资源描述:
第6章防火墙技术,本章学习目标什么是防火墙防火墙的作用防火墙常见的几种类型如何在网络中配置防火墙,引言,破坏者红客间谍技术爱好者好奇的年青人,1、影响网络安全的人群,2、网络攻击的层次,第一层基于应用层的操作。如拒绝服务或邮件炸弹攻击。第二层指本地用户获得不应获得的文件或目录读权限。第三层指本地用户获得不应获得的文件或目录写权限。第四层指外部用户获得访问内部文件的权利。第五层指获得特权文件的写权限。第六层指获得系统管理员的权限或根权限。,,1、隐藏IP2、踩点扫描3、获得系统或管理员权限4、种植后门5、在网络中隐身,3、网络攻击的步骤,攻击技术网络踩点、网络扫描和网络监听,引言,4、网络攻击手段社会工程学攻击物理攻击暴力攻击利用Unicode漏洞攻击利用缓冲区溢出漏洞进行攻击,引言,1、防火墙技术2、入侵检测技术3、系统脆弱性扫描技术4、隔离技术5、VPN技术6、网络防病毒技术7、数据加密技术,5、网络防护的方法,引言,6.1防火墙概述,6.1防火墙概述,通常意义上的防火墙◆不同安全级别的网络或安全域之间的唯一通道◆只有被防火墙策略明确授权的通信才可以通过◆系统自身具有高安全性和高可靠性,注意区分个人防火墙、病毒防火墙,防火墙是位于两个或多个网络间,实施网络间访问控制的一组组件的集合。防火墙的英文名为“FireWall”,它是最重要的网络防护设备之一。,1、基本概念,网络边界即是采用不同安全策略的两个网络连接处,比如用户网络和因特网之间连接、和其他业务往来单位的网络连接、用户内部网络不同部门之间的连接等。,6.1防火墙概述,1不同安全级别的网络或安全域之间的唯一通道,防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。,6.1防火墙概述,2只有被防火墙策略明确授权的通信才可以通过,6.1防火墙概述,3系统自身具有高安全性和高可靠性,防火墙自身应具有非常强的抗攻击免疫力是防火墙之所以能担当企业内部网络安全防护重任的先决条件。,防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其他应用程序在防火墙上运行。,一般采用Linux、UNIX或FreeBSD系统作为支撑其工作的操作系统。,6.1防火墙概述,2、防火墙的功能,1)限定内部用户访问特殊站点。2)防止未授权用户访问内部网络。3)允许内部网络中的用户访问外部网络的服务和资源而不泄漏内部网络的数据和资源。4)记录通过防火墙的信息内容和活动。5)对网络攻击进行监测和报警。,6.1防火墙概述,2、防火墙的功能续,防火墙的基本功能访问控制,基于源MAC地址基于目的MAC地址基于源IP地址基于目的IP地址基于源端口基于目的端口,基于方向基于时间基于用户基于流量基于内容,路由功能NAT功能VPN功能用户认证,6.1防火墙概述,2、防火墙的功能续,防火墙的扩展功能,带宽控制日志审计流量分析,6.2防火墙在网络中的位置,安装防火墙以前的网络,6.2防火墙在网络中的位置,安装防火墙后的网络,DMZ是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。这样,不管是外部还是内部与对外服务器交换信息数据也要通过防火墙,实现了真正意义上的保护。,6.2防火墙在网络中的位置,DMZ区demilitarizedzone,也称非军事区,6.3防火墙的体系结构,防火墙的体系结构一般有以下几种,1)双重宿主主机体系结构。2)屏蔽主机体系结构。3)屏蔽子网体系结构。,6.3防火墙的体系结构,1、双重宿主主机体系结构,双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的,该计算机至少有两个网络接口。可充当与这些接口相连的网络之间的路由器;它能够从一个网络到另一个网络发送IP数据包。,实现双重宿主主机的防火墙体系结构禁止这种发送功能。因而,IP数据包从一个网络(例如,因特网)并不是直接发送到其他网络(例如,内部的、被保护的网络)。防火墙内部的系统能与双重宿主主机通信,同时防火墙外部的系统(在因特网上)能与双重宿主主机通信,但是这些系统不能直接互相通信。它们之间的IP通信被完全阻止。,6.3防火墙的体系结构,2、屏蔽主机体系结构,屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务。,堡垒主机是互联网上的主机能连接到内部网络上的系统的桥梁,,数据包过滤也许堡垒主机开放可允许的连接到外部世界,6.3防火墙的体系结构,3、屏蔽子网体系结构,屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步地把内部网络和外部网络(通常是Internet)隔离开。,最简单的形式为两个屏蔽路由器,每一个都连接到周边网。一个位于周边网络与内部网络之间,另一个位于周边网与外部网络(通常为Internet)之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。,6.3防火墙的体系结构,3、屏蔽子网体系结构续,侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机,它将仍然必须通过内部路由器。,软件防火墙和硬件防火墙以及芯片级防火墙。,6.4防火墙的类型与特点,6.4.1按物理实体分类,,X86架构(PC架构工控机),NP架构(网络处理器),ASIC架构(专用集成电路),,,,至少应具备三个端口,分别接内网、外网和DMZ区(非军事区),,,防火墙的工作方式主要分包过滤型和应用代理型两种。,6.4防火墙的类型与特点,6.4.2按工作方式分类,1.包过滤型,包过滤(Packetfiltering)型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。,,6.4防火墙的类型与特点,6.4.2按工作方式分类(续),2.应用代理型,应用代理型防火墙ApplicationProxy是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。,,6.4防火墙的类型与特点,6.4.3按部署结构分类,从防火墙结构分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。,单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。与一台计算机结构差不多,价格昂贵。,路由器集成式防火墙这种防火墙通常是较低级的包过滤型。许多中、高档路由器中集成了防火墙功能,如CiscoIOS防火墙系列。这样企业就不用再同时购买路由器和防火墙,大大降低了网络设备购买成本。,分布式防火墙不只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的PCI防火墙卡。,6.4防火墙的类型与特点,6.4.4按部署位置分类,按防火墙的应用部署位置分为边界防火墙、个人防火墙和混合式防火墙三大类。,6.4.5按性能分类,按防火墙性能分为百兆级防火墙和千兆级防火墙两类。目前还针对小企业用户(网络流量小、用户数量较少)生产出了桌面型防火墙。,6.5防火墙的工作模式与主要技术,6.5.1防火墙的工作模式,防火墙的工作模式有路由模式、透明桥模式和混合模式三大类。,路由模式防火墙可以充当路由器,提供路由功能。,透明桥模式防火墙可以方便的接入到网络,而且保持所有的网络设备配置完全不变。,混合模式防火墙同时工作在路由模式和桥模式。,路由模式,防火墙缺省工作模式,防火墙可以充当路由器,提供路由功能,FTP,,,www,DMZ区,内部网络,,,,连接DMZ的接口需要设置成公网地址或在出接口启用destinationnat,防火墙的各个接口处于不同的网段,Internet,策略路由,,,透明模式(桥模式),L3Switch,Router,,,,,防火墙可以方便的接入到网络,而且保持所有的网络设备配置完全不变,此时防火墙类似网桥的工作方式,降低网络管理的复杂度,Internet,内部网络,,,混合模式,,,桥,防火墙同时工作在路由模式和桥模式,FTP,www,DMZ区,内部网络,Internet,路由,,NAT,,,防火墙的网桥接口启用NAT转换,外部接口和DMZ接口组成透明方式,混合模式防火墙的应用,源ip地址转换(NAT)目的ip地址转换(目的ip地址映射/MAP/反向NAT)一对一/静态ip地址转换/SAT地址池(ippool)目的端口转换(端口映射/PAT)地址伪装透明应用代理,NAT网络地址转换,6.5.2防火墙的主要技术,6.5防火墙的工作模式与主要技术,应用一目的端口映射,在WIN2K中端口映射,查开放端口的小程序,,应用二防BT,,应用三防Flood攻击,Hacker,,,,ICMPFlood,UDPFlood,TCPFlood,,,,,,,,,,,,,基于数据流的防范,基于数据包的防范,当源主机在1秒内发起的连接数达到门限值时,在该秒内的剩余时段和下一秒中,丢弃该源主机发起的同类连接,当源主机在1秒内发出的数据包达到门限值时,在该秒内的剩余时段和下一秒中,丢弃该源主机发出的同类数据,All-In-One技术大集成,需解决模块安全,6.6防火墙的发展趋势,大多数防火墙的功能都比较全面,几乎包括了所有的安全功能,如VPN、防病毒、IDS、安全审计等。性能不断提升,国内已有千兆线速防火墙;架构已发生变化,从X86架构,开始向ASIC、NP等网络设备标准架构蜕变。,功能性能不断突破需解决集成、核心技术,下一代网络的新需求IPv6网络需求,高速、安全、可用高性能、抗毁、业务连续,6.7应用案例一某市局网上下互连,防火墙网络地址分配外口221.12.118.179/29内口10.33.120.20/24DMZ口21.24.117.2,6.7应用案例二单计算机保护,利用防火墙软件实现。目前可选天网、瑞星、趋势、诺顿等。此处以单机版软件为例,介绍防火墙规则设置与使用。有条件的应该安排3-4次防火墙实验,如端口设置、NAT、规则管理、VPN及与IDS的联动等。,瑞星个人防火墙的设置与使用,瑞星个人防火墙的设置与使用,瑞星个人防火墙的设置与使用,瑞星个人防火墙的设置与使用,趋势05网络安全版设置与使用,趋势05网络安全版设置与使用,趋势05网络安全版设置与使用,趋势05网络安全版设置与使用,本章小结,防火墙是隔离在本地网络与外界网络之间执行访问控制策略的一道防御系统,目的是保护网络不被他人侵扰。防火墙在企业内网与Internet之间或与其他外部网络互相隔离、限制网络互访,从而实现内网保护。典型的防火墙具有三个基本特性①内部网络和外部网络之间的所有网络数据流都必须经过防火墙;②只有符合安全策略的数据流才能通过防火墙;③防火墙自身应具有非常强的抗攻击免疫力。防火墙具有以下几种功能①限定内部用户访问特殊站点;②防止未授权用户访问内部网络;③允许内部网络中的用户访问外部网络的服务和资源而不泄漏内部网络的数据和资源;④记录通过防火墙的信息内容和活动;⑤对网络攻击进行监测和报警。防火墙的体系结构有以下几种①双重宿主主机体系结构;②被屏蔽主机体系结构;③被屏蔽子网体系结构。防火墙的类型有多种分类方法技术上分“包过滤型”和“应用代理型”;结构上分单一主机防火墙、路由器集成式防火墙和分布式防火墙三种;应用部署位置分为边界防火墙、个人防火墙和混合式防火墙;性能上分为百兆级防火墙和千兆级防火墙。防火墙的发展趋势①功能性能不断突破;②下一代网络的新需求;③高速、安全、可用。,作业,P1232、3、4,建议实验,使用瑞星或天网防火墙,制定规则,体会规则的应用。,
展开阅读全文