《防火墙基础知识.ppt》由会员分享,可在线阅读,更多相关《防火墙基础知识.ppt(53页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、防火墙介绍中国科学技术大学网络中心张焕杰2002.05.251主要内容网络知识回顾防火墙系统简介包过滤防火墙原理在Linux系统上实现防火墙2网络知识回顾OSIRMvsTCP/IPTCP/IP地址转换IP隧道方式VPN3OSIRMvsTCP/IPOSI参考模型一个基于分层思路的模型、一种概念7层一种理论模型,可以用来分析多种网络协议TCP/IP一个特定的协议,目前大量使用4TCP/IPIP地址每个数据包都有源地址、目的地址一个IP地址指定了一台主机协议TCP、UDP、ICMP5端口对于TCP、UDP协议,区分一台服务器上的多个服务程序每台机器上有65535个不同的端口源端口、目的端口(源地址、
2、目的地址、源端口、目的端口)定义一条连接6Well-known熟知端口服务程序在特定的端口接收用户的请求这些端口大部分都被预定了,一般小于1024常用的21FTP23TELNET25SMTP80WWW53DNS(udp)161snmp(udp)68dhcp(udp)7TCP连接过程TCP数据包头部的标志Flag,6个bitURG紧急数据ACK确认标志PSH推进标志RSTreset复位标志SYN同步标志FIN结束标志8TCP连接过程AB(SYN,Ra,0)(SYN、ACK,Ra+1,Rb)(ACK,Rb+1,Ra+2)连接建立,可以传输数据9地址换换NATNAT设备客户机服务器10.0.0.1:
3、1024-202.38.64.2:8061.132.182.2:8133-202.38.64.2:8061.132.182.2:8133-202.38.64.2:8010.0.0.1:1024-202.38.64.2:80内部网络外部网络源地址转换SNAT10地址换换NATNAT设备服务器客户机10.0.0.1:80-202.38.64.2:102461.132.182.2:80202.38.64.2:102410.0.0.1:80-202.38.64.2:1024内部网络外部网络目的地址转换DNAT11NAT的用途隐藏内部网络结构节省IP地址内部地址10.*.*.*172.16.*.*-17
4、2.31.*.*192.168.*.*宽带网环境,比代理效率高12IP隧道隧道设备隧道设备Internet1.1.1.12.2.2.210.10.10.1020.20.20.2010-201-210-2013IP隧道的利用利用IP隧道,可以在公共网络上构建自己的网络,公共网络提供传输通路可以利用城域网取代传统的DDN线路优点:速度高(10Mbps)、成本低标准,路由器、防火墙支持缺点:安全性(是否信任ISP)加密时速度慢14安全问题的解决防止信息泄密加密防止对系统的入侵漏洞扫描防火墙入侵检测防止个人机器的入侵防病毒15防火墙Firewall在网络中设置一个设备,限制内部和外部网络之间的通信通过
5、这种限制,禁止某些网络中的通信,减少被攻击的可能邮件服务器所用的操作系统可能有漏洞,但是SMTP服务中有漏洞的可能性极小,仅仅开放SMTP服务就比不做任何限制安全的多16防火墙机在抵御入侵时作用侦察扫描获得控制权维持控制权掩盖踪迹和隐藏17防火墙不是万能的防火墙是提高系统安全性的一种手段通过限制通信减少系统漏洞被利用的可能,从而提高安全性无法解决应用本身缺陷的问题比如SQL漏洞配置的正确性也很重要18防火墙分类包过滤型外在表现相当于交换机(网桥)或路由器对通过它的数据包进行过滤,限制通过它的数据包性能高容易实现,很少影响现有网络结构19包过滤防火墙系统应用Internet内部网防火墙20防火墙
6、分类代理型内外网不直接通信所有通信由代理防火墙转发安全性高,可以进行根据用户、协议、操作进行复杂的控制性能低实现麻烦,每种应用都需要一个代理http/smtp/telnet/pop/ftp21防火墙分类电路级网关Socks代理内外网不直接通信所有通信由网关转发性能低实现麻烦,需要客户端支持22校园网防火墙应用包过滤用在出口,或者重点服务器地址转换用在城域网出口利用IP隧道、VPN互连代理、socks为了针对用户计费23包过滤防火墙基本功能工作模式交换模式(透明网桥)、路由模式(路由器)、混合式包过滤地址转换(路由模式下支持)用户认证日志良好的管理界面24其他功能管理端口只能通过管理端口管理系统
7、,更高的安全性黑白名单多机备份、热切换IPMAC地址绑定防止DOS攻击、端口扫描报警流量统计、计费25包过滤原理一般工作在网络层系统中定义有一组规则对经过的数据包,根据其内容逐一匹配规则如果匹配的规则的结果是拒绝,丢弃该数据包如果是允许,转发该数据包26包过滤防火墙在路由器上附带实现包过滤功能专门的设备实现基于通用平台的软件系统软件型基于专用平台的集成产品ASIC芯片实现包处理硬件型通用CPU实现包处理?27基于路由器的实现成本低能达到基本的安全性性能很难满足高速网络的要求一般低端路由器产品的CPU都不快不要在路由器上做地址转换,因为性能太差除非有广域网应用,否则不应该再购置路由器28基于通用
8、平台的软件产品基于通用的硬件、软件平台如基于WindowsNT系统、Solaris系统价格相对较低功能丰富强调认证的较多安全性依赖于底层的操作系统在国内商用的不多Linux适合这种应用29专用ASIC芯片实现的典型产品为Netscreen公司产品利用ASIC芯片实现包过滤、地址转换、加密处理可以得到极高的性能Netscreen540012Gbps3DES加密到6Gbps30大部分的防火墙基于IA架构CPU:PIIPIII专用的软件CiscoPIX,专门开发的操作系统在Linux或FreeBSD的基础上加固得到的操作系统减少不必要的模块增强一些安全性国内的产品90%多属于这类31包过滤防火墙的选
9、择为什么要加防火墙安全、地址转换需要达到多高的安全等级价格维护32Linux下的防火墙为什么?成本技术优点灵活,程序控制资料多地址转换时,比Windows系统稳定33使用Linux防火墙的可行性功能Linux中完善的包过滤实现能满足绝大多数的应用需求稳定性Linux本身的稳定性足以满足要求科大的出口94年开始用Linux做访问控制目前Linux机器,2块3Com1000Base-SX网卡吞吐量到250Mbps34困难Linux本身复杂,比Windows难管理对管理员的要求高第一次设置相对麻烦35Linux2.4中的包过滤Linuxkernel2.4中采用netfilter框架体系http:/n
10、etfilter.samba.org/Netfilter提供了一个通过程序对数据包进行操作的接口管理员用iptables命令来控制netfilter的行为36iptables概念tabletableKernel中有多个表每个表负责不同的处理filter表处理包过滤nat表处理地址转换iptablest?指明对哪个表操作,缺省为filter表iptables-tnat37规则链chain每个表table中有多条规则链chain每个规则链中有对条规则rule内定的规则链filterINPUT、OUTPUT、FORWARDnatPREROUTING、POSTROUTING可以增加自己的规则链38fi
11、lter中的内定规则链INPUTOUTPUTFORWARD进来的数据包路由本机发出的数据包39对表的操作iptablest?清空表中的规则iptablest?N规则链名新建一个规则链iptablest?Z清空规则的统计值40对规则链的操作iptablest?F规则链名清空表中指定的规则链iptablest?Z规则链名清空规则链中的统计值iptablest?P规则链名动作设定规则链的缺省动作iptablest?A规则链名规则增加规则iptablest?D规则链名规则或编号删除规则41规则-j动作-p协议-sx.x.x.x/maskdy.y.y.y/maski接收接口o发送接口其他选项动作:ACC
12、EPT、DROP、RETURNREJECT-reject-with tcp-resetLOG-log-prefix prefix42其他选项对于tcp、udp-sport源端口-dport目的端口对于tcp-syn 仅仅匹配SYN标志43有状态的过滤简单的过滤仅仅针对单个数据包,不考虑前后数据包的关系有状态的会记录下经过它的数据包的状态,达到更好的过滤效果连接数,某个时刻能记录多少条连接可以更安全如对udp包速度的提升44状态过滤-mstatestate INVALID|ESTABLISHED|NEW|RELATED ,.-m state-state ESTABLISHED,RELATED 匹
13、配已经建立的连接 假定eth0接外部网iptables A FORWARD j ACCEPT i eth0-m state-state ESTABLISHED,RELATEDiptables A FORWARD j DROP i eth0仅仅允许内部网连出去,避免被攻击45地址转换需求宽带网环境,代理慢、麻烦LinuxKernel2.4支持完全的双向地址转换通过对nat表增加规则实现46nat中的内定规则链PREROUTING进来的数据包路由本机发出的数据包POSTROUTINGPREROUTING处理DNATPOSTROUTING处理SNAT47例子4849复杂的设置#1增加一个IP地址,含
14、义是让网关能接收到发送给218.22.10.5的数据包,以便进行地址转换。ip addr add 218.22.10.5 dev eth0#2将所有发送给218.22.10.5的数据包,转换成发送给192.168.0.2的,但是由192.168.0.2发起的连接不会进行处理。iptables-t nat-A PREROUTING-j DNAT-to 192.168.0.2 d 218.22.10.5#3将所有由192.168.0.2发起连接的数据包,转换成由218.22.10.5发出iptables-t nat-A POSTROUTING-j SNAT-to 218.22.10.5-s 192
15、.168.0.2-o eth050设置(2)#4从内部发送给192.168.0.2的要进行转换为从网关发出的,否则内部的机器无法连接218.22.10.5,因为返回的数据包不经过网关就发送回去了iptables-t nat-A POSTROUTING-j SNAT-to 192.168.0.1-s 192.168.0.0/24-d 192.168.0.2-o eth1#5其他的转换iptables-t nat-A POSTROUTING-j SNAT-to 218.22.10.4 -s 192.168.0.0/24-o eth051包过滤防火墙的实现过程建立安全策略规定哪些数据包允许通过、哪些不允许通过转化成对IP地址和端口的判断转化具体防火墙支持的语法格式在具体的系统上设置52问题?53