,它它还还有有网网络络地地址址转转译译、支持支持Sock、分割式的、分割式的DNS等特点。等特点。1/10/2023368.6.4CiscoPIXFirewall520Cisco公公司司推推出出的的PIXFirewall520的的处处理理性性能能是是最最好好的的,其其吞吞吐吐可可达达150Mbit/s,而而且且使使用用NAT时时不不影影响响其其性性能能。它它可可以以防防止止有有害害的的SMTP命命令令,但但对对FTP,它它不不能能对对get和和put进进行行限限制制。PIX的的管管理理需需要要有有一一台台NT服服务务器器专专门门运运行行该该软软件件,通通过过Web来来访访问
30、问,但但使使用用Web界界面面管管理理PIX只只能能进进行行简简单单的的配配置置改改变变。它它的的日日志志和和监监控控能能力力较较弱弱,所所有有日日志志必必须须送送到到另另一一台台运运行行syslog的机器上。的机器上。1/10/202337小结:防防火火墙墙是是设设置置在在被被保保护护网网络络和和外外部部网网络络之之间间的的一一道道屏屏障障,以以防防止止不不可可预预测测的的、潜潜在在破破坏坏性性的的侵侵入入。防防火火墙墙作作为为网网络络安安全全体体系系的的基基础础和和核核心心控控制制设设备备,在在网网络络安安全全中中具具有有举举足足轻轻重重的的地地位位。如如何何选选购购一一个个安安全全、稳稳定定、可可靠靠的的防防火火墙墙产品是非常重要的。产品是非常重要的。本章主要介绍了防火墙基本知识,包括防本章主要介绍了防火墙基本知识,包括防火墙的概念、功能特点、安全性、类型、防火火墙的概念、功能特点、安全性、类型、防火墙的选购、安装和维护,并介绍了几种防火墙墙的选购、安装和维护,并介绍了几种防火墙产品。产品。1/10/202338