第五章 防火墙技术 深职院 计算机网络技术专业 池瑞楠.

Slides:



Advertisements
Similar presentations
7.1 内置对象概述及分类 JSP 视频教学课程. JSP2.2 目录 1. 内置对象简介 1. 内置对象简介 2. 内置对象分类 2. 内置对象分类 3. 内置对象按功能区分 3. 内置对象按功能区分 4. 内置对象作用范围 4. 内置对象作用范围.
Advertisements

高级服务器设计和实现 1 —— 基础与进阶 余锋
NAT与ICMP交互.
国家域名系统 中国信息社会的中枢神经 中国互联网络信息中心(CNNIC).
第7章 防火墙应用技术 防火墙技术是现代网络通信和计算机安全防护体系中的一种重要设备,它通常位于两个或多个网络的边界处,是实施网络之间互连访问控制的一种组件集合。早期的防火墙通常是基于访问控制的包过滤技术构建的,随着网络安全威胁的日益增加和网络技术的发展,当今的防火墙技术也得到了极大地发展,出现了很多新的防火墙技术,如电路级网关技术、状态检测技术、应用网关技术、分布式防火墙技术、嵌入式防火墙技术等,它们有的工作在OSI参考模型的网络层,有的工作在传输层,还有的工作在应用层;在网络部署上,现代防火墙也已经不
第7章 防火墙及其应用 本章学习重点掌握内容: 防火墙功能 防火墙核心技术 防火墙体系结构 2017/3/1.
计算机网络教程 任课教师:孙颖楷.
计算机网络课程总结 一、计算机网络基础 计算机网络定义和功能、基本组成 OSI/RM参考模型(各层的功能,相关概念, 模型中数据传输 等)
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
第5章 网络安全设计 主讲:易建勋.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
淄博信息工程学校 ZIBOIT&ENGINEERING VOCATONAL SHCOOL 03 交换机干道技术 计算机网络技术专业.
2.3 网络域名及其管理.
第十一章 Internet的安全性.
2017/4/6 课程整体设计 计算机组网技术 梁建华.
第3章 网络防御技术 指导教师:杨建国 2013年8月10日.
第17章 实现路由器.
第九章 防火墙技术 9.1 防火墙技术概述 9.2 防火墙技术 9.3 防火墙设计实例.
项目四 组建跨地区网络 授课教师:肖颖.
第五章 防火墙技术.
企业级云计算 A Enterprise Cloud Serivce
中青国信科技(北京)有限公司 空间域名邮局价格表.
计算机基础知识 丁家营镇九年制学校 徐中先.
Cell organized Distributed File Storage
学习目标: 1)理解包和包过滤 2)理解包过滤的方法 3)设置特殊的包过滤规则
格物资讯开放ICON库 V1R1.
第二章 防火墙基础技术.
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
潘爱民,北京大学计算机研究所 网络与信息安全 网络安全 (一) 潘爱民,北京大学计算机研究所
华南师范大学 防火墙 华南师范大学
瑞斯康达—MSG1500 产品类型:路由器 建议零售价格:198元 上市时间:2017 年 3月
计算机网络原理 徐明伟
第二讲 搭建Java Web开发环境 主讲人:孙娜
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
存储系统.
把COM口设置到没有使用的 COM1 – COM4
大学计算机基础 典型案例之一 构建FPT服务器.
PPPoE PPTP L2TP全解 方伟、产品策划 讲师的CSDN博客地址
实用组网技术 第一章 网络基础知识.
第11章:一些著名开源软件介绍 第12章:服务安装和配置 本章教学目标: 了解当前一些应用最广泛的开源软件项目 搭建一个网站服务器
Windows网络操作系统管理 ——Windows Server 2008 R2.
Windows网络操作系统管理 ——Windows Server 2008 R2.
数据挖掘工具性能比较.
PaPaPa项目架构 By:Listen 我在这.
华南师范大学 防火墙 华南师范大学
项目十四 防火墙分类与基本配置.
你知道这些标志吗?. 你知道这些标志吗? 网络——信息安全 小组讨论 你觉得网络信息安全吗? 为什么?
ISA Server 2004.
SOA – Experiment 2: Query Classification Web Service
VisComposer 2019/4/17.
主要内容: 无线局域网的定义 无线传输介质 无线传输的技术 WLAN的架构 无线网络搭建与配置 无线网络加密配置
Cassandra应用及高性能客户端 董亚军 来自Newegg-NESC.
实验七 安全FTP服务器实验 2019/4/28.
计算机网络与网页制作 Chapter 07:Dreamweaver CS5入门
宁波市高校慕课联盟课程 与 进行交互 Linux 系统管理.
第4章 Excel电子表格制作软件 4.4 函数(一).
IT 安全 第 9节 通信和网络控制.
JSP实用教程 清华大学出版社 第2章 JSP运行环境和开发环境 教学目标 教学重点 教学过程 2019年5月7日.
数据报分片.
Visual Basic程序设计 第13章 访问数据库
谢聪.
实验九、基于ASPF的安全 检测实验 实验开发教师:谌黔燕.
GIS基本功能 数据存储 与管理 数据采集 数据处理 与编辑 空间查询 空间查询 GIS能做什么? 与分析 叠加分析 缓冲区分析 网络分析
网络技术实训 第8讲:NAT防火墙设计讨论 许成刚 信息技术学院
VoIP组工作汇报 黄权 李光华.
3.8 局域网应用实例 某省劳动和社会保障网络中心组网实例 会议中心的无线组网实例.
FVX1100介绍 法视特(上海)图像科技有限公司 施 俊.
入侵检测技术 大连理工大学软件学院 毕玲.
四路视频编码器 快速安装手册 1、接口说明 2、安装连接 3、软件下载 4、注意事项 编码器软件下载地址
学习目标 1、什么是列类型 2、列类型之数值类型.
Presentation transcript:

第五章 防火墙技术 深职院 计算机网络技术专业 池瑞楠

本章学习目标 了解防火墙的定义、发展简史、目的、功能、局限性及其发展动态和趋势。 掌握包过滤防火墙和和代理防火墙的实现原理、技术特点和实现方式;熟悉防火墙的常见体系结构。 熟悉防火墙的产品选购和设计策略。

5.1 防火墙技术概述 防火墙的定义 防火墙的功能和局限性 防火墙的发展简史 返回本章首页

防火墙的定义 防火墙是设置在被保护网络和外部网络之间的一道屏障,实现网络的安全保护,以防止发生不可预测的、潜在破坏性的侵入。 它是不同网络或网络安全域之间信息的唯一出入口 。

防火墙的功能 访问控制 对网络存取和访问进行监控审计 防止内部信息的外泄 支持VPN功能 支持网络地址转换 ……

防火墙的基本特征 内部网络和外部网络之间的所有网络数据流都必须经过防火墙 只有符合安全策略的数据流才能通过防火墙 防火墙自身应具有非常强的抗攻击免疫力

防火墙的局限性 防火墙不能防范不经过防火墙的攻击。如拨号访问、内部攻击等。 防火墙不能解决来自内部网络的攻击和安全问题。 防火墙不能防止策略配置不当或错误配置引起的安全威胁。 防火墙不能防止利用标准网络协议中的缺陷进行的攻击。 防火墙不能防止利用服务器系统漏洞所进行的攻击。 防火墙不能防止受病毒感染的文件的传输。 防火墙不能防止数据驱动式的攻击。有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时,可能会发生数据驱动式的攻击。 防火墙不能防止本身的安全漏洞的威胁。目前还没有厂商绝对保证防火墙不会存在安全漏洞。 防火墙不能防止可接触的人为或自然的破坏。

防火墙的发展简史

5.2 防火墙的分类 按形态分类 软件防火墙 硬件防火墙 保护整个网络 按保护对象分类 保护单台主机 网络防火墙 单机防火墙

单机防火墙&网络防火墙 单机防火墙 网络防火墙 保护单台主机 安全策略分散 安全功能简单 普通用户维护 安全隐患较大 策略设置灵活 产品形态 软件 硬件或者软件 安装点 单台独立的 Host 网络边界处 安全策略 分散在各个安全点 对整个网络有效 保护范围 单台主机 一个网段 管理方式 分散管理 集中管理 功能 功能单一 功能复杂、多样 管理人员 普通计算机用户 专业网管人员 安全措施 单点安全措施 全局安全措施 结论 单机防火墙是网络防火墙的有益补充,但不能代替网络防火墙为内部网络提供强大的保护功能 保护单台主机 安全策略分散 安全功能简单 普通用户维护 安全隐患较大 策略设置灵活 保护整个网络 安全策略集中 安全功能复杂多样 专业管理员维护 安全隐患小 策略设置复杂

硬件防火墙&软件防火墙 仅获得Firewall软件,需要准备额外的OS平台 硬件+软件,不用准备额外的OS平台 安全性依赖低层的OS 网络适应性弱(主要以路由模式工作) 稳定性高 软件分发、升级比较方便 硬件+软件,不用准备额外的OS平台 安全性完全取决于专用的OS 网络适应性强(支持多种接入模式) 稳定性较高 升级、更新不太灵活 操作系统平台 安全性 性能 稳定性 网络适应性 分发 升级 成本 硬件防火墙 基于精简专用OS 高 较高 强 不易 较容易 Price=firewall+Server 软件防火墙 基于庞大通用OS 较强 非常容易 容易 Price=Firewall

按防火墙的体系结构分类 多宿主主机 被屏蔽主机 被屏蔽子网

概念 堡垒主机(Bastion host):堡垒主机是一种配置了安全防范措施的网络上的计算机,堡垒主机为网络之间的通信提供了一个阻塞点,也就是说如果没有堡垒主机,网络之间将不能相互访问。 DMZ(Demilitarized Zone,非军事区或者停火区):为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施。

双宿主主机 (Dual-Homed Host Firewall)

被屏蔽主机 (Screened Host Firewall) 外部网络必须通过堡垒主机才能访问内部网络中的资源。 内部网络中的计算机则可以通过堡垒主机或者屏蔽路由器访问外部网络中的某些资源

被屏蔽子网 (Screened subnet Firewall) 内网可以访问外网 内网可以访问DMZ 外网不能访问内网 外网可以访问DMZ中的服务器 DMZ不能访问内网和外网

5.3 防火墙实现技术原理 简单包过滤防火墙 动态包过滤(状态检测) 防火墙 应用代理防火墙 包过滤与应用代理复合型防火墙

1.简单包过滤防火墙 (Packet filtering) 数据包过滤技术的发展:静态包过滤、动态包过滤。 包过滤防火墙在网络层实现数据的转发,包过滤模块一般检查网络层、传输层内容,包括下面几项: ① 源、目的IP地址; ② 源、目的端口号; ③ 协议类型; ④ TCP报头的标志位。

简单包过滤防火墙的工作原理1

简单包过滤防火墙的工作原理2 应用层 数据 应用层 数据 TCP 层 TCP 数据 TCP 层 数据 TCP IP 层 IP TCP 数据 IP 层 TCP 数据 IP 只检查报头 网络接口层 ETH TCP 数据 IP 网络接口层 TCP 数据 IP ETH 简单包过滤防火墙不检查数据区 简单包过滤防火墙不建立连接状态表 前后报文无关 应用层控制很弱 TCP 数据 IP 101001001001010010000011100111101111011 001001001010010000011100111101111011

包过滤防火墙的工作流程

包过滤防火墙的特点 优点: 缺点: 保护整个网络;对用户透明;可用路由器,不需要其他设备。 1.包过滤的一个重要的局限是它不能分辨好的和坏的用户,只能区分好的包和坏的包。 2.包过滤规则难配置。 3.新的协议的威胁。 4.IP欺骗

应用实例 要求: 1.内网的用户可以访问所有的WEB服务器。 2.外网的用户只可以访问内部的WEB服务器(202.3.5.6)。

E0访问规则 【问题】 1.第一条中源地址是否可以改为any?为什么? 2.第一条中源端口是否可以改为any?为什么? 方向 动作 源地址 源端口 目的地址 目的端口 协议 进站 允许 192.168.6.0/24 >1023 any 80 TCP 拒绝   【问题】 1.第一条中源地址是否可以改为any?为什么? 2.第一条中源端口是否可以改为any?为什么? 3.S0口需要什么样的规则? 答案: 1.可以改为any,不影响正常用户的使用,但是某些用户伪装源IP,可以实现攻击。 2.源端口可以改为any,不影响正常用户的使用,但是对于内网是不安全的,万一其他端口的过滤规则做的不好,外面的用户可以访问内网的FTP等应用了,或者针对内网135、139等端口的扫描和SYN攻击。

S0访问规则 【问题】 1. 攻击者在内网安装了一个服务端的端口大于1023,客户端的端口是80的木马,是否可以通过这个防火墙? 方向 动作 源地址 源端口 目的地址 目的端口 协议 进站 允许 any >1023 202.3.5.6 80 TCP 192.168.6.0/24 拒绝   【问题】 1. 攻击者在内网安装了一个服务端的端口大于1023,客户端的端口是80的木马,是否可以通过这个防火墙? 2.防火墙是否能够阻挡对服务器的SYN扫描? 1、可以(这里说的还是传统类型的木马——由客户端主动连接服务器的)。 2、不能。

判断数据包的标志位 【问题】 1.此时防火墙是否能够阻挡对服务器的SYN扫描? 2.对于特殊构造了标志位的数据包? 方向 动作 源地址 源端口 目的地址 目的端口 协议 标志位 进站 允许 any >1023 202.3.5.6 80 TCP   established 拒绝 【问题】 1.此时防火墙是否能够阻挡对服务器的SYN扫描? 2.对于特殊构造了标志位的数据包? 3.是否可以阻挡反弹端口的木马? 1、不能 2、不能 3、不能,所有的防火墙都不能阻止反弹端口的木马。

2. 动态包过滤 (状态检测) 防火墙 工作原理1:

动态包过滤 (状态检测) 防火墙的工作原理2 建立连接状态表 只检查报头 应用层 数据 应用层 数据 TCP 层 TCP 数据 TCP 层 数据 TCP 建立连接状态表 IP 层 IP TCP 数据 IP 层 TCP 数据 IP 只检查报头 网络接口层 ETH TCP 数据 IP 网络接口层 TCP 数据 IP ETH TCP 数据 IP 不检查数据区 建立连接状态表 前后报文相关 应用层控制很弱 101001001001010010000011100111101111011 001001001010010000011100111101111011

应用实例 【问题】 动态包过滤防火墙如何解决了特殊构造了标志位的数据包?但是还是无法阻挡反弹端口的木马。 …… 规则 1. SYN 允许 TCP 开始攻击 IP SYN 允许 TCP 开始攻击 IP 连接表 2. ACK TCP 开始攻击 IP 允许 TCP 开始攻击 IP …… n. TCP 开始攻击 IP SYN 通过建立动态连接表,对数据包的前后关系进行检查 【问题】 动态包过滤防火墙如何解决了特殊构造了标志位的数据包?但是还是无法阻挡反弹端口的木马。

动态包过滤防火墙的工作流程

3.代理防火墙(Proxy Server) 代理防火墙的工作过程:

代理防火墙的工作原理

代理服务器的类型 HTTP代理:代理客户机的http访问,主要代理浏览器访问网页,它的端口一般为80、8080、3128等。 FTP代理:代理客户机上的ftp软件访问ftp服务器,其端口一般为21、2121。 POP3代理:代理客户机上的邮件软件用pop3方式收邮件,其端口一般为110。 Telnet代理:能够代理通信机的telnet,用于远程控制,入侵时经常使用。其端口一般为23。 Socks代理:是全能代理,支持多种协议,包括http、ftp请求及其它类型的请求,其标准端口为1080。 ……

应用实例 例1:不允许上www.sina.com。 方法: 1.使用包过滤防火墙把www.sina.com服务器的所有IP过滤掉。 61.172.201.17, 61.172.201.230, 61.172.201.231, 61.172.201.232 61.172.201.233, 61.172.201.234, 61.172.201.235, 61.172.201.240, 61.172.201.10, 61.172.201.11, 61.172.201.12, 61.172.201.13, 61.172.201 61.172.201.15, 61.172.201.16 例1:不允许上www.sina.com。 方法: 1.使用包过滤防火墙把www.sina.com服务器的所有IP过滤掉。 2.使用代理防火墙过滤域名www.sina.com,而不管IP地址怎么改变。 clint www.sina.com服务器

Client用SOCKS5 SOCKS5代理服务器 170.1.1.* 【问题】 可以,因为代理防火墙可以把www.sina.com的HTTP头过滤掉。 www.sina.com服务器61.172.201.*

Client用“特殊”的HTTP代理 【说明】 HTTP代理需要“特殊” 定制,代理服务器知道这类client端发出的请求是要访问www.sina.com,它会帮助client端下载www.sina.com的内容。

代理技术的优点 代理易于配置。 代理能生成各项记录。 代理能灵活、完全地控制进出流量、内容。 代理能过滤数据内容。 代理能为用户提供透明的加密机制。 代理可以方便地与其他安全手段集成。

代理技术的缺点 代理速度较路由器慢。 代理对用户不透明。 对于每项服务代理可能要求不同的服务器。 代理服务不能保证免受所有协议弱点的限制。 代理防火墙提供应用保护的协议范围是有限的 。

自适应代理防火墙 检测应用层的头部信息,然后在网络层转发。

复合型防火墙的工作原理 建立连接状态表 检查整个报文内容 101001001001010010000011100111101111011 应用层 数据 应用层 数据 TCP 层 TCP 数据 TCP 层 数据 TCP 建立连接状态表 IP 层 IP TCP 数据 IP 层 TCP 数据 IP 可以检查整个数据包内容 根据需要建立连接状态表 网络层保护强 应用层控制细 会话控制较弱 检查整个报文内容 网络接口层 ETH TCP 数据 IP 网络接口层 TCP 数据 IP ETH TCP 数据 IP 101001001001010010000011100111101111011 001001001010010000011100111101111011

防火墙核心技术比较                综合安全性 网络层保护 应用层保护 应用层透明 整体性能 处理对象 简单包过滤防火墙 状态检测包过滤防火墙 应用代理防火墙 复合型防火墙      单个包报头      单个包报头      单个包全部      单个包全部

5.4 防火墙的应用实验(一) 瑞星个人防火墙2008版

5.4 防火墙的应用实验(二) 代理类型—CCProxy 1.设置IE的HTTP代理参数,观察经过代理后,数据包头的变化。 2.设置IE的socks代理参数,观察经过代理后,数据包头的变化。 3. CCProxy常用功能的设置: 用户 IP+MAC 内容 流量

补充:防火墙其它功能 安全审计 双地址路由 负载均衡 端口映射 双机热备 DHCP环境支持 防御功能 MAC绑定功能 联动功能 带宽管理 内容过滤 VPN功能 双地址路由 端口映射 DHCP环境支持 MAC绑定功能 带宽管理 多协议支持 安全审计:通过对被保护网络的敏感信息访问保持不间断的记录,以不同类型的报擎提示向管理人员报告,帮助管理员事后分析 防御功能:能防御的 DoS攻击类型 、支持病毒扫描 、阻止 ActiveX、Java、Cookies、Javascript侵入 联动功能: 内容过滤:HTTP、FTP、SMTP等协议层,根据过滤条件,对信息流进行控制,防火墙控制的结果是:允许通过、修改后允许通过、禁止通过、记录日志、报警等。 过滤内容主要指URL、HTTP携带的信息:Java Applet、 JavaScript、ActiveX和电子邮件中的Subject、To、From域等。 Vpn功能: 带宽管理:

服务器负载均衡 负载均衡算法: 顺序选择地址+权值 根据PING的时间间隔来选择地址+权值 根据Connect的时间间隔来选择地址+权值 负载均衡有两方面的含义:首先,大量的并发访问或数据流量分担到多台节点设备上分别处理,减少用户等待响应的时间;其次,单个重负载的运算分担到多台节点设备上做并行处理,每个节点设备处理结束后,将结果汇总,返回给用户,系统处理能力得到大幅度提高。

双机热备(HA)功能 通过协议交换两台防火墙的状态信息 当主防火墙出现故障或宕机时,这台防火墙的连接不需要从新建立就可以透明的迁移到从防火墙,用户感觉不到任何变化。

双地址路由功能

MAP (端口映射)

对DHCP应用环境的支持 根据Host B的MAC地址进行访问控制 设定Host B的MAC地址 设定Host B的IP地址为空

IP与MAC地址绑定后,不允许Host B假冒Host A的IP地址上网

多协议支持 支持动态路由 多协议支持 对OSPF路由协议的支持 对RIP、RIP2协议的支持 对NETBEUI、VOD协议的支持 支持 802.1q 和 Cisco 的 ISL 协议 等VLAN专用协议 支持DHCP、BOOTP协议……

5.5 防火墙性能指标 最大位转发率 吞吐量 延时 丢包率 背靠背 最大并发连接数 最大并发连接建立速率 平均无故障间隔时间

最大位转发率 定义:防火墙的位转发率指在特定负载下每秒钟防火墙将允许的数据流转发至正确的目的接口的位数。 最大位转发率指在不同的负载下反复测量得出的位转发率数值中的最大值 备注:将测试结果乘以帧长就是位转发率

吞吐量 定义:在不丢包的情况下能够达到的最大速率 衡量标准:吞吐量作为衡量防 火墙性能的重要指标之一,吞吐量小就会造成网络新的瓶颈,以至影响到整个网络的性能

延时 定义:入口处输入帧最后1个比特到达至出口处输出帧的第一个比特输出所用的时间间隔 衡量标准:防火墙的时延能够体现它处理数据的速度 造成数据包延迟到达目标地 数据包首先排队待防火墙检查后转发

丢包率 丢包率=(1000-800)/1000=20% 定义:在连续负载的情况下,防火墙设备由于资源不足应转发但却未转发的帧百分比 衡量标准:防火墙的丢包率对其稳定性、可靠性有很大的影响 防火墙由于资源不足只转发了800个包 丢包率=(1000-800)/1000=20%

背靠背 定义:从空闲状态开始,以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧,当出现第一个帧丢失时,发送的帧数。 衡量标准:背对背包的测试结果能体现出被测防火墙的缓冲容量 ,网络上经常有一些应用会产生大量的突发数据包(例如:NFS,备份,路由更新等),而且这样的数据包的丢失可能会产生更多的数据包,强大缓冲能力可以减小这种突发对网络造成的影响。 包数量(n) 背靠背指标体现防火墙对突发数据的处理能力 峰值 时间(t) 少量包 包增多 包减少 没有数据

并发连接数 定义:指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数 衡量标准:并发连接数的测试主要用来测试被测防火墙建立和维持TCP连接的性能,同时也能通过并发连 接数的大小体现被测防火墙对来自于客户端的TCP连接请求的响应能力。 并发连接数指标可以用来衡量穿越防火墙的主机之间能同时建立的最大连接数

最大并发连接建立速率 定义:指穿越防火墙的主机之间或主机与防火墙之间单位时间内建立的最大连接数 。 衡量标准:最大并发连接数建立速率主要用来衡量防火墙单位时间内建立和维持TCP连接的能力 单位时间内增加的并发连接数

防火墙功能指标 分级带宽管理 LAN接口 多协议支持 认证支持 高级访问控制

小型网络解决方案

典型的网络安全解决方案

双机热备