版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
网络安全技术及应用第七章第1页,课件共32页,创作于2023年2月第7章防火墙及其应用7.1防火墙概述7.2防火墙技术与分类7.3防火墙体系结构7.4防火墙安全规则7.5防火墙应用2023/7/262第2页,课件共32页,创作于2023年2月7.1防火墙概述7.1.1防火墙概念与发展历程1.防火墙概念防火墙是指设置在不同网络之间,例如可信任的内部网和不可信的公共网,或者不同网络安全域之间的软硬件系统组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来保护企业内部网络的安全。
2023/7/263第3页,课件共32页,创作于2023年2月2.防火墙的发展第一代防火墙:第一代防火墙技术几乎与路由器同时出现,主要基于包过滤技术(PacketFilter),是依附于路由器的包过滤功能实现的防火墙。第二代防火墙:1989年,贝尔实验室的DavePresotto和HowardTrickey最早推出了第二代防火墙,即电路层防火墙。第三代防火墙:到20世纪90年代初,开始推出第三代防火墙,即应用层防火墙(或者叫做代理防火墙)。第四代防火墙:到1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(DynamicPacketFilter)技术的的第四代防火墙。第五代防火墙:到了1998年,NAI公司推出了一种自适应代理(AdaptiveProxy)技术,可以称之为第五代防火墙。第4页,课件共32页,创作于2023年2月3.防火墙的发展趋势高安全性和高效率对数据包的全方位检查分布式防火墙技术建立与部署适用于IPV6协议下的防火墙体系架构第5页,课件共32页,创作于2023年2月7.1.2防火墙的功能对防火墙有两个基本需求:一是保证内部网的安全性;二是保证内部网与外部网之间的连通性。(1)过滤不安全数据和非法用户。(2)报警与审计。
(3)透明代理。
(4)抗攻击能力。
(5)VPN功能。
(6)路由管理。
2023/7/266第6页,课件共32页,创作于2023年2月7.1.3防火墙局限性7.1.3防火墙局限性1.对某些正常服务的限制2.无法抵御来自内网的威胁3.无法阻挡旁路攻击及潜在后门4.无法控制对病毒文件的传输5.内网瓶颈问题
2023/7/267第7页,课件共32页,创作于2023年2月7.2防火墙技术与分类7.2.1包过滤防火墙技术1.简单包过滤技术2.状态检测包过滤技术7.2.2代理服务防火墙技术1.电路级网关2.应用级网关3.自适应代理2023/7/268第8页,课件共32页,创作于2023年2月7.2.1包过滤防火墙技术包过滤(PacketFilter)是所有防火墙中最核心的功能,与代理服务器技术相比,其优势是传输信息时不占用网络带宽。包过滤路由器在网络上的物理位置和逻辑位置如图7-2和图7-3所示。包过滤型防火墙根据一组过滤规则集合,逐个检查IP数据包,确定是否允许该数据包通过。
图7-2包过滤路由器的物理位置第9页,课件共32页,创作于2023年2月图7-3包过滤路由器的逻辑位置第10页,课件共32页,创作于2023年2月两类包过滤防火墙技术包过滤防火墙技术根据所使用的过滤方法又具体可分为:简单包过滤技术和状态检测包过滤技术。1.简单包过滤技术也称作称静态包过滤。简单包过滤防火墙在检查数据包报头时,只是根据定义好的过滤规则集来检查所有进出防火墙的数据包报头信息,并根据检查结果允许或者拒绝数据包,并不关心服务器和客户机之间的连接状态。第11页,课件共32页,创作于2023年2月2.状态检测包过滤技术也称动态包过滤,是包过滤器和应用级网关的一种折衷方案。该技术具有包过滤机制的高速和灵活性,也有应用级网关的应用层安全的优点。状态检测包过滤防火墙除了有一个过滤规则集外,还要跟踪通过自身的每一个连接,提取有关的通信和应用程序的状态信息,构成当前连接的状态列表。第12页,课件共32页,创作于2023年2月7.2.2代理服务防火墙技术代理服务(ProxyService)是指运行于内部网络与外网之间的主机(堡垒主机)上的一种应用。当用户需要访问代理服务器另一侧主机时,代理服务器对于符合安全规则的连接,会代替主机响应访问请求,并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后,内部主机同外部主机之间的通信将通过代理程序的相应连接映射来实现。代理既是客户端(Client),也是服务器端(Server)。代理服务防火墙的工作原理如图7-4。第13页,课件共32页,创作于2023年2月图7-4应用代理防火墙的原理图第14页,课件共32页,创作于2023年2月代理服务防火墙主要包含以下三类:1.电路级网关也称线路级网关,工作在会话层,在两主机首次建立TCP连接时建立通信屏障。它作为服务器接收外来请求,转发请求;与被保护的主机连接时则扮演客户机角色、起到代理服务的作用。它监视两主机建立连接时的握手信息,如SYN,ACK和序列数据等是否合乎逻辑,然后由网关复制、传递数据,而不进行数据包过滤。电路级网关中特殊的客户程序只在初次连接时进行安全协商控制,此后则不再参与内外网之间的通信控制。第15页,课件共32页,创作于2023年2月2.应用级网关应用级网关使用软件来转发和过滤特定的应用服务,如TELNET,FTP服务等。这也是一种代理服务,只允许被认为是可信的服务通过防火墙。此外,代理服务也可以过滤协议,如过滤FTP连接、拒绝使用FTP命令等。第16页,课件共32页,创作于2023年2月3.自适应代理自适应代理(AdaptiveProxy)技术结合了代理服务器防火墙的安全性和包过滤防火墙的高速度等优点。组成自适应代理防火墙的基本要素有两个:自适应代理服务器(AdaptiveProxyServer)与动态包过滤器。在自适应代理防火墙中,初始的安全检查仍在应用层中进行,保证实现传统防火墙的最大安全性。而一旦可信任身份得到认证,建立了安全通道,随后的数据包就可以重新定向到网络层。这种技术能够在确保安全性的基础上提高代理服务器防火墙的性能。第17页,课件共32页,创作于2023年2月7.2.3防火墙常见分类
7.2.3防火墙常见分类1.按照实现方法分类
(1)软件防火墙运行于特定的计算机上,一般来说这台计算机就是整个网络的网关。(2)硬件防火墙
由计算机硬件、通用操作系统和防火墙软件组成。(3)专用防火墙采用特别优化设计的硬件体系结构,使用专用的操作系统。
2023/7/2618第18页,课件共32页,创作于2023年2月2.按照体系结构分类
(1)个人防火墙安装在计算机系统里的软件防火墙,该软件检查到达防火墙两端的所有数据包,无论是进入还是发出,从而决定该拦截数据包还是允许其通过。
(2)分布式防火墙分布式防火墙负责对网络边界、各子网和网络内部各结点之间的安全防护。分布式防火墙是一个完整的系统,而不是单一的产品。第19页,课件共32页,创作于2023年2月7.3防火墙体系结构目前,防火墙的体系结构,一般主要有以下几种7.3.1双宿主主机结构7.3.2屏蔽主机结构7.3.3
屏蔽子网结构2023/7/2620第20页,课件共32页,创作于2023年2月
7.3.1双宿主主机结构双宿主主机防火墙体系结构是围绕着至少具有两个网络接口、带有两块网卡的堡垒主机构成,主机上的两块网卡分别与外部网以及内部受保护网相连。堡垒主机上运行防火墙软件,可以转发数据,提供服务等,这种主机可以充当与其接口相连的网络之间的路由器,它能够从一个网络到另一个网络发送IP数据包。第21页,课件共32页,创作于2023年2月图7-5双宿主主机结构第22页,课件共32页,创作于2023年2月7.3.2屏蔽主机结构双宿主主机防火墙是由一台同时连接在内外部网络的堡垒主机来提供安全保障,而屏蔽主机结构中提供安全保护的主机仅仅与内部网相连。此外还有一台单独的包过滤路由器,它的作用是避免用户直接与内部网络相连。屏蔽主机结构如图7-6所示。第23页,课件共32页,创作于2023年2月图7-6屏蔽主机结构第24页,课件共32页,创作于2023年2月7.3.3
屏蔽子网结构在屏蔽子网结构中,有二台与边界网络直接相连的过滤路由器,一台位于边界网络与外部网之间,我们称之为外部路由器;另一台位于边界网络与内部网络之间,我们称之为内部路由器;在这种结构下,黑客要攻击到内部网必须通过二台路由器的安全控制,即使入侵者通过了堡垒主机,他还必须通过内部路由器才能抵达内部网。第25页,课件共32页,创作于2023年2月图7-7屏蔽子网结构第26页,课件共32页,创作于2023年2月7.4防火墙安全规则通常情况下,网络管理员在防火墙设备的访问控制列表ACL(AccessControlList)中设定包过滤规则,以此来表明是否允许或者拒绝数据包通过。包过滤防火墙检查数据流中每个数据包的报头信息,例如源地址、目标地址、协议类型、协议标志、服务类型等,并与过滤规则进行匹配,从而在内外网络之间实施访问控制功能.2023/7/2627第27页,课件共32页,创作于2023年2月图7-8包过滤防火墙的安全规则第28页,课件共32页,创作于2023年2月防火墙规则设置中所涉及的动作主要有以下几种:允许:允许数据包通过防火墙传输,并按照路由表中的信息被转发。放弃:不允许数据包通过防火墙传输,但仅丢弃,不发任何相应数据包。拒绝:不允许数据包通过防火墙传输,并向数据包的源端发送目的主机不可达的ICMP数据包。返回:没有发现匹配的规则,执行默认动作。第29页,课件共32页,创作于2023年2月所有的防火墙都是在以下两种模式下配置安全规则:“白名单”模式系统默认为拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型,因此白名单上的规则是具有合法性访问的安全规则“黑名单”模式系统默认为允许所有的流量,这种情况需要特殊指定要拒绝的流量的类型,因此在黑名单上定义的安全规则属于非法的、被禁止的网络访问,这种模式是一种开放的默认管理模式。第30页,课件共32页,创作于2023年2月包过滤防火墙一般有两类过滤规则的设置方法
1.按地址过滤用于拒绝伪造的数据包。若想阻止伪造原地址的数据包进入内部网,可按表7-1设置规则。2.按服务类型过滤
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
评论
0/150
提交评论