防火墙技术与VPN技术课件

第三讲防火墙技术与ⅤPN技术来南大亭Allrightsreserved02010,Sodiversity内容提要≯防火墙概述包过滤技术代理服务技术电路级网关VPN基本原理及工作流程VPN主要技术支持VPN的相关协议来南大亭Allrightsreserved02010,Sodiversity防火墙概述(1)防火墙的定义■防火墙是一个或一组实施访问控制策略的系统。用来隔离受保护的网络和不受的网络(如因特网),通过单一集中的安全检查点,审查并过滤所有从I特网到受保护网络的连接(反之亦然)。内部局域网过滤防火防火墙的功能■过滤进、出网络的数据■管理进、出网络的访问行为■封堵某些禁止的业务■记录通过防火墙的信息内容和活动■对网络攻击的检测和告警来南大亭Allrightsreserved(22010,SoutheastUniversity防火墙概述(2)防火墙的层次网络层防火墙■应用层网关■电路级网关■规则检查防火墙物拜防火墙的结构■双宿堡垒主机因特网屏蔽主机防火墙为自自屏蔽子网防火墙區區s外部路由春DMZ网络内部网络堡垒主机區區屏蔽路由器區岛區區内部网络来南大亭Allrightsreserved(22010,SoutheastUniversity防火墙概述(3)防火墙产品的选择■基本思路·明确内部网络安全的最终目标明确网络安全要达到什么级别监测和控制防火墙安全标准■Secure/WAN(SWAN)标准:RSA、SunMicrosystem、CheckPointFTP等■防火墙测试标准:由NCSA成立的FWPD联盟制常用工具■Firewal|-1:CheckPoint公司。PIXFirewall|和OS放火墙集:CSco公司SAServer2000:Microsoft公司SymantecFirewall:Symantec公司。■国内产品:“网络卫士”、清华紫光系列防火墙等。来南大亭Allrightsreserved02010,Sodiversity包过滤技术(1)包过滤的原理和基本准则■包过滤原理·包过滤路由器对所接收的毎个数据包做允许或拒绝的决定;路由器审查毎个数据包以便确定是否与某一条包过滤规则匹配。如果包的入接口匹配于出接口,并且规则允许该数据包,该数据包就会按路由表中的信息被转发;如果虽然匹配,但规则拒绝该数据包,则该数据包就丢弃;如果不相匹配,用户配置的默认参数会决定是转发还是丢弃数据包决定包过滤规则的信息发出数据包的源|P地址或源IP地址的范围接收数据包的目的P地址或目的|P地址的范围所涉及的网络协议(TCP,UDP,CMP等)所使用的端口号■包过滤的基本准则切未被允许的就是被禁止的。基于该准则,防火墙应封锁所有信息流,然后对切未被禁止的就是被允许的。基于该准则,防火墙应转发所有信息流,然后逐项屏蔽可能有害的服务。来南大亭Allrightsreserved(22010,SoutheastUniversity包过滤技术(2)包过滤器的工作机制及配制工作机制个包过滤器由一个“脏”端口、一个“干净”端口和一组规则组成·“脏”端口与Internet相连,来自Internet的流量都由此端口进入库所定义的标准来决定是否让数据包由“干净”端口进入信任网络根捃规则防火墙所配置的规则库对由“脏”端口进入的流量进行处理,即防火■配制则「协议类型源地址目的地址源端口目的端口措施2429.·规则1:只允许某个小子网中的源地址访问网内资源,并从一个随机高端口号上发出SSH连接到目的地址的TCP22端口上·规则2:用于典型的HTTP流量,允许外界通过端口访问内部网络。来南大亭Allrightsreserved(22010,SoutheastUniversity包过滤技术(3)·规则3:允许访问内部网络的SMTP流量规则4和5:允许访问两个DNS服务器,其|P地址分别为1291.5.152和12915.153规则6:阻塞那些与前面规则中所有的标准都不匹配的欻据包经授权的用户子网防火墙外部路由器服务器网络旬國自圆自SshHttpsmtPDnsDns50/155来南大亭Allrightsreserved02010,Sodiversity包过滤技术(4)包过滤的优缺点优·仅需很少的管理开销,对屏蔽设备的性能无太大影响.相当便宜甚至是免费的。对流量的管理较出色缺点允许外部网络直接连接到网络内部主杋。仅能在传输层或网络层检测网络流量,容易使网络外围设备出现许多安全漏洞在复杂环境中难于管理和测量。·除非进行专门配制,否则很难防御源地址欺骗没有用户身份验证机制来南大亭Allrightsreserved02010,Sodiversity代理服务技术(1)代理服务器的结构和工作过程概述代理服务器通常由两部分构成:服务器端程序和客户端程序客户端程序与中间节点代理服务器连接,中间节点再与要访问的外部服务器实际内部网网之间不存在直接的连接,代理服务器网络服务时发挥中间转接作用,内部网络只接受代理服务器提出的服务请求,拒绝外部网络其他节点的直接请求结构硬件结构:双宿堡垒主机、屏蔽主机、屏蔽子网三种体系结构。软件结构:需要特殊的应用软件,却不需要特定的客户软件;由在各个程序中建立安全性的特殊目的代码组成,代理各种服务。