计算机网络安全基础第8章.ppt

2020年5月30日7:05，基于计算机网络安全，第8章防火墙技术，本章主要介绍：1 .防火墙基本概念2。防火墙的基本功能3。防火墙体系结构4。封包筛选5。代理服务6。最近主机和防火墙的可选原则，2020年5月30日7点5分，基于计算机网络安全，8.1防火墙基本概念，8.1.1互联网防火墙1。防火墙的基本知识防火墙是在两个网络之间执行访问控制策略的一个或多个系统组，以保护网络不被其他人入侵。本质上，它遵循允许或阻止业务通信的网络通信安全机制。即，提供仅允许授权通信的可控制过滤网络通信。防火墙通常是位于intranet或web站点和internet之间的路由器或计算机，也称为坚固主机。其目的与控制可以进入受保护环境的人或事物的安全门相同。就像在正门工作的保安一样，控制和检查网站的访客。管理员开发的8.1防火墙基本概念，2020年5月30日7:05，基于计算机网络安全，保护网络不受外部未经授权访问。从internet的角度看，防火墙被认为是两个网络之间安装的围栏，并按照安全计划和安全策略中的定义保护其后面的网络。由软件和硬件组成的防火墙必须具有以下功能：(1)进入和退出网络的所有通信流都必须通过防火墙。(2)通过防火墙的所有通信流都必须具有安全策略和计划的确认和授权。(3)理论上不戴防火墙。2020年5月30日7点5分，基于计算机网络安全，8.1防火墙的基本概念，内部网必须阻止的三次攻击间谍：试图窃取重要信息的黑客、入侵者、入侵者。失窃：失窃对象包括数据、web表、磁盘空间和CPU资源。系统损坏：通过路由器或主机/服务器蓄意破坏文件系统，或防止经过身份验证的用户访问内部网(外部网)和服务器。在这里，防火墙的作用是保护网站和公司的内部网免受互联网上的各种危险。2020年5月30日7:05基于计算机网络安全，8.1防火墙基本概念，在internet和intranet上的防火墙位置逻辑上，防火墙是分离器、限制器和分析器。从物理角度看，站点防火墙的实施方式不同。防火墙通常是一组硬件设备，即路由器、主计算机或路由器、计算机和包含相应软件的网络的各种组合。2020年5月30日7点5分，基于计算机网络安全，8.1防火墙基本概念，2。防火墙的基本功能(1)防火墙可以加强安全策略(2)防火墙有效地记录internet上的活动(3)防火墙限制用户点暴露(4)防火墙是安全策略的检查站(3)。防火墙的缺点：(1)无法阻止恶意信息来源；(2)防火墙无法阻止未通过该防火墙的连接；(3)防火墙无法抵御所有威胁；(4)防火墙无法阻止病毒。2020年5月30日7:05，基于计算机网络安全，8.1防火墙基本概念，8.1.2数据包过滤防火墙通常是具有数据包过滤功能的简单路由器，支持internet安全。数据包过滤是路由器的固有属性，是使internet连接更加安全的简单方法。软件包是网络中信息流动的单位。发送到web的文件通常由发送包分成包，通过在线中间站点最终发送到目标，然后该包中的数据再组成原始文件。每个包有两个部分：数据部分和包头。包头包含源地址和目标地址等信息。包过滤一直是一种简单有效的方法。截取数据包，读取和拒绝不符合标准的包头，过滤不应该进入的信息。，2020年5月30日7:05，基于计算机网络安全，8.1防火墙的基本概念，每个包都包含一组标头，其中包含(1)IP协议类型(TCP、UDP、ICMP等)的特定信息。(2)IP源地址；(3)IP目标地址；(4)IP选择域内容；(5)TCP或UDP源端口号；(6)TCP或UDP目标端口号；(7)ICMP消息类型。路由器还获取没有从数据包头信息中获取的有关数据包的其他信息。2020年5月30日7:05，基于计算机网络安全，8.1防火墙的基本概念，过滤路由器位于内部网络和internet之间的作用如下：(l)路由器筛选是唯一的保护系统，以及转发和转发决策操作。(2)如果安全性失败(或入侵失败)，内部网络将暴露。(3)简单的过滤路由器不能修改作业。(4)过滤路由器可以允许或拒绝服务，但不能保护一个服务中的单个操作。如果服务不提供安全的操作要求，或者该服务来自不安全的服务器，则数据包筛选路由器无法保护它。2020年5月30日7:05，基于计算机网络安全，8.1防火墙基本概念，8.1.3代理服务代理服务是运行在防火墙主机上的某些特定应用程序或服务程序。防火墙主机可以是具有内部网络接口和外部网络接口的双主机主机，也可以是能够访问internet并可以从内部主机访问的坚固主机。这些程序接受用户对internet服务(如文件传输FTP和远程登录telnet)的请求，并根据安全策略将其传送到实际服务。代理是提供替代连接并充当服务的网关。代理也称为应用程序级网关。代理服务介于内部用户(在内部网络上)和外部服务(在internet上)之间。代理人在幕后处理所有用户和互联网服务之间的通信，取代了相互之间的直接对话。2020年5月30日7:05，基于计算机网络安全，8.1防火墙基本概念，代理实施过程，2020年5月30日7:05，基于计算机网络安全，8.1防火墙基本概念，8.1.4防火墙体系结构1。双主机体系结构双主机体系结构双主机主机体系结构围绕具有双主机的主机计算机构建。该计算机具有至少两个网络接口，可充当连接到这些接口的网络之间的路由器，并将IP包从一个网络传输到另一个网络。防火墙内部的网络系统可以与双主机主机通信，防火墙外部的网络系统可以与internet上的双主机主机通信。双主机主机允许防火墙内外的计算机通信，但这些系统不能直接相互通信，并且完全阻止了它们之间的IP通信。基于计算机网络安全，8.1防火墙基本概念，双主机主机的防火墙体系结构相当简单，双主机主机位于两者之间，连接到internet和内部网络。右图显示了这些体系结构。2020年5月30日7点5分，基于计算机网络安全，8.1防火墙基本概念，2。主机筛选体系结构在主机筛选体系结构中提供安全性的主机仅连接到intranet。主机筛选器结构还具有单独的路由器(筛选器路由器)。在此体系结构中，主要安全由数据包过滤提供，其结构如图所示。2020年5月30日7:05，基于计算机网络安全，8.1防火墙基本概念，3。子网过滤体系结构子网过滤体系结构向主机过滤体系结构添加了额外的安全层。这意味着添加参数网络，以便不再将内部网络与internet隔离。子网过滤体系结构最简单的形式是两个过滤器路由器，它们分别连接参数网络和内部网络以及参数网络和外部网络。，2020年5月30日7:05，基于计算机网络安全，8.1防火墙基本概念，(1)参数网络参数网络是内部外部网络之间的附加安全网络层。如果入侵者成功地穿过外部保护网络到达防火墙，参数网络可以在入侵者和intranet之间提供另一个保护层。如果入侵者仅入侵参数网络的坚固主机，则只能窃取此网络(参数网络)的信息流(不显示有关内部网的信息)，此网络的信息流仅从参数网络传送到外部网络或参数网络的坚固主机。纯粹的内部信息流(内部主机之间相互传递的重要敏感信息)不会通过参数网络流动，因此，即使最近主机受到损坏，入侵者也不会破坏内部网的信息流。2020年5月30日7:05基于计算机网络安全，8.1防火墙基本概念，(2)在子网过滤结构中，我们将坚固主机从内部网连接到作为外部网络服务主要节点的参数网络。内部网服务的主要功能包括：收到外部电子邮件后，将其分发到相应的网站。获取外部FTP并连接到intranet上的匿名FTP服务器。接收内部网站点的外部域名服务。外向服务功能可以通过以下方式实现：在内部和外部路由器上设置包过滤，以便内部网用户直接操作外部服务器。在主机上设置代理服务，并在intranet用户和外部服务器之间建立间接连接。2020年5月30日7:05，基于计算机网络安全，(3)内部路由器内部路由器的主要功能是保护内部网不受外部网络和参数网络的影响。内部路由器执行防火墙的大部分数据包筛选任务，并允许在内部和外部网络之间相互传递某些站点的数据包筛选系统认为符合安全规则的服务。根据站点要求和安全规则，允许的服务包括Telnet、FTP、WAIS、Archie、Gopher或其他服务之一。内部路由器可以设置为在参数网络的坚固主机和内部网之间传递的各种服务和在内部网和外部网之间传递的各种服务不相同，8.1防火墙基本概念，2020年5月30日7点5分，基于计算机网络安全的，8.1防火墙基本概念，(4)外部路由器外部路由器可以保护参数网络和内部网。实际上，外部路由器仅进行小数据包筛选，这几乎通过了所有参数网络的向外请求，而外部路由器和内部路由器的数据包筛选规则基本相同。外部路由器的数据包过滤主要是保护参数网络中的主机。但是，通常不需要外部路由器提供的很多保护，因为参数网络的主机安全主要通过主机安全机制来保证。外部路由器最有效的任务是伪造外部网络中的源地址，以阻止所有传入的数据包。这些数据包声称来自intranet，但实际上来自intranet。2020年5月30日7:05，基于计算机网络安全，8.1防火墙基本概念，8.1.5防火墙的各种更改和组合(l)使用多堡垒主机；(2)合并内部路由器和外部路由器。(3)巩固要塞主机和外部路由器；(4)巩固堡垒主机和内部路由器；(5)使用多个内部路由器；(六)使用多个外部路由器；(7)使用多个参数网络；(8)使用双主机主机和子网过滤。2020年5月30日7:05，基于计算机网络安全，8.1防火墙基本概念，8.1.6内部防火墙，在某些情况下，某些内部网站点必须受到其他站点的保护。因此，有时需要在同一结构的两个部分之间或同一intranet的两个不同组织结构之间创建防火墙(也称为内部防火墙)。由于网络中所有用户需要的服务和信息总是不同的，对安全性的要求也不同，因此可以将网络组织结构的一部分与其他站点隔离(例如，财务部分必须与其他部分分开)。2020年5月30日7:05，基于计算机网络安全，8.1防火墙基本概念，1。试点网络在大多数情况下应在内部防火墙上设置此类包过滤，以允许内部网的其他站点主动连接到试点网络，测试网络仅允许与被认为是安全内部网的其他站点的连接。在内部网的其他站点上，有时需要防止特定类型的信息流干扰测试网络，因此，请针对所有外部连接(在试点网络中)设置控制内部连接的包过滤。如果有几个试点网络，最好的方法是设置参数网络，在每个试点网络中配置路由器，然后将路由器连接到参数网络。关键数据包过滤在连接参数网络和内部主网络的路由器上执行。2020年5月30日7点5分，基于计算机网络安全，8.1防火墙基本概念，2。低安全网络测试网络更危险，但对整个内部网安全的威胁还不是最大的。大多数内部网组织结构在资源本身中包含一些不安全因素。例如，校园网络中包含学生公寓网点的部分被认为不安全，单位企业网络的示范网络部分、客户教育网络部分和开放实验室网络部分被认为安全性更差。但是，与内部网的其他部分相比，这种网络与纯外部网络的交互更大。这种网络称为低安全网络。2020年5月30日7:05，基于计算机网络安全，8.1防火墙基本概念，3。高安全网络内部网中的某些站点可能需要高安全。例如，教务网、入学信息网、商业网、新产品开发网要具有相当高的机密性。当保密网络中的信息流通过内部网的其他部分时，可以加密和保护信息。也可以将高敏感度从内部网的其他部分完全分离出来。例如，有一个新的开发网络，只有用户在计算机上注册后，网络才可用，可以使用防火墙(通常是带包过滤的路由器)将网络与内部网完全分离。此防火墙将内部网中的其他用户视为外部网络。这种高度机密的网络通常不需要大量外部服务，因此不需要在防火墙内有防御主机，只有在防火墙保护高度机密的内部子网时，才使用参数网络。2020年5月30日7:05，基于计算机网络安全，8.1防火墙基本概念，4。联合防火墙多个企业组必须为联合开发项目共享特定的机器、数据和其他资源一段时间。构建内部防火墙时，请遵循以下准则限制要共享的资源：需要保护哪些信息？另一种方法是(l)连接到其他企业网络的原因。然后，内部防火墙将确定哪些服务通过，哪些服务被阻止。2)你想不上网，互相发送电子邮件和文件吗？(？(3)是否尝试为两个不同的企业项目开发组成员构建通用软件平台。在这种情况下，需要使用两个防火墙将软件平台与企业本地网络隔离。(4)需要支持哪些类型的信息相互传输？还需要哪些安全功能？2020年5月30日7:05，基于计算机网络安全，8.1防火墙基本概念，5。共享参数网络共享参数网络结构是解决联合网络安全问题的好方法。参与联合体的每个网络都有路由器，每个路由器都可以控制参数网络。某些结构在参数网络中没有最近的主机，这些路由器是仅存在于参数网络中的设备。6.选择内部防火墙的坚固主机如果在统一网络的协作单元之间有足够的信任，则防火墙只能使用包过滤，这样其他单元的用户就可以直接连接到该单元的内部网服务(例如DNS、SMTP)。相反，如果每个单元之间缺乏信任，则可以建立自己的参数网络，并构建可以单独控制的坚固主机。在一个内部网中流动的信息