第6章-防火墙ppt课件.ppt

《第6章-防火墙ppt课件.ppt》由会员分享，可在线阅读，更多相关《第6章-防火墙ppt课件.ppt（23页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、病原体侵入机体，消弱机体防御机能，破坏机体内环境的相对稳定性，且在一定部位生长繁殖，引起不同程度的病理生理过程9.1 防火墙概述 什么是防火墙(Firewall)？防火墙：在两个信任程度不同的网络之间设防火墙：在两个信任程度不同的网络之间设置的、用于加强访问控制的软硬件保护设施。置的、用于加强访问控制的软硬件保护设施。1病原体侵入机体，消弱机体防御机能，破坏机体内环境的相对稳定性，且在一定部位生长繁殖，引起不同程度的病理生理过程一、防火墙的用途9.1 防火墙概述1）作为）作为“扼制点扼制点”，限制信息的进入或离开；，限制信息的进入或离开；2）防止侵入者接近并破坏你的内部设施；）防止侵入者接近并

2、破坏你的内部设施；3）监视、记录、审查重要的业务流；）监视、记录、审查重要的业务流；4）实施网络地址转换，缓解地址短缺矛盾。）实施网络地址转换，缓解地址短缺矛盾。建建立立防防火火墙墙必必须须全全面面考考虑虑安安全全策策略略，否否则则形形同同虚设。虚设。2病原体侵入机体，消弱机体防御机能，破坏机体内环境的相对稳定性，且在一定部位生长繁殖，引起不同程度的病理生理过程二、好的防火墙系统9.1 防火墙概述1）内内部部网网络络和和外外部部网网络络之之间间传传输输的的数数据据必必须须通过防火墙；通过防火墙；2）只只有有防防火火墙墙系系统统中中安安全全策策略略允允许许的的数数据据可可以通过防火墙；以通过防火

3、墙；3）防火墙本身不受各种攻击的影响。）防火墙本身不受各种攻击的影响。3病原体侵入机体，消弱机体防御机能，破坏机体内环境的相对稳定性，且在一定部位生长繁殖，引起不同程度的病理生理过程四、防火墙的局限性9.1、防火墙概述1）防火墙防外不防内）防火墙防外不防内如如果果入入侵侵者者已已经经在在防防火火墙墙内内部部，防防火火墙墙是是无无能能为为力力的的。内内部部用用户户偷偷窃窃数数据据，破破坏坏硬硬件件和和软软件件，并并且且巧巧妙妙地地修修改改程程序序而而不不接接近近防防火火墙墙。对对于于来来自自知知情情者者的的威威胁胁只只能能要要求求加加强强内内部部管管理，如主机安全和用户教育、管理、制度等。理，如

4、主机安全和用户教育、管理、制度等。4病原体侵入机体，消弱机体防御机能，破坏机体内环境的相对稳定性，且在一定部位生长繁殖，引起不同程度的病理生理过程9.1、防火墙概述2）不能防范绕过防火墙的攻击）不能防范绕过防火墙的攻击防防火火墙墙能能够够有有效效地地防防止止通通过过它它进进行行传传输输信信息息，然然而而不不能能防防止止不不通通过过它它而而传传输输的的信信息息。例例如如，如如果果站站点点允允许许对对防防火火墙墙后后面面的的内内部部系系统统进进行行拨拨号号访访问问，那那么么防防火火墙墙绝绝对对没没有有办办法法阻阻止止入入侵侵者者进行拨号入侵。进行拨号入侵。3）防火墙配置复杂，容易出现安全漏洞）防火

5、墙配置复杂，容易出现安全漏洞4）防防火火墙墙往往往往只只认认机机器器（IP地地址址）不不认认人人（用户身份），并且（用户身份），并且控制粒度较粗控制粒度较粗。5病原体侵入机体，消弱机体防御机能，破坏机体内环境的相对稳定性，且在一定部位生长繁殖，引起不同程度的病理生理过程9.1、防火墙概述5）防火墙不能防范病毒）防火墙不能防范病毒防防火火墙墙不不能能防防止止感感染染了了病病毒毒的的软软件件或或文文件件的的传输。这只能在每台主机上装反病毒软件。传输。这只能在每台主机上装反病毒软件。6）防火墙不能防止数据驱动式攻击。）防火墙不能防止数据驱动式攻击。当当有有些些表表面面看看来来无无害害的的数数据据被被

6、邮邮寄寄或或复复制制到到内内部部网网主主机机上上并并被被执执行行而而发发起起攻攻击击时时，就就会会发发生生数数据据驱驱动动攻攻击击。特特别别是是随随着着JavaJava、JavaScriptJavaScript、ActiveXActiveX的的应应用用，这这一一问问题题更更加加突出。突出。6病原体侵入机体，消弱机体防御机能，破坏机体内环境的相对稳定性，且在一定部位生长繁殖，引起不同程度的病理生理过程防火墙的体系结构1）屏蔽路由器（）屏蔽路由器（Screened Router）2）双宿主机网关；）双宿主机网关；Dual Homed Host Gateway3）屏蔽主机防火墙；）屏蔽主机防火墙；S

7、creened Gateway4）屏蔽子网防火墙。）屏蔽子网防火墙。Screened Subnet9.3 防火墙体系结构 7病原体侵入机体，消弱机体防御机能，破坏机体内环境的相对稳定性，且在一定部位生长繁殖，引起不同程度的病理生理过程1.屏蔽路由器（屏蔽路由器（Screened Router）包过滤路由器：路由 +过滤这是最简单的防火墙。缺点：日志没有或很少，难以判断是否被入侵规则表会随着应用变得很复杂单一的部件保护，脆弱9.3 防火墙体系结构 8病原体侵入机体，消弱机体防御机能，破坏机体内环境的相对稳定性，且在一定部位生长繁殖，引起不同程度的病理生理过程2.双宿主机网关9.3 防火墙体系结构

8、 9病原体侵入机体，消弱机体防御机能，破坏机体内环境的相对稳定性，且在一定部位生长繁殖，引起不同程度的病理生理过程用用一一台台装装有有两两块块网网卡卡的的计计算算机机作作为为堡堡垒垒主主机机（Bastion host），两两块块网网卡卡分分别别与与内内部部网网和和外外部部网网（或或屏屏蔽蔽路路由由器器）相相连连，每每块块网网卡卡有有各各自自的的IP地地址址。堡堡垒垒主主机机上上运运行行防防火火墙墙软软件件代理服务（应用层网关）代理服务（应用层网关）。优点：优点：与屏蔽路由器相比，提供日志以备检查与屏蔽路由器相比，提供日志以备检查缺点：缺点：双宿主机易受攻击双宿主机易受攻击9.3 防火墙体系结构

9、 10病原体侵入机体，消弱机体防御机能，破坏机体内环境的相对稳定性，且在一定部位生长繁殖，引起不同程度的病理生理过程3.屏蔽主机防火墙9.3 防火墙体系结构 11病原体侵入机体，消弱机体防御机能，破坏机体内环境的相对稳定性，且在一定部位生长繁殖，引起不同程度的病理生理过程屏蔽主机体系结构 9.3 防火墙体系结构 12病原体侵入机体，消弱机体防御机能，破坏机体内环境的相对稳定性，且在一定部位生长繁殖，引起不同程度的病理生理过程由由屏蔽路由器屏蔽路由器和和应用网关应用网关组成。组成。两道屏障：网络层的包过滤；应用层代理服务两道屏障：网络层的包过滤；应用层代理服务注：注：与双宿主机网关不同，这里的应

10、用网关只与双宿主机网关不同，这里的应用网关只有一块网卡。有一块网卡。优点：双重保护，安全性更高。优点：双重保护，安全性更高。9.3 防火墙体系结构 13病原体侵入机体，消弱机体防御机能，破坏机体内环境的相对稳定性，且在一定部位生长繁殖，引起不同程度的病理生理过程14病原体侵入机体，消弱机体防御机能，破坏机体内环境的相对稳定性，且在一定部位生长繁殖，引起不同程度的病理生理过程4.屏蔽子网体系结构防火墙体系结构组成：一个包含堡垒主机的周边子网、两台屏蔽路由器。15病原体侵入机体，消弱机体防御机能，破坏机体内环境的相对稳定性，且在一定部位生长繁殖，引起不同程度的病理生理过程屏蔽子网体系结构 9.3

11、防火墙体系结构 16病原体侵入机体，消弱机体防御机能，破坏机体内环境的相对稳定性，且在一定部位生长繁殖，引起不同程度的病理生理过程17病原体侵入机体，消弱机体防御机能，破坏机体内环境的相对稳定性，且在一定部位生长繁殖，引起不同程度的病理生理过程包过滤技术 9.4 包过滤技术18病原体侵入机体，消弱机体防御机能，破坏机体内环境的相对稳定性，且在一定部位生长繁殖，引起不同程度的病理生理过程包过滤技术的原理包过滤技术在在路路由由器器上上加加入入IP Filtering 功功能能，这这样样的的路路由由器器就就成成为为Screening Router。Router逐逐一一审审查查每每个个数数据据包包以以

12、判判定定它它是是否否与与其其它它包包过过滤规则相匹配滤规则相匹配(只检查包头，不理会包内的正文信息只检查包头，不理会包内的正文信息)。如如果果找找到到一一个个匹匹配配，且且规规则则允允许许这这包包，这这个个包包则则根根据据路路由由表表中中的的信信息息前前行行；且且规规则则允允许许拒拒绝绝此此包包，这这一一包包则被舍弃；则被舍弃；如如果果无无匹匹配配规规则则，一一个个用用户户配配置置的的缺缺省省参参数数将将决决定定此此包是前行还是被舍弃。包是前行还是被舍弃。19病原体侵入机体，消弱机体防御机能，破坏机体内环境的相对稳定性，且在一定部位生长繁殖，引起不同程度的病理生理过程组序号动作源IP目的IP源

13、端口目的端口协议类型1允许10.1.1.1*TCP2允许*10.1.1.1201024TCP3禁止*10.1.1.120*TCPn一个可靠的包过滤防火墙依赖于规则集的定义，下表列出了几条典型的规则集。n第一条规则：主机10.1.1.1任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过。第二条规则：任何主机的20端口访问主机10.1.1.1的小于1024的端口，基于TCP协议的数据包允许通过。第三条规则：任何主机的20端口访问主机10.1.1.1任何端口，如果基于TCP协议的数据包都禁止通过。20病原体侵入机体，消弱机体防御机能，破坏机体内环境的相对稳定性，且在一定部位生长繁殖，引

14、起不同程度的病理生理过程IPv4包过滤技术版本号版本号Version(4bit)报头长报头长IHL(4bit)服务类型服务类型 ServiceType(8bit)分组总长度分组总长度Total Length(16bit)标识标识Identification(16bit)标志标志Flags(3bit)片偏移片偏移Fragment Offset(13bit)生存时间生存时间Time to Live(8bit)传输层协议传输层协议Protocol(8bit)头部校验和头部校验和 Header Checksum(16bit)源源IP地址地址Source Address(32bit)宿宿IP地址地址Destination Address(32bit)可选项可选项Option有效负载有效负载Payload（0或多个字节）或多个字节）20 bytes0 4 8 16 19 31填充域填充域padding21病原体侵入机体，消弱机体防御机能，破坏机体内环境的相对稳定性，且在一定部位生长繁殖，引起不同程度的病理生理过程防火墙产品介绍n以色列Checkpoint公司的Fire Wall-1nCisco公司的PIXn个人防火墙：“天网”、“瑞星防火墙”22病原体侵入机体，消弱机体防御机能，破坏机体内环境的相对稳定性，且在一定部位生长繁殖，引起不同程度的病理生理过程天网防火墙23