第九章-防火墻技術(shù)課件

防火墻技術(shù)

3.1防火墻技術(shù)概述3.2防火墻技術(shù)3.3防火墻設(shè)計實例第一頁第二頁，共37頁。本章學(xué)習(xí)目標(biāo) （1）了解防火墻的定義、發(fā)展簡史、目的、功能、局限性及其發(fā)展動態(tài)和趨勢。（2）掌握包過濾防火墻和和代理防火墻的實現(xiàn)原理、技術(shù)特點和實現(xiàn)方式；熟悉防火墻的常見體系結(jié)構(gòu)。（3）熟悉防火墻的產(chǎn)品選購和設(shè)計策略。返回本章首頁第二頁第三頁，共37頁。內(nèi)容攻擊的風(fēng)險日趨增長198019902000網(wǎng)絡(luò)分層物理層攻擊竊取計算機(jī)磁帶，磁盤，搭線竊聽，電子信號的檢測和感應(yīng)協(xié)議層攻擊盜用口令，欺騙，操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議的偵測內(nèi)容攻擊蠕蟲，病毒，可執(zhí)行內(nèi)容、特洛伊木馬/代理的攻擊物理層數(shù)據(jù)鏈路層表示層應(yīng)用層會話層傳輸層網(wǎng)絡(luò)層第三頁第四頁，共37頁。網(wǎng)絡(luò)安全防護(hù)體系構(gòu)架網(wǎng)絡(luò)安全評估安全防護(hù)網(wǎng)絡(luò)安全服務(wù)系統(tǒng)漏洞掃描網(wǎng)絡(luò)管理評估病毒防護(hù)體系網(wǎng)絡(luò)監(jiān)控數(shù)據(jù)保密網(wǎng)絡(luò)訪問控制應(yīng)急服務(wù)體系安全技術(shù)培訓(xùn)數(shù)據(jù)恢復(fù)第四頁第五頁，共37頁。5.1防火墻技術(shù)概述 防火墻的定義防火墻的發(fā)展簡史設(shè)置防火墻的目的和功能返回本章首頁第五頁第六頁，共37頁。防火墻的功能1.訪問控制2.對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計3.防止內(nèi)部信息的外泄4.支持VPN功能5.支持網(wǎng)絡(luò)地址轉(zhuǎn)換第六頁第七頁，共37頁。對防火墻的兩大需求保障內(nèi)部網(wǎng)安全保證內(nèi)部網(wǎng)同外部網(wǎng)的連通第七頁第八頁，共37頁。3.1.1防火墻的定義 防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，實現(xiàn)網(wǎng)絡(luò)的安全保護(hù)，以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入。

它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口。第八頁第九頁，共37頁。防火墻的發(fā)展簡史第九頁第十頁，共37頁。

第一代防火墻：采用了包過濾（PacketFilter）技術(shù)。第二代防火墻：應(yīng)用層防火墻的初步結(jié)構(gòu)。第三代防火墻：1992年，開發(fā)出了基于動態(tài)包過濾技術(shù)的第四代防火墻。第四代防火墻：1998年，NAI公司推出了一種自適應(yīng)代理技術(shù)。第十頁第十一頁，共37頁。3.1.4防火墻的局限性 （1）防火墻防外不防內(nèi)。（2）防火墻不能防范不通過它的連接。（3）很難為用戶在防火墻內(nèi)外提供一致的安全策略。（4）防火墻只實現(xiàn)了粗粒度的訪問控制。（5）防火墻對病毒的訪問控制有局限。返回本節(jié)第十一頁第十二頁，共37頁。3.2防火墻技術(shù) 3.2.1防火墻的技術(shù)分類3.2.2防火墻的主要技術(shù)及實現(xiàn)方式3.2.3防火墻的常見體系結(jié)構(gòu)返回本章首頁第十二頁第十三頁，共37頁。3.2.1防火墻的技術(shù)分類 1．包過濾防火墻2．應(yīng)用網(wǎng)關(guān)（代理服務(wù)）3．混合防火墻第十三頁第十四頁，共37頁。1．包過濾防火墻（Packetfiltering）（1）數(shù)據(jù)包過濾技術(shù)的發(fā)展：靜態(tài)包過濾、動態(tài)包過濾。

（2）包過濾的優(yōu)點：不用改動應(yīng)用程序、一個過濾路由器能協(xié)助保護(hù)整個網(wǎng)絡(luò)、數(shù)據(jù)包過濾對用戶透明、過濾路由器速度快、效率高。

第十四頁第十五頁，共37頁。簡單包過濾防火墻的工作原理第十五頁第十六頁，共37頁。包過濾防火墻的工作流程第十六頁第十七頁，共37頁。過濾規(guī)則-ACL包過濾規(guī)則一般基于部分的或全部的包頭信息：1．IP協(xié)議類型2．IP源地址3．IP目標(biāo)地址4．TCP（UDP）源端口號5．TCP（UDP）目標(biāo)端口號6．TCPACK標(biāo)識，指出這個包是否是聯(lián)接中的第一個包，是否是對另一個包的響應(yīng)。第十七頁第十八頁，共37頁。優(yōu)點：保護(hù)整個網(wǎng)絡(luò)；對用戶透明；可用路由器，不需要其他設(shè)備。缺點：1.包過濾的一個重要的局限是它不能分辨好的和壞的用戶，只能區(qū)分好的包和壞的包。2.包過濾規(guī)則難配置。3.新的協(xié)議的威脅。4.IP欺騙包過濾防火墻的特點第十八頁第十九頁，共37頁。應(yīng)用方向動作源地址源端口目的地址目的端口協(xié)議進(jìn)站允許192.168.6.0/24>1023any80TCP進(jìn)站拒絕any

any

E0端口

第十九頁第二十頁，共37頁。默認(rèn)安全策略沒有明確禁止的行為都是允許的

舉例：華為的ACL沒有明確允許的行為都是禁止的舉例：思科的ACL第二十頁第二十一頁，共37頁。代理防火墻（應(yīng)用層網(wǎng)關(guān)型防火墻）代理防火墻通過編程來弄清用戶應(yīng)用層的流量，并能在用戶層和應(yīng)用協(xié)議層間提供訪問控制；而且，還可用來保持一個所有應(yīng)用程序使用的記錄。記錄和控制所有進(jìn)出流量的能力是應(yīng)用層網(wǎng)關(guān)的主要優(yōu)點之一。2．代理防火墻的原理

ProxyServer第二十一頁第二十二頁，共37頁。代理防火墻的原理第二十二頁第二十三頁，共37頁。代理防火墻的工作過程第二十三頁第二十四頁，共37頁。代理技術(shù)的優(yōu)點

1）代理易于配置。

2）代理能生成各項記錄。3）代理能靈活、完全地控制進(jìn)出流量、內(nèi)容。

4）代理能過濾數(shù)據(jù)內(nèi)容。5）代理能為用戶提供透明的加密機(jī)制。6）代理可以方便地與其他安全手段集成。

第二十四頁第二十五頁，共37頁。代理技術(shù)的缺點1）代理速度較路由器慢。2）代理對用戶不透明。3）對于每項服務(wù)代理可能要求不同的服務(wù)器。4）代理服務(wù)不能保證免受所有協(xié)議弱點的限制。5）代理防火墻提供應(yīng)用保護(hù)的協(xié)議范圍是有限的

第二十五頁第二十六頁，共37頁。動態(tài)包過濾防火墻的工作原理第二十六頁第二十七頁，共37頁。自適應(yīng)代理防火墻

第二十七頁第二十八頁，共37頁。篩選路由器多宿主主機(jī)被屏蔽主機(jī)被屏蔽子網(wǎng)防火墻構(gòu)造體系第二十八頁第二十九頁，共37頁。概念l

堡壘主機(jī)(Bastionhost):堡壘主機(jī)是一種配置了安全防范措施的網(wǎng)絡(luò)上的計算機(jī)，堡壘主機(jī)為網(wǎng)絡(luò)之間的通信提供了一個阻塞點，也就是說如果沒有堡壘主機(jī)，網(wǎng)絡(luò)之間將不能相互訪問?？梢耘渲贸蛇^濾型、代理型或混合型。l

雙宿主主機(jī)(Dual-homedHost):有兩個網(wǎng)絡(luò)接口的計算機(jī)系統(tǒng)，一個接口接內(nèi)部網(wǎng)，一個接口接外部網(wǎng)。DMZ(DemilitarizedZone，非軍事區(qū)或者?；饏^(qū))：在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間增加的一個子網(wǎng)?？梢詫崿F(xiàn)避免內(nèi)外網(wǎng)用戶的直接接觸。第二十九頁第三十頁，共37頁。內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)包過濾器進(jìn)行包過濾篩選路由器第三十頁第三十一頁，共37頁。雙宿主主機(jī)--Dual-HomedHostFirewall第三十一頁第三十二頁，共37頁。被屏蔽主機(jī)

(ScreenedHostFir