防火墙体系结构课件

3.防火墙体系结构包过滤型防火墙()双宿/多宿主机防火墙()屏蔽主机防火墙()屏蔽子网防火墙()其它防火墙结构13.1包过滤型防火墙包过滤型防火墙，往往可以用一台过滤路由器()来实现，对所接收的每个数据包做允许/拒绝的决定包过滤型防火墙一般作用在网络层，故也称网络层防火墙或过滤器2查找对应的控制策略根据策略决定如何处理该数据包数据包3.1包过滤型防火墙数据包拆开数据包数据TCP报头IP报头分组过滤判断信息企业内部网UDPDiscardHostCHostBTCPPassHostCHostADestinationProtocolPermitSource包过滤规则CA33.1包过滤型防火墙路由器审查每个数据包，确定其是否与某一条包过滤规则匹配过滤规则基于可以提供给转发过程的包头信息，包头信息中包括：源地址、目标地址协议类型(、、等等)源端口、目标端口消息类型包头中的位等43.1包过滤型防火墙对到达包过滤防火墙的数据包：规则允许该数据包通过，那么该数据包就会按照路由表中的信息被转发规则拒绝该数据包，那么该数据包就会被丢弃如果没有匹配规则，根据系统的设计策略(缺省禁止/缺省允许)决定是转发还是丢弃数据包53.1包过滤型防火墙举例：阻塞所有进入的连接路由器只需简单地丢弃所有端口号等于23的数据包将进来的连接限制到内部的数台机器上路由器必须拒绝所有端口号等于23并且目标地址不等于允许主机的地址的数据包63.1包过滤型防火墙优点：处理数据包的速度比较快(与代理服务器相比)在流量适中并定义较少过滤规则时，路由器的性能几乎不受影响实现包过滤几乎不再需要费用标准的路由器软件包含数据包过滤功能包过滤路由器对用户和应用来讲是透明的不必对用户进行特殊的培训不必在每台主机上安装特定的软件用户不用改变客户端程序或改变自己的行为73.1包过滤型防火墙缺点：包过滤防火墙的维护比较困难定义数据包过滤器比较复杂，网络管理员需要对各种服务、包头格式、以及每个域的意义有非常深入的理解只能阻止一种类型的欺骗即外部主机伪装内部主机的，对于外部主机伪装其他可信任的外部主机的不能阻止任何直接经过路由器的数据包都有被用做数据驱动式攻击的潜在危险数据驱动式攻击：表面上无害的数据被邮寄或拷贝到内部主机上，但其中包含了一些隐藏的指令，一旦执行能够让主机修改访问控制和与安全有关的文件，使得入侵者能够获得对系统的访问权83.1包过滤型防火墙缺点：一些包过滤路由器不支持有效的用户认证因为地址是可以伪造的，因此如果没有基于用户的认证，仅通过地址来判断是不安全的不能提供有用的日志，或根本不提供日志随着过滤器数目的增加，路由器的吞吐量会下降包过滤器可能无法对网络上流动的信息提供全面的控制包过滤路由器能够允许或拒绝特定的服务，但是不能理解特定服务的上下文环境和数据93.1包过滤型防火墙应用场合机构是非集中化管理机构没有强大的集中安全策略网络的主机数非常少主要依赖于主机安全来防止入侵，但是当主机数增加到一定的程度的时候，仅靠主机安全是不够的没有使用这样的动态地址分配协议103.2双宿/多宿主机防火墙双宿/多宿主机：有两个或多个网络接口的计算机系统，可以连接多个网络，实现多个网络之间的访问控制双宿/多宿主机防火墙：用双宿/多宿主机实现防火墙的功能113.2双宿/多宿主机防火墙特点：层通信被阻止双宿主机内外的网络均可与双宿主机实时通信内外网络之间不可直接通信，内外部网络之间的数据流被双宿主机完全切断上图：网络层路由功能未被禁止，数据包绕过防火墙123.2双宿/多宿主机防火墙两个网络之间的通信方式：应用层数据共享，用户直接登录应用层代理服务，在双宿主机上运行代理服务器133.2双宿/多宿主机防火墙用户直接登录的不足支持用户账号会降低机器本身的稳定性和可靠性用户账号的存在会给入侵者提供相对容易的入侵通道因为用户的行为是不可预知的，如双宿主机上有很多用户账户，这会给入侵检测带来很大的麻烦如果双宿主机上有很多账号，管理员维护困难143.2双宿/多宿主机防火墙运行代理服务的优点可以将被保护的网络内部结构屏蔽起来，增强网络的安全性可用于实施较强的数据流监控、过滤、记录和报告等运行代理服务的缺点使访问速度变慢提供服务相对滞后应用级网关需要针对每一个特定的服务安装相应的代理服务器软件，用户不能使用未被服务器支持的服务，可能会花费一定的时间等待新服务器软件有些服务无法提供153.3屏蔽主机防火墙专门设置一个过滤路由器，把所有外部到内部的连接都路由到堡垒主机上，强迫所有的外部主机与一个堡垒主机相连，而不让它们直接与内部主机相连163.3屏蔽主机防火墙过滤路由器连接和内部网络，它是内部网络的第一道防线过滤路由器需要进行适当的配置，使所有的外部连接被路由到堡垒主机上过滤路由器的重要性：是否正确配置是这种防火墙安全与否的关键过滤路由器的路由表应当受到严格的保护，否则如果路由表遭到破坏，数据包就不会被路由到堡垒主机上，使堡垒主机被绕过173.3屏蔽主机防火墙堡垒主机()位于内部网络，是一台安全性很高的主机，其上没有任何入侵者可以利用的工具，不能作为黑客进一步入侵的基地堡垒主机上一般安装的是代理服务器程序，即外部网络访问内部网络的时候，首先经过外部路由器的过滤，然后通过代理服务器代理后才能进入内部网络堡垒主机在应用层对客户的请求做判断，允许或禁止某种服务。如果该请求被允许，堡垒主机就把数据包发送到某一内部主机或屏蔽路由器上，否则抛弃该数据包183.3屏蔽主机防火墙对于入站连接，根据安全策略，屏蔽路由器可以：允许某种服务的数据包先到达堡垒主机，然后与内部主机连接直接禁止某种服务的数据包入站连接对于出站连接，根据安全策略：对于一些服务()，可以允许它直接通过屏蔽路由器连接到外部网络，而不通过堡垒主机其它服务(和等)，必须经过堡垒主机才能连接到，并在堡垒主机上运行该服务的代理服务器193.3屏蔽主机防火墙屏蔽主机防火墙转发数据包的过程203.3屏蔽主机防火墙与包过滤型防火墙的比较：其提供的安全等级比包过滤防火墙系统要高，实现了网络层安全(包过滤)和应用层安全(代理服务)入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统即使入侵者进入了内部网络，也必须和堡垒主机竞争，堡垒主机是一台安全性很高的主机213.3屏蔽主机防火墙路由器不被正常路由的例子：正常路由情况：内部网络地址：202.112.108.0堡垒主机地址：202.112.108.8路由表内容所有流量发到堡垒主机上223.3屏蔽主机防火墙路由表被破坏的情况：堡垒主机的路由项目被从路由表中删除进入屏蔽路由器的流量不会被转发到堡垒主机上，可能被转发到另一主机上，外部主机直接访问了内部主机，绕过了防火墙过滤路由器成为唯一一道防线，入侵者很容易突破屏蔽路由器，内部网络不再安全233.4屏蔽子网防火墙本质上同屏蔽主机防火墙一样，但增加了一层保护体系——周边网络()。堡垒主机位于周边网络上，周边网络和内部网络被内部屏蔽路由器分开243.4屏蔽子网防火墙为什么使用周边网络在屏蔽主机结构中，堡垒主机最容易受到攻击。而且内部网对堡垒主机是完全公开的，入侵者只要破坏了这一层的保护，那么入侵也就大功告成了屏蔽子网结构就是在屏蔽主机结构中再增加一台路由器的安全机制，这台路由器的意义就在于它能够在内部网和外部网之间构筑出一个安全子网，从而使得内部网与外部网之间有两层隔断。要想侵入用这种体系结构构筑的内部网络，侵袭者必须通过两个路由器，即使侵袭者已设法侵入堡垒主机，他将仍然必须通过内部路由器253.4屏蔽子网防火墙周边网络也称为"停火区"或"非军事区"(，)处于和内部网络之间包含两个包过滤路由器和一个/多个堡垒主机可以放置一些信息和服务器，如和服务器，以便于公众访问，这些服务器可能会受到攻击，因为它们是牺牲服务器，但内部网络还被保护着通过网络直接进行信息传输是严格禁止的是最安全的防火墙系统，因为在定义了“非军事区"网络后，它支持网络层和应用层安全功能263.4屏蔽子网防火墙周边网络的作用堡垒主机位于周边网络，即使被控制，入侵者仍然不能直接侵袭内部网络，内部网络仍受到内部过滤路由器的保护原因：大部分局域网采用以太网，以太网的特点是广播，一台位于网络上的机器可以监听网络上的所有信息如果没有周边网络，一旦堡垒主机被攻破，入侵者可以监听整个网络的对话，获得用户的口令和帐号私人的敏感文件(等)273.4屏蔽子网防火墙如果堡垒主机位于周边网络上，即使入侵者控制了堡垒主机，也只能侦听到和堡垒主机之间的会话内部主机和堡垒主机之间的会话内部网络之间的通信仍然是安全的，因为内部网络上的数据包虽然在内部网络上是广播式的，但内部过滤路由器会阻止这些数据包流入周边网络(发往周边网络和的数据包除外)283.4屏蔽子网防火墙堡垒主机位于周边网络运行各种各样的代理服务器可以被认为是应用层网关，是这种防御体系的核心入站服务，要求所有服务都通过堡垒主机出站服务，不一定要求所有服务都经过堡垒主机，可以由内部路由器和直接通话293.4屏蔽子网防火墙内部路由器又称阻塞路由器，位于内部网和周边网之间用于保护内部网不受周边网和因特网的侵害完成防火墙的大部分的过滤工作303.4屏蔽子网防火墙外部路由器保护周边网上的主机外部路由器还可以防止部分欺骗内部路由器分辨不出一个声称从非军事区来的数据包是否真的从非军事区来，而外部路由器很容易分辨出真伪313.4屏蔽子网防火墙分层系列的周边网一些站点还可以在外部与内部网络之间建立分层系列的周边网信任度低的和易受侵袭的服务被放置在外层的周边网上，远离内部网络在周边网络中设置堡垒主机这样增加了内部网络的安全性，即使侵袭者侵入外层周边网的机器，由于在外层周边网和内部网络之间有了附加安全层，也将难于成功地侵袭内部的机器323.5其它防火墙结构一个堡垒主机和一个非军事区合并内部路由器和堡垒主机合并外部路由器和堡垒主机合并的内部路由器和外部路由器两个堡垒主机和两个非军事区使用多台堡垒主机使用多台外部路由器…33一个堡垒主机和一个非军事区基于屏蔽子网结构合并内部路由器和堡垒主机合并外部路由器和堡垒主机34合并内部路由器和堡垒主机堡垒主机有两个网络接口：一个接到非军事区()一个接到内部网络过滤路由器一端接到一端接到非军事区把外部网络传到内部网络的所有网络流量发送给堡垒主机，过滤规则允许的网络流量被转发给内部网络，其他所有流量被丢弃35优点非军事区上没有主机，只有两个网络接口，可以避免非军事区中的数据被侦听堡垒主机使用双宿主机，提高了系统的安全性，可以防止入侵者绕过堡垒主机缺点一旦堡垒主机被入侵，堡垒主机和内部网络之间没有任何安全保护36合并外部路由器和堡垒主机双宿堡垒主机执行外部路由器的功能缺乏专用路由器的灵活性和性能在对的速度要求不过的情况下，双宿主机可以胜任路由工作缺点堡垒主机完全暴露在上37合并的内部/外部路由器只有拥有强大的路由器时，才可以合并内部路由器和外部路由器是目前常见的一种结构，一个路由器上至少有3个网络接口一个接内部网一个接外部网一个接(公共信息服务器、代理服务器)38实例公司产品有10、100、1000…10简介10是一台集成防火墙、、和流量管理功能于一体的安全设备有三个10以太网接口：信任端口()、非信任端口()、非军事区端口()和232诊断端口及插槽配置模式有：透明模式两端口地址翻译模式三端口地址翻译模式39透明模式适用于与连接、其上所有设备都具有合法地址的网络配置最为简洁，防火墙只起桥接作用，不需要路由，主机和路由器不需要重新配置，只需要把防火墙直接插入到网络中即可防火墙的端口与内部网络相联，端口与外部网络相联，端口挂起内部网络的所有地址不做任何变动，配置的关键在于策略的制定40两端口地址翻译模式适用于合法地址数量不多，而又有相当数量的网络设备需要连接防火墙具备路由功能。端口后面连接的内部网可以使用私有地址41三端口地址翻译模式防火墙连接三段网络，信任端口连接内部网，端口连接区，非信任端口连接外部网公共服务器可以放置在区，既向外提供服务，又保证了内部网的安全防火墙具备路由功能防火墙支持地址翻译功能，允许内部网和区使用私有地址42两个堡垒主机和两个非军事区使用两台双宿主机，有两个非军事区网络分四个部分外部非军事区内部非军事区外部网络内部网络外部非军事区：放置牺牲主机，提供公共信息服务，如匿名、服务等内部非军事区：是内部网络的第二缓冲区，受过滤路由器和外部堡垒主机的保护，具有一定的安全性，可以把一些相对不是很机密的服务器放在这个网络上内部网络：隐藏敏感的主机43使用多台堡垒主机出于对堡垒主机性能，冗余和分