《第12章防火墙PPT学习课件.ppt》由会员分享,可在线阅读,更多相关《第12章防火墙PPT学习课件.ppt(58页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第十二章第十二章 防火墙技术防火墙技术主流安全防护技术主流安全防护技术何路何路 http:/dc-security.org 1计算机网络安全计算机网络安全何路何路http:/dc-security.org 本章要求本章要求l l了解防火了解防火墙的定的定义、发展展历史、目的、功史、目的、功能、局限性等能、局限性等l l掌握包掌握包过滤、应用代理、用代理、电路路级代理和代理和NAT代理等代理等工作原理、技工作原理、技术特点和特点和实现方方式;式;l l掌握防火掌握防火墙的的规则配置方法配置方法l l熟悉防火熟悉防火墙的常的常见体系体系结构构计算机网络安全计算机网络安全何路何路http:/dc-s
2、ecurity.org 本节主要内容本节主要内容一、防火一、防火墙概述概述二、防火二、防火墙技技术分析分析三、防火三、防火墙部署部署计算机网络安全计算机网络安全何路何路http:/dc-security.org 建筑业中的防火墙建筑业中的防火墙l l建筑建筑业中的防火中的防火墙用在建筑用在建筑单位位间,防止,防止火火势的蔓延。的蔓延。计算机网络安全计算机网络安全何路何路http:/dc-security.org IT领域中的防火墙领域中的防火墙 在网在网络安全安全领域中,防火域中,防火墙用来指用来指应用于用于内部网内部网络(局域网)和(局域网)和外部网外部网络(Internet)之之间的,用来
3、的,用来保保护内部网内部网络免免受非法受非法访问和破坏的网和破坏的网络安全系安全系统。计算机网络安全计算机网络安全何路何路http:/dc-security.org 防火墙功能示意防火墙功能示意 两个不同网两个不同网络安全域安全域间通信流的通信流的唯一唯一通通道,道,对流流过的网的网络数据数据进行行检查,阻止,阻止攻攻击数据包通数据包通过。安全网域一安全网域二计算机网络安全计算机网络安全何路何路http:/dc-security.org 防火墙主要功能防火墙主要功能l l过滤进、出网、出网络的数据的数据;l l防止不安全的防止不安全的协议和服和服务;l l管理管理进、出网、出网络的的访问行行为
4、;l l记录通通过防火防火墙的信息内容与活的信息内容与活动;l l对网网络攻攻击进行行检测与告警与告警;l l防止外部防止外部对内部网内部网络信息的信息的获取取l l提供与外部提供与外部连接的集中管理;接的集中管理;计算机网络安全计算机网络安全何路何路http:/dc-security.org 防火墙不能防范的攻击防火墙不能防范的攻击l l来自内部的安全威来自内部的安全威胁;l l病毒病毒l l开放开放应用服用服务程序的漏洞;程序的漏洞;l l特洛伊木特洛伊木马;l l社会工程;社会工程;l l不当配置不当配置计算机网络安全计算机网络安全何路何路http:/dc-security.org 衡量
5、防火墙三大要求衡量防火墙三大要求l l安全安全l l内部和外部内部和外部内部和外部内部和外部间间所有数据必所有数据必所有数据必所有数据必须须通通通通过过防火防火防火防火墙墙l l只有符合安全策略的数据流才能通只有符合安全策略的数据流才能通只有符合安全策略的数据流才能通只有符合安全策略的数据流才能通过过防火防火防火防火墙墙l l防火防火防火防火墙墙自身要安全自身要安全自身要安全自身要安全l l管理管理l l良好的人机交互界面良好的人机交互界面良好的人机交互界面良好的人机交互界面l l提供提供提供提供强劲强劲的管理及的管理及的管理及的管理及扩扩展功能展功能展功能展功能l l速度速度计算机网络安全计
6、算机网络安全何路何路http:/dc-security.org 防火墙发展历程防火墙发展历程主要主要经历了三个了三个阶段:段:l l基于路由器的防火基于路由器的防火墙l l基于通用操作系基于通用操作系统的防火的防火墙l l基于安全操作系基于安全操作系统的防火的防火墙计算机网络安全计算机网络安全何路何路http:/dc-security.org 防火墙基本结构防火墙基本结构防火防火墙构成四要素:构成四要素:l l外部网外部网l l内部网内部网l l安全策略安全策略l l技技术手段手段计算机网络安全计算机网络安全何路何路http:/dc-security.org 本节主要内容本节主要内容一、防火一
7、、防火墙概述概述二、防火二、防火墙技技术分析分析三、防火三、防火墙部署部署计算机网络安全计算机网络安全何路何路http:/dc-security.org 防火墙分类防火墙分类按按按按实现实现技技技技术术分分分分类类:l l包包包包过滤过滤型型型型l l代理型防火代理型防火代理型防火代理型防火墙墙按体系按体系按体系按体系结结构分构分构分构分类类:l l双宿双宿双宿双宿/多宿主机防火多宿主机防火多宿主机防火多宿主机防火墙墙l l屏蔽主机防火屏蔽主机防火屏蔽主机防火屏蔽主机防火墙墙l l屏蔽子网防火屏蔽子网防火屏蔽子网防火屏蔽子网防火墙墙l l混合混合混合混合结结构构构构计算机网络安全计算机网络安全
8、何路何路http:/dc-security.org 包过滤防火墙包过滤防火墙l l包包过滤防火防火墙l l在决定能否及如何在决定能否及如何在决定能否及如何在决定能否及如何传传送数据包之外,送数据包之外,送数据包之外,送数据包之外,还还根据根据根据根据其其其其规则规则集,看是否集,看是否集,看是否集,看是否应该传应该传送送送送该该数据包数据包数据包数据包l l普通路由器普通路由器l l当数据包到达当数据包到达当数据包到达当数据包到达时时,查查看看看看IPIP包包包包头头信息,根据路信息,根据路信息,根据路信息,根据路由表决定能否以及如何由表决定能否以及如何由表决定能否以及如何由表决定能否以及如何
9、传传送数据包送数据包送数据包送数据包 计算机网络安全计算机网络安全何路何路http:/dc-security.org 静态包过滤防火墙静态包过滤防火墙 传输层传输层 传输层传输层 传输层传输层 计算机网络安全计算机网络安全何路何路http:/dc-security.org 路由与包过滤路由与包过滤l l路由路由进行行转发,过滤进行行筛选源地址源地址源地址源地址目标地址目标地址目标地址目标地址协议协议协议协议是否允许是否允许是否允许是否允许Host AHost ASever XSever XTCPTCPYESYESHost AHost ASever XSever XUDPUDPNONOHost
10、A外部网络目标目标目标目标路由路由路由路由Sever XSever X接口接口接口接口1 1Sever X计算机网络安全计算机网络安全何路何路http:/dc-security.org 包过滤所检查的内容包过滤所检查的内容l l源和目的的源和目的的IP地址地址 l lIP选项 l lIP的上的上层协议类型(型(TCP/UDP/ICMP)l lTCP和和UDP的源及目的端口的源及目的端口 l lICMP的的报文文类型和代型和代码 我我们称称这种种对包包头内容内容进行行简单过滤的方的方式式为静静态包包过滤计算机网络安全计算机网络安全何路何路http:/dc-security.org 包过滤配置包过
11、滤配置包包过滤防火防火墙配置步配置步骤:l l知道什么是知道什么是知道什么是知道什么是应该应该和不和不和不和不应应被允被允被允被允许许,制定安全策,制定安全策,制定安全策,制定安全策略略略略l l规规定允定允定允定允许许的包的包的包的包类类型、包字段的型、包字段的型、包字段的型、包字段的逻辑逻辑表达表达表达表达l l用防火用防火用防火用防火墙墙支持的支持的支持的支持的语语法重写表达式法重写表达式法重写表达式法重写表达式计算机网络安全计算机网络安全何路何路http:/dc-security.org 规则制定的策略规则制定的策略规则规则制定的基本策略:制定的基本策略:制定的基本策略:制定的基本策略
12、:l l允允允允许许任何任何任何任何访问访问,除非,除非,除非,除非规则规则特特特特别别地禁止地禁止地禁止地禁止 l l拒拒拒拒绝绝任何任何任何任何访问访问,除非被,除非被,除非被,除非被规则规则特特特特别别允允允允许许 允许拒绝允许拒绝计算机网络安全计算机网络安全何路何路http:/dc-security.org 规则制定的策略规则制定的策略过滤的两种基本方式的两种基本方式l l按服按服务过滤:根据安全策略决定是否允:根据安全策略决定是否允许或拒或拒绝某一种服某一种服务l l按按规则过滤:检查包包头信息,与信息,与过滤规则匹配,决定是否匹配,决定是否转发该数据包数据包计算机网络安全计算机网络
13、安全何路何路http:/dc-security.org 依赖于服务的过滤依赖于服务的过滤 多数服多数服多数服多数服务对应务对应特定的端口,如要封特定的端口,如要封特定的端口,如要封特定的端口,如要封锁输锁输Telnet Telnet Telnet Telnet、SMTPSMTPSMTPSMTP的的的的连连接,接,接,接,则则RouterRouterRouterRouter丢丢弃端口弃端口弃端口弃端口值为值为23232323和和和和25252525的所的所的所的所有数据包。有数据包。有数据包。有数据包。典型的典型的典型的典型的过滤规则过滤规则有以下几种:有以下几种:有以下几种:有以下几种:l l
14、只允只允只允只允许许进进来来来来的的的的TelnetTelnetTelnetTelnet会会会会话连话连接到接到接到接到指定的内部主机指定的内部主机指定的内部主机指定的内部主机l l只允只允只允只允许许进进来来来来的的的的FTPFTPFTPFTP会会会会话连话连接到接到接到接到指定的内部主机指定的内部主机指定的内部主机指定的内部主机l l允允允允许许所有出去所有出去所有出去所有出去的的的的TelnetTelnetTelnetTelnet会会会会话话 l l允允允允许许所有出去所有出去所有出去所有出去的的的的FTPFTPFTPFTP会会会会话话l l拒拒拒拒绝绝从某些指定的外部网从某些指定的外部
15、网从某些指定的外部网从某些指定的外部网络进络进来的所有信息来的所有信息来的所有信息来的所有信息计算机网络安全计算机网络安全何路何路http:/dc-security.org 按规则过滤按规则过滤l l有些有些有些有些类类型的攻型的攻型的攻型的攻击击很很很很难难用基本包用基本包用基本包用基本包头头信息加以信息加以信息加以信息加以鉴别鉴别,因因因因为为独立于服独立于服独立于服独立于服务务。如果防范。如果防范。如果防范。如果防范则则需要定需要定需要定需要定义规则义规则1 1 1 1)源)源)源)源IPIPIPIP地址欺地址欺地址欺地址欺骗骗攻攻攻攻击击 入入入入侵侵侵侵者者者者从从从从伪伪装装装装成
16、成成成源源源源自自自自一一一一台台台台内内内内部部部部主主主主机机机机的的的的一一一一个个个个外外外外部部部部地地地地点点点点传传送送送送一一一一些些些些信信信信息息息息包包包包;这这些些些些信信信信息息息息包包包包似似似似乎乎乎乎像像像像包包包包含含含含了了了了一一一一个个个个内内内内部部部部系系系系统统的的的的源源源源IPIPIPIP地地地地址址址址。如如如如果果果果这这些些些些信信信信息息息息包包包包到到到到达达达达RouterRouterRouterRouter的的的的外外外外部部部部接接接接口口口口,则则舍舍舍舍弃弃弃弃每每每每个个个个含含含含有有有有这这个个个个源源源源IPIPIP
17、IP地地地地址址址址的的的的信信信信息息息息包包包包,就就就就可可可可以以以以挫挫挫挫败败这这种种种种源源源源欺欺欺欺骗骗攻攻攻攻击击。计算机网络安全计算机网络安全何路何路http:/dc-security.org 按规则过滤按规则过滤2 2 2 2)源路由攻)源路由攻)源路由攻)源路由攻击击攻攻攻攻击击者者者者为为信息包指定一个穿越信息包指定一个穿越信息包指定一个穿越信息包指定一个穿越InternetInternetInternetInternet的路由,的路由,的路由,的路由,这类这类攻攻攻攻击击企企企企图绕过图绕过安全措施,并使信息包沿一条意安全措施,并使信息包沿一条意安全措施,并使信息
18、包沿一条意安全措施,并使信息包沿一条意外外外外(疏漏疏漏疏漏疏漏)的路径到达目的地。可以通的路径到达目的地。可以通的路径到达目的地。可以通的路径到达目的地。可以通过过舍弃所有包舍弃所有包舍弃所有包舍弃所有包含含含含这类这类源路由源路由源路由源路由选项选项的信息包方式,来挫的信息包方式,来挫的信息包方式,来挫的信息包方式,来挫败这类败这类攻攻攻攻击击。3 3 3 3)残片攻)残片攻)残片攻)残片攻击击入侵者利用入侵者利用入侵者利用入侵者利用IPIPIPIP分段特性生成一个极小的片断并将分段特性生成一个极小的片断并将分段特性生成一个极小的片断并将分段特性生成一个极小的片断并将TCPTCPTCPTC
19、P报头报头信息肢解成一个分离的信息包片断,使数据信息肢解成一个分离的信息包片断,使数据信息肢解成一个分离的信息包片断,使数据信息肢解成一个分离的信息包片断,使数据包包包包绕过绕过用用用用户户定定定定义义的的的的过滤规则过滤规则。黑客希望。黑客希望。黑客希望。黑客希望过滤过滤路由器路由器路由器路由器只只只只检查检查第一分段,而允第一分段,而允第一分段,而允第一分段,而允许许其它分段通其它分段通其它分段通其它分段通过过。通。通。通。通过过舍弃舍弃舍弃舍弃所有所有所有所有协议类协议类型型型型为为TCPTCPTCPTCP、IPIPIPIP报头报头中中中中Fragment Offset=Fragment
20、 Offset=Fragment Offset=Fragment Offset=1 1 1 1的数据包,即可挫的数据包,即可挫的数据包,即可挫的数据包,即可挫败败残片的攻残片的攻残片的攻残片的攻击击。计算机网络安全计算机网络安全何路何路http:/dc-security.org 推荐的规则推荐的规则l l任何任何任何任何进进入内网的数据包不能将内部地址作入内网的数据包不能将内部地址作入内网的数据包不能将内部地址作入内网的数据包不能将内部地址作为为源地址源地址源地址源地址l l任何任何任何任何进进入内网的数据包必入内网的数据包必入内网的数据包必入内网的数据包必须须将内部地址作将内部地址作将内部地
21、址作将内部地址作为为目目目目标标地地地地址址址址l l任何离开内网的数据包必任何离开内网的数据包必任何离开内网的数据包必任何离开内网的数据包必须须将内部地址作将内部地址作将内部地址作将内部地址作为为源地址源地址源地址源地址l l任何离开内网的数据包不能将内部地址作任何离开内网的数据包不能将内部地址作任何离开内网的数据包不能将内部地址作任何离开内网的数据包不能将内部地址作为为目目目目标标地地地地址址址址l l任何任何任何任何进进入或离开内网的数据包不能把一个私有地址入或离开内网的数据包不能把一个私有地址入或离开内网的数据包不能把一个私有地址入或离开内网的数据包不能把一个私有地址或者或者或者或者1
22、27.0.0.0/8127.0.0.0/8127.0.0.0/8127.0.0.0/8作作作作为为源或目源或目源或目源或目标标地址地址地址地址计算机网络安全计算机网络安全何路何路http:/dc-security.org 静态包过滤的优缺点静态包过滤的优缺点优点:点:l l速度快速度快速度快速度快l l价格低价格低价格低价格低l l对对用用用用户户透明透明透明透明缺点:缺点:l l配置配置配置配置难难把握把握把握把握l l防范能力低防范能力低防范能力低防范能力低l l没有用没有用没有用没有用户户身份身份身份身份验证验证机制机制机制机制计算机网络安全计算机网络安全何路何路http:/dc-sec
23、urity.org 动态包过滤动态包过滤l l动态包包过滤是是Check Point的一的一项称称为“Stateful Inspection”的的专利技利技术,也称状,也称状态检测防火防火墙。l l动态包包过滤防火防火墙不不仅以一个数据包的内以一个数据包的内容作容作为过滤的依据,的依据,还根据根据这个数据包在个数据包在信息流位置加以判断。信息流位置加以判断。l l动态包包过滤防火防火墙可阻止未可阻止未经内网内网请求的求的外部通信,而允外部通信,而允许内网内网请求的外部网站求的外部网站传入的通信入的通信。计算机网络安全计算机网络安全何路何路http:/dc-security.org 动态包过滤防
24、火墙动态包过滤防火墙动态包过滤防火墙动态包过滤防火墙计算机网络安全计算机网络安全何路何路http:/dc-security.org 使用动态包过滤制定的规则使用动态包过滤制定的规则Set internal=192.168.0.0/24Set internal=192.168.0.0/24Deny ip from$internal to any in via eth0Deny ip from$internal to any in via eth0Deny ip from not$internal to any in via eth1Deny ip from not$internal to any
25、 in via eth1Allow$internal access any dns Allow$internal access any dns by udp keep stateby udp keep stateAllow$Internal acess any www Allow$Internal acess any www by tcp keep stateby tcp keep stateAllow$internal access any ftp Allow$internal access any ftp by tcp keep stateby tcp keep stateDeny ip
26、from any to anyDeny ip from any to any计算机网络安全计算机网络安全何路何路http:/dc-security.org 动态包过滤的优缺点动态包过滤的优缺点l l优点:点:l l基于基于基于基于应应用程序信息用程序信息用程序信息用程序信息验证验证一个包状一个包状一个包状一个包状态态的能力的能力的能力的能力l l记录记录通通通通过过的每个包的的每个包的的每个包的的每个包的详细详细信息信息信息信息l l缺点:缺点:l l造成网造成网造成网造成网络连络连接的接的接的接的迟迟滞滞滞滞l l系系系系统资统资源要求源要求源要求源要求较较高高高高计算机网络安全计算机网络安
27、全何路何路http:/dc-security.org 防火防火墙分分类:l l包包过滤l l代理型防火代理型防火墙:应用代理型用代理型l l代理型防火代理型防火墙:电路代理型路代理型l l代理型防火代理型防火墙:NAT计算机网络安全计算机网络安全何路何路http:/dc-security.org 代理服务技术代理服务技术 代理服代理服务技技术能能够将所有跨越防火将所有跨越防火墙的的网网络通信通信链路分路分为两段。防火两段。防火墙内外内外计算算机系机系统间应用用层的的连接,由两个代理服接,由两个代理服务器之器之间的的连接来接来实现,外部,外部计算机的网算机的网络链路只能到达代理服路只能到达代理服
28、务器,从而起到隔离器,从而起到隔离防火防火墙内外内外计算机系算机系统的作用。的作用。计算机网络安全计算机网络安全何路何路http:/dc-security.org 应用代理防火墙应用代理防火墙l l工作在工作在应用用层l l对所有所有规则内允内允许的的应用程序作中用程序作中转转发l l牺牲了牲了对应用程序的透明性用程序的透明性计算机网络安全计算机网络安全何路何路http:/dc-security.org 应用代理防火墙应用代理防火墙应用代理防火墙应用代理防火墙应用代理防火墙应用代理防火墙计算机网络安全计算机网络安全何路何路http:/dc-security.org 应用代理应用代理l l应用代
29、理工作原理示意用代理工作原理示意缓冲文件缓冲文件缓冲文件缓冲文件应用请求应用请求应用请求应用请求回复回复回复回复应用请求应用请求应用请求应用请求回复回复回复回复计算机网络安全计算机网络安全何路何路http:/dc-security.org 应用代理防火墙应用代理防火墙应用代理服用代理服务器的安全性器的安全性l l屏蔽内网用屏蔽内网用户与外网的直接通信,提供更与外网的直接通信,提供更严格的格的检查l l提供提供对协议的控制,拒的控制,拒绝所有没有配置的所有没有配置的连接接l l提供用提供用户级控制,可近一步提供身份控制,可近一步提供身份认证等信息等信息计算机网络安全计算机网络安全何路何路http
30、:/dc-security.org 应用代理的优缺点应用代理的优缺点l l优点:点:l l可以可以可以可以隐隐藏内部网藏内部网藏内部网藏内部网络络的信息;的信息;的信息;的信息;l l可以具有可以具有可以具有可以具有强强大的日志大的日志大的日志大的日志审审核;核;核;核;l l可以可以可以可以实现实现内容的内容的内容的内容的过滤过滤;l l缺点:缺点:l l价格高价格高价格高价格高l l速度慢速度慢速度慢速度慢 l l失效失效失效失效时时造成网造成网造成网造成网络络的的的的瘫痪瘫痪计算机网络安全计算机网络安全何路何路http:/dc-security.org 防火防火墙分分类:l l包包过滤l
31、 l代理型防火代理型防火墙:应用代理型用代理型l l代理型防火代理型防火墙:电路代理型路代理型l l代理型防火代理型防火墙:NAT计算机网络安全计算机网络安全何路何路http:/dc-security.org 电路级代理电路级代理l l电路路级代理因此可以同代理因此可以同时为不同的服不同的服务,如如WEB、FTP、TELNET提供代理服即提供代理服即SOCKS代理,它工作在代理,它工作在传输层。计算机网络安全计算机网络安全何路何路http:/dc-security.org 应用代理应用代理l l应用代理工作在用代理工作在应用用层,对于不同的服于不同的服务,必,必须使用不同的代理使用不同的代理软
32、件。件。应用代理应用代理应用代理应用代理内部主机内部主机内部主机内部主机WEBWEB服务服务服务服务FTP服务服务WEBWEBWEBWEBFTPFTPFTPFTP计算机网络安全计算机网络安全何路何路http:/dc-security.org 电路级代理优缺点电路级代理优缺点优点:点:l l隐藏内部网藏内部网络信息信息l l配置配置简单,无需,无需为每个每个应用程序配置一个用程序配置一个代理代理缺点:缺点:l l多数多数电路路级网关都是基于网关都是基于TCP端口配置,端口配置,不不对数据包数据包检测,可能会有漏洞,可能会有漏洞计算机网络安全计算机网络安全何路何路http:/dc-security
33、.org 防火防火墙分分类:l l包包过滤l l代理型防火代理型防火墙:应用代理型用代理型l l代理型防火代理型防火墙:电路代理型路代理型l l代理型防火代理型防火墙:NAT计算机网络安全计算机网络安全何路何路http:/dc-security.org NAT防火墙防火墙NAT定定义 NAT(Network Address Transla-tion)网网络地址翻地址翻译最初最初设计目的是用来增加私目的是用来增加私有有组织的可用地址空的可用地址空间和解决将和解决将现有的私有的私有有TCP/IP网网络连接到网上的接到网上的IP地址地址编号号问题 计算机网络安全计算机网络安全何路何路http:/dc
34、-security.org NAT防火墙防火墙NAT提供的功能提供的功能l l内部主机地址内部主机地址隐藏藏l l网网络负载均衡均衡l l网网络地址交叠地址交叠计算机网络安全计算机网络安全何路何路http:/dc-security.org NAT(网络地址翻译)网络地址翻译)l l根根根根据据据据内内内内部部部部IPIP地地地地址址址址和和和和外外外外部部部部IPIP地地地地址址址址的的的的数数数数量量量量对对应应关关关关系系系系,NATNAT分分分分为为:l l基本基本基本基本NATNAT:简单简单的地址翻的地址翻的地址翻的地址翻译译l lM-1M-1,多个内部网地址翻多个内部网地址翻多个内
35、部网地址翻多个内部网地址翻译译到到到到1 1个个个个IPIP地址地址地址地址l lM-NM-N,多个内部网地址翻多个内部网地址翻多个内部网地址翻多个内部网地址翻译译到到到到N N个个个个IPIP地址池地址池地址池地址池计算机网络安全计算机网络安全何路何路http:/dc-security.org NAT的优缺点的优缺点l l优点点l l管理方便并且管理方便并且管理方便并且管理方便并且节约节约IPIP地址地址地址地址资资源。源。源。源。l l隐隐藏内部藏内部藏内部藏内部 IP IP 地址信息。地址信息。地址信息。地址信息。仅仅当向某个外部地址当向某个外部地址当向某个外部地址当向某个外部地址发发送
36、送送送过过出站包出站包出站包出站包时时,NAT NAT 才允才允才允才允许许来自来自来自来自该该地址的地址的地址的地址的流量入站。流量入站。流量入站。流量入站。l l缺点缺点l l外部外部外部外部应应用程序却不能方便地与用程序却不能方便地与用程序却不能方便地与用程序却不能方便地与 NAT NAT 网关后面网关后面网关后面网关后面的的的的应应用程序用程序用程序用程序联联系。系。系。系。计算机网络安全计算机网络安全何路何路http:/dc-security.org 本节主要内容本节主要内容一、防火一、防火墙概述概述二、防火二、防火墙技技术分析分析三、防火三、防火墙布署布署计算机网络安全计算机网络安
37、全何路何路http:/dc-security.org 防火墙布置防火墙布置l l简单包包过滤路由路由l l双宿双宿/多宿主机模式多宿主机模式l l屏蔽主机模式屏蔽主机模式l l屏蔽子网模式屏蔽子网模式计算机网络安全计算机网络安全何路何路http:/dc-security.org 包过滤路由包过滤路由内部网络内部网络外部网络外部网络包过滤路由器优点:优点:优点:优点:配置简单配置简单配置简单配置简单缺点:缺点:缺点:缺点:日志没有或很少,难以判断是否被入侵日志没有或很少,难以判断是否被入侵日志没有或很少,难以判断是否被入侵日志没有或很少,难以判断是否被入侵 规则表会随着应用变得很复杂规则表会随着
38、应用变得很复杂规则表会随着应用变得很复杂规则表会随着应用变得很复杂 单一的部件保护,脆弱单一的部件保护,脆弱单一的部件保护,脆弱单一的部件保护,脆弱计算机网络安全计算机网络安全何路何路http:/dc-security.org 双宿双宿/多宿主机模式多宿主机模式l l堡堡垒主机:关主机:关键位置上用于安全防御的某位置上用于安全防御的某个系个系统,攻,攻击者攻者攻击网网络必必须先行攻先行攻击的的主机。主机。l l双宿双宿/多宿主机防火多宿主机防火墙又称又称为双宿双宿/多宿网多宿网关防火关防火墙,它是一种,它是一种拥有两个或多个有两个或多个连接接到不同网到不同网络上的网上的网络接口的防火接口的防火
39、墙,通常,通常用一台装有两用一台装有两块或多或多块网卡的堡网卡的堡垒主机做主机做防火防火墙,两,两块或多或多块网卡各自与受保网卡各自与受保护网网和外部网相和外部网相连 计算机网络安全计算机网络安全何路何路http:/dc-security.org 双宿双宿/多宿主机模式多宿主机模式内部网络内部网络外部网络外部网络应用代理服务器完成:应用代理服务器完成:对外屏蔽内网信息对外屏蔽内网信息设置访问控制设置访问控制对应用层数据严格检查对应用层数据严格检查计算机网络安全计算机网络安全何路何路http:/dc-security.org 优点:点:l l配置配置简单l l检查内容更内容更细致致l l屏蔽了内
40、网屏蔽了内网结构构缺点:缺点:l l应用代理本身的安全性用代理本身的安全性计算机网络安全计算机网络安全何路何路http:/dc-security.org 屏蔽主机屏蔽主机内部网络内部网络外部网络外部网络包过滤路由包过滤路由包过滤路由包过滤路由堡垒主机堡垒主机堡垒主机堡垒主机两道屏障:网络层的包过滤;应用层代理服务两道屏障:网络层的包过滤;应用层代理服务两道屏障:网络层的包过滤;应用层代理服务两道屏障:网络层的包过滤;应用层代理服务注:与双宿主机网关不同,这里的应用网关只有注:与双宿主机网关不同,这里的应用网关只有注:与双宿主机网关不同,这里的应用网关只有注:与双宿主机网关不同,这里的应用网关只
41、有一块网卡。一块网卡。一块网卡。一块网卡。WebWeb服务器服务器服务器服务器计算机网络安全计算机网络安全何路何路http:/dc-security.org 屏蔽主机屏蔽主机优点:点:l l双重保双重保护,安全性更高。,安全性更高。实施策略:施策略:l l针对不同的服不同的服务,选择其中的一种或两种其中的一种或两种保保护措施。措施。计算机网络安全计算机网络安全何路何路http:/dc-security.org 屏蔽子网屏蔽子网内部网络内部网络外部网络外部网络外部路外部路外部路外部路由器由器由器由器内部路内部路内部路内部路由器由器由器由器周边网络周边网络周边网络周边网络(DMZDMZ)计算机网络
42、安全计算机网络安全何路何路http:/dc-security.org 屏蔽子网屏蔽子网1 1)周)周边网网络:非:非军事化区、停火区(事化区、停火区(DMZDMZ)l周周边网网络是另一个安全是另一个安全层,是在外部网是在外部网络与与内部网内部网络之之间的附加的网的附加的网络。l对于周于周边网网络,如果某人侵入周,如果某人侵入周边网上的堡网上的堡垒主机,他主机,他仅能探听到周能探听到周边网上的通信。网上的通信。2 2)内部路由器(阻塞路由器):保)内部路由器(阻塞路由器):保护内部的内部的网网络使之免受使之免受InternetInternet和周和周边子网的侵犯。子网的侵犯。它它为用用户的防火的
43、防火墙执行大部分的数据包行大部分的数据包过滤工作工作计算机网络安全计算机网络安全何路何路http:/dc-security.org 屏蔽子网屏蔽子网l3 3)外部路由器:)外部路由器:在理在理论上,外部路由器上,外部路由器保保护周周边网和内部网使之免受来自网和内部网使之免受来自InternetInternet的侵犯。的侵犯。实际上,外部路由器上,外部路由器倾向于允向于允许几乎任何几乎任何东西从周西从周边网出站,并网出站,并且它且它们通常只通常只执行非常少的数据包行非常少的数据包过滤。l外部路由器安全任外部路由器安全任务之一是:阻止从之一是:阻止从InternetInternet上上伪造源地址造
44、源地址进来的任何数据包。来的任何数据包。计算机网络安全计算机网络安全何路何路http:/dc-security.org 优点点l l安全性安全性较高高l l可用性可用性较好好缺点缺点l l配置复配置复杂l l成本高成本高计算机网络安全计算机网络安全何路何路http:/dc-security.org 小结小结l l本章重点介本章重点介绍各种常各种常见的防火的防火墙技技术,包,包括它括它们所能提供的安全特性和所能提供的安全特性和优缺点。缺点。l l在在应用防火用防火墙是,防火是,防火墙的部署非常重要。的部署非常重要。一个部署不当或配置不当的防火一个部署不当或配置不当的防火墙不不仅不不能提供安全性,能提供安全性,还会会给网网络管理管理员和用和用户造成安全上的造成安全上的错觉。