信息安全综合实验：防火墙ppt-PowerPointP

信息安全综合实验Email:Tel:实验二防火墙实验防火墙的原理防火墙的分类常用防火墙实验内容网络安全保护急需解决的问题黑客不良网站DOS网络攻击病毒，蠕虫禁止内容访问恶意网页/邮件Internet策略控制网络攻击防御内容级攻击防御数据安全加密黑客防火墙的基本概念所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，实际上是一种隔离技术。防火墙是位于两个(或多个)网络间，实施网络之间访问控制的一组组件集合。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过，而且防火墙本身也必须能够免于渗透。防火墙的功能允许网络管理员定义一个中心点来防止非法用户进入内部网络。可以很方便地监视网络的安全性，并报警。可以作为部署NAT（NetworkAddressTranslation，网络地址变换）的地点利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。是审计和记录Internet使用费用的一个最佳地点。防火墙的基本特性内部网络和外部网络之间的所有网络数据流都必须经过防火墙只有符合安全策略的数据流才能通过防火墙防火墙自身应具有非常强的抗攻击免疫力实验二防火墙实验防火墙的原理防火墙的分类常用防火墙实验内容防火墙的分类包过滤防火墙以色列的Checkpoint防火墙Cisco公司的PIX防火墙代理防火墙（应用层网关防火墙）美国NAI公司的Gauntlet防火墙包过滤防火墙第一代：静态包过滤根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”，即明确允许那些管理员希望通过的数据包，禁止其他的数据包。包过滤防火墙第二代：动态包过滤采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测（StatefulInspection）技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪根据需要可动态地在过滤规则中增加或更新。只对网络级数据包做保护是不够的

FourscoreandsevenyearsagoourforefathersbroughtforthuponthisBANNEDWORDSanewnation,nliberty,anddedicatedtothepropositionthatall防火墙只检查包头–让带有攻击和禁止内容的“合法”数据包通过应用层内容过滤1.重新组装数据包FourscoreandsevenyearsagoourforefathersbroughtforthuponthisBANNEDWORDSanewliberty,anddedicatedtothepropositionthatall…

URL过滤

仅查找URL黑名单，

遗漏了深入在内容

里被禁止的词汇

BADCONTENTBANNEDWORDSNASTYTHINGSNASTIERTHINGS不接受的内容攻击特征2.对比不允许内容和攻击列表网络层内容(数据包)基于数据包

的病毒扫描可能觉察不到横跨在

多个数据包里的攻击代理防火墙第一代：代理防火墙代理防火墙也叫应用层网关（ApplicationGateway）防火墙。这种防火墙通过一种代理（Proxy）技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。代理防火墙的优缺点代理类型防火墙的最突出的优点就是安全。通过专门为特定的服务如Http编写的安全化的应用程序进行处理，然后由防火墙本身提交请求和应答没有给内外网络的计算机以任何直接会话的机会代理防火墙的最大缺点就是速度相对比较慢比如要求达到75-100Mbps时，代理防火墙就会成为内外网络之间的瓶颈代理防火墙第二代：自适应代理防火墙自适应代理技术（Adaptiveproxy）是最近在商业应用防火墙中实现的一种革命性的技术。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点组成这种类型防火墙的基本要素有两个：自适应代理服务器（AdaptiveProxyServer）与动态包过滤器（DynamicPacketfilter）。在自适应代理与动态包过滤器之间存在一个控制通道。自适应代理就可以根据用户的配置信息，决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。两种防火墙技术的对比包过滤防火墙优点价格较低,性能开销小，处理速度较快缺点定义复杂，容易出现因配置不当带来问题,允许数据包直接通过，容易造成数据驱动式攻击的潜在危险代理防火墙能够透彻地理解相关服务的命令对来往的数据包进行安全化处理速度较慢，不太适用于高速网（ATM或千兆位以太网等）之间的应用防火墙的配置几个概念堡垒主机(BastionHost)：对外部网络暴露，同时也是内部网络用户的主要连接点多宿主主机(multi-homedhost)：至少有两个网络接口的通用计算机系统DMZ(DemilitarizedZone，非军事区或者停火区)：在内部网络和外部网络之间增加的一个子网双宿主主机所有的流量都通过堡垒主机优点：简单屏蔽主机从物理上把内部网络和Internet隔开，必须通过两层屏障只允许堡垒主机可以与外界直接通讯优点：两层保护：包过滤+应用层网关；配置灵活屏蔽子网DMZ(DemilitarizedZone，非军事区或者停火区)：在内部网络和外部网络之间增加的一个子网优点：三层防护，用来阻止入侵者外面的router只向Internet暴露屏蔽子网中的主机内部的router只向内部私有网暴露屏蔽子网中的主机实验二防火墙实验防火墙的原理防火墙的分类常用防火墙实验内容常见防火墙个人防火墙小型企业防火墙大型企业防火墙开源防火墙（Opensource）防火墙的几个技术指标防火墙吞吐量防火墙会话数防火墙策略什么是内容过滤什么是DMZ什么是NAT吞吐量吞吐量，指防火墙的每秒通信量，主要由防火墙内网卡，及程序算法的效率决定，尤其是程序算法，会使防火墙系统进行大量运算，通信量大打折扣。因此，大多数防火墙虽号称100M防火墙，由于其算法依靠软件实现，通信量远远没有达到100M,实际只有10M-20M。纯硬件防火墙，由于采用硬件进行运算，因此吞吐量可以达到线性，90-95M,是真正的100M防火墙。会话数会话数，是指防火墙可以同时允许终端访问的最大数量，由于该网络出口必须通过防火墙，因此会话数代表了加有该防火墙的网络可以允许多少个外部的访问。防火墙策略数黑客攻击采用算法进行程序设计，分为多种攻击方式，防火墙之所以防范黑客，原理是根据黑客的算法，设计出相应的防范规则加入防火墙预先在防火墙内设定的黑客判别规则称为防火墙策略，防火墙策略越多，性能越好但由于策略越多将导致防火墙运算加大，因此通信量将大幅降低，防火墙策略/防火墙通信量，是相互矛盾的。只用纯硬件防火墙才可以解决以上问题。

内容过滤、DMZ、NAT内容过滤，是指对经过防火墙的信息进行监测，可以按照用户需求，禁止带有色情，反动或任何用户希望禁止的信息浏览或被浏览。DMZ(非军事区)=Untrust（非信任区），与军事区和信任区相对应。非信任区，作用是把WEB,e-mail,等允许外部访问的服务器单独接在该区端口，使整个需要保护的内部网络接在信任区端口后，不允许任何访问，实现内外网分离，达到用户需求。NAT,地址转换，有了NAT,防火墙可以作为代理服务器，使整个内部网络所用用户可以通过一条线路，一个帐号，同时访问互联网。NAT原理防火墙09外部地址9内部用户:6012NAT:601209:6000109:60001虚拟专用网(VPN)SonicWall功能比较功能T口数746防火墙吞吐量90M200M300M3DES吞吐量30M50M75M并发会话数600032000120K策略数VPN通道数10501000反病毒蠕虫XXX内容过滤VVV入侵检测VVV用户认证无无无WatchGuard功能比较功能V10V60V100X500X700X1000接口数746333防火墙吞吐量90M200M300M100M150M225M3DES吞吐量30M50M75M20M40M75M并发会话数600032000120K策略数VPN通道数105010000100500反病毒蠕虫XXXVVV内容过滤VVVVVV入侵检测VVVVVV用户认证无无无无无无NetScreen的功能比较功能5XP50204接口数防火墙吞吐量10M170M400M3DES吞吐量1M50M200M并发会话数20008000128K策略数10040004000VPN通道数1010001000反病毒蠕虫XXX内容过滤VVV入侵检测VVV用户认证有限制无无Cisco的功能比较功能PIX501PIX515EPIX535接口数防火墙吞吐量10M188M1Gbps3DES吞吐量3M63M100M并发会话数3500125K500K策略数VPN通道数520002000反病毒蠕虫XXX内容过滤VVV入侵检测VVV用户认证10用户无无内部地址不允许外部访问传统的防火墙配置非军事区DMZ内/外部可以访问有外部IP,转发防火墙firewall外部地址内部可以访问DMZ内部用户恶意用户一种新型的防火墙设置虚拟DMZ外部可以访问内部IP单一映象外部可以访问内部IP优点屏蔽了DMZ的结构内部IP可扩展性,Cluster的结构接受请求路径选择表80->:8021->.21选定包过滤示例堡垒主机内部网外部网络在上图所示配置中，内部网地址为：/24，堡垒主机内网卡eth1地址为：，外网卡eth0地址为：3DNS地址为：要求允许内部网所有主机能访问外网服务，外部网不能访问内部主机包过滤示例(续)匹配那些有RSTorACKbits设置的TCP包Setinternal=/24Denyipfrom$internaltoanyinviaeth0Denyipfromnot$internaltoanyinviaeth1Allowudpfrom$internaltoanydnsAllowudpfromanydnsto$internalAllowtcpfromanytoanyestablishedAllowtcpfrom$internaltoanyviaeth1Allowtcpfrom$internaltoanyviaeth1Allowtcpfromanyto$internalinviaeth0DenyipfromanytoanyOpenSource防火墙Ipfilter(FreeBSD、OpenBSD、Solaris，…)Ipfw(FreeBSD)Ipchains(Linux2.0.x/2.2.x)Iptables(Linux2.4.x)网络层的处理流程Ip_rcv()RoutetableIp_forward()DemasqIp_output()RoutetableIp_local_deliver()inputforwardoutput传输层链路层masqLinux内核中的包过滤In_Rule1In_Rule2In_Rule3Rule1Rule2inputforwardoutputFirewall_opsuserAcceptDeny

RejectIPChains简介[1]ipchains1.3.9规则[build-inChains]input,output,forward目标(targets]AcceptRejectDenyMASQREDIRECTRETURN操作规则Add,Delete,Append.-X,DeleteAllMasquerade-M-L-M-SIpchains简介[2]规则匹配协议,

-p[!]protocol,-ptcp,icmp,udp,