版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
防火墙技术第十三章主讲人:任凯联系方式:renkai_jlxy@163.com百度云盘:/s/1qWykdjQ1本章提要了解防火墙的基本概念掌握防火墙的类型掌握防火墙在网络上的设置方法理解包过滤技术的基本原理理解应用代理技术的基本原理213.1防火墙技术防火墙是网络安全中重要技术之一防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止不可预测的、潜在破坏性的侵入防火墙作为网络安全体系的基础和核心控制设备,在网络安全中具有举足轻重的地位313.1防火墙基本概念防火墙作为网络防护的第一道防线,它由软件或/和硬件设备组合而成,它位于企业或网络群体计算机与外界网络的边界,限制着外界用户对内部网络的访问以及管理内部用户访问外界网络的权限4包过滤型防火墙应用代理防火墙电路级网关防火墙状态包检测型防火墙13.2防火墙的类型
5包过滤型防火墙应用代理防火墙电路级网关防火墙状态包检测型防火墙13.2防火墙的类型
F6包是网络上信息流动的基本单位,它由数据负载和协议头两个部分组成包过滤是基于协议头的内容进行过滤的13.2.1包过滤防火墙7包过滤防火墙特点:最快的防火墙,因为它们的操作处于网络层与运输层,只粗略地检查头部信息因为端点之间可以通过防火墙建立直接连接,一旦防火墙允许某一连接,就会允许外部计算机直接连接到防火墙后的目标,从而潜在地暴露了内部网络,使之容易遭到攻击13.2.1包过滤防火墙8包过滤型防火墙应用代理防火墙电路级网关防火墙状态包检测型防火墙13.2防火墙的类型
F9真正可靠的安全防火墙应该禁止所有通过防火墙的直接连接——在协议栈的最高层检验所有的输入数据在协议栈的最高层(应用层)检查每一个包,能够看到所有的数据,从而实现各种安全策略这种防火墙容易识别重要的应用程序命令,例如:FTP的“put”上传请求和“get”下载请求,还能够看到传输文件的内容13.2.2应用代理防火墙10内建代理机制:有内部连接与外部连接两条连接将内部和外部系统隔离开来,从外面只看到应用代理防火墙,而看不到任何内部资源13.2.2应用代理防火墙11优点:花费更多处理时间,可疑行为绝不会被允许通过安全性高,可以过滤多种协议,通常认为它是最安全的防火墙类型缺点:不能完全透明地支持各种服务与应用,同时一种代理只提供一种服务另外需要消耗大量的CPU资源,导致相对低的性能13.2.2应用代理防火墙12包过滤型防火墙应用代理防火墙电路级网关防火墙状态包检测型防火墙13.2防火墙的类型
F13起一定的代理服务作用,它监视两台主机建立连接时的握手信息,从而判断该会话请求是否合法,一旦会话连接有效,该网关仅复制、传递数据13.2.3电路级网关型防火墙14在IP层代理各种高层会话,具有隐藏内部网络信息的能力,且透明性高对会话建立后所传输的具体内容不再作进一步地分析,因此安全性稍低电路级网关建立两个TCP连接,确定哪些连接是允许的包过滤防火墙一样,都是依靠特定的逻辑来判断是否允许数据包通过,但并不检测包中的内容又同应用代理防火墙一样,不允许内外计算机建立直接的连接13.2.3电路级网关型防火墙15包过滤型防火墙应用代理防火墙电路级网关防火墙状态包检测型防火墙13.2防火墙的类型
F16状态包检测模式增加了更多的包和包之间的安全上下文检查,以达到与应用级代理防火墙相类似的安全性能13.2.3状态检测防火墙17特点:查看完前面的包后,把它记在状态信息库中,来确定对后面包采取的动作抵御SYN洪水攻击:如果接收到的TCP第一次握手数据速率超过设定值,就阻止TCP第一次握手数据通过抵御TCP端口扫描:如果发现某个IP地址向另一IP地址的多个不同端口发送TCP报文段的速率超过设定值,就阻止来自该IP地址的TCP报文段13.2.3状态检测防火墙18优点:工作在协议栈的较低层,通过防火墙的所有数据包都在网络层与运输层处理,因此减少了开销,提高效率一个连接在防火墙中建立起来,就不用再对该连接进行更多的处理,系统就可以去处理其他连接,执行效率可以得到进一步的提高13.2.3状态检测防火墙19本章提要了解防火墙的基本概念掌握防火墙的类型掌握防火墙在网络上的设置方法理解包过滤技术的基本原理理解应用代理技术的基本原理F2013.3防火墙在网络上的设置13.3.1单防火墙结构1.屏蔽防火墙只对进出的数据进行各种过滤与检查,功能单一,主要适用于小型的内部网络主要是内部计算机访问外部网络,而外部计算机很少主动访问内部网络212.单DMZ防火墙如果一个内部网络规模较大,同时内部有很多服务器对外提供服务,这时就应该使用单DMZ防火墙单DMZ防火墙功能强,设置简单,是应用最为广泛的防火墙结构13.3防火墙在网络上的设置223.多DMZ防火墙防火墙上有较多的接口,可以对外提供多种服务13.3防火墙在网络上的设置2313.3.2双防火墙结构使用两台防火墙:内部防火墙与外部防火墙,两者之间是DMZ同单防火墙结构类似,所有的数据在两台防火墙处都被过滤与检查,内部网络与外部网络中的计算机都可以访问DMZ,但外部计算机不能主动访问内部网络24课堂练习哪个子网最容易受到来自互联网中黑客攻击对外服务网所在的区域通常称为什么该公司与商业合作伙伴通过互联网进行业务信息互换,为了保证商业信息秘密,请问该公司和合作伙伴需要购买什么类型的安全产品该公司如何改进增强WEB服务25本章提要了解防火墙的基本概念掌握防火墙的类型掌握防火墙在网络上的设置方法理解包过滤技术的基本原理理解应用代理技术的基本原理F2613.4.1包过滤技术使用包过滤防火墙前要制定规则,多条规则组成一个访问控制列表(AccessControlList,ACL)用来生成规则进行过滤的包头部信息通常都包括以下信息:(1)接口和方向(2)源和目的IP
地址(3)IP
选项(4)高层协议(5)TCP
包的ACK
位检查(6)ICMP
的报文类型(7)TCP
和UDP
包的源和目的端口13.4防火墙基本技术2713.4防火墙基本技术iptables设置(maniptables看下相关资料):iptables服务:启动指令:serviceiptablesstart重启指令:serviceiptablesrestart关闭指令:serviceiptablesstop规则管理命令-A:追加,在当前链的最后新增一个规则-I
num
:
插入,把当前规则插入为第几条,例:-I3:插入为第三条-Rnum:Replays替换/修改第几条规则格式:iptables-R3-Dnum:删除,明确指定删除第几条规则2813.4防火墙基本技术iptables设置:Filter:INPUT:
处理来自外部的数据OUTPUT:
处理向外发送的数据FORWARD:
将数据转发到本机的其他网卡设备上目标值:ACCEPT:允许防火墙接收数据包DROP:防火墙丢弃包QUEUE:防火墙将数据包移交到用户空间RETURN:防火墙停止执行当前链中的后续Rules,并返回到调用链中2913.4防火墙基本技术iptables命令常用参数设置:-p:协议,如tcp,udp,icmp等,all指定所有协议-s:源地址-d:目的地址-j:执行目标,可能的值是ACCEPT,DROP,QUEUE,RETURN--sport:源端口,针对-ptcp或者-pudp,例如”–sport22″与”–sportssh”--dport:目的端口--tcp-flags:TCP标志,针对-ptcp,有效值可以是:SYN,ACK,FIN,RST,URG,PSH3013.4防火墙基本技术1.用于包过滤的IP头信息(1)
IP地址检查IP包头,根据其IP源地址和目标地址作出放行/禁止决定来自因特网的IP数据报不可能具有内部网络的IP地址,否则一定就是IP地址欺骗iptables-IINPUT-s/24-jDROP规则方向源IP地址目的IP地址动作1流入/24*拒绝2***允许31(2)协议字段这一字段定义了包负载所使用的协议通常,承载ICMP数据的包(协议字段为1)都应丢弃,因为ICMP数据将会告知对方本网内部的信息iptables-AOUTPUT-picmp[--icmp-typeecho-request]-jACCEPT规则方向协议字段动作1*1拒绝2**允许13.4防火墙基本技术32(3)IP包分片与选项字段IP包分片与选项字段可能导致某些攻击,现在IP包分片与选项字段用得越来越少,拒绝这样的IP包13.4防火墙基本技术3313.4防火墙基本技术2.用于包过滤的TCP头信息——端口号控制SMTP连接流入和流出的例子,规则2和规则4允许大于端口1023的所有服务,不论是流入还是流出方向黑客可以利用这一个漏洞去做各种事情规则方向协议源地址目的地址目的端口动作1流入TCP外部内部25允许2流出TCP内部外部>=1024允许3流出TCP内部外部25允许4流入TCP外部内部>=1024允许5*****禁止规则方向协议源地址目的地址源端口目的端口动作1流入TCP外部内部>=102425允许2流出TCP内部外部25>=1024允许3流出TCP内部外部>=102425允许4流入TCP外部内部25>=1024允许5******禁止3413.4防火墙基本技术iptables-AINPUT-ptcp--sport1024:655356--dport25-jACCEPTiptables-AOUTPUT-ptcp--sport25--dport1024:655356-jACCEPTiptables-AOUTPUT-ptcp--sport1024:655356--dport25-jACCEPTiptables-AINTPUT-ptcp--sport25--dport1024:655356-jACCEPT35在TCP协议头中,有一个控制比特位:SYN。在三次握手建立连接期间,需要指明对序列号进行同步时,这一同步位要置1SYN洪水就是这样的一种攻击:黑客是不断发送SYN位已经置1的包,这样目标主机就要浪费宝贵的CPU周期建立连接,并且分配内存检查SYN位虽然不可能过滤所有SYN位已经置1的包,但是可以监视日志文件,发现不断发送这类包的主机以便让那些主机不能通过防火墙2.用于包过滤的TCP头信息——SYN位13.4防火墙基本技术3613.4防火墙基本技术2.用于包过滤的TCP头信息——ACK位检查ACK位,防火墙只允许内部客户访问外部Web服务器,反之则禁止iptables-AOUTPUT-ptcp--sport1024:655356--dport25-jACCEPTiptables-AINPUT-ptcp--sport25--dport1024:655356–tcp-flagsSYN-jACCEPT规则方向协议源地址目的地址源端口目的端口ACK位动作1流出TCP内部外部≥102480均可允许2流入TCP外部内部80≥1024置1允许3*******禁止3713.4.1包过滤技术UDP包过滤ICMP包过滤有可能被利用来收集网络的有关信息源抑制报文重定向报文阻止以下几种报文类型:流入的echo请求和流出的echo响应:允许内部用户使用ping命令测试外部主机的连通性,但不允许相反方向的类似报文流入的重定向报文:可以用来重新配置网络的路由表流出的目的不可到达报文和流出的服务不可用报文:不允许任何人刺探网络13.4防火墙基本技术38包过滤防火墙的优点:包过滤是“免费的”。如果己经有了路由器,它很可能支持包过滤。在小型局域网内,单个路由器用作包过滤器足够了理论上只需要在局域网连接到因特网或外部网的地方布置一个过滤器使用包过滤器,不需要专门培训用户或使用专门的客户端和服务器程序13.4防火墙基本技术39包过滤防火墙的缺点:使路由器难以配置,特别是使用大量规则进行复杂配置的时候。在这种情况下,很难进行完全地测试当包过滤器出现故障,或者配置不正确的时候,对网络产生的危害比代理服务器产生的危害大得多包过滤器只对少量数据,如IP包的头部信息进行操作很多具有包过滤功能的防火墙缺少健壮的日志功能,因此当系统被渗入或被攻击时,很难得到大量的有用信息13.4防火墙基本技术40本章提要了解防火墙的基本概念掌握防火墙的类型掌握防火墙在网络上的设置方法理解包过滤技术的基本原理理解应用代理技术的基本原理F411.应用代理技术原理13.4.2应用代理技术42因为应用代理防火墙位于客户和提供网络服务的服务器之间,所以有很多方法来进行内容屏蔽或阻塞(1)URL地址阻塞(2)类别阻塞(3)嵌入的内容2.内容屏蔽和阻塞13.4.2应用代理技术43应用代理防火墙的一个重要功能就是能够记录用户的各种行为信息在事先可预测的条件下,一些行为还可以设置为触发一个警报审查日志是审查任何一个系统的重要组成部分,所以一定要尽可能多地记录各种事件,仔细观察记录的数据,力争从中发现不正常的现象3.日志和报警措施13.4.2应用代理技术44使用代理服务器优点:隐藏受保护网络中客户和服务器的网络信息代理服务器是能够对受保护网络和因特网之间的网络服务进行控制的惟一点(SinglePoint)。即使代理应用瘫痪,也不能通过设置堡垒主机来允许通信经过代理服务器可以被设置来记录所提供的服务的相关信息,并且对可疑活动和未授权的访问进行报警
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 关于技术服务协议的报告
- 颈部坏死性筋膜炎病因介绍
- 个人调解协议
- 面部长毛病因介绍
- 药物性脱发病因介绍
- 自身敏感性皮炎病因介绍
- 全国赛课一等奖初中统编版七年级道德与法治上册《增强安全意识》教学课件
- (案例)凿岩钻机项目立项报告
- 2023年工控装备:温度控制调节器项目融资计划书
- 《KAB创业俱乐部》课件
- JGJ7-2010 空间网格结构技术规程
- JT-T-1202-2018城市公共汽电车场站配置规范
- 智能化弱电工程技术方案(完整)
- 国开(贵州)2024年《仲裁法》形考作业1-2终考任务试题
- DL-T5796-2019水电工程边坡安全监测技术规范
- 2024年《满江红·小住京华》原文及赏析
- 植物病虫害防治赛项赛题及答案
- 急救知识与技术智慧树知到期末考试答案章节答案2024年新疆巴音郭楞蒙古自治州卫生学校
- TPM知识竞赛试题库
- 齐鲁针灸 知到智慧树网课答案
- (国开电大)可编程控制器应用课程实验
评论
0/150
提交评论