《防火墙技术》PPT课件.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,防火墙技术,1 防火墙的定义,防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入防火墙本身具有较强的抗攻击能力，它是提供信息安全服务、实现网络和信息安全的基础设施图,1,为防火墙示意图图 1防火墙示意图,防火墙的发展简史,第一代防火墙：采用了包过滤（,Packet Filter,）技术第二、三代防火墙：,1989,年，推出了电路层防火墙，和应用层防火墙的初步结构第四代防火墙：,1992,年，开发出了基于动态包过滤技术的第四代防火墙第五代防火墙：,1998,年，,NAI,公司推出了一种自适应代理技术，可以称之为第五代防火墙图 2防火墙技术的简单发展历史,设置防火墙的目的和功能,（,1,）防火墙是网络安全的屏障,（,2,）防火墙可以强化网络安全策略,（,3,）对网络存取和访问进行监控审计,（,4,）防止内部信息的外泄,防火墙的局限性,限制有用的网络服务无法防护内部网用户的攻击防火墙无法防范通过防火墙以外的其他途径的攻击防火墙也不能完全防止传送已感染病毒的软件或文件。

防火墙无法防范数据驱动型的攻击不能防备新的网络安全问题2 防火墙技术发展动态和趋势,（,1,）优良的性能,（,2,）可扩展的结构和功能,（,3,）简化的安装与管理,（,4,）主动过滤,（,5,）防病毒与防黑客,3 防火墙的体系结构,防火墙按体系结构可以分为包过滤防火墙、屏蔽主机防火墙、屏蔽子网防火墙、多宿主主机防火墙和通过混合组合而衍生的其他结构的防火墙3.1 包过滤型防火墙,包过滤型防火墙的核心技术就是安全策略设计即包过滤算法的设计图,5,包过滤型防火墙,包过滤型防火墙具有以下优点1,）处理包的速度比代理服务器快，过滤路由器为用户提供了一种透明的服务，用户不用改变客户端程序或改变自己的行为2,）实现包过滤几乎不再需要费用（或极少的费用），因为这些特点都包含在标准的路由器软件中3,）包过滤路由器对用户和应用来讲是透明的包过滤型防火墙存在以下的缺点1,）防火墙的维护比较困难，定义数据包过滤器会比较复杂，因为网络管理员需要对各种,Internet,服务、包头格式以及每个域的意义有非常深入的理解，才能将过滤规则集尽量定义得完善2,）只能阻止一种类型的,IP,欺骗，即外部主机伪装内部主机的,IP,，对于外部主机伪装其他可信任的外部主机的,IP,却不可阻止。

3,）任何直接经过路由器的数据包都有被用做数据驱动攻击的潜在危险4,）一些包过滤网关不支持有效的用户认证5,）不可能提供有用的日志，或根本就不提供，这使用户发觉网络受攻击的难度加大，也就谈不上根据日志来进行网络的优化、完善以及追查责任6,）随着过滤器数目的增加，路由器的吞吐量会下降7,）,IP,包过滤器无法对网络上流动的信息提供全面的控制8,）允许外部网络直接连接到内部网络的主机上，易造成敏感数据的泄漏包过滤路由器常见的攻击有以下几种1,）源,IP,地址欺骗式攻击2,）源路由攻击3）极小数据段式攻击3.2 多宿主主机（多宿主网关）防火墙,多宿主主机拥有多个网络接口，每一个接口都连在物理上和逻辑上都分离的不同的网段上每个不同的网络接口分别连接不同的子网，不同子网之间的相互访问实施不同的访问控制策略图,6,双宿主机防火墙,双宿主主机防火墙采用主机取代路由器执行安全控制功能，故类似于包过滤防火墙，双宿主主机可以在内部网络和外部网络之间进行寻径双宿主主机防火墙的最大特点是,IP,层的通信被阻止，两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成，而不能直接通信图,8,运行代理服务器的双宿主机,使用双宿主主机作为防火墙，防火墙本身的安全性至关重要。

3.3 屏蔽主机型防火墙,屏蔽主机型防火墙由堡垒主机和包过滤路由器组成，所有的外部主机与一个堡垒主机相连接而不让它们与内部主机直接相连图,10,被屏蔽主机结构,图,11,堡垒主机转发数据包,3.4 屏蔽子网型防火墙,图,12,被屏蔽子网防火墙系统（,DMZ,）,3.5 堡垒主机,堡垒主机是一种被强化的可以防御进攻的计算机，是高度暴露于,Internet,中的，也是网络中最容易受到侵害的主机构筑堡垒主机的基本原则有以下两条1,）使堡垒主机尽可能简单,（,2,）做好备份工作以防堡垒主机受损,1,堡垒主机的主要结构,当前堡垒主机主要采用以下,3,种结构1,）无路由双宿主主机,（,2,）牺牲主机,（,3,）内部堡垒主机,4 防火墙的主要技术,4.1 数据包过滤技术,数据包过滤技术是在网络中的适当位置对数据包实施有选择的通过的技术图,18,包过滤模型,包过滤一般要检查下面几项：,（,1,）,IP,源地址；,（,2,）,IP,目的地址；,（,3,）协议类型（,TCP,包、,UDP,包和,ICMP,包）；,（,4,）,TCP,或,UDP,的源端口；,（,5,）,TCP,或,UDP,的目的端口；,（,6,）,ICMP,消息类型；,（,7,）,TCP,报头中的,ACK,位。

另外，,TCP,的序列号、确认号，,IP,校验以及分段偏移也往往是要检查的选项包过滤技术的优点,帮助保护整个网络，减少暴露的风险；,对用户完全透明，不需要对客户端做任何改动，也不需要对用户做任何培训；,很多路由器可以作数据包过滤，因此不需要专门添加设备包过滤最明显的缺陷是即使是最基本的网络服务和协议，它也不能提供足够的安全保护，包过滤是不够安全的包过滤规则难于配置一旦配置，数据包过滤规则也难于检验包过滤仅可以访问包头信息中的有限信息包过滤是无状态的，因为包过滤不能保持与传输相关的状态信息或与应用相关的状态信息包过滤对信息的处理能力非常有限一些协议不适合用数据包过滤，如基于RPC的应用的“r”命令等4.2 代理技术,代理技术也称为应用层网关技术，代理技术与包过滤技术完全不同，包过滤技术是在网络层拦截所有的信息流，代理技术是针对每一个特定应用都有的一个程序1,应用级代理,应用级代理有两种情况，一种是内部网通过代理访问外部网另一种情况是，外部网通过代理访问内部网代理使得网络管理员能够实现比包过滤路由器更严格的安全策略，它会对应用程序的数据进行校验以确保数据格式可以接受提供代理应用层网关主要有以下优点。

1,）应用层网关有能力支持可靠的用户认证并提供详细的注册信息2,）应用层的过滤规则相对于包过滤路由器来说更容易配置和测试3,）代理工作在客户机和真实服务器之间，完全控制会话，所以可以提供很详细的日志和安全审计功能4,）提供代理服务的防火墙可以被配置成惟一的可被外部看见的主机，这样可以隐藏内部网的,IP,地址，可以保护内部主机免受外部网的进攻5,）通过代理访问,Internet,，可以解决合法的,IP,地址不够用的问题然而，应用层代理也有明显的缺点，主要包括以下几点1,）有限的连接性2,）有限的技术应用层网关不能为,RPC,、,Talk,和其他一些基于通用协议簇的服务提供代理3,）性能应用层实现的防火墙会造成明显的性能下降4,）每个应用程序都必须有一个代理服务程序来进行安全控制，每一种应用程序升级时，一般代理服务程序也要升级5,）应用层网关要求用户改变自己的行为，或者在访问代理服务的每个系统上安装特殊的软件6,）对用户不透明在一个要求用户接口和用户体系结构友好易操作的今天，这种“不友好”性显得不合时宜2电路级网关代理技术,应用层代理为一种特定的服务（如,FTP,和,Telnet,等）提供代理服务。

这种代理的优点是它可以对各种不同的协议提供服务，但这种代理需要改进客户程序Socks,是一种非常强大的电路级网关防火墙，它只中继基于,TCP,的数据包,图,28,电路级网关,图,29,Socks,服务器,4.3 状态检查技术,状态检查技术能在网络层实现所有需要的防火墙能力，它既有包过滤机制的速度和灵活，也有应用级网关安全的优点，它是包过滤器和应用级网关功能的折衷表 3防火墙技术比较表,防火墙的能力,包,过,滤,器,代,理,状,态,检,查,传输的信息,部分,部分,能,传输状态,不能,部分,能,应用的状态,不能,能,能,信息处理,部分,能,能,状态检查防火墙有如下的优点1高安全性,2高效性,3伸缩性和易扩展性,4针对性,5应用范围广,4.4 地址翻译技术,地址翻译（,Network Address Translation,，,NAT,）就是将一个,IP,地址用另一个,IP,地址代替地址翻译主要用在以下两个方面1,）网络管理员希望隐藏内部网络的,IP,地址2,）内部网络的,IP,地址是无效的,IP,地址应用层网关有如下的缺陷1,）要为每一种应用定制代理,（,2,）代理是不透明的,（3）应用层网关不能为基于TCP以外的应用提供很好的提供代理。

地址翻译可以提供一种透明而完善的解决方案网络管理员可以决定那些内部的,IP,地址需要隐藏，哪些地址需要映射成为一个对,Internet,可见的,IP,地址图,31,地址翻译,图,32,将内部地址翻译成网关地址,地址翻译可以有多种模式，主要有如下几种1,）静态翻译,（2）动态翻译,（3）端口转换,（4）负载平衡翻译,（5）网络冗余翻译,。