版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
防火墙理论与实例讲解第1页,共65页,2023年,2月20日,星期四防火墙的工作原理
根据防范的方式和侧重点的不同,防火墙可分为三大类:
1.数据包过滤
数据包过滤(PacketFiltering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(AccessControlTable)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。网络安全培训中心第2页,共65页,2023年,2月20日,星期四内部网络外部网络应用层表示层会话层传输层网络层链路层物理层数据包过滤防火墙实现原理图网络安全培训中心第3页,共65页,2023年,2月20日,星期四蓝盾防火墙过滤规则网络安全培训中心第4页,共65页,2023年,2月20日,星期四2.应用级网关
应用级网关(ApplicationLevelGateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。内部网络外部网络应用层表示层会话层转输层网络层链路层物理层应用网防火墙实现原理图第5页,共65页,2023年,2月20日,星期四3.代理服务
代理服务(ProxyService)也称链路级网关或TCP通道(CircuitLevelGatewaysorTCPTunnels),也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”,由两个终止代理服务器上的“链接”来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外网络安全培训中心第6页,共65页,2023年,2月20日,星期四计算机系统的作用。此外,代理服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。防火墙代理客户代理访问控制服务器代理客户服务器请求转发应答请求转发应答代理服务防火墙应用数据控制及传输过程图网络安全培训中心第7页,共65页,2023年,2月20日,星期四一、一般防火墙的极限性
我国几大知名网站先后被黑客攻破,充分暴露了一般防火墙存在的极限性--就是“治标不治本”,对新型攻击和变种攻击无法防御,黑客只要改变攻击方式或拥有了新的工具,就有一批网站要遭其黑手。蓝盾安全小组第8页,共65页,2023年,2月20日,星期四二、新一代防御技术--蓝盾智能防御
蓝盾防火墙突破了传统的被动防御观念,从底层做起,自行研制开发出了一套全新的智能防御核心,它不仅能拦截目前的4000多种黑客攻击,对各种新型攻击和“变种攻击”也能自动制定防御策略进行有效防御,彻底解决了一般防火墙对新型攻击无法防御的问题。同时蓝盾防火墙还具备有反端口扫描功能和168位的高加密技术(美国严禁出口)。蓝盾安全小组第9页,共65页,2023年,2月20日,星期四蓝盾智能技术主要有以下几点▉智能防御核心▉自动反扫描▉自动告警蓝盾安全小组第10页,共65页,2023年,2月20日,星期四
1、智能防御核心(图7)
蓝盾防火墙系统有一个独特的智能防御核心,能自动统计、分析通过防火墙的各种连接数据,探测出攻击者,立即断开与该主机的任何连接,保护内网所有服务器和主机的安全。智能分析安全探测器防御策略制定网络核心蓝盾安全小组第11页,共65页,2023年,2月20日,星期四2、自动反扫描技术
扫描是“黑客攻击”的前奏,攻击前,“黑客”一般会先扫描一下目标主机打开的服务端口,然后再进行针对性攻击。蓝盾防火墙在内核设计中引入自动反扫描机制,当“黑客”用扫描器扫描防火墙或防火墙保护的服务器时,将扫不出任何服务端口,使“黑客”无从下手。蓝盾安全小组第12页,共65页,2023年,2月20日,星期四(图8)蓝盾安全小组第13页,共65页,2023年,2月20日,星期四3、自动告警
当你的服务器遭到扫描、攻击时,防火墙系统会自动向你提示告警。电子邮件、手机、Bp机
蓝盾安全小组第14页,共65页,2023年,2月20日,星期四七、蓝盾系统构架●软硬一体化设计●自行开发的操作平台●美观、易用的WEB管理界面蓝盾安全小组第15页,共65页,2023年,2月20日,星期四1、软硬一体化设计
充分发挥硬件的性能,运行效率高;系统更加可靠,安装方便。
蓝盾安全小组第16页,共65页,2023年,2月20日,星期四2、自行开发的操作平台
现在商业操作平台如Win98、NT、UNIX、LINUX存在着不少漏洞,不断被黑客在互联网上公开、传播,作为攻击的目标。蓝盾从底层做起,自行开发出一套防火墙专用平台,对于与流量关系密切的模块进行优化处理,做到了:
●高安全性●高稳定性●高效率
蓝盾安全小组第17页,共65页,2023年,2月20日,星期四3、美观、易用的WEB界面基于WWW管理界面的系统设置,管理员可以通过由HTML、组成的图形界面对系统进行管理。把复杂繁多的系统功能设置变为直观易用的WWW界面,提高了系统的可用性。蓝盾安全小组第18页,共65页,2023年,2月20日,星期四三、蓝盾防火墙系统功能特点
(一)、技术先进
●智能防御
●端口反扫描
●高保密度VPN(168bit)●防外又防内的解决方案蓝盾安全小组第19页,共65页,2023年,2月20日,星期四(二)、实用性强●分组代理计费功能
●URL过滤功能
●地址转换功能(NAT)●MAC绑定功能●物理断开功能
蓝盾安全小组第20页,共65页,2023年,2月20日,星期四(一)、技术先进
●智能防御●端口反扫描●高保密度VPN(168bit)
虚拟专网技术是指在公共网络中建立专用网络,数据通过安全的“加密通道”在公共网络中传播。企业只需要租用本地的数据专线,连接上本地的公众信息网,那么各地的机构就可以互相传递信息。这样使用VPN可以节约成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处。蓝盾的加密技术高达168bit(3DES),该加密技术美国禁止出口。蓝盾安全小组第21页,共65页,2023年,2月20日,星期四蓝盾安全小组第22页,共65页,2023年,2月20日,星期四某集团公司VPN整体解决方案图
第23页,共65页,2023年,2月20日,星期四防外又防内的解决方案蓝盾安全小组第24页,共65页,2023年,2月20日,星期四(二)、实用性强1分组代理计费功能
网管员可以根据企业内部网的实际情况,将用户划分成不同的组,如“财务组”、“市场组”,再给组中的每一个用户一个独立的帐号(用户/密码)。防火墙对每一帐号的上网情况都做了详细记录,并根据设定的单价表进行记费。
蓝盾安全小组第25页,共65页,2023年,2月20日,星期四蓝盾安全小组第26页,共65页,2023年,2月20日,星期四2、URL过滤功能
对一些黄色站点、反动站点,通过URL过滤功能,可进行访问限制,不给内网人员浏览那些网站或特定页面。(如WWW.SEX.COM)还可指定到具体某种类型文件。
蓝盾安全小组第27页,共65页,2023年,2月20日,星期四3、地址转换功能
NAT功能不仅可以隐藏内部网络地址信息,使外界无法直接访问内部网络设备,同时,它还帮助网络可以超越地址的限制,合理地安排网络中的公有Internet地址和私有IP地址的使用。
主要包括:
A:地址(端口)映射。。。。出去B:重定向。。。。。。。。。进来
蓝盾安全小组第28页,共65页,2023年,2月20日,星期四蓝盾安全小组第29页,共65页,2023年,2月20日,星期四蓝盾安全小组第30页,共65页,2023年,2月20日,星期四
4、MAC绑定功能MAC绑定技术是将IP地址和网卡的硬件地址绑定起来,目的是为了防止IP欺骗、地址伪装,主要用于绑定一些重要的系统管理员IP和特权IP。
比如:IPMACAC:10:5A:63:7C:3F
蓝盾安全小组第31页,共65页,2023年,2月20日,星期四5、物理断开功能
本系统的三个网络硬件接口中,都内置一个物理开关模块,通过设置,可断开任一网络接口的联接,即时中止该网络接口的任何通信,这样,在某些特殊环境下,可进一步提高系统的安全性。蓝盾安全小组第32页,共65页,2023年,2月20日,星期四四、蓝盾防火墙典型方案:方案一:
内网-255(掩码为)通过蓝盾防火墙透明代理上互联网。防火墙地址(内网别名,DMZ区(掩码为),
第33页,共65页,2023年,2月20日,星期四外网(WWW)别名(DNS)别名(EMAIL)(掩码均为48)),DMZ区(掩码均为)),WWW与FTP服务器IP地址为,EMAIL服务器IP地址为,DNS服务器IP地址为0。外部路由器IP地址为(掩码为48)。第34页,共65页,2023年,2月20日,星期四互联网外部路由器蓝盾防火墙内网主机群wwwFTPDNSEMALL0
DNS10.10.10.X第35页,共65页,2023年,2月20日,星期四在内网所有要上互联网的主机的网关设置为蓝盾防火墙内网地址。在内网DNS的辅助DNS服务器设置为。蓝盾防火墙中的设置:
系统设置中设置域名服务器为ISP提供的DNS服务器IP地址。
安全规则中NAT规则设置:(外网部分访问DMZ区)第36页,共65页,2023年,2月20日,星期四
重定向绑定网络设备三目标地址端口80重定向到端口80协议TCP
重定向绑定网络设备三目标地址端口21重定向到端口21协议TCP
映射绑定网络设备三来源主机映射到主机协议TCP/UDP
重定向绑定网络设备三目标地址端口53重定向到端口53协议TCP/UDP第37页,共65页,2023年,2月20日,星期四
重定向绑定网络设备三目标地址端口25重定向到0端口25协议TCP;重定向绑定网络设备三目标地址端口110重定向到0端口110协议TCP;(内网部分访问DMZ区)
重定向绑定网络设备一目标地址端口80重定向到端口80协议TCP;重定向绑定网络设备一目标地址端口21重定向到端口21协议TCP;第38页,共65页,2023年,2月20日,星期四
映射绑定网络设备一来源主机映射到主机协议TCP/UDP重定向绑定网络设备一目标地址端口53重定向到端口53协议TCP/UDP重定向绑定网络设备一目标地址端口25重定向到0端口25协议TCP重定向绑定网络设备一目标地址端口110重定向到0端口110协议TCP(内网部分访问外网)第39页,共65页,2023年,2月20日,星期四
重定向绑定网络设备一目标地址端口80重定向到端口80协议TCP映射绑定网络设备三来源网络子网掩码映射到主机协议TCP/UDP端口映射5000-65000
第40页,共65页,2023年,2月20日,星期四方案二:
内网-255(掩码为)通过了内网中的代理服务器代理上网(内网DNS为),最后通过蓝盾防火墙出互联网。防火墙地址(内网别名,DMZ区(掩码为),外网(WWW)别名(DNS)别名(EMAIL)(代理上网)
第41页,共65页,2023年,2月20日,星期四互联网外部路由器蓝盾防火墙
DNSwwwFTPDNSEMALL0代理服务器内部主机群第42页,共65页,2023年,2月20日,星期四
在代理服务器上的网关设置为蓝盾防火墙内网地址,内网中上互联网的主机的设置具体与代理服务器相应。在内网DNS的辅助DNS服务器设置为。
蓝盾防火墙中的设置:
系统设置中设置域名服务器为ISP提供的DNS服务器IP地址。
第43页,共65页,2023年,2月20日,星期四
重定向绑定网络设备三目标地址端口80重定向到端口80协议TCP重定向绑定网络设备三目标地址端口21重定向到端口21协议TCP映射绑定网络设备三来源主机映射到主机协议TCP/UDP重定向绑定网络设备三目标地址端安全规则中NAT规则设置:(外网部分访问DMZ区)第44页,共65页,2023年,2月20日,星期四口53重定向到端口53协议TCP/UDP重定向绑定网络设备三目标地址端口25重定向到0端口25协议TCP重定向绑定网络设备三目标地址端口110重定向到0端口110协议TCP
(内网部分访问DMZ区)重定向绑定网络设备一目标地址端口80重定向到端口80协议TCP重定向绑定网络设备一目标地址端口21重定向到端口21协议TCP第45页,共65页,2023年,2月20日,星期四
映射绑定网络设备一来源主机映射到主机协议
TCP/UDP
重定向绑定网络设备一目标地址端口53重定向到端口53协议TCP/UDP
重定向绑定网络设备一目标地址端口25重定向到0端口25协议TCP
重定向绑定网络设备一目标地址端口110重定向到0端口110协议TCP
(使内网中的代理服务器提供出口部分)映射绑定网络设备三来源主机映射到主机协议TCP/UDP
第46页,共65页,2023年,2月20日,星期四方案三:
内网-255(掩码为)HTTP使用蓝盾防火墙透明代理上网,其它协议通过了内网中的代理服务器代理上网(内网DNS为),最后通过蓝盾防火墙出互联网。防火墙地址(内网别名,DMZ区
(掩码为),外网(WWW)别名(DNS)别名(EMAIL)
第47页,共65页,2023年,2月20日,星期四(代理上网)(掩码均为48)),DMZ区(掩码均为)),WWW与FTP服务器IP地址为,EMAIL服务器IP地址为,DNS服务器IP地址为0。外部路由器IP地址为(掩码为48)。第48页,共65页,2023年,2月20日,星期四互联网外部路由器蓝盾防火墙
DNSwwwFTPDNSEMALL0代理服务器内部主机群10.10.10.X第49页,共65页,2023年,2月20日,星期四在代理服务器上的网关设置为蓝盾防火墙内网地址,内网中上互联网的主机的设置具体与代理服务器相应。在内网DNS的辅助DNS服务器设置为。
蓝盾防火墙中的设置:
系统设置中设置域名服务器为ISP提供的DNS服务器IP地址。
第50页,共65页,2023年,2月20日,星期四安全规则中NAT规则设置:
(外网部分访问DMZ区)
重定向绑定网络设备三目标地址端口80重定向到端口80协议TCP
重定向绑定网络设备三目标地址端口21重定向到端口21协议TCP
映射绑定网络设备三来源主机映射到主机协议TCP/UDP第51页,共65页,2023年,2月20日,星期四
重定向绑定网络设备三目标地址端口53重定向到端口53协议TCP/UDP重定向绑定网络设备三目标地址端口25重定向到0端口25协议TCP重定向绑定网络设备三目标地址端口110重定向到0端口110协议TCP
(内网部分访问DMZ区)
重定向绑定网络设备一目标地址端口80重定向到端口80协议TCP重定向绑定网络设备一目标地址第52页,共65页,2023年,2月20日,星期四端口21重定向到端口21协议TCP
映射绑定网络设备一来源主机映射到主机协议TCP/UDP重定向绑定网络设备一目标地址端口53重定向到端口53协议TCP/UDP重定向绑定网络设备一目标地址端口25重定向到0端口25协议TCP重定向绑定网络设备一目标地址端口110重定向到0端口110协议TCP
(使内网中的代理服务器提供出口部分)
第53页,共65页,2
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 中国桥梁钢结构行业发展分析及发展前景与趋势预测研究报告
- 2024至2030年河北省公共卫生应急产业发展前景与投资规划分析报告
- 2024至2030年天津市大健康产业市场运行及投资策略咨询报告
- 2024至2030年中国健身产业投资分析及前景预测报告
- 2024至2030年全球及中国铺管船行业研究及十四五规划分析报告
- 广东省深圳市2024年中考化学真题
- 冷藏车运输市场细分与竞争策略分析考核试卷
- 火力发电厂电气设备与新能源并网考核卷考核试卷
- 冷藏车运输货物管理与质量控制考核试卷
- 弹簧在汽车悬挂系统中的空气弹簧设计考核试卷
- 人文地理学的研究方法人文地理学
- 人教版五年级英语上册带音标词汇表(共6页)
- 足球 课件 (共14张PPT)
- 2022年普通高中信息技术课程标准
- 全员育人工作总结
- 安徽省建设工程量清单计价规范
- 医院医疗废物污水管理处理相关
- 年产10万吨润滑油加氢改质基础油——物料衡算
- 1994年四川高考理科数学真题及答案
- 第三方物流企业的运作模式分析--以顺丰公司为例物流管理专业
- 吊车组立铁塔施工方案(新版)
评论
0/150
提交评论