防火墙技术-推选优秀.ppt

1、Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,防火墙技术(jsh),第一页，共45页。,1 防火墙的定义(dngy),防火墙是设置在被保护网络

2、和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。防火墙本身(bnshn)具有较强的抗攻击能力，它是提供信息安全服务、实现网络和信息安全的基础设施。图 1为防火墙示意图。,第二页，共45页。,图 1防火墙示意图,第三页，共45页。,防火墙的发展(fzhn)简史,第一代防火墙：采用了包过滤（Packet Filter）技术。,第二、三代防火墙：1989年，推出了电路层防火墙，和应用层防火墙的初步结构。,第四代防火墙：1992年，开发出了基于(jy)动态包过滤技术的第四代防火墙。,第五代防火墙：1998年，NAI公司推出了一种自适应代理技术，可以称之为第五代防火

3、墙。,第四页，共45页。,图 2防火墙技术(jsh)的简单发展历史,第五页，共45页。,设置防火墙的目的(md)和功能,（1）防火墙是网络安全的屏障,（2）防火墙可以(ky)强化网络安全策略,（3）对网络存取和访问进行监控审计,（4）防止内部信息的外泄,第六页，共45页。,防火墙的局限性,限制有用的网络服务。,无法防护内部网用户的攻击。,防火墙无法防范通过防火墙以外的其他途径的攻击。,防火墙也不能完全(wnqun)防止传送已感染病毒的软件或文件。,防火墙无法防范数据驱动型的攻击。,不能防备新的网络安全问题。,第七页，共45页。,2 防火墙技术发展动态(dngti)和趋势,（1）优良的性能,（2

4、可扩展的结构和功能,（3）简化的安装与管理(gunl),（4）主动过滤,（5）防病毒与防黑客,第八页，共45页。,3 防火墙的体系结构,防火墙按体系结构可以分为包过滤防火墙、屏蔽主机防火墙、屏蔽子网防火墙、多宿主主机防火墙和通过混合组合而衍生(yn shn)的其他结构的防火墙。,3.1 包过滤型防火墙,包过滤型防火墙的核心技术就是安全策略设计即包过滤算法的设计。,第九页，共45页。,图 5 包过滤(gul)型防火墙,第十页，共45页。,使用(shyng)双宿主主机作为防火墙，防火墙本身的安全性至关重要。,1 防火墙的定义(dngy),防火墙也不能完全(wnqun)防止传送已感染病毒的软件或文

5、件。,包过滤最明显的缺陷是即使是最基本的网络服务和协议，它也不能提供足够的安全保护，包过滤是不够安全的。,第三十一页，共45页。,包过滤型防火墙具有以下优点。,（5）不可能提供有用的日志，或根本就不提供，这使用户发觉网络受攻击的难度加大，也就谈不上根据日志来进行网络的优化、完善以及追查责任。,（3）对网络存取和访问进行监控审计,屏蔽主机型防火墙由堡垒主机和包过滤路由器组成(z chn)，所有的外部主机与一个堡垒主机相连接而不让它们与内部主机直接相连。,图 6 双宿主机防火墙,（1）要为每一种应用定制代理(dil),表 3防火墙技术(jsh)比较表,包过滤是无状态的，因为包过滤不能保持与传输相关

6、的状态信息或与应用相关的状态信息。,（5）不可能提供有用的日志，或根本就不提供，这使用户发觉网络受攻击的难度加大，也就谈不上根据日志来进行网络的优化、完善以及追查责任。,第三十二页，共45页。,第二十九页，共45页。,包过滤型防火墙具有以下优点。,（1）处理包的速度比代理服务器快，过滤路由器为用户提供了一种透明的服务，用户不用改变(gibin)客户端程序或改变(gibin)自己的行为。,（2）实现包过滤几乎不再需要费用（或极少的费用），因为这些特点都包含在标准的路由器软件中。,（3）包过滤路由器对用户和应用来讲是透明的。,第十一页，共45页。,包过滤型防火墙存在以下(yxi)的缺点。,（1）防

7、火墙的维护比较困难，定义数据包过滤器会比较复杂，因为网络管理员需要对各种Internet服务、包头格式以及每个域的意义有非常深入的理解，才能将过滤规则集尽量定义得完善。,（2）只能阻止一种类型的IP欺骗，即外部主机伪装内部主机的IP，对于外部主机伪装其他可信任的外部主机的IP却不可阻止。,（3）任何直接经过路由器的数据包都有被用做数据驱动攻击的潜在危险。,第十二页，共45页。,（4）一些包过滤网关不支持有效(yuxio)的用户认证。,（5）不可能提供有用的日志，或根本就不提供，这使用户发觉网络受攻击的难度加大，也就谈不上根据日志来进行网络的优化、完善以及追查责任。,（6）随着过滤器数目的增加，

8、路由器的吞吐量会下降。,（7）IP包过滤器无法对网络上流动的信息提供全面的控制。,（8）允许外部网络直接连接到内部网络的主机上，易造成敏感数据的泄漏。,第十三页，共45页。,包过滤路由器常见的攻击有以下(yxi)几种。,（1）源IP地址欺骗式攻击。,（2）源路由攻击。,（3）极小数据段式攻击。,第十四页，共45页。,3.2 多宿主主机（多宿主网关）防火墙,多宿主主机拥有多个网络接口，每一个接口都连在物理上和逻辑上都分离(fnl)的不同的网段上。每个不同的网络接口分别连接不同的子网，不同子网之间的相互访问实施不同的访问控制策略。,第十五页，共45页。,图,6,双宿主机防火墙,第十六页，共45页。

9、双宿主主机防火墙采用主机取代路由器执行安全控制功能，故类似于包过滤防火墙，双宿主主机可以在内部网络和外部网络之间进行寻径。,双宿主主机防火墙的最大特点是IP层的通信被阻止，两个网络之间的通信可通过(tnggu)应用层数据共享或应用层代理服务来完成，而不能直接通信。,第十七页，共45页。,图 8 运行(ynxng)代理服务器的双宿主机,使用(shyng)双宿主主机作为防火墙，防火墙本身的安全性至关重要。,第十八页，共45页。,3.3 屏蔽主机型防火墙,屏蔽主机型防火墙由堡垒主机和包过滤路由器组成(z chn)，所有的外部主机与一个堡垒主机相连接而不让它们与内部主机直接相连。,第十九页，共45页

10、图 10 被屏蔽(pngb)主机结构,第二十页，共45页。,图 11 堡垒主机(zhj)转发数据包,第二十一页，共45页。,第三十三页，共45页。,很多路由器可以作数据包过滤，因此不需要专门添加设备。,（2）IP目的(md)地址；,（5）不可能提供有用的日志，或根本就不提供，这使用户发觉网络受攻击的难度加大，也就谈不上根据日志来进行网络的优化、完善以及追查责任。,在一个要求用户接口和用户体系结构友好易操作的今天，这种“不友好”性显得不合时宜。,图 10 被屏蔽(pngb)主机结构,应用级代理有两种情况，一种是内部网通过代理访问外部网。,防火墙无法防范通过防火墙以外的其他途径的攻击。,第二十

11、九页，共45页。,状态(zhungti)检查防火墙有如下的优点。,图 5 包过滤(gul)型防火墙,3.4 屏蔽(pngb)子网型防火墙,图 12 被屏蔽(pngb)子网防火墙系统（DMZ）,第二十二页，共45页。,3.5 堡垒主机,堡垒主机是一种被强化的可以防御进攻的计算机，是高度暴露于Internet中的，也是网络中最容易受到侵害的主机。,构筑堡垒主机的基本原则有以下两条。,（1）使堡垒主机尽可能简单,（2）做好备份(bi fn)工作以防堡垒主机受损,第二十三页，共45页。,1堡垒主机的主要结构,当前(dngqin)堡垒主机主要采用以下3种结构。,（1）无路由双宿主主机,（2）牺牲主机,（

12、3）内部堡垒主机,第二十四页，共45页。,4 防火墙的主要(zhyo)技术,4.1 数据包过滤技术(jsh),数据包过滤技术(jsh)是在网络中的适当位置对数据包实施有选择的通过的技术(jsh)。,第二十五页，共45页。,图 18 包过滤(gul)模型,第二十六页，共45页。,包过滤一般要检查下面几项：,（1）IP源地址；,（2）IP目的(md)地址；,（3）协议类型（TCP包、UDP包和ICMP包）；,（4）TCP或UDP的源端口；,（5）TCP或UDP的目的(md)端口；,（6）ICMP消息类型；,（7）TCP报头中的ACK位。,另外，TCP的序列号、确认号，IP校验以及分段偏移也往往是要

13、检查的选项。,第二十七页，共45页。,包过滤技术的优点,帮助保护整个网络，减少暴露的风险；,对用户完全透明，不需要对客户端做任何(rnh)改动，也不需要对用户做任何(rnh)培训；,很多路由器可以作数据包过滤，因此不需要专门添加设备。,第二十八页，共45页。,包过滤最明显的缺陷是即使是最基本的网络服务和协议，它也不能提供足够的安全保护，包过滤是不够安全的。,包过滤规则难于配置。一旦配置，数据包过滤规则也难于检验。,包过滤仅可以访问包头信息中的有限信息。,包过滤是无状态的，因为包过滤不能保持与传输相关的状态信息或与应用相关的状态信息。,包过滤对信息的处理能力非常有限。,一些(yxi)协议不适合用

14、数据包过滤，如基于RPC的应用的“r”命令等。,第二十九页，共45页。,4.2 代理技术,代理技术也称为(chn wi)应用层网关技术，代理技术与包过滤技术完全不同，包过滤技术是在网络层拦截所有的信息流，代理技术是针对每一个特定应用都有的一个程序。,第三十页，共45页。,1应用级代理,应用级代理有两种情况，一种是内部网通过代理访问外部网。另一种情况是，外部网通过代理访问内部网。,代理使得网络管理员能够实现比包过滤(gul)路由器更严格的安全策略，它会对应用程序的数据进行校验以确保数据格式可以接受。,第三十一页，共45页。,提供代理应用层网关主要有以下优点(yudin)。,（1）应用层网关有能力

15、支持可靠的用户认证并提供详细的注册信息。,（2）应用层的过滤规则相对于包过滤路由器来说更容易配置和测试。,（3）代理工作在客户机和真实服务器之间，完全控制会话，所以可以提供很详细的日志和安全审计功能。,（4）提供代理服务的防火墙可以被配置成惟一的可被外部看见的主机，这样可以隐藏内部网的IP地址，可以保护内部主机免受外部网的进攻。,（5）通过代理访问Internet，可以解决合法的IP地址不够用的问题。,第三十二页，共45页。,然而，应用层代理也有明显的缺点，主要包括以下几点。,（1）有限的连接性。,（2）有限的技术。应用层网关不能为RPC、Talk和其他一些基于通用协议簇的服务提供代理。,（3

16、性能(xngnng)。应用层实现的防火墙会造成明显的性能(xngnng)下降。,第三十三页，共45页。,（4）每个应用程序(chngx)都必须有一个代理服务程序(chngx)来进行安全控制，每一种应用程序(chngx)升级时，一般代理服务程序(chngx)也要升级。,（5）应用层网关要求用户改变自己的行为，或者在访问代理服务的每个系统上安装特殊的软件。（6）对用户不透明。在一个要求用户接口和用户体系结构友好易操作的今天，这种“不友好”性显得不合时宜。,第三十四页，共45页。,2电路级网关代理技术,应用层代理为一种特定的服务（如FTP和Telnet等）提供代理服务。,这种代理的优点是它可以对各

17、种不同的协议提供服务，但这种代理需要改进客户程序。,Socks是一种非常强大(qingd)的电路级网关防火墙，它只中继基于TCP的数据包,第三十五页，共45页。,图 28 电路(dinl)级网关,第三十六页，共45页。,图,29,Socks,服务器,第三十七页，共45页。,4.3 状态检查技术,状态检查技术能在网络层实现所有需要(xyo)的防火墙能力，它既有包过滤机制的速度和灵活，也有应用级网关安全的优点，它是包过滤器和应用级网关功能的折衷。,第三十八页，共45页。,表 3防火墙技术(jsh)比较表,防火墙的能力,包,过,滤,器,代,理,状,态,检,查,传输的信息,部分,部分,能,传输状态,不

18、能,部分,能,应用的状态,不能,能,能,信息处理,部分,能,能,第三十九页，共45页。,状态(zhungti)检查防火墙有如下的优点。,1高安全性,2高效性,3伸缩性和易扩展性,4针对性,5应用范围广,第四十页，共45页。,4.4 地址翻译技术,地址翻译（Network Address Translation，NAT）就是将一个IP地址用另一个IP地址代替。地址翻译主要用在以下两个方面。,（1）网络管理员希望隐藏内部(nib)网络的IP地址。,（2）内部(nib)网络的IP地址是无效的IP地址。,第四十一页，共45页。,应用层网关有如下的缺陷。,（1）要为每一种应用定制代理(dil),（2）代理(dil)是不透明的,（3）应用层网关不能为基于TCP以外的应用提供很好的提供代理(dil)。,地址翻译可以提供一种透明而完善的解决方案。网络管理员可以决定那些内部的IP地址需要隐藏，哪些地址需要映射成为一个对Internet可见的IP地址。,第四十二页，共45页。,图 31 地址(dzh)翻译,第四十三页，共45页。,图 32 将内部(nib)地址翻译成网关地址,第四十四页，共45页。,地址翻译可以有多种模式(msh)，主要有如下几种。,（1）静态翻译,（2）动态翻译,（3）端口转换,（4）负载平衡翻译,（5）网络冗余翻译,第四十五页，共45页。,