第二十章 防火墙.ppt

第20章防火墙、防火墙、防火墙基本防火墙概念防火墙功能防火墙插件外部攻击和防火墙、防火墙体系结构屏蔽路由器双孔主机网关屏蔽主机网关屏蔽主机网关屏蔽子网多防火墙组合技术、防火墙、防火墙基本类型网络级别防火墙应用程序级别网关电路级别网关规则检查防火墙、防火墙、 防火墙技术数据包过滤技术应用网关技术状态监视防火墙应用程序应用程序应用程序应用程序应用程序应用程序防火墙、透明防火墙防火墙的透明模式透明代理防火墙设计硬件和软件设计Linux数据包过滤防火墙实例接口防火墙实例隔离防火墙前景、防火墙概念、防火墙是根据用户的预定义方案控制信息流入和流出以及监视和控制用户操作的保护措施。 确保用户安全地使用网络，并且不受Hacker的攻击。防火墙通常由过滤器和网关等组成。过滤器阻断特定类型的流量，网关提供补偿过滤影响的中继服务。拥有网关的网络通常称为隔离区(DMZ)。防火墙功能、数据包过滤是防火墙实现的最基本的功能防火墙可以监视网络访问和访问，并审核防火墙。加强网络安全策略防火墙防止内部信息泄露成为将网络地址转换为防火墙的功能之一防火墙包括代理功能1、透明代理2、传统代理、防火墙插件，NATNAT的操作过程如图所示。防火墙插件，虚拟专用网虚拟专用网(VPN)虚拟专用网(VPN)，是指在公共网络上建立专用网络，其中数据通过安全的“加密通道”传播到公共网络。VPN的基本原则是通过IP数据包的封装和加密、身份验证等来确保安全性。通常在防火墙中添加加密模块。外部攻击和防火墙，外部攻击的主要组件：DDOS(DDOS)攻击IP伪造(IPspoofing)密码字攻击邮件防欺诈防火墙(anti-firewall)、防火墙、防火墙体系结构屏蔽路由器双孔主机网关阻止主机网关阻止子网多防火墙组合技术，可以作为制造商独家制造的路由器实现，也可以作为主机实现。掩码路由器是内外连接的唯一通道，所有消息都必须在此通过检查。您可以在路由器上安装基于IP层的消息过滤软件，以实现消息过滤功能。双点主机网关，双点主机网关DualHomedGateway是最简单的。部署在两个网络之间的双精度网关也称为bastionhost。这种结构成本低，但有单点故障。双点主机网关比屏蔽路由器更好的一点是，最近可以使用主机上的系统软件维护系统日志、硬件复制日志或远程日志。这对以后的检查很有用。但这并不能帮助网络管理员确定内部网中的哪些主机可能被黑客入侵。两点主机网关的一个致命弱点是，如果入侵者进入最近的主机，并且只具备路由功能，那么所有在线用户都可以自由访问内部网。屏蔽主机网关、屏蔽主机网关(ScreenedHostGateway)广泛使用，因为它们易于实施、安全。如果保护网络是虚拟扩展的本地网络(即没有子网或路由器)，则对intranet的更改不会影响最近主机和屏蔽路由器的配置。危险带仅限于最近的主机和屏蔽路由器。阻塞子网、阻塞子网(ScreenedSubnet)通过在内部网络和外部网络之间建立隔离子网，将路由器过滤为两个组，从而将内部网络和外部网络分开。Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间形成了称为“停火区”(DMZ，DemilitarizedZone)的隔离网，Bastionhost部署在“停火区”内。这种结构安全良好，只有两个安全设备被破坏后，网络才会暴露，但代价很高。多防火墙组合技术、多防火墙主要可以通过嵌套和并行两种方式组合。将多个防火墙连接到一个链路(例如企业网络的出口位置)上，所有访问流量都通过不同制造商的多个防火墙进行审核保护，每个防火墙根据各自独特的体系结构和安全策略验证过去的流量。与嵌套方法不同，并行组合方法首先强调整个系统的健壮性。防火墙、防火墙的基本类型网络级别防火墙应用程序级别网关规则防火墙、防火墙的基本类型、不同类型的防火墙、以软件形式在普通计算机上运行、以固件形式在路由器内设计。通常有三种分类：包过滤防火墙、应用程序级网关和状态监视器。实现防火墙的技术包括四类：网络级防火墙(也称为数据包过滤防火墙)、应用程序级网关、电路级网关和规则检查防火墙。网络级别的防火墙，通常根据源和目标地址、应用程序或协议以及每个IP数据包的端口来确定是否通过。网络级防火墙简洁、快速、成本低、对用户透明，但对网络的保护有限，因为只检查地址和端口，不了解网络上高协议层的信息。应用程序级网关、应用程序级网关确定传入和传出的数据包，并通过网关复制传递数据，以防止可信服务器和客户端与不可信主机直接连接。应用程序级网关具有较好的访问控制，是当前最安全的防火墙技术，但也有难以实现且缺乏“透明度”的应用程序级网关。电路级网关、电路级网关监视可信客户或服务器与不可信主机之间的TCP握手信息，以确定会话是否合法，电路级网关在OSI模型的会话层过滤数据包，使数据包过滤防火墙达到两层以上。规则检查组合包过滤防火墙、电路级网关和应用程序级网关的特征的防火墙。此规则集成了防火墙的前三个功能，但是与应用程序级网关不同的是，它关闭了客户机/服务系统的模式，不分析应用层的数据，允许建立与可信客户机和不可信主机的直接连接。防火墙，防火墙技术包过滤技术应用网关技术状态监控防火墙应用层防火墙，包过滤技术，监视和过滤传入和传出网络的IP包的包过滤技术，拒绝可疑包的传输，用户在路由表中设置需要屏蔽或需要保护的源/目标主机的IP地址或端口号，在外部包进入企业内部网络之前，路由器将设置源/远程主机地址(即地址不匹配)数据包过滤防火墙的优点是对用户透明，处理速度快，易于维护，并且通常应用第一防线、网关技术和网关技术(也称为双主机技术(DualHomedHost)，允许使用主机而不是路由器进行控制。主机是内外网络连接的桥梁、内外连接的唯一方法，充当网关，同时也用作BastionHost(最近的主机)。在应用程序网关(而不是现有服务器程序)上运行应用程序代理(ApplicationProxy)，与客户程序建立连接，通过与现有服务器(而不是客户端程序)的连接，允许合法用户通过应用程序网关安全地使用internet，而不管非法用户是谁。通过应用网关技术，应用网关技术比数据包筛选技术更为灵活。在用户层次结构中起作用，允许进行更详细的检查。但是，软件开销大，管理和维护更加复杂。，状态监视防火墙(称为监视引擎)，该防火墙使用在网关上运行网络安全策略的软件模块。监视引擎使用数据提取方法对网络通信的每一层进行监视，提取状态信息，并动态存储，作为对未来安全策略执行的参考。监视引擎支持多种协议和应用程序，并可以方便地扩展应用程序和服务。与状态监控防火墙、前两个防火墙不同，当用户访问请求到达网关的操作系统时，状态监视器会根据网络配置和安全规则，与接受、拒绝、身份验证、警报或通信加密等处理任务一起执行数据分析。如果访问违反了安全规定，则拒绝访问，其状态将报告为日志记录。健康监视防火墙的另一个好处是，它监视数据包筛选和应用网关防火墙不支持的端口信息，如远程过程调用(RPC)和用户数据报(UDP)。应用层防火墙、1、应用程序代理服务器(ApplicationGatewayProxy)在网络应用层提供身份验证检查和代理服务。应用网关代理的优点在于，即使攻击者窃取了合法IP地址，也可以隐藏内部IP地址，而无需经过严格验证，还可以授权单个用户。但是，这种身份验证会使应用程序网关不透明，并且每次用户连接时都会进行身份验证，从而给用户带来很多不便。应用层防火墙、2、电路级代理服务器是适用于多个协议的常见代理服务器，但它不能解释应用程序协议，需要通过其他方法获取信息，因此电路级代理服务器通常需要修改的用户程序。套接字服务器(SocketsServer)是循环级代理服务器。应用层防火墙、3、托管服务器托管服务器技术将非安全服务(如FTP、telnet等)置于防火墙上，以响应外部请求同时充当服务器。4、IP通道(IPTunnels)、应用层防火墙、5、隔离域名服务器(SplitDomainNameServer)通过防火墙将受保护网络的域名服务器与外部域的域名服务器隔离，从而使外部域名服务器只能查看防火墙的IP地址，无法了解受保护网络的特定情况，从而保护网络的6、邮件转发技术(MailForwarding)、防火墙、透明防火墙的透明模式透明代理防火墙设计硬件和软件设计Linux数据包过滤防火墙实例接口隔离防火墙实例防火墙前景、防火墙的透明模式、透明模式、顾名思义，最重要的特征是对用户透明透明模式最大的好处是，现有网络无需进行任何更改，对很多客户来说都很方便，而且可以轻松地从透明模式切换到不透明模式，应用的可能性更大。防火墙的透明模式，透明模式防火墙就像一个桥(不透明防火墙等于路由器)，在不更改网络设备(主机、路由器、工作站等)和所有计算机的设置(包括IP地址和网关)的情况下验证网络上的所有数据包。这提高了网络安全性，降低了用户管理的复杂性。与传统代理一样，ARP代理和路由技术允许类似透明模式的透明代理比包过滤更深入地审查。透明代理，通常使用代理服务器时，每个用户都需要指示客户端程序是否使用代理，并直接设置代理参数(例如，在浏览器中表示HTTP或FTP等代理的特殊设置)。透明代理服务允许用户使用代理服务器，而无需进行其他设置，从而简化了网络设置过程。透明代理，透明代理的原理如下。假设a是内部网络客户端，b是外部网络服务器，c是防火墙。如果a对b有连接请求，TCP连接请求将被防火墙拦截并监视。截取后，如果发现连接需要使用代理服务器，则首先在a和c之间建立连接，然后防火墙通过建立到相应代理服务通道和目标b的连接，通过代理服务器建立a和目标地址b的数据传输路径。从用户的角度来看，a和b的连接是直接的，但实际上，a通过代理服务器c和b建立了连接。相反，当b对a的连接请求时，原理也是一样的。由于这些连接过程是自动化的，因此客户端不需要手动配置代理服务器，用户完全不知道代理服务器的存在，因此对用户是透明的。防火墙、透明防火墙的透明模式透明代理防火墙设计硬件和软件设计根据Linux数据包过滤防火墙实例界面，防火墙实例隔离防火墙前景、硬件和软件设计标准，在实施中可以分为软件防火墙和硬件防火墙。软件防火墙由checkpoint公司的Firewall-I代表，其实现通过dev_add_pack加载过滤函数，并在操作系统基础上工作(在Linux上)，以实现防火墙的各种功能和优化。硬件防火墙，从硬件到软件均单独设计，Netscreen防火墙在硬件部分以及软件部分使用特殊的ASIC集成电路。另一个是所谓的硬件防火墙，它使用基于PC体系结构的自定义通用操作系统。基于硬件和软件设计，防火墙需要管理界面，管理过程如何设计得更安全是一个非常重要的问题。目前有两个方案。a .设置专用服务端口b .通信流程加密、基于硬件和软件设计、可升级功能(适合)和灵活性当前防火墙通常可以升级软件。防火墙的灵活性a .可升级性b .支持多个协议c .支持SNMP而不是单列的可管理性d .功能可扩展，Linux数据包过滤防火墙实例，设计思路：使用iptables for Linux的简单数据包过滤防火墙，iptables是管理内核包考虑事项的工具，IP tables是内核包过滤表(链实际运行这些规则的是netfilter(Linux内核的公共体系结构)和相关模块(例如，iptables模块和NAT模块)。Linux数据包由防火墙实例、filter表中的数据包进程、当系统中有传入的数据包时，系统首先根据路由表确定发送数据包的链。1，如果数据包的目标地址是本地，则系统将数据包发送到INPUT链，如果通过规则检查，则将数据包发送到相应的本地进程进行处理。如果未通过规则检查，系统将放弃此软件包。2、如果数据包的目标地址不是本机地址，即当转发此数据包时，系统将数据包发送到FORWARD链，通过规则检查时，将数据包发送到相应的本地进程进行处理；如果未通过规则检查，系统将放弃此软件