电子商务安全实务课件6-防火墙安装与应用-PPT

1、实训六 防火墙安装与应用实训六：防火墙安装与应用实训目的掌握防火墙的类型及其特点掌握常用防火墙的安装掌握防火墙定义、功能熟悉防火墙的功能使用及配置实训六：防火墙安装与应用实训背景当今，计算机网络安全面临着越来越多的威胁，对于这些安全问题最基本的方法就是对来自外部的访问请求进行限制。所以需要在我们的内部系统与外部网络之间建立一道屏障来进行隔离控制，即非常有效的一种网络安全手段防火墙技术。作为网络用户，安装、配置防火墙是必须的安全防御手段。 实训六：防火墙安装与应用防火墙工作流程示意图防火墙是指一种由计算机硬件和软件组成的一个或一组系统，介于内部网络和不可信任的外部网络之间，用于增强内部网络和In

2、ternet之间的访问控制。通过实施相应的访问控制策略来控制（允许、拒绝、监视、记录）进出网络的访问行为，以防止未经授权的通信进出被保护的内部网络【相关知识】1 防火墙概念实训六：防火墙安装与应用防火墙示意图实训六：防火墙安装与应用一切未被允许的就是禁止。基于该准则，防火墙封锁所有信息流，然后对希望提供的服务逐项开放。一切未被禁止的就是允许的。基于该准则，防火墙转发所有信息流，然后逐项屏蔽有害的服务。这种方法构成了更为灵活的应用环境，可为用户提供更多的服务。防火墙安全策略设计准则：实训六：防火墙安装与应用所有的网络数据都必须经过防火墙防火墙是安全策略的检查站防火墙具有非常强的抗攻击能力防火墙通

3、常作用于被保护区域的入口处，基于访问控制策略提供安全防护。典型的防火墙具有以下3个方面的基本特征：实训六：防火墙安装与应用过滤和管理。通过制定尽可能完整的安全策略，防火墙能够对进出网络的数据包进行过滤，只有符合策略的数据包才能通过，可以过滤掉不安全服务和非法用户，禁止未授权的用户访问受保护网络。创建一阻塞点。防火墙在内网和外网间建立一个检查点，所有的流量都要通过这个检查点。一旦这个检查点被创建，防火墙就可以监视、过滤和检查所有进出的数据流。2 防火墙功能实训六：防火墙安装与应用日志记录和告警。防火墙能有效地记录Internet上的活动，同时也提供网络使用情况的统计数据信息，实现安全监视和预警的

4、目的。创建一阻塞点。防火墙在内网和外网间建立一个检查点，所有的流量都要通过这个检查点。一旦这个检查点被创建，防火墙就可以监视、过滤和检查所有进出的数据流。限制网络暴露。防火墙可以对内部网络隔成一个个网段，可实现内部重点网段的隔离实训六：防火墙安装与应用防止信息外泄。防火墙可以作为部署网络地址转换（NAT）的地点，利用NAT技术，防火墙可以隐藏内部网的结构和内部IP地址信息。同时，防火墙也可以阻塞有关内部网络中的DNS信息，使一个主机内部的IP地址和域名不会被外界了解，有效地降低了内部信息的外泄程度，从而减小了可信任网络被攻击的可能性。支持虚拟局域网（VPN，Virtual Private Ne

5、twork）技术，通过集成VPN，能轻松实现敏感数据通过互联网安全地传输。实训六：防火墙安装与应用1、包过滤技术原理在网络层上依据系统内设置的过滤逻辑访问控制列表，对数据包进行选择，它根据数据包头源地址、目的地址、端口号和协议类型等信息，或它们的组合作为过滤参考，与用户预定的访问控制列表进行比较，确定是否允许通过。包过滤技术有两个功能，即允许和阻止。只有满足过滤条件的数据包才能转发到相应的目的地，其余数据包则被从数据流中丢弃。 3.1 包过滤防火墙技术实训六：防火墙安装与应用 3.1 包过滤防火墙技术包过滤防火墙示意图规则定义实训六：防火墙安装与应用2、规则定义实例以SMTP处理为例来了解规则

6、的格式及定义。SMTP是一个基于TCP的服务，服务器使用端口25，客户机使用任何大于1023的端口，如果防火墙允许电子邮件穿越网络边界，则可定义表6-1所示的规则。 3.1 包过滤防火墙技术实训六：防火墙安装与应用 3.1 包过滤防火墙技术序号传输方向协议类型源IP地址源端口宿IP地址目标端口控制操作1InTCP外部1023内部25Allow2OutTCP内部25外部1023Allow3OutTCP内部1023外部25Allow4InTCP外部25内部1023Allow5Both*Deny表6-1 SMTP规则表中的规则1、规则2允许内部主机接受来自外部的邮件，规则3、规则4允许内部主机向外部

7、发送邮件，规则5禁止使用其他端口的协议数据包通过。实训六：防火墙安装与应用3、包过滤技术特点 优点：逻辑简单、价格便宜、网络性能和透明性好。包过滤防火墙不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。 3.1 包过滤防火墙技术实训六：防火墙安装与应用 缺点1）过滤判别的依据只是网络层和传输层的有限信息，因而各种安全要求不可能充分满足;在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大地影响。 2）大多数过滤器中缺少审计和报警机制，它只能依据包头信息，而不能对用户身份进行验证，很容易受到“地址欺骗型”攻击。实训六：防火墙安装与应用1、代理防

8、火墙技术原理应用代理型防火墙工作在应用层，其特点是完全“隔离”了网络通信流，通过对每种应用服务（如E-mail、FTP、WWW、Telnet等）编制专门的代理程序，实现监视和控制应用层通信流的作用。即防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链接只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。 3.2 代理防火墙技术实训六：防火墙安装与应用代理通信的实现过程实训六：防火墙安装与应用2、代理防火墙类型根据应用的不同，代理主要有3种基本类型： web代理 电路级网关 应用级网关。 3.2 代理防火墙技术实训六：防火墙安装与应用（1

9、）web代理web代理服务的最大好处就是能提高访问Internet的速度，一旦一个web代理服务器配置了足够的缓存，它就可以从这些缓存里对请求提供服务，而web代理客户端则可以得到很快速的响应。Web代理的第二个好处是web代理使客户端无须直接连接internet，所以能够最大限度地避免被攻击。实训六：防火墙安装与应用（2）电路级网关电路层网关在网络的传输层上实施访问控制策略，用来监视受信任的客户端或服务器与不受信任的主机间的TCP握手信息，在TCP握手过程中检查双方的SYN、ACK和序列数据是否合逻辑，以此来判断该会话是否合法。电路级网关原理示意图实训六：防火墙安装与应用电路级网关特点： 优

10、点：电路级网关是在OSI模型中的会话层上来过滤数据包，比包过滤防火墙要高两层。 提供网络地址转换（NAT），将公司内部的IP地址映射到一个“安全”的IP地址，为管理员实现网络安全提供了很大的灵活性。 缺点：不能区别包的“好”与“坏”、易受IP欺骗这类的攻击及实现复杂，部署应用时要求终端用户通过网关的认证。实训六：防火墙安装与应用（3）应用级网关应用级网关是一种代理服务，应用层代理服务器工作在网络的应用层，使用专用软件转发和过滤特定的应用服务，防止在受信任服务器和客户机与不受信任的主机间。应用级网关能理解应用层上的协议，能够做较复杂的访问控制，在数据过滤的同时，也能对数据包进行必要的分析、登记和

11、统计等功能，并有很好的审计功能和严格的用户认证功能，故应用级网关的安全性高。实训六：防火墙安装与应用（3）应用级网关应用级网关原理示意图实训六：防火墙安装与应用状态检测防火墙采用了状态检测包过滤的技术，是传统包过滤上的功能扩展。状态检测防火墙在网络层有一个检查引擎截获数据包并抽取与应用层状态有关的信息，监视并维护每一个连接的状态信息，并以此为依据决定对该连接是接受还是拒绝。状态检测防火墙具有效率高、安全性高、可伸缩和易扩展、应用范围广等优势。 3.3 状态检测防火墙技术实训六：防火墙安装与应用防火墙在网络中的位置也是影响网络安全性的关键因素，防火墙的安全拓扑设计是非常灵活的，下面介绍几种常见的

12、部署方式。 1）双宿主主机结构 2）屏蔽主机结构 3）屏蔽子网结构4 防火墙部署实训六：防火墙安装与应用 双宿主主机体系结构是围绕具有双宿主的主机计算机而构筑的，该计算机至少有两个网络接口，它位于内部网络和外部网络的连接处运行应用代理程序。双宿主主机结构防火墙系统内部网络能与双宿主主机通信，同时防火墙外部的网络也能与双宿主主机通信，但是内部网络与外部网络之间不能直接互相通信，而是由运行于双宿主主机的防火墙应用程序完成。4.1 双宿主主机结构实训六：防火墙安装与应用4.1 双宿主主机结构双宿主主机结构防火墙系统实训六：防火墙安装与应用屏蔽主机结构防火墙系统由包过滤路由器和堡垒主机构成，包过滤路由

13、器位于内部网络与外部网络之间，而堡垒主机位于内部网络与包过滤路由器之间。这种结构体系中，主要的安全功能由包过滤路由器提供，堡垒主机主要提供面向应用的服务，而且可以用来隐藏内部网络的配置。4.2 屏蔽主机结构实训六：防火墙安装与应用4.2 屏蔽主机结构屏蔽主机结构防火墙体系堡垒主机运行应用代理服务程序，为内部主机提供代理服务实训六：防火墙安装与应用屏蔽子网机构防火墙体系在屏蔽主机结构的基础上，增加了一个周边防御网段，即在内部网络和外部网络之间建立一个被隔离的独立子网，进一步隔离内部与外部网络，使内、外网之间形成一条“隔离带”，称为非军事区DMZ。4.3 屏蔽子网结构实训六：防火墙安装与应用4.3

14、 屏蔽子网结构屏蔽子网结构防火墙系统这种结构主要优势就是攻击者必须攻破3个单独的设备外部包过滤路由器、DMZ中堡垒主机、内部包过滤路由器，DMZ所受到的安全威胁不会影响到内部网络。实训六：防火墙安装与应用1）Cisco公司的PIX2）以色列Check Point Forewall-13）AXENT Raptor4）CyberGuard公司的CyberGuard Firewall5）NAI公司的Gauntlet防火墙6）中国的“天融信”、“天网”、“蓝盾”等5 常见的防火墙1、启动天网防火墙安装程序，进入安装界面，在欢迎界面中选中“我接受此协议”，；并单击“下一步”按钮；2、选择安装目录，如图6

15、-1所示，然后按提示一直单击“下一步”按钮，直到开始安装；【实训环节】1 天网防火墙安装图6-1 安装目录选择3、在安装即将完成时弹出天网防火墙设置向导，单击“下一步”按钮，设置安全级别（这里选择中等级别），然后单击“下一步”按钮进行局域网信息设置，选择开机自动启动程序选项，并设置本机的IP地址，如图6-2所示。重启计算机后将自动运行天网防火墙软件。【实训环节】1 天网防火墙安装图6-2 设置局域网信息1、应用程序规则模块 。如图6-3【实训环节】2防火墙功能模块使用图6-3 程序应用规则及设置2、 IP规则管理。还可以进行增加规则、修改规则、导入规则、导出规则等操作， 如图6-4。【实训环节】2防火墙功能模块使用图6-4 IP规则管理1、 禁止IE浏览器访问网络。如图6-5所示【实训环节】3增加规则图6-5 禁止IE程序访问网络设置2、 禁止访问FTP。如图6-6所示【实训环节】3增加规则图6-6 禁止访问FTP设置3、防范冰河木马。如图6-7所