防火墻基礎(chǔ)知識(shí)教學(xué)教材

1、防火墻基礎(chǔ)知識(shí) I In nt te er rn ne et t 信任網(wǎng)絡(luò)信任網(wǎng)絡(luò)防火墻防火墻非信任網(wǎng)絡(luò)非信任網(wǎng)絡(luò) 防火墻是對(duì)黑客防范最嚴(yán)格防火墻是對(duì)黑客防范最嚴(yán)格,安全性也比安全性也比較強(qiáng)的一種方式。較強(qiáng)的一種方式。 下圖為一個(gè)典型防火墻系統(tǒng)下圖為一個(gè)典型防火墻系統(tǒng) 主機(jī)主機(jī)：連接到網(wǎng)絡(luò)的計(jì)算機(jī)系統(tǒng) 堡壘主機(jī)堡壘主機(jī)：一個(gè)連接內(nèi)部網(wǎng)絡(luò)又對(duì)外部網(wǎng)絡(luò)暴露的計(jì)算機(jī)系統(tǒng)，它的特性導(dǎo)致它容易被入侵。 周邊網(wǎng)絡(luò)周邊網(wǎng)絡(luò)：為了增加一層安全控制，在外網(wǎng)系統(tǒng)和內(nèi)網(wǎng)系統(tǒng)之間增加的一個(gè)網(wǎng)絡(luò)。周邊網(wǎng)絡(luò)有時(shí)也稱為DMZ（非軍事區(qū)，得名于分隔朝鮮北方和南方的地區(qū)） 代理服務(wù)器代理服務(wù)器：代表內(nèi)部網(wǎng)絡(luò)和外部服務(wù)器進(jìn)行信息

2、交換的程序。它將被認(rèn)可的內(nèi)部用戶的請(qǐng)求送到外部服務(wù)器，并將外部服務(wù)器的響應(yīng)送回給用戶。由于病毒的種類繁多，如果要在防火墻完成對(duì)所有病毒代碼的檢查，防火墻的效率就會(huì)降到不能忍受的程度。)防火墻的主要技術(shù)包過濾技術(shù)代理服務(wù)技術(shù)主動(dòng)檢測(cè)技術(shù)包過濾技術(shù)包過濾事實(shí)上基于路由器的技術(shù)，由路由器的對(duì)IP包進(jìn)行選擇，允許或拒絕該數(shù)據(jù)包通過。為了過濾，必須要制定一些過濾規(guī)則（訪問控制表），過濾的根據(jù)有(只考慮IP包)： 源、目的IP地址 源、目的端口：FTP、HTTP、DNS等 數(shù)據(jù)包協(xié)議類型：TCP、UDP、ICMP等 數(shù)據(jù)包流向：in或out 數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)接口：Eth0、Eth1包過濾防火墻工作示意圖設(shè)置

3、實(shí)例包過濾優(yōu)缺點(diǎn)優(yōu)點(diǎn)：簡(jiǎn)單簡(jiǎn)單較強(qiáng)的透明性過濾路由器速度快，效率高效率高。包過濾優(yōu)缺點(diǎn)缺點(diǎn)：配置基于包過濾方式的防火墻，需要對(duì)IP、TCP、UDP、ICMP等各種協(xié)議有深入的了解，否則容易出現(xiàn)因配置不當(dāng)帶來的問題；過濾判別的只有網(wǎng)絡(luò)層和傳輸層的有限信息，因而各種安全要求不能得到充分滿足；由于數(shù)據(jù)包的地址及端口號(hào)都在數(shù)據(jù)包的頭部，不能徹底防止地址欺騙；允許外部客戶和內(nèi)部主機(jī)的直接連接；不提供用戶的鑒別機(jī)制。應(yīng)用級(jí)網(wǎng)關(guān)防火墻工作示意圖應(yīng)用級(jí)網(wǎng)關(guān)防火墻的特點(diǎn) 應(yīng)用網(wǎng)關(guān)代理的優(yōu)點(diǎn)是易于配置，界面友好；不允許內(nèi)外網(wǎng)主機(jī)的直接連接；可以提供比包過濾更詳細(xì)的日志記錄，例如在一個(gè)HTTP連接中，包過濾只能記錄

4、單個(gè)的數(shù)據(jù)包，無法記錄文件名、URL等信息；可以隱藏內(nèi)部IP地址；可以給單個(gè)用戶授權(quán)；可以為用戶提供透明的加密機(jī)制；可以與認(rèn)證、授權(quán)等安全手段方便的集成。代理技術(shù)的缺點(diǎn)是：代理速度比包過濾慢；代理對(duì)用戶不透明，給用戶的使用帶來不便，而且這種代理技術(shù)需要針對(duì)每種協(xié)議設(shè)置一個(gè)不同的代理服務(wù)器。一個(gè)一個(gè)Telnet應(yīng)用代理的過程應(yīng)用代理的過程用戶首先Telnet到應(yīng)用網(wǎng)關(guān)主機(jī)，并輸入內(nèi)部目標(biāo)主機(jī)的名字（域名、IP地址）應(yīng)用網(wǎng)關(guān)檢查用戶的源IP地址等，并根據(jù)事先設(shè)定的訪問規(guī)則來決定是否轉(zhuǎn)發(fā)或拒絕然后用戶必須進(jìn)行是否驗(yàn)證（如一次一密等高級(jí)認(rèn)證設(shè)備）應(yīng)用網(wǎng)關(guān)中的代理服務(wù)器為用戶建立在網(wǎng)關(guān)與內(nèi)部主機(jī)之間的T

5、elnet連接代理服務(wù)器在兩個(gè)連接（用戶/應(yīng)用網(wǎng)關(guān)，代理服務(wù)器/內(nèi)部主機(jī)）之間傳送數(shù)據(jù)應(yīng)用網(wǎng)關(guān)對(duì)本次連接進(jìn)行日志記錄狀態(tài)檢測(cè)包過濾技術(shù) 啟動(dòng)一個(gè)監(jiān)測(cè)程序?qū)W(wǎng)絡(luò)進(jìn)行監(jiān)控，當(dāng)出現(xiàn)網(wǎng)絡(luò)攻擊時(shí)立即告警或切斷相關(guān)連接。 用于安全性非常高的網(wǎng)絡(luò)系統(tǒng)，消耗內(nèi)存大。 防火墻的設(shè)計(jì)防火墻的安全策略（1）每一個(gè)沒有明確允許的都被拒絕 常用，但操作困難，并有可能拒絕網(wǎng)絡(luò)用戶的正常需求與合法服務(wù)（2）每一個(gè)沒有明確拒絕的都允許 很少考慮，因?yàn)檫@樣的防火墻可能帶來許多風(fēng)險(xiǎn)和安全問題。攻擊者完全可以使用一種拒絕策略中沒有定義的服務(wù)而被允許并攻擊網(wǎng)絡(luò)防火墻的分類防火墻的分類4 Internet網(wǎng)關(guān)技術(shù)4 安全服務(wù)器網(wǎng)絡(luò)（SSN）4 用戶鑒別與加密4 用戶定制服務(wù)