防火墻技术_.ppt

防火墙技术 内容提要 防火墙概述防火墙的体系结构数据包过滤防火墙代理防火墙防火墙应用举例 1 1概述 防火墙的定义防火墙是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统 包括硬件和软件 构成一道屏障 以防止发生对被保护网络的不可预测的 潜在破坏性的侵扰 防火墙的要点 防火墙配置在不同网络或网络安全域之间 它遵循的是一种允许或阻止业务来往的网络通信安全机制 只允许授权的通信 尽可能地对外部屏蔽网络内部的信息 结构和运行状况 防火墙的发展简史 第一代防火墙 采用了包过滤 Packetfilter 技术 第二代防火墙 电路层防火墙第三代防火墙 应用层防火墙 代理防火墙 的初步结构第四代防火墙 1992年 基于动态包过滤 Dynamicpacketfilter 技术第五代防火墙 自适应代理 Adaptiveproxy 技术 防火墙的五大基本功能 过滤进 出网络的数据 管理进 出网络的访问行为 封堵某些禁止的业务 记录通过防火墙的信息内容和活动 对网络攻击的检测和告警 1 2防火墙体系结构 防火墙可以在OSI七层中的五层设置 防火墙组成结构图 防火墙的体系结构 目前 防火墙的体系结构一般有以下几种 1 双重宿主主机体系结构 2 屏蔽主机体系结构 3 屏蔽子网体系结构 1 3双重宿主主机体系结构 围绕具有双重宿主的主机计算机而构筑 计算机至少有两个网络接口 计算机充当与这些接口相连的网络之间的路由器 防火墙内部的系统能与双重宿主主机通信 防火墙外部的系统 在因特网上 能与双重宿主主机通信 双重宿主主机体系结构 1 4屏蔽主机体系结构 提供安全保护的堡垒主机仅仅与被保护的内部网络相连 是外部网络上的主机连接内部网络的桥梁 堡垒主机需要拥有高等级的安全 还使用一个单独的过滤路由器来提供主要安全 路由器中有数据包过滤策略 屏蔽主机体系结构 1 5屏蔽子网体系结构 1 周边网络周边网络是另一个安全层 是在外部网络与被保护的内部网络之间的附加网络 提供一个附加的保护层防止内部信息流的暴露 2 堡垒主机堡垒主机为内部网络服务的功能有 1 接收外来的电子邮件 SMTP 再分发给相应的站点 2 接收外来的FTP连接 再转接到内部网的匿名FTP服务器 3 接收外来的对有关内部网站点的域名服务 DNS 查询 堡垒主机向外的服务功能按以下方法实施 1 在路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器 2 设置代理服务器在堡垒主机上运行 允许内部网的用户间接地访问外部网的服务器 也可以设置数据包过滤 允许内部网的用户与堡垒主机上的代理服务器进行交互 但是禁止内部网的用户直接与外部网进行通信 3 内部路由器保护内部的网络使之免受外部网和周边网的侵犯 内部路由器完成防火墙的大部分数据包过滤工作 4 外部路由器保护周边网和内部网使之免受来自外部网络的侵犯 通常只执行非常少的数据包过滤 外部路由器一般由外界提供 1 6防火墙体系结构的组合形式 1 使用多堡垒主机 2 合并内部路由器与外部路由器 3 合并堡垒主机与外部路由器 4 合并堡垒主机与内部路由器 5 使用多台内部路由器 6 使用多台外部路由器 7 使用多个周边网络 8 使用双重宿主主机与屏蔽子网 1 7包过滤防火墙 包过滤防火墙工作在网络层利用访问控制列表 ACL 对数据包进行过滤过滤依据是TCP IP数据包 源地址和目的地址源端口和目的端口优点是效率比较高 对用户透明缺点是难于配置 监控和管理 无法有效地区分同一IP地址的不同用户 数据包过滤的主要依据有 1 数据包的源地址 2 数据包的目的地址 3 数据包的协议类型 TCP UDP ICMP等 4 TCP或UDP的源端口 5 TCP或UDP的目的端口 6 ICMP消息类型 包过滤系统能进行以下情况的操作 1 不让任何用户从外部网用Telnet登录 2 允许任何用户使用SMTP往内部网发电子邮件 3 只允许某台机器通过NNTP往内部网发新闻 不能进行以下情况的操作 1 允许某个用户从外部网用Telnet登录而不允许其他用户进行这种操作 2 允许用户传送一些文件而不允许用户传送其他文件 1 包过滤标准必须由包过滤设备端口存储起来 这些包过滤标准叫包过滤规则 2 当包到达端口时 对包的报头进行语法分析 大部分的包过滤设备只检查IP TCP或UDP报头中的字段 不检查数据的内容 3 包过滤器规则以特殊的方式存储 4 如果一条规则阻止包传输或接收 此包便不允许通过 5 如果一条规则允许包传输或接收 该包可以继续处理 6 如果一个包不满足任何一条规则 该包被丢弃 包过滤器操作 包过滤路由器的配置时要注意的问题 l 协议的双向性 2 往内 与 往外 的含义 3 默认允许 与 默认拒绝 注意 1 过滤规则的排列顺序是非常重要的 2 应该遵循自动防止故障的原理 未明确表示允许的便被禁止 包过滤防火墙的缺陷 1 不能彻底防止地址欺骗 2 无法执行某些安全策略 3 安全性较差 4 一些应用协议不适合于数据包过滤 5 管理功能弱 1 8应用代理防火墙 代理防火墙 Proxy 是一种较新型的防火墙技术 它分为 应用层网关电路层网关 所谓代理服务器 是指代表客户处理连接请求的程序 当代理服务器得到一个客户的连接意图时 它将核实客户请求 并用特定的安全化的Proxy应用程序来处理连接请求 将处理后的请求传递到真实的服务器上 然后接受服务器应答 并做进一步处理后 将答复交给发出请求的最终客户 代理的工作方式 代理防火墙工作于应用层 针对特定的应用层协议 代理服务器 ProxyServer 作为内部网络客户端的服务器 拦截住所有请求 也向客户端转发响应 代理客户机 ProxyClient 负责代表内部客户端向外部服务器发出请求 当然也向代理服务器转发响应 应用层网关型防火墙 应用层网关防火墙 传统代理型防火墙 核心技术就是代理服务器技术 基于软件实现 通常安装在专用工作站系统上 参与到一个TCP连接的全过程 在网络应用层上建立协议过滤和转发功能 优点就是安全 是内部网与外部网的隔离点 最大缺点就是速度相对比较慢 应用层网关型防火墙 电路层网关防火墙 通过电路层网关中继TCP连接一般采用自适应代理技术有两个基本要素 自适应代理服务器 AdaptiveProxyServer 动态包过滤器 DynamicPacketFilter 电路层网关防火墙 代理技术的优点 1 代理易于配置 2 代理能生成各项记录 3 代理能灵活 完全地控制进出流量 内容 4 代理能过滤数据内容 5 代理能为用户提供透明的加密机制 6 代理可以方便地与其他安全手段集成 代理技术的缺点 1 代理速度较路由器慢 2 代理对用户不透明 3 对于每项服务代理可能要求不同的服务器 4 代理服务不能保证免受所有协议弱点的限制 5 代理不能改进底层协议的安全性 1 9防火墙应用示例 网络卫士防火墙3000系统组成一套专用防火墙设备 硬件 具