第7章 防火墙及其应用 本章学习重点掌握内容: 防火墙功能 防火墙核心技术 防火墙体系结构 2017/3/1.

Slides:



Advertisements
Similar presentations
网络管理员考证辅导 —— 真题解析 广东水利电力职业技术学院 计算机系 温海燕
Advertisements

NAT与ICMP交互.
第7章 防火墙应用技术 防火墙技术是现代网络通信和计算机安全防护体系中的一种重要设备,它通常位于两个或多个网络的边界处,是实施网络之间互连访问控制的一种组件集合。早期的防火墙通常是基于访问控制的包过滤技术构建的,随着网络安全威胁的日益增加和网络技术的发展,当今的防火墙技术也得到了极大地发展,出现了很多新的防火墙技术,如电路级网关技术、状态检测技术、应用网关技术、分布式防火墙技术、嵌入式防火墙技术等,它们有的工作在OSI参考模型的网络层,有的工作在传输层,还有的工作在应用层;在网络部署上,现代防火墙也已经不
计算机网络教程 任课教师:孙颖楷.
计算机网络课程总结 一、计算机网络基础 计算机网络定义和功能、基本组成 OSI/RM参考模型(各层的功能,相关概念, 模型中数据传输 等)
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
第5章 网络安全设计 主讲:易建勋.
淄博信息工程学校 ZIBOIT&ENGINEERING VOCATONAL SHCOOL 03 交换机干道技术 计算机网络技术专业.
实用操作系统概念 张惠娟 副教授 1.
第九章 防火墙与入侵检测 2.
第十一章 Internet的安全性.
实验八 配置动态路由-OSPF协议.
任务十 在思科路由网络中使用IGRP和EIGRP动态路由协议
第3章 网络防御技术 指导教师:杨建国 2013年8月10日.
第17章 实现路由器.
第九章 防火墙技术 9.1 防火墙技术概述 9.2 防火墙技术 9.3 防火墙设计实例.
第五章 防火墙技术 深职院 计算机网络技术专业 池瑞楠.
项目四 组建跨地区网络 授课教师:肖颖.
第五章 防火墙技术.
信息安全与管理 第九章 防火墙.
计算机基础知识 丁家营镇九年制学校 徐中先.
格物资讯开放ICON库 V1R1.
交换 Cisco三层模型 交换机基本配置 VLAN VTP.
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
潘爱民,北京大学计算机研究所 网络与信息安全 网络安全 (一) 潘爱民,北京大学计算机研究所
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
从现在做起 彻底改变你自己 Sanjay Mirchandani EMC公司高级副总裁、首席信息官.
存储系统.
大学计算机基础 典型案例之一 构建FPT服务器.
PPPoE PPTP L2TP全解 方伟、产品策划 讲师的CSDN博客地址
矢量距离路由.
网络常用常用命令 课件制作人:谢希仁.
实用组网技术 第一章 网络基础知识.
第11章:一些著名开源软件介绍 第12章:服务安装和配置 本章教学目标: 了解当前一些应用最广泛的开源软件项目 搭建一个网站服务器
Windows网络操作系统管理 ——Windows Server 2008 R2.
Windows网络操作系统管理 ——Windows Server 2008 R2.
格物资讯开放ICON库 V0R2.
第17章 网站发布.
PaPaPa项目架构 By:Listen 我在这.
华南师范大学 防火墙 华南师范大学
CPU结构和功能.
应用实例 识别Ps & Pt ADTS 压力通道并校验 CPD8000 New MENSOR‘s ADTS: CPA8001.
项目十四 防火墙分类与基本配置.
Windows 7 的系统设置.
你知道这些标志吗?. 你知道这些标志吗? 网络——信息安全 小组讨论 你觉得网络信息安全吗? 为什么?
宁波市高校慕课联盟课程 与 进行交互 Linux 系统管理.
三:基于Eclipse的集成开发环境搭建与使用
SOA – Experiment 2: Query Classification Web Service
新一代安全网上银行 小组成员:杨志明 王晶 任毅 刘建中 关昊 刘超.
C语言程序设计 主讲教师:陆幼利.
微机系统的组成.
第四章 团队音乐会序幕: 团队协作平台的快速创建
主要内容: 无线局域网的定义 无线传输介质 无线传输的技术 WLAN的架构 无线网络搭建与配置 无线网络加密配置
Cassandra应用及高性能客户端 董亚军 来自Newegg-NESC.
实验七 安全FTP服务器实验 2019/4/28.
计算机网络与网页制作 Chapter 07:Dreamweaver CS5入门
宁波市高校慕课联盟课程 与 进行交互 Linux 系统管理.
IT 安全 第 9节 通信和网络控制.
第9讲:通过VPN访问企业网内部服务器设计讨论
JSP实用教程 清华大学出版社 第2章 JSP运行环境和开发环境 教学目标 教学重点 教学过程 2019年5月7日.
长春理工大学 电工电子实验教学中心 数字电路实验 数字电路实验室.
第八章 总线技术 8.1 概述 8.2 局部总线 8.3 系统总线 8.4 通信总线.
数据报分片.
谢聪.
实验九、基于ASPF的安全 检测实验 实验开发教师:谌黔燕.
基于列存储的RDF数据管理 朱敏
3.8 局域网应用实例 某省劳动和社会保障网络中心组网实例 会议中心的无线组网实例.
实验六静态路由.
入侵检测技术 大连理工大学软件学院 毕玲.
1 Web基础知识 1.1 HTTP协议 1.2 Web服务器和浏览器 1.3 C/S模式与B/S模式 1.4 Web的访问原理
Presentation transcript:

第7章 防火墙及其应用 本章学习重点掌握内容: 防火墙功能 防火墙核心技术 防火墙体系结构 2017/3/1

第7章 防火墙及其应用 7.1 防火墙概述 7.2 防火墙技术与分类 7.3防火墙体系结构 7.4 防火墙安全规则 7.5防火墙应用 2017/3/1

7.1 防火墙概述 7.1.1 防火墙概念与发展历程 1. 防火墙概念 1. 防火墙概念 防火墙是指设置在不同网络之间,例如可信任的内部网和不可信的公共网,或者不同网络安全域之间的软硬件系统组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来保护企业内部网络的安全。 2017/3/1

2. 防火墙的发展 第一代防火墙:第一代防火墙技术几乎与路由器同时出现,主要基于包过滤技术(Packet Filter),是依附于路由器的包过滤功能实现的防火墙。 第二代防火墙:1989年,贝尔实验室的Dave Presotto和Howard Trickey最早推出了第二代防火墙,即电路层防火墙。 第三代防火墙:到20世纪90年代初,开始推出第三代防火墙,即应用层防火墙(或者叫做代理防火墙)。 第四代防火墙:到1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamic Packet Filter)技术的的第四代防火墙。 第五代防火墙:到了1998年,NAI公司推出了一种自适应代理(Adaptive Proxy)技术,可以称之为第五代防火墙。

3.防火墙的发展趋势 高安全性和高效率 对数据包的全方位检查 分布式防火墙技术 建立与部署适用于IP V6协议下的防火墙体系架构

7.1.2 防火墙的功能 对防火墙有两个基本需求:一是保证内部网的安全性;二是保证内部网与外部网之间的连通性。 (1)过滤不安全数据和非法用户。 (2)报警与审计。 (3)透明代理。 (4)抗攻击能力。 (5)VPN 功能。 (6)路由管理。 2017/3/1

7.1.3 防火墙局限性 7.1.3 防火墙局限性 1.对某些正常服务的限制 2.无法抵御来自内网的威胁 3.无法阻挡旁路攻击及潜在后门 4.无法控制对病毒文件的传输 5.内网瓶颈问题 2017/3/1

7.2 防火墙技术与分类 7.2.1 包过滤防火墙技术 1. 简单包过滤技术 2. 状态检测包过滤技术 7.2.2 代理服务防火墙技术 1. 电路级网关 2. 应用级网关 3. 自适应代理 2017/3/1

7.2.1包过滤防火墙技术 包过滤(Packet Filter)是所有防火墙中最核心的功能,与代理服务器技术相比,其优势是传输信息时不占用网络带宽。包过滤路由器在网络上的物理位置和逻辑位置如图7-2和图7-3所示。包过滤型防火墙根据一组过滤规则集合,逐个检查IP数据包,确定是否允许该数据包通过。 图7-2 包过滤路由器的物理位置

图7-3 包过滤路由器的逻辑位置

两类包过滤防火墙技术 包过滤防火墙技术根据所使用的过滤方法又具体可分为:简单包过滤技术和状态检测包过滤技术。 1. 简单包过滤技术 也称作称静态包过滤。简单包过滤防火墙在检查数据包报头时,只是根据定义好的过滤规则集来检查所有进出防火墙的数据包报头信息,并根据检查结果允许或者拒绝数据包,并不关心服务器和客户机之间的连接状态。

2. 状态检测包过滤技术 也称动态包过滤,是包过滤器和应用级网关的一种折衷方案。该技术具有包过滤机制的高速和灵活性,也有应用级网关的应用层安全的优点。状态检测包过滤防火墙除了有一个过滤规则集外,还要跟踪通过自身的每一个连接,提取有关的通信和应用程序的状态信息,构成当前连接的状态列表。

7.2.2代理服务防火墙技术 代理服务(Proxy Service)是指运行于内部网络与外网之间的主机(堡垒主机)上的一种应用。当用户需要访问代理服务器另一侧主机时,代理服务器对于符合安全规则的连接,会代替主机响应访问请求,并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后,内部主机同外部主机之间的通信将通过代理程序的相应连接映射来实现。代理既是客户端(Client),也是服务器端(Server)。代理服务防火墙的工作原理如图7-4。

图7-4应用代理防火墙的原理图

代理服务防火墙主要包含以下三类: 1.电路级网关 也称线路级网关,工作在会话层,在两主机首次建立TCP连接时建立通信屏障。它作为服务器接收外来请求,转发请求;与被保护的主机连接时则扮演客户机角色、起到代理服务的作用。它监视两主机建立连接时的握手信息,如SYN,ACK和序列数据等是否合乎逻辑,然后由网关复制、传递数据,而不进行数据包过滤。电路级网关中特殊的客户程序只在初次连接时进行安全协商控制,此后则不再参与内外网之间的通信控制。

2. 应用级网关 应用级网关使用软件来转发和过滤特定的应用服务,如TELNET,FTP服务等。这也是一种代理服务,只允许被认为是可信的服务通过防火墙。此外,代理服务也可以过滤协议,如过滤FTP连接、拒绝使用FTP命令等。

3.自适应代理 自适应代理(Adaptive Proxy) 技术结合了代理服务器防火墙的安全性和包过滤防火墙的高速度等优点。组成自适应代理防火墙的基本要素有两个:自适应代理服务器(Adaptive Proxy Server)与动态包过滤器。在自适应代理防火墙中,初始的安全检查仍在应用层中进行,保证实现传统防火墙的最大安全性。而一旦可信任身份得到认证,建立了安全通道,随后的数据包就可以重新定向到网络层。这种技术能够在确保安全性的基础上提高代理服务器防火墙的性能。

7.2.3 防火墙常见分类 7.2.3 防火墙常见分类 1. 按照实现方法分类 运行于特定的计算机上,一般来说这台计算机就是整个网络的网关。 (1)软件防火墙 运行于特定的计算机上,一般来说这台计算机就是整个网络的网关。 (2)硬件防火墙 由计算机硬件、通用操作系统和防火墙软件组成。 (3)专用防火墙 采用特别优化设计的硬件体系结构,使用专用的操作系统。 2017/3/1

2. 按照体系结构分类 (1)个人防火墙 安装在计算机系统里的软件防火墙,该软件检查到达防火墙两端的所有数据包,无论是进入还是发出,从而决定该拦截数据包还是允许其通过。 (2)分布式防火墙 分布式防火墙负责对网络边界、各子网和网络内部各结点之间的安全防护。分布式防火墙是一个完整的系统,而不是单一的产品。

7.3 防火墙体系结构 目前,防火墙的体系结构,一般主要有以下几种 7.3.1 双宿主主机结构 7.3.2 屏蔽主机结构 7.3 防火墙体系结构 目前,防火墙的体系结构,一般主要有以下几种 7.3.1 双宿主主机结构 7.3.2 屏蔽主机结构 7.3.3 屏蔽子网结构 2017/3/1

7.3.1 双宿主主机结构 双宿主主机防火墙体系结构是围绕着至少具有两个网络接口、带有两块网卡的堡垒主机构成,主机上的两块网卡分别与外部网以及内部受保护网相连。堡垒主机上运行防火墙软件,可以转发数据,提供服务等,这种主机可以充当与其接口相连的网络之间的路由器,它能够从一个网络到另一个网络发送IP数据包。

图7-5 双宿主主机结构

7.3.2 屏蔽主机结构 双宿主主机防火墙是由一台同时连接在内外部网络的堡垒主机来提供安全保障,而屏蔽主机结构中提供安全保护的主机仅仅与内部网相连。此外还有一台单独的包过滤路由器,它的作用是避免用户直接与内部网络相连。屏蔽主机结构如图7-6所示。

图7-6 屏蔽主机结构

7.3.3 屏蔽子网结构 在屏蔽子网结构中,有二台与边界网络直接相连的过滤路由器,一台位于边界网络与外部网之间,我们称之为外部路由器;另一台位于边界网络与内部网络之间,我们称之为内部路由器;在这种结构下,黑客要攻击到内部网必须通过二台路由器的安全控制,即使入侵者通过了堡垒主机,他还必须通过内部路由器才能抵达内部网。

图7-7 屏蔽子网结构

7.4 防火墙安全规则 通常情况下,网络管理员在防火墙设备的访问控制列表ACL(Access Control List)中设定包过滤规则,以此来表明是否允许或者拒绝数据包通过。包过滤防火墙检查数据流中每个数据包的报头信息,例如源地址、目标地址、协议类型、协议标志、服务类型等,并与过滤规则进行匹配,从而在内外网络之间实施访问控制功能. 2017/3/1

图7-8 包过滤防火墙的安全规则

防火墙规则设置中所涉及的动作主要有以下几种: 允许: 允许数据包通过防火墙传输,并按照路由表中的信息被转发。 放弃: 不允许数据包通过防火墙传输,但仅丢弃,不发任何相应数据包。 拒绝: 不允许数据包通过防火墙传输,并向数据包的源端发送目的主机不可达的ICMP数据包。 返回: 没有发现匹配的规则,执行默认动作。

所有的防火墙都是在以下两种模式下配置安全规则: “白名单”模式 系统默认为拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型,因此白名单上的规则是具有合法性访问的安全规则 “黑名单”模式 系统默认为允许所有的流量,这种情况需要特殊指定要拒绝的流量的类型,因此在黑名单上定义的安全规则属于非法的、被禁止的网络访问,这种模式是一种开放的默认管理模式。

包过滤防火墙一般有两类过滤规则的设置方法 1. 按地址过滤 用于拒绝伪造的数据包。若想阻止伪造原地址的数据包进入内部网,可按表7-1设置规则。 2. 按服务类型过滤 即是按数据包的服务端口号来过滤。在TCP协议中,协议是双向的,以Telnet为例,其IP包的交换也是双向的。服务器端包过滤应该按照表7-2设置规则。

7.5 防火墙应用 7.5.1 构建防火墙的基本步骤 1. 配置内外部网络 2. 用户自定义安全策略 3. 搭建防火墙安全体系结构 7.5 防火墙应用 7.5.1 构建防火墙的基本步骤 1. 配置内外部网络 2. 用户自定义安全策略 3. 搭建防火墙安全体系结构 4. 配置防火墙安全规则 5 .审计日志管理 2017/3/1

7.5.2 Windows系统中的防火墙实例 7.5.2 Windows系统中的防火墙实例 Windows防火墙提供某种程度的保护,避免那些依赖未请求的传入流量来攻击的恶意用户和程序。本小节对目前常用的Windows XP Service Pack 2自带防火墙为实例,介绍它的基本配置及应用。 7.5.3 Linux系统下的配置实例 2017/3/1