防火墙演示文稿

防火墙演示文稿当前第1页\共有57页\编于星期五\16点防火墙当前第2页\共有57页\编于星期五\16点本章要求了解防火墙的定义、发展历史、目的、功能、局限性等掌握包过滤、应用代理、电路级代理和NAT代理等工作原理、技术特点和实现方式；掌握防火墙的规则配置方法熟悉防火墙的常见体系结构当前第3页\共有57页\编于星期五\16点本节主要内容一、防火墙概述二、防火墙技术分析三、防火墙部署当前第4页\共有57页\编于星期五\16点建筑业中的防火墙建筑业中的防火墙用在建筑单位间，防止火势的蔓延。当前第5页\共有57页\编于星期五\16点IT领域中的防火墙在网络安全领域中，防火墙用来指应用于内部网络（局域网）和外部网络（Internet）之间的，用来保护内部网络免受非法访问和破坏的网络安全系统。

当前第6页\共有57页\编于星期五\16点防火墙功能示意两个不同网络安全域间通信流的唯一通道，对流过的网络数据进行检查，阻止攻击数据包通过。安全网域一安全网域二当前第7页\共有57页\编于星期五\16点防火墙主要功能过滤进、出网络的数据;防止不安全的协议和服务；管理进、出网络的访问行为；记录通过防火墙的信息内容与活动；对网络攻击进行检测与告警;防止外部对内部网络信息的获取提供与外部连接的集中管理；当前第8页\共有57页\编于星期五\16点防火墙不能防范的攻击来自内部的安全威胁；病毒开放应用服务程序的漏洞；特洛伊木马；社会工程；不当配置当前第9页\共有57页\编于星期五\16点衡量防火墙三大要求安全内部和外部间所有数据必须通过防火墙只有符合安全策略的数据流才能通过防火墙防火墙自身要安全管理良好的人机交互界面提供强劲的管理及扩展功能速度当前第10页\共有57页\编于星期五\16点防火墙发展历程主要经历了三个阶段：基于路由器的防火墙基于通用操作系统的防火墙基于安全操作系统的防火墙当前第11页\共有57页\编于星期五\16点防火墙基本结构防火墙构成四要素：外部网内部网安全策略技术手段当前第12页\共有57页\编于星期五\16点本节主要内容一、防火墙概述二、防火墙技术分析三、防火墙部署当前第13页\共有57页\编于星期五\16点防火墙分类按实现技术分类：包过滤型代理型防火墙按体系结构分类：双宿/多宿主机防火墙屏蔽主机防火墙屏蔽子网防火墙混合结构当前第14页\共有57页\编于星期五\16点包过滤防火墙包过滤防火墙在决定能否及如何传送数据包之外，还根据其规则集，看是否应该传送该数据包普通路由器当数据包到达时，查看IP包头信息，根据路由表决定能否以及如何传送数据包

当前第15页\共有57页\编于星期五\16点静态包过滤防火墙传输层传输层传输层

当前第16页\共有57页\编于星期五\16点路由与包过滤路由进行转发，过滤进行筛选源地址目标地址协议是否允许HostASeverXTCPYESHostASeverXUDPNOHostA外部网络目标路由SeverX接口1……………………SeverX当前第17页\共有57页\编于星期五\16点包过滤所检查的内容源和目的的IP地址

IP选项

IP的上层协议类型（TCP/UDP/ICMP）

TCP和UDP的源及目的端口

ICMP的报文类型和代码

我们称这种对包头内容进行简单过滤的方式为静态包过滤当前第18页\共有57页\编于星期五\16点包过滤配置包过滤防火墙配置步骤：知道什么是应该和不应被允许，制定安全策略规定允许的包类型、包字段的逻辑表达用防火墙支持的语法重写表达式当前第19页\共有57页\编于星期五\16点规则制定的策略规则制定的基本策略：允许任何访问，除非规则特别地禁止

拒绝任何访问，除非被规则特别允许

允许拒绝允许拒绝当前第20页\共有57页\编于星期五\16点规则制定的策略过滤的两种基本方式按服务过滤：根据安全策略决定是否允许或拒绝某一种服务按规则过滤：检查包头信息，与过滤规则匹配，决定是否转发该数据包当前第21页\共有57页\编于星期五\16点依赖于服务的过滤多数服务对应特定的端口，如要封锁输Telnet、SMTP的连接，则Router丢弃端口值为23和25的所有数据包。典型的过滤规则有以下几种：只允许进来的Telnet会话连接到指定的内部主机只允许进来的FTP会话连接到指定的内部主机允许所有出去的Telnet会话

允许所有出去的FTP会话拒绝从某些指定的外部网络进来的所有信息当前第22页\共有57页\编于星期五\16点按规则过滤有些类型的攻击很难用基本包头信息加以鉴别，因为独立于服务。如果防范则需要定义规则1）源IP地址欺骗攻击入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包；这些信息包似乎像包含了一个内部系统的源IP地址。如果这些信息包到达Router的外部接口，则舍弃每个含有这个源IP地址的信息包，就可以挫败这种源欺骗攻击。当前第23页\共有57页\编于星期五\16点按规则过滤2）源路由攻击攻击者为信息包指定一个穿越Internet的路由，这类攻击企图绕过安全措施，并使信息包沿一条意外(疏漏)的路径到达目的地。可以通过舍弃所有包含这类源路由选项的信息包方式，来挫败这类攻击。3）残片攻击入侵者利用IP分段特性生成一个极小的片断并将TCP报头信息肢解成一个分离的信息包片断，使数据包绕过用户定义的过滤规则。黑客希望过滤路由器只检查第一分段，而允许其它分段通过。通过舍弃所有协议类型为TCP、IP报头中FragmentOffset=1的数据包，即可挫败残片的攻击。当前第24页\共有57页\编于星期五\16点推荐的规则任何进入内网的数据包不能将内部地址作为源地址任何进入内网的数据包必须将内部地址作为目标地址任何离开内网的数据包必须将内部地址作为源地址任何离开内网的数据包不能将内部地址作为目标地址任何进入或离开内网的数据包不能把一个私有地址或者/8作为源或目标地址当前第25页\共有57页\编于星期五\16点静态包过滤的优缺点优点：速度快价格低对用户透明缺点：配置难把握防范能力低没有用户身份验证机制当前第26页\共有57页\编于星期五\16点动态包过滤动态包过滤是CheckPoint的一项称为“

StatefulInspection”的专利技术，也称状态检测防火墙。动态包过滤防火墙不仅以一个数据包的内容作为过滤的依据，还根据这个数据包在信息流位置加以判断。动态包过滤防火墙可阻止未经内网请求的外部通信，而允许内网请求的外部网站传入的通信。当前第27页\共有57页\编于星期五\16点动态包过滤防火墙当前第28页\共有57页\编于星期五\16点使用动态包过滤制定的规则Denyipfrom$internaltoanyinviaeth0Denyipfromnot$internaltoanyinviaeth1Allow$internalaccessanydnsbyudpkeepstateAllow$InternalacessanywwwbytcpkeepstateAllow$internalaccessanyftpbytcpkeepstateDenyipfromanytoany当前第29页\共有57页\编于星期五\16点动态包过滤的优缺点优点：基于应用程序信息验证一个包状态的能力记录通过的每个包的详细信息缺点：造成网络连接的迟滞系统资源要求较高当前第30页\共有57页\编于星期五\16点防火墙分类：包过滤代理型防火墙：应用代理型代理型防火墙：电路代理型代理型防火墙：NAT当前第31页\共有57页\编于星期五\16点代理服务技术代理服务技术能够将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的连接，由两个代理服务器之间的连接来实现，外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用。当前第32页\共有57页\编于星期五\16点应用代理防火墙工作在应用层对所有规则内允许的应用程序作中转转发牺牲了对应用程序的透明性当前第33页\共有57页\编于星期五\16点应用代理防火墙应用代理防火墙当前第34页\共有57页\编于星期五\16点应用代理应用代理工作原理示意缓冲文件应用请求回复应用请求回复当前第35页\共有57页\编于星期五\16点应用代理防火墙应用代理服务器的安全性屏蔽内网用户与外网的直接通信，提供更严格的检查提供对协议的控制，拒绝所有没有配置的连接提供用户级控制，可近一步提供身份认证等信息当前第36页\共有57页\编于星期五\16点应用代理的优缺点优点：可以隐藏内部网络的信息；可以具有强大的日志审核；可以实现内容的过滤；缺点：价格高速度慢

失效时造成网络的瘫痪当前第37页\共有57页\编于星期五\16点防火墙分类：包过滤代理型防火墙：应用代理型代理型防火墙：电路代理型代理型防火墙：NAT当前第38页\共有57页\编于星期五\16点电路级代理电路级代理因此可以同时为不同的服务，如WEB、FTP、TELNET提供代理服即SOCKS代理，它工作在传输层。当前第39页\共有57页\编于星期五\16点应用代理应用代理工作在应用层，对于不同的服务，必须使用不同的代理软件。应用代理内部主机WEB服务FTP服务WEBFTP当前第40页\共有57页\编于星期五\16点电路级代理优缺点优点：隐藏内部网络信息配置简单，无需为每个应用程序配置一个代理缺点：多数电路级网关都是基于TCP端口配置，不对数据包检测，可能会有漏洞当前第41页\共有57页\编于星期五\16点防火墙分类：包过滤代理型防火墙：应用代理型代理型防火墙：电路代理型代理型防火墙：NAT当前第42页\共有57页\编于星期五\16点NAT防火墙NAT定义NAT（NetworkAddressTransla-

tion）网络地址翻译最初设计目的是用来增加私有组织的可用地址空间和解决将现有的私有TCP/IP网络连接到网上的IP地址编号问题当前第43页\共有57页\编于星期五\16点NAT防火墙NAT提供的功能内部主机地址隐藏网络负载均衡网络地址交叠当前第44页\共有57页\编于星期五\16点NAT（网络地址翻译）根据内部IP地址和外部IP地址的数量对应关系，NAT分为：基本NAT：简单的地址翻译M-1，多个内部网地址翻译到1个IP地址M-N，多个内部网地址翻译到N个IP地址池当前第45页\共有57页\编于星期五\16点NAT的优缺点优点管理方便并且节约IP地址资源。隐藏内部IP地址信息。仅当向某个外部地址发送过出站包时，NAT才允许来自该地址的流量入站。

缺点外部应用程序却不能方便地与NAT网关后面的应用程序联系。当前第46页\共有57页\编于星期五\16点本节主要内容一、防火墙概述二、防火墙技术分析三、防火墙布署当前第47页\共有57页\编于星期五\16点防火墙布置简单包过滤路由双宿/多宿主机模式屏蔽主机模式屏蔽子网模式当前第48页\共有57页\编于星期五\16点包过滤路由内部网络外部网络包过滤路由器优点：配置简单缺点：日志没有或很少，难以判断是否被入侵规则表会随着应用变得很复杂单一的部件保护，脆弱当前第49页\共有57页\编于星期五\16点双宿/多宿主机模式堡垒主机：关键位置上用于安全防御的某个系统，攻击者攻击网络必须先行攻击的主机。双宿/多宿主机防火墙又称为双宿/多宿网关防火墙，它是一种拥有两个或多个连接到不同网络上的网络接口的防火墙，通常用一台装有两块或多块网卡的堡垒主机做防火墙，两块或多块网卡各自与受保护网和外部网相连当前第50页\共有57页\编于星期五\16点双宿/多宿主机模式内部网络外部网络应用代理服务器完成：对外屏蔽内网信息设置访问控制对应用层数据严格检查当前第51页\共有57页\编于星期五\16点优点：配置简单检查内容更细致屏蔽了内网结构缺点：应用代理本身的安全性当前第52