华南师范大学 Changshema@gmail.com 防火墙 华南师范大学 Changshema@gmail.com.

Slides:



Advertisements
Similar presentations
一、软件简介 二、功能介绍 三、产品优势 四、应用范围 五、成功客户 目录目录 软件简介 ●员工工作时间,都认真工作了? ●还是在玩游戏? ●浏览与工作无关的网站? ●收发私人邮件? ●甚至将公司的机密资料拷贝带 走?或是通过邮件或聊天工具泄 密? …… 解决之道.
Advertisements

网络管理员考证辅导 —— 真题解析 广东水利电力职业技术学院 计算机系 温海燕
高级服务器设计和实现 1 —— 基础与进阶 余锋
NAT与ICMP交互.
第7章 防火墙及其应用 本章学习重点掌握内容: 防火墙功能 防火墙核心技术 防火墙体系结构 2017/3/1.
计算机网络教程 任课教师:孙颖楷.
计算机网络课程总结 一、计算机网络基础 计算机网络定义和功能、基本组成 OSI/RM参考模型(各层的功能,相关概念, 模型中数据传输 等)
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
第7章 防 火 墙 技 术 7.1 防火墙概念 7.2 防火墙原理及实现方法 7.3 防火墙体系结构 7.4 防火墙的构成
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
初级会计电算化 (用友T3) 制作人:张爱红.
第九章 防火墙与入侵检测 2.
第十一章 Internet的安全性.
第3章 网络防御技术 指导教师:杨建国 2013年8月10日.
第17章 实现路由器.
第九章 防火墙技术 9.1 防火墙技术概述 9.2 防火墙技术 9.3 防火墙设计实例.
第五章 防火墙技术 深职院 计算机网络技术专业 池瑞楠.
项目四 组建跨地区网络 授课教师:肖颖.
第五章 防火墙技术.
Oracle数据库 Oracle 子程序.
信息安全与管理 第九章 防火墙.
学习目标: 1)理解包和包过滤 2)理解包过滤的方法 3)设置特殊的包过滤规则
格物资讯开放ICON库 V1R1.
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
潘爱民,北京大学计算机研究所 网络与信息安全 网络安全 (一) 潘爱民,北京大学计算机研究所
华南师范大学 防火墙 华南师范大学
Hadoop I/O By ShiChaojie.
计算机网络原理 徐明伟
第二讲 搭建Java Web开发环境 主讲人:孙娜
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
存储系统.
防火墙技术介绍   严峻的网络安全形势,促进了防火墙技术的不断发展。防火墙是一种综合性的科学技术,涉及网络通信、数据加密、安全决策、信息安全、硬件研制、软件开发等综合性课题。
大学计算机基础 典型案例之一 构建FPT服务器.
PPPoE PPTP L2TP全解 方伟、产品策划 讲师的CSDN博客地址
网络常用常用命令 课件制作人:谢希仁.
华为—E8372h- 155 外观设计 产品类型:数据卡 建议零售价格:299元 上市时间:2017年6月7日 目标人群:大众
考试题型 填空题(30) 选择题(20) 名词解释(10) 问答题(24) 计算题(16) 附加题(30) 成绩核算:
实用组网技术 第一章 网络基础知识.
第11章:一些著名开源软件介绍 第12章:服务安装和配置 本章教学目标: 了解当前一些应用最广泛的开源软件项目 搭建一个网站服务器
乐驾-车载无线终端-CARRO 产品类型:车载无线路由器 建议零售价格:¥599 江苏鸿信
Windows网络操作系统管理 ——Windows Server 2008 R2.
Windows网络操作系统管理 ——Windows Server 2008 R2.
格物资讯开放ICON库 V0R2.
第17章 网站发布.
VLanBasic 小型办公环境录音方案 ——将VLAN网络型录音系统接入办公室局域网/无线网络
项目十四 防火墙分类与基本配置.
你知道这些标志吗?. 你知道这些标志吗? 网络——信息安全 小组讨论 你觉得网络信息安全吗? 为什么?
ISA Server 2004.
三:基于Eclipse的集成开发环境搭建与使用
C语言程序设计 主讲教师:陆幼利.
微机系统的组成.
第四章 团队音乐会序幕: 团队协作平台的快速创建
DQMClientDim.cxx及双光子练习
主要内容: 无线局域网的定义 无线传输介质 无线传输的技术 WLAN的架构 无线网络搭建与配置 无线网络加密配置
Cassandra应用及高性能客户端 董亚军 来自Newegg-NESC.
实验七 安全FTP服务器实验 2019/4/28.
计算机网络与网页制作 Chapter 07:Dreamweaver CS5入门
宁波市高校慕课联盟课程 与 进行交互 Linux 系统管理.
IT 安全 第 9节 通信和网络控制.
JSP实用教程 清华大学出版社 第2章 JSP运行环境和开发环境 教学目标 教学重点 教学过程 2019年5月7日.
第八章 总线技术 8.1 概述 8.2 局部总线 8.3 系统总线 8.4 通信总线.
数据报分片.
谢聪.
实验九、基于ASPF的安全 检测实验 实验开发教师:谌黔燕.
格物资讯ICON发布 V0R3.
基于列存储的RDF数据管理 朱敏
3.8 局域网应用实例 某省劳动和社会保障网络中心组网实例 会议中心的无线组网实例.
第四章 UNIX文件系统.
FVX1100介绍 法视特(上海)图像科技有限公司 施 俊.
入侵检测技术 大连理工大学软件学院 毕玲.
Presentation transcript:

华南师范大学 Changshema@gmail.com 防火墙 华南师范大学 Changshema@gmail.com

学习目标 了解防火墙的定义和类型 掌握防火墙的原理 了解防火墙技术的发展趋势

防火墙(Firewall)的定义 在互联网上,防火墙是一种有效的网络安全系统,通过它可以隔离风险区域(Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍安全区域对风险区域的访问。

防火墙 防火墙的基本设计目标 防火墙的控制能力 对于一个网络来说,所有通过“内部”和“外部”的网络流量都要经过防火墙 通过一些安全策略,来保证只有经过授权的流量才可以通过防火墙 防火墙本身必须建立在安全操作系统的基础上 防火墙的控制能力 服务控制,确定哪些服务可以被访问 方向控制,对于特定的服务,可以确定允许哪个方向能够通过防火墙 用户控制,根据用户来控制对服务的访问 行为控制,控制一个特定的服务的行为

防火墙的功能 防火墙定义一个必经之点,一般都包含以下三种基本功能 可以限制未授权的用户进入内部网络,过滤掉不安全的服务和非法用户 防止入侵者接近网络防御设施 限制内部用户访问特殊站点 由于防火墙假设了网络边界和服务,因此适合于相对独立的网络,例如Intranet等种类相对集中的网络。任何关键性的服务器,都应该放在防火墙之后。 防火墙提供了一个监视各种安全事件的位置,可以在防火墙上实现审计和报警 防火墙可以是地址转换,Internet日志、审计,甚至计费功能的理想平台 防火墙可以作为IPSec的实现平台

防火墙的局限性 防火墙不能防范网络内部的攻击。比如:防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。 防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令,并授予其临时的网络访问权限。 防火墙不能防止传送己感染病毒的软件或文件,不能期望防火墙去对每一个文件进行扫描,查出潜在的病毒。 对于绕过防火墙的攻击,它无能为力,例如,在防火墙内部通过拨号出去

防火墙的分类 分组过滤(Packet Filtering):作用在协议组的网络层和传输层,根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过,只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端,其余的数据包则从数据流中丢弃。 应用代理(Application Proxy):也叫应用网关(Application Gateway),它作用在应用层,其特点是完全“阻隔”网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。 电路级网关,又叫状态检测(Status Detection):直接对分组里的数据进行处理,并且结合前后分组的数据进行综合判断,然后决定是否允许该数据包通过。

包过滤路由器 基本思想简单 如何过滤 对于每个进来的包,适用一组规则,然后决定转发或者丢弃该包 往往配置成双向的 过滤的规则以IP和传输层的头中的域(字段)为基础,包括源和目标IP地址、IP协议域、源和目标端口号 过滤器往往建立一组规则,根据IP包是否匹配规则中指定的条件来作出决定。 如果匹配到一条规则,则根据此规则决定转发或者丢弃 如果所有规则都不匹配,则根据缺省策略

安全缺省策略 两种基本策略,或缺省策略 没有被拒绝的流量都可以通过(默认转发) 没有被允许的流量都要拒绝(默认丢弃) 管理员必须针对每一种新出现的攻击,制定新的规则 没有被允许的流量都要拒绝(默认丢弃) 比较保守 根据需要,逐渐开放

包过滤防火墙 数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃所各个数据包。 通常情况下,如果规则中没有明确允许指定数据包的出入,那么数据包将被丢弃

包过滤路由器示意图 网络层 链路层 物理层 外部网络 内部网络

包过滤防火墙(小结) 在网络层上进行监测 通常在路由器上实现 优点 缺点 并没有考虑连接状态信息 实际上是一种网络的访问控制机制 实现简单 对用户透明 效率高 缺点 正确制定规则并不容易 不可能引入认证机制

针对包过滤防火墙的攻击 IP地址欺骗,例如,假冒内部的IP地址 源路由攻击,即由源指定路由 对策:在外部接口上禁止内部地址 源路由攻击,即由源指定路由 对策:禁止这样的选项 小碎片攻击,利用IP分片功能把TCP头部切分到不同的分片中 对策:丢弃分片太小的分片 利用复杂协议和管理员的配置失误进入防火墙 例如,利用ftp协议对内部进行探查

应用层网关 也称为代理服务器 特点 所有的连接都通过防火墙,防火墙作为网关 在应用层上实现 可以监视包的内容 可以实现基于用户的认证 所有的应用需要单独实现 可以提供理想的日志功能 非常安全,但是开销比较大

应用层网关 应用代理(Application Proxy)是运行在防火墙上的一种服务器程序,防火墙主机可以是一个具有两个网络接口的双重宿主主机,也可以是一个堡垒主机。代理服务器被放置在内部服务器和外部服务器之间,用于转接内外主机之间的通信,它可以根据安全策略来决定是否为用户进行代理服务。

应用层网关的结构和协议栈示意图 HTTP FTP Telnet Smtp 传输层 网络层 链路层

应用层网关的优缺点 优点 缺点 允许用户“直接”访问Internet 易于记录日志 新的服务不能及时地被代理 每个被代理的服务都要求专门的代理软件 客户软件需要修改,重新编译或者配置 有些服务要求建立直接连接,无法使用代理 比如聊天服务、或者即时消息服务 代理服务不能避免协议本身的缺陷或者限制

应用层网关实现 编写代理软件 客户软件 协议对于应用层网关的处理 代理软件一方面是服务器软件 另一方面也是客户软件 但是它所提供的服务可以是简单的转发功能 另一方面也是客户软件 对于外面真正的服务器来说,是客户软件 针对每一个服务都需要编写模块或者单独的程序 实现一个标准的框架,以容纳各种不同类型的服务 软件实现的可扩展性和可重用性 客户软件 软件需要定制或者改写 对于最终用户的透明性? 协议对于应用层网关的处理 协议设计时考虑到中间代理的存在,特别是在考虑安全性,比如数据完整性的时候

应用层网关—代理服务器 发展方向——智能代理 两个代理服务器的实现例子 不仅仅完成基本的代理访问功能 还可以实现其他的附加功能,比如 对于内容的自适应剪裁 增加计费功能 提供数据缓冲服务 两个代理服务器的实现例子 MSP – Microsoft Proxy Server squid

Microsoft Proxy Server 2.0 一个功能强大的代理服务器 提供常用的Internet服务 除了基本的Web Proxy,还有Socks Proxy和Winsock Proxy 强大的cache和log功能 对于软硬件的要求比较低 安装管理简单 与NT/2000集成的认证机制 扩展的一些功能 反向proxy: proxy作为Internet上的一个Web server 反向hosting,以虚拟Web Server的方式为后面的Web Server独立地发布到Internet上 安全报警

电路层网关 本质上,也是一种代理服务器 有状态的包过滤器 动态包过滤器 状态 上下文环境 流状态 认证和授权方案 例子:socks

常见防火墙系统模型 常见防火墙系统一般按照四种模型构建 几个概念 筛选路由器模型 单宿主堡垒主机(屏蔽主机防火墙)模型 双宿主堡垒主机模型(屏蔽防火墙系统模型) 屏蔽子网模型。 几个概念 堡垒主机(Bastion Host):对外部网络暴露,同时也是内部网络用户的主要连接点 单宿主主机(single-homed host):只有一个网络接口的通用计算机系统 双宿主主机(dual-homed host):至少有两个网络接口的通用计算机系统 DMZ(Demilitarized Zone,非军事区或者停火区):在内部网络和外部网络之间增加的一个子网

筛选路由器模型 筛选路由器模型是网络的第一道防线,功能是实施包过滤。创建相应的过滤策略时对工作人员的TCP/IP的知识有相当的要求,如果筛选路由器被黑客攻破那么内部网络将变得十分的危险。该防火墙不能够隐藏内部网络的信息,不具备监视和日志记录功能。

单宿主堡垒主机模型 单宿主堡垒主机(屏蔽主机防火墙)模型由包过滤路由器和堡垒主机组成。该防火墙系统提供的安全等级比包过滤防火墙系统要高,因为它实现了网络层安全(包过滤)和应用层安全(代理服务)。所以入侵者在破坏内部网络的安全性之前,必须首先渗透两种不同的安全系统。

双宿主堡垒主机模型 双宿主堡垒主机模型(屏蔽防火墙系统)可以构造更加安全的防火墙系统。双宿主堡垒主机有两种网络接口但是主机在两个端口之间直接转发信息的功能被关掉了。在物理结构上强行将所有去往内部网络的信息经过堡垒主机。

屏蔽子网模型 屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最安全的防火墙系统之一,因为在定义了“中立区”(DMZ,Demilitarized Zone)网络后,它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、Modem组,以及其它公用服务器放在DMZ网络中。如果黑客想突破该防火墙那么必须攻破以上三个单独的设备。

配置方案一 屏蔽主机方案:单宿主堡垒主机 只允许堡垒主机可以与外界直接通讯 优点:两层保护:包过滤+应用层网关;灵活配置 缺点:一旦包过滤路由器被攻破,则内部网络被暴露

配置方案二 屏蔽主机方案:双宿主堡垒主机 从物理上把内部网络和Internet隔开,必须通过两层屏障 优点:两层保护:包过滤+应用层网关;配置灵活

配置方案三 屏蔽子网防火墙 优点 三层防护,用来阻止入侵者 外面的router只向Internet暴露屏蔽子网中的主机

防火墙的发展 分布式防火墙 应用层网关的进一步发展 与其他技术的集成 认证机制 智能代理 比如NAT、VPN(IPSec)、IDS,以及一些认证和访问控制技术 防火墙自身的安全性和稳定性

本章复习思考题 什么是防火墙?古时候的防火墙和目前通常说的防火墙有什么联系和区别? 简述防火墙的分类,并说明分组过滤防火墙的基本原理。 常见防火墙模型有哪些?比较他们的优缺点。 编写防火墙规则:禁止除管理员计算机(IP为172.18.25.110)外任何一台电脑访问某主机(IP为172.18.25.109)的终端服务(TCP端口3389)。