防火墙的关键技术

1、第二讲：防火墙关键技术计算机科学与技术学院主讲人：吕宏武网络安全防护技术讲义1MAIN POINTS包过滤技术状态包过滤技术NAT网络地址转换技术代理技术2.MAIN POINTS 学习的目标理解包过滤技术掌握NAT转换的基本原理了解防火墙代理技术3.1、包过滤技术 包过滤原理分组交换网络，包含信息头部和数据信息两部分工作在网络层和传输层根据首部信息决定处理方式理论上可以对报头的任意数据域进行过滤4.1、包过滤技术 IPv4的头部5.1、包过滤技术 TCP的头部6.1、包过滤技术 包过滤的规则表数据包过滤访问控制列表ACL只有满足规则的数据包才被转发7.1、包过滤技术 包过滤的规则表还可以包含

2、TCP包的序列号、IP校验和、网卡名称等8.1、包过滤技术 通常被阻止的数据包部分内网数据包9.1、包过滤技术 包过滤的优缺点优点是简单缺点是：过滤依据的信息有限缺少审计和报警机制不能对用户身份验证规则数目受限，规则表太大时，性能受影响对安全管理人员的要求很高由于缺少上下文关联信息，难以处理动态端口连接10.1、包过滤技术 包过滤的优缺点EX1仅开通内部主机对外部Web服务的访问？11.1、包过滤技术 包过滤的优缺点EX2包过滤防火墙对于TCP ACK隐蔽扫描的处理分析？12.1、包过滤技术 包过滤的优缺点EX2包过滤防火墙对于TCP ACK隐蔽扫描的处理分析？13.2、状态包过滤技术 状态包

3、过滤技术基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流来看待过滤规则表+状态表14.2、状态包过滤技术状态包过滤技术基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流来看待过滤规则表+状态表15.2、状态包过滤技术状态包过滤技术重新分析EX1OUT | 主机A地址：* | 服务器地址：80 | TCP协议 | 接收并加入状态表16.2、状态包过滤技术状态包过滤技术重新分析EX217.2、状态包过滤技术状态包过滤技术也可以保护更复杂的情况，如UDPFTP需要两个连接，控制端口一般为21，而数据端口一般为2018.2、状态包过滤技术状态包过滤技术的优缺点访问控制

4、列表管理与维护困难：规模、顺序难以详细了解主机之间的会话关系底层难以实现对应用层服务的过滤查询状态表19.2、NAT技术NAT最初只是为了将私有IP映射到公网IP地址短缺内部地址隐藏负载均衡网络地址交叠20.2、NAT技术 静态NAT私有IP：公网IP 1 to 1521.2、NAT技术 动态NAT私有IP：公网IP m to n22.2、NAT技术 动态NATPAT IP地址+端口号：网络套接字映射节省IP地址隐藏内部拓扑结构23.2、NAT技术NAT实现负载均衡与NAT映射表中相匹配的目的地址会被内网集中的一个地址所替代以连接为单位轮询进行由外部发起到内部新连接时才执行24.2、NAT技术

5、NAT实现负载均衡25.2、NAT技术NAT处理网络地址交叠两个公司合并方案移植26.2、NAT技术NAT技术缺点某些应用层协议无法使用NAT：与端口关联安全问题：静态/数据包中的相关地址不能替换对内部主机的引诱和木马攻击无抵御能力状态表超时问题27.3、代理技术Proxy基于应用层信息处理问题，不再基于数据包28.3、代理技术应用层代理针对每一种应用编制专门的代理程序HTTP、SMTP、POP3、Telnet29.3、代理技术应用层代理代理服务程序接受内网用户请求访问规则检查表进行核查（允许的请求类型）IF允许，代理服务程序将请求转发给外部真正的服务程序。当会话建立后，代理仅承担中转站的任务

6、。内网用户和外部服务器之间传超数据，担当C/S双重角色；代理服务包括两个部分：代理服务器端程序和代理客户端程序30.3、代理技术应用层代理无ACK攻击扫描问题，不是有意义的应用请求结合协议进行检测如HTTP，检查是否是正确格式，而不仅仅是80端口如FTP，可以get 不可put31.3、代理技术应用层代理优点经常访问的信息可以缓存支持用户认证配置规则简单完全控制会话，可提供详细日志和安全审计可隐藏内部IP代理访问解决内部IP不足32.3、代理技术应用层代理缺点吞吐量瓶颈有限的连接性，提供独特的Proxy不能支持RPC、TALK等协议族33.3、代理技术传输层代理SOCKS不再是一种应用一种代理SOCKS服务端、 SOCKS客户端服务端实现在应用层客户端实现在应用层和传输层之间无需