华南师范大学 Changshema@gmail.com 防火墙 华南师范大学 Changshema@gmail.com.

Slides:



Advertisements
Similar presentations
一、软件简介 二、功能介绍 三、产品优势 四、应用范围 五、成功客户 目录目录 软件简介 ●员工工作时间,都认真工作了? ●还是在玩游戏? ●浏览与工作无关的网站? ●收发私人邮件? ●甚至将公司的机密资料拷贝带 走?或是通过邮件或聊天工具泄 密? …… 解决之道.
Advertisements

大学计算机基础—— 系统工具与环境 (理工科用) 赵 欢 肖德贵 李丽娟 洪跃山 编著.
第6章 网络应用基础 主讲:.
校園資訊安全與防火牆架設 嘉義市育人國小 黃士騰.
项目四:Internet基础与接入方法 第八章 应用服务器安装配置
先介绍计算机网络基础知识,再分析网络视频监 控系统的架构、原理与维护。
第五章 網際網路 5-1 網際網路的歷史沿革 5-2 網際網路基本運作原理 5-3 連線媒介與連線上網 5-4 網際網路上的熱門應用
《网络基础与Internet应用》.
半导体所网络概况 图书信息中心 张 棣.
《计算机应用基础》 课程教学大纲 计划学时: 64学时 计划学分: 4学分 课程类型: 公共必修.
第二讲 电子商务技术 Internet和www技术(重点掌握) 信息处理技术(重点掌握) EDI技术(熟悉) 电子支付系统(熟悉)
2.4 计算机网络基础 什么是计算机网络? 计算机网络有哪些功能? 计算机网络的发展历史? 计算机网络体系结构的内容? 计算机网络如何分类?
第7章 防 火 墙 技 术 7.1 防火墙概念 7.2 防火墙原理及实现方法 7.3 防火墙体系结构 7.4 防火墙的构成
第七章 Internet 基础与应用 第一节 主机名字与域名服务 第二节 Internet的域名体系 第三节 主机名字的书写方法
第一章 概述 第二章 用户需求分析 第三章 现有网络分析 第四章 逻辑网络设计 第五章 网络设备选择 第六章 WAN接入设计
第三章 網際網路和全球資訊網 : 電子商務基礎建設
了 解 从 Internet IP 开 始.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
电子商务网络技术 主讲:苑毅 电子商务教研室.
思考 问题十:大学生如何提高英语能力? (听说读写能力).
第 4 章 电子商务实现的技术基础.
实训十四、IE浏览器的基本应用.
UBLink集團 裕笠科技股份有限公司 遠豐科技股份有限公司 鉅創科技股份有限公司
复旦大学计算机学院 肖川 计算机网络与网页制作 复旦大学计算机学院 肖川
第三章 管理信息系统的技术基础 主要内容: 数据处理 数据组织 数据库技术 4. 计算机网络.
计算机网络 暨南大学计算机科学系 学年 第一学期.
电子商务的网络技术 德州学院计算机系.
第1章 概述.
第7章 计算机网络与安全.
了 解 Internet 从 ip 开 始.
学习目标 掌握电子商务网站体系结构 掌握企业电子商务网站体系结构 掌握PWS的安装与设置
项目6.1:计算机网络基础 项目描述 能力目标 应用网络可以工作、学习,网络影响着我们的生活,了解网络知识、培养信息技术的水平和能力是工作和生活的需要。 通过对概念的理解,培养信息分析、辨别能力, 学会使用信息技术工作、学习。
海信FW3010PF防火墙介绍 北京海信数码科技有限公司
10.2 网络安全的基本概念  网络安全的重要性 计算机网络的广泛应用对社会经济、科学研究、文化的发展产生了重大的影响,同时也不可避免地会带来了一些新的社会、道德、政治与法律问题。Internet技术的发展促进了电子商务技术的成熟与广泛的应用。目前,大量的商业信息与大笔资金正在通过计算机网络在世界各地流通,这已经对世界经济的发展产生了重要和积极的影响。政府上网工程的实施,使得各级政府与各个部门之间越来越多地利用网络进行信息交互,实现办公自动化。所有这一切都说明:网络的应用正在改变着人们的工作方
计算机应用专业系列教材 计算机网络.
教学目的:通过本章的学习大家要掌握端口 教学重点:端口的分类的两大类,静态端口 教学难点:几种常见的端口.
本章导语 第六章 计算机网络基础 本章目录 本章重点  开始学习 思考问题.
第二期实验室工作人员培训讲座(三) 加强规范化建设 提高仪器设备管理水平 设备处 黄久龙 2017年9月13日 徐州师范大学设备处 黄久龙.
学习目标: 1)理解包和包过滤 2)理解包过滤的方法 3)设置特殊的包过滤规则
主講人:黃鎮榮 東方設計學院觀光與休閒事業管理系
教师:陈有为 TCP/IP与Internet(A) 教师:陈有为
David liang 数据通信安全教程 防火墙技术及应用 David liang
第3讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
網路安全技術期末報告 Proxy Server
第五章 網際網路 5-1 網際網路的歷史沿革 5-2 網際網路基本運作原理 5-3 連線媒介與連線上網 5-4 網際網路上的熱門應用
第8單元 Internet以及線上資源 McGraw-Hill Education.
網路服務 家庭和小型企業網路 – 第六章.
第五讲 计算机网络应用 谢华成 副教授.
防火墙技术介绍   严峻的网络安全形势,促进了防火墙技术的不断发展。防火墙是一种综合性的科学技术,涉及网络通信、数据加密、安全决策、信息安全、硬件研制、软件开发等综合性课题。
認識FTP檔案傳輸協定 建立我的部落格 Archie檔案檢索服務 Google搜尋密技 歷久彌新的老朋友-BBS Skype網路電話
考试题型 填空题(30) 选择题(20) 名词解释(10) 问答题(24) 计算题(16) 附加题(30) 成绩核算:
OSI七層架構 OSI階層 負責的工作 應用層 表達層 會議層 傳輸層 網路層 資料鏈結層 實體層 將應用程式所送出的訊息轉成字元資料
NetST®防火墙培训教程 清华得实® 保留所有权利.
振聲高中 校園網路現況及成果報告 報告人 振聲高中資訊中心 宋文松 2001/9/18.
第12章 远程访问、NAT技术.
E地通VPN设备部署.
Unit 10: Introduction to the Internet
第2讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
Web前端开发 第23章:网站发布 阮晓龙 / 河南中医药大学管理科学与工程学科
ISA Server 2004.
防火墙.
傳輸控制協議 /互聯網協議 TCP/IP.
第 7 章 电子政府的支撑技术.
第三章 網路技術.
如何兼顧網路安全與效能的規劃 網路安全架構的瓶頸.
Common Security Problems in Business and Standards
第10讲 Web服务.
Internet课程设计 教师:陈 妍 朱海萍 西安交通大学计算机系
信息安全防护技术—— 防火墙和入侵检测 万明
第7章 Internet的应用.
Presentation transcript:

华南师范大学 Changshema@gmail.com 防火墙 华南师范大学 Changshema@gmail.com

学习目标 了解防火墙的定义和类型 掌握防火墙的原理 了解防火墙技术的发展趋势

防火墙(Firewall)的定义 在互联网上,防火墙是一种有效的网络安全系统,通过它可以隔离风险区域(Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍安全区域对风险区域的访问。

防火墙 防火墙的基本设计目标 防火墙的控制能力 对于一个网络来说,所有通过“内部”和“外部”的网络流量都要经过防火墙 通过一些安全策略,来保证只有经过授权的流量才可以通过防火墙 防火墙本身必须建立在安全操作系统的基础上 防火墙的控制能力 服务控制,确定哪些服务可以被访问 方向控制,对于特定的服务,可以确定允许哪个方向能够通过防火墙 用户控制,根据用户来控制对服务的访问 行为控制,控制一个特定的服务的行为

防火墙的功能 防火墙定义一个必经之点,一般都包含以下三种基本功能 可以限制未授权的用户进入内部网络,过滤掉不安全的服务和非法用户 防止入侵者接近网络防御设施 限制内部用户访问特殊站点 由于防火墙假设了网络边界和服务,因此适合于相对独立的网络,例如Intranet等种类相对集中的网络。任何关键性的服务器,都应该放在防火墙之后。 防火墙提供了一个监视各种安全事件的位置,可以在防火墙上实现审计和报警 防火墙可以是地址转换,Internet日志、审计,甚至计费功能的理想平台 防火墙可以作为IPSec的实现平台

防火墙的局限性 防火墙不能防范网络内部的攻击。比如:防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。 防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令,并授予其临时的网络访问权限。 防火墙不能防止传送己感染病毒的软件或文件,不能期望防火墙去对每一个文件进行扫描,查出潜在的病毒。 对于绕过防火墙的攻击,它无能为力,例如,在防火墙内部通过拨号出去

防火墙的分类 分组过滤(Packet Filtering):作用在协议组的网络层和传输层,根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过,只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端,其余的数据包则从数据流中丢弃。 应用代理(Application Proxy):也叫应用网关(Application Gateway),它作用在应用层,其特点是完全“阻隔”网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。 电路级网关,又叫状态检测(Status Detection):直接对分组里的数据进行处理,并且结合前后分组的数据进行综合判断,然后决定是否允许该数据包通过。

包过滤路由器 基本思想简单 如何过滤 对于每个进来的包,适用一组规则,然后决定转发或者丢弃该包 往往配置成双向的 过滤的规则以IP和传输层的头中的域(字段)为基础,包括源和目标IP地址、IP协议域、源和目标端口号 过滤器往往建立一组规则,根据IP包是否匹配规则中指定的条件来作出决定。 如果匹配到一条规则,则根据此规则决定转发或者丢弃 如果所有规则都不匹配,则根据缺省策略

安全缺省策略 两种基本策略,或缺省策略 没有被拒绝的流量都可以通过(默认转发) 没有被允许的流量都要拒绝(默认丢弃) 管理员必须针对每一种新出现的攻击,制定新的规则 没有被允许的流量都要拒绝(默认丢弃) 比较保守 根据需要,逐渐开放

包过滤防火墙 数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃所各个数据包。 通常情况下,如果规则中没有明确允许指定数据包的出入,那么数据包将被丢弃

包过滤路由器示意图 网络层 链路层 物理层 外部网络 内部网络

包过滤防火墙(小结) 在网络层上进行监测 通常在路由器上实现 优点 缺点 并没有考虑连接状态信息 实际上是一种网络的访问控制机制 实现简单 对用户透明 效率高 缺点 正确制定规则并不容易 不可能引入认证机制

针对包过滤防火墙的攻击 IP地址欺骗,例如,假冒内部的IP地址 源路由攻击,即由源指定路由 对策:在外部接口上禁止内部地址 源路由攻击,即由源指定路由 对策:禁止这样的选项 小碎片攻击,利用IP分片功能把TCP头部切分到不同的分片中 对策:丢弃分片太小的分片 利用复杂协议和管理员的配置失误进入防火墙 例如,利用ftp协议对内部进行探查

应用层网关 也称为代理服务器 特点 所有的连接都通过防火墙,防火墙作为网关 在应用层上实现 可以监视包的内容 可以实现基于用户的认证 所有的应用需要单独实现 可以提供理想的日志功能 非常安全,但是开销比较大

应用层网关 应用代理(Application Proxy)是运行在防火墙上的一种服务器程序,防火墙主机可以是一个具有两个网络接口的双重宿主主机,也可以是一个堡垒主机。代理服务器被放置在内部服务器和外部服务器之间,用于转接内外主机之间的通信,它可以根据安全策略来决定是否为用户进行代理服务。

应用层网关的结构和协议栈示意图 HTTP FTP Telnet Smtp 传输层 网络层 链路层

应用层网关的优缺点 优点 缺点 允许用户“直接”访问Internet 易于记录日志 新的服务不能及时地被代理 每个被代理的服务都要求专门的代理软件 客户软件需要修改,重新编译或者配置 有些服务要求建立直接连接,无法使用代理 比如聊天服务、或者即时消息服务 代理服务不能避免协议本身的缺陷或者限制

应用层网关实现 编写代理软件 客户软件 协议对于应用层网关的处理 代理软件一方面是服务器软件 另一方面也是客户软件 但是它所提供的服务可以是简单的转发功能 另一方面也是客户软件 对于外面真正的服务器来说,是客户软件 针对每一个服务都需要编写模块或者单独的程序 实现一个标准的框架,以容纳各种不同类型的服务 软件实现的可扩展性和可重用性 客户软件 软件需要定制或者改写 对于最终用户的透明性? 协议对于应用层网关的处理 协议设计时考虑到中间代理的存在,特别是在考虑安全性,比如数据完整性的时候

应用层网关—代理服务器 发展方向——智能代理 两个代理服务器的实现例子 不仅仅完成基本的代理访问功能 还可以实现其他的附加功能,比如 对于内容的自适应剪裁 增加计费功能 提供数据缓冲服务 两个代理服务器的实现例子 MSP – Microsoft Proxy Server squid

Microsoft Proxy Server 2.0 一个功能强大的代理服务器 提供常用的Internet服务 除了基本的Web Proxy,还有Socks Proxy和Winsock Proxy 强大的cache和log功能 对于软硬件的要求比较低 安装管理简单 与NT/2000集成的认证机制 扩展的一些功能 反向proxy: proxy作为Internet上的一个Web server 反向hosting,以虚拟Web Server的方式为后面的Web Server独立地发布到Internet上 安全报警

电路层网关 本质上,也是一种代理服务器 有状态的包过滤器 动态包过滤器 状态 上下文环境 流状态 认证和授权方案 例子:socks

常见防火墙系统模型 常见防火墙系统一般按照四种模型构建 几个概念 筛选路由器模型 单宿主堡垒主机(屏蔽主机防火墙)模型 双宿主堡垒主机模型(屏蔽防火墙系统模型) 屏蔽子网模型。 几个概念 堡垒主机(Bastion Host):对外部网络暴露,同时也是内部网络用户的主要连接点 单宿主主机(single-homed host):只有一个网络接口的通用计算机系统 双宿主主机(dual-homed host):至少有两个网络接口的通用计算机系统 DMZ(Demilitarized Zone,非军事区或者停火区):在内部网络和外部网络之间增加的一个子网

筛选路由器模型 筛选路由器模型是网络的第一道防线,功能是实施包过滤。创建相应的过滤策略时对工作人员的TCP/IP的知识有相当的要求,如果筛选路由器被黑客攻破那么内部网络将变得十分的危险。该防火墙不能够隐藏内部网络的信息,不具备监视和日志记录功能。

单宿主堡垒主机模型 单宿主堡垒主机(屏蔽主机防火墙)模型由包过滤路由器和堡垒主机组成。该防火墙系统提供的安全等级比包过滤防火墙系统要高,因为它实现了网络层安全(包过滤)和应用层安全(代理服务)。所以入侵者在破坏内部网络的安全性之前,必须首先渗透两种不同的安全系统。

双宿主堡垒主机模型 双宿主堡垒主机模型(屏蔽防火墙系统)可以构造更加安全的防火墙系统。双宿主堡垒主机有两种网络接口但是主机在两个端口之间直接转发信息的功能被关掉了。在物理结构上强行将所有去往内部网络的信息经过堡垒主机。

屏蔽子网模型 屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最安全的防火墙系统之一,因为在定义了“中立区”(DMZ,Demilitarized Zone)网络后,它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、Modem组,以及其它公用服务器放在DMZ网络中。如果黑客想突破该防火墙那么必须攻破以上三个单独的设备。

配置方案一 屏蔽主机方案:单宿主堡垒主机 只允许堡垒主机可以与外界直接通讯 优点:两层保护:包过滤+应用层网关;灵活配置 缺点:一旦包过滤路由器被攻破,则内部网络被暴露

配置方案二 屏蔽主机方案:双宿主堡垒主机 从物理上把内部网络和Internet隔开,必须通过两层屏障 优点:两层保护:包过滤+应用层网关;配置灵活

配置方案三 屏蔽子网防火墙 优点 三层防护,用来阻止入侵者 外面的router只向Internet暴露屏蔽子网中的主机

防火墙的发展 分布式防火墙 应用层网关的进一步发展 与其他技术的集成 认证机制 智能代理 比如NAT、VPN(IPSec)、IDS,以及一些认证和访问控制技术 防火墙自身的安全性和稳定性

本章复习思考题 什么是防火墙?古时候的防火墙和目前通常说的防火墙有什么联系和区别? 简述防火墙的分类,并说明分组过滤防火墙的基本原理。 常见防火墙模型有哪些?比较他们的优缺点。 编写防火墙规则:禁止除管理员计算机(IP为172.18.25.110)外任何一台电脑访问某主机(IP为172.18.25.109)的终端服务(TCP端口3389)。