《防火墻技術(shù)2》ppt課件

1、8.2 防火墻技術(shù)防火墻技術(shù) 8.2.1 防火墻主要技術(shù)防火墻主要技術(shù) 8.2.2 防火墻分類防火墻分類 8.2.3 防火墻的選擇標(biāo)準(zhǔn)和開展方向防火墻的選擇標(biāo)準(zhǔn)和開展方向第第8 8章章 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全8.2.1 防火墻主要技術(shù)防火墻主要技術(shù)防火墻是一道介于開放的、不平安的公共網(wǎng)與信息、資源聚集的內(nèi)部網(wǎng)之間的屏障，由一個或一組系統(tǒng)組成。狹義的防火墻指安裝了防火墻軟件的主機(jī)或路由器系統(tǒng)，廣義的防火墻還包括整個網(wǎng)絡(luò)的平安策略和平安行為。防火墻技術(shù)包括：包過濾技術(shù)包過濾技術(shù) 網(wǎng)絡(luò)地址翻譯網(wǎng)絡(luò)地址翻譯 應(yīng)用級代理應(yīng)用級代理第第8 8章章 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全8.2.3 防火墻主要技術(shù)防火墻主要技術(shù) 包過濾

2、技術(shù)包過濾技術(shù)包過濾技術(shù)Packet Filtering是在網(wǎng)絡(luò)層根據(jù)系統(tǒng)的過濾規(guī)那么，對數(shù)據(jù)包進(jìn)展選擇和過濾，這種規(guī)那么又稱為訪問控制表。這種防火墻通常安裝在路由器上，如圖8.3所示。圖8.3包過濾技術(shù) 這種技術(shù)通過檢查數(shù)據(jù)流中的每個數(shù)據(jù)包的源地址、目的地址、源端口、目的端口及協(xié)議狀態(tài)或它們的組合來確定是否允許該數(shù)據(jù)包通過。 第第8 8章章 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全8.2.3 防火墻主要技術(shù)防火墻主要技術(shù)包過濾技術(shù)包括兩種根本類型：無狀態(tài)檢查的包過濾和有狀態(tài)檢查的包過濾，其區(qū)別在于后者通過記住防火墻的所有通信狀態(tài)，并根據(jù)狀態(tài)信息來過濾整個通信流，而不僅僅是包。有許多方法可繞過包過濾器進(jìn)入Intern

3、et ，包過濾技術(shù)存在以下缺陷： TCP只能在第只能在第0個分段中被過濾。個分段中被過濾。 特洛伊木馬可以使用特洛伊木馬可以使用NAT來使包過濾器失效。來使包過濾器失效。許多包過濾器允許許多包過濾器允許1024以上的端口通過。以上的端口通過?！凹儼^濾器的防火墻不能完全保證內(nèi)部網(wǎng)的平安，而必須與代理效勞器和網(wǎng)絡(luò)地址翻譯結(jié)合起來才能解決問題。 第第8 8章章 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全8.2.1 防火墻主要技術(shù)防火墻主要技術(shù)2. 網(wǎng)絡(luò)地址翻譯網(wǎng)絡(luò)地址翻譯網(wǎng)絡(luò)地址翻譯NAT，Network Address Translation最初的設(shè)計目的是增加在專用網(wǎng)絡(luò)中可使用的IP地址數(shù)，但如今那么用于屏蔽內(nèi)部主機(jī)。

4、NAT通過將專用網(wǎng)絡(luò)中的專用IP地址轉(zhuǎn)換成在Internet上使用的全球唯一的公共IP地址，實現(xiàn)對黑客有效地隱藏所有TCP/IP級的有關(guān)內(nèi)部主機(jī)信息的功能，使外部主機(jī)無法探測到它們。 NAT本質(zhì)上是一個根本代理：一個主機(jī)充當(dāng)代理，代表內(nèi)部所有主機(jī)發(fā)出懇求，從而將內(nèi)部主機(jī)的身份從公用網(wǎng)上隱藏起來了。 第第8 8章章 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全8.2.1 防火墻主要技術(shù)防火墻主要技術(shù)按普及程度和可用性順序，NAT防火墻最根本的翻譯形式包括：靜態(tài)翻譯。靜態(tài)翻譯。在這種形式中，一個指定的內(nèi)部網(wǎng)絡(luò)源有一個從在這種形式中，一個指定的內(nèi)部網(wǎng)絡(luò)源有一個從改變的固定翻譯表。改變的固定翻譯表。動態(tài)翻譯。動態(tài)翻譯。在這種形式

5、中，為了隱藏內(nèi)部主機(jī)的身份或擴(kuò)展在這種形式中，為了隱藏內(nèi)部主機(jī)的身份或擴(kuò)展內(nèi)部網(wǎng)的地址空間，一個大的內(nèi)部網(wǎng)的地址空間，一個大的Internet客戶群共享單一一個或一客戶群共享單一一個或一組小的組小的Internet IP地址。地址。負(fù)載平衡翻譯。負(fù)載平衡翻譯。在這種形式中，一個在這種形式中，一個IP地址和端口被翻譯為地址和端口被翻譯為同等配置的多個效勞器的一個集中處，這樣一個公共地址可以同等配置的多個效勞器的一個集中處，這樣一個公共地址可以為許多效勞器效勞。為許多效勞器效勞。網(wǎng)絡(luò)冗余翻譯。網(wǎng)絡(luò)冗余翻譯。在這種形式中，多個在這種形式中，多個Internet連接被附加在連接被附加在一個一個NAT防

6、火墻上，從而防火墻根據(jù)負(fù)載和可用性對這些連接防火墻上，從而防火墻根據(jù)負(fù)載和可用性對這些連接進(jìn)展選擇和使用。進(jìn)展選擇和使用。 第第8 8章章 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全8.2.1 防火墻主要技術(shù)防火墻主要技術(shù)3. 應(yīng)用級代理應(yīng)用級代理代理如今主要用于防火墻。代理效勞器通過偵聽網(wǎng)絡(luò)內(nèi)部客戶的效勞懇求，檢查并驗證其合法性，假設(shè)合法，它將作為一臺客戶機(jī)一樣向真正的效勞器發(fā)出懇求并取回所需信息，最后再轉(zhuǎn)發(fā)給客戶。代理的工作流程如圖8.4所示。圖8.4一個效勞代理 第第8 8章章 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全8.2.3 防火墻主要技術(shù)防火墻主要技術(shù)應(yīng)用代理技術(shù)的優(yōu)缺點：代理隱藏了私有客戶，不讓它們暴露給外界。但客戶必須使用代理

7、才能工作，且不能被設(shè)置為網(wǎng)絡(luò)透明工作。代理能阻斷危險的URL，但阻斷URL也容易被消除。 代理能在危險的內(nèi)容傳送給客戶之前過濾掉它們，但代理無法保護(hù)操作系統(tǒng)。代理能檢查返回內(nèi)容的一致性。但大多數(shù)一致性檢查都是在發(fā)現(xiàn)有被利用的弱點后才有效。 代理能消除在網(wǎng)絡(luò)之間的傳輸層路由。但阻斷路由功能通常使用得不充分 代理提供了單點的訪問、控制和日志記錄功能。 代理效勞器有消除冗余訪問，平衡內(nèi)部多個效勞器負(fù)載的性能優(yōu)化功能，但易形成效勞瓶頸。 第第8 8章章 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全8.2.2 防火墻分類防火墻分類 按技術(shù)分類按技術(shù)分類 根據(jù)防火墻采用的技術(shù)，防火墻分為包過濾型、代理型和監(jiān)測型。 包過濾型包過濾型

8、防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包是否來自可信任的平安站點，一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包，防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈敏制訂判斷規(guī)那么。包過濾技術(shù)的優(yōu)點是簡單實用，實現(xiàn)本錢。其缺點只能根據(jù)數(shù)據(jù)包的來源、目的和端口等網(wǎng)絡(luò)信息進(jìn)展判斷，無法識別基于應(yīng)用層的惡意入侵。第第8 8章章 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全8.2.2 防火墻分類防火墻分類代理型代理型代理型防火墻也稱為代理效勞器。從構(gòu)造上看，代理效勞器由代理的效勞器部分和代理的客戶機(jī)部分組成。從客戶機(jī)來看，代理效勞器相當(dāng)于一臺真正的效勞器，而從效勞器來看，代理效勞器又是一臺真正的客戶機(jī)。壁壘主機(jī)即一臺軟件上配置代理

9、效勞程序的計算機(jī)，也可以作為代理效勞器。 代理型防火墻的優(yōu)點是平安性較高，可以針對應(yīng)用層進(jìn)展偵測和掃描，對付基于應(yīng)用層的入侵和病毒都非常有效。其缺點是對系統(tǒng)的整體性能有較大的影響，而且代理效勞器必須針對客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)展設(shè)置，大大增加了系統(tǒng)管理的復(fù)雜性。 第第8 8章章 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全8.2.2 防火墻分類防火墻分類監(jiān)測型監(jiān)測型監(jiān)測型防火墻是新一代的產(chǎn)品，它實際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻可以對各層的數(shù)據(jù)進(jìn)展主動的、實時的監(jiān)測。并在對這些數(shù)據(jù)分析的根底上，它可以有效地判斷出各層中的非法入侵。監(jiān)測型防火墻產(chǎn)品一般還帶有分布式探測器，這些探測器安置在各種應(yīng)用效勞器和

10、其他網(wǎng)絡(luò)的節(jié)點之中，不僅可以檢測來自網(wǎng)絡(luò)外部的攻擊，還對來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。因此，監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義，而且在平安性上也超越了前兩代產(chǎn)品。 第第8 8章章 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全8.2.2 防火墻分類防火墻分類2. 按構(gòu)造分類按構(gòu)造分類目前，防火墻按構(gòu)造可分為簡單型和復(fù)合型。簡單型包括只使用屏蔽路由器或者作為代理效勞器的雙目主機(jī)構(gòu)造；復(fù)合構(gòu)造一般包括屏蔽主機(jī)和屏蔽子網(wǎng)。 雙目主機(jī)構(gòu)造雙目主機(jī)構(gòu)造 雙目主機(jī)構(gòu)造防火墻系統(tǒng)主要由一臺雙目主機(jī)構(gòu)成，具有兩個網(wǎng)絡(luò)接口，分別連接到內(nèi)部網(wǎng)和外部網(wǎng)，充當(dāng)轉(zhuǎn)發(fā)器，如圖8.5所示。這樣，主機(jī)可以充當(dāng)與這些接口相連的路由器，可以把IP

11、數(shù)據(jù)包從一個網(wǎng)絡(luò)接口轉(zhuǎn)發(fā)到另一個網(wǎng)絡(luò)接口。但是，實現(xiàn)雙目主機(jī)的防火墻構(gòu)造制止這種轉(zhuǎn)發(fā)功能。 第第8 8章章 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全8.2.1 防火墻分類防火墻分類圖8.5 雙目主機(jī)構(gòu)造防火墻 防火墻內(nèi)部的系統(tǒng)能與雙目主機(jī)通信，同時防火墻外部的系統(tǒng)如因特網(wǎng)也能與雙目主機(jī)通信，但二者之間不能直接通信。 第第8 8章章 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全8.2.2 防火墻分類防火墻分類屏蔽主機(jī)構(gòu)造屏蔽主機(jī)構(gòu)造 屏蔽主機(jī)構(gòu)造使用一個單獨的路由來提供與內(nèi)部網(wǎng)相連主機(jī)即壁壘主機(jī)的效勞。在這種平安體系構(gòu)造中，主要的平安措施是數(shù)據(jù)包過濾，如圖8.6所示。在屏蔽路由器中，數(shù)據(jù)包過濾配置按以下方式執(zhí)行： 允許其他的內(nèi)部主機(jī)為了某些效勞與

12、因特網(wǎng)上的主機(jī)連接，即允許那些經(jīng)過數(shù)據(jù)包過濾的效勞。 不允許來自內(nèi)部主機(jī)的所有連接，即強(qiáng)迫內(nèi)部主機(jī)通過壁壘主機(jī)使用代理效勞。 由于這種構(gòu)造允許數(shù)據(jù)包通過因特網(wǎng)訪問內(nèi)部數(shù)據(jù)，因此，它的設(shè)計比雙目主機(jī)構(gòu)造要更冒風(fēng)險。 第第8 8章章 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全8.2.2 防火墻分類防火墻分類圖8.6 屏蔽主機(jī)構(gòu)造防火墻 第第8 8章章 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全8.2.2 防火墻分類防火墻分類屏蔽子網(wǎng)構(gòu)造屏蔽子網(wǎng)構(gòu)造 屏蔽子網(wǎng)構(gòu)造防火墻是通過添加隔離內(nèi)外網(wǎng)的邊界網(wǎng)絡(luò)為屏蔽主機(jī)構(gòu)造增添另一個平安層，這個邊界網(wǎng)絡(luò)有時候稱為非軍事區(qū)。壁壘主機(jī)是最脆弱的、最易受攻擊的部位，通過隔離壁壘主機(jī)的邊界網(wǎng)絡(luò)，便可減輕壁壘主機(jī)被攻破所

13、造成的后果。因為壁壘主機(jī)不再是整個網(wǎng)絡(luò)的關(guān)鍵點，所以它們給入侵者提供一些訪問，而不是全部。 最簡單的屏蔽子網(wǎng)有兩個屏蔽路由器，一個接外部網(wǎng)與邊界網(wǎng)絡(luò)，另一個連接邊界網(wǎng)絡(luò)與內(nèi)部網(wǎng)，如圖8.7所示。這樣為了攻進(jìn)內(nèi)部網(wǎng)，入侵者必須通過兩個屏蔽路由器。 第第8 8章章 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全8.2.2 防火墻分類防火墻分類圖8.5屏蔽子網(wǎng)防火墻第第8 8章章 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全8.2.3 防火墻的選擇標(biāo)準(zhǔn)和開展方向防火墻的選擇標(biāo)準(zhǔn)和開展方向1. 選擇防火墻標(biāo)準(zhǔn)選擇防火墻標(biāo)準(zhǔn) 總擁有本錢總擁有本錢 。防火墻產(chǎn)品的總擁有本錢不應(yīng)該超過受保護(hù)網(wǎng)防火墻產(chǎn)品的總擁有本錢不應(yīng)該超過受保護(hù)網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的本錢絡(luò)系

14、統(tǒng)可能遭受最大損失的本錢 。防火墻本身的平安。防火墻本身的平安。防火墻本身應(yīng)該是平安的，不給外部入侵防火墻本身應(yīng)該是平安的，不給外部入侵者可乘之機(jī)。者可乘之機(jī)。管理與培訓(xùn)。管理與培訓(xùn)。管理和培訓(xùn)是評價一個防火墻好壞的重要方面。管理和培訓(xùn)是評價一個防火墻好壞的重要方面。人員培訓(xùn)和日常維護(hù)費用通常會在總擁有本錢中占據(jù)較大的比例。人員培訓(xùn)和日常維護(hù)費用通常會在總擁有本錢中占據(jù)較大的比例。 可擴(kuò)大性。可擴(kuò)大性。好產(chǎn)品應(yīng)該留給用戶足夠的彈性空間。好產(chǎn)品應(yīng)該留給用戶足夠的彈性空間。防火墻的平安性能。防火墻的平安性能。即防火墻是否可以有效地阻擋外部入侵。即防火墻是否可以有效地阻擋外部入侵。第第8 8章章 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全8.2.3 防火墻的選擇標(biāo)準(zhǔn)和開展方向防火墻的選擇標(biāo)準(zhǔn)和開展方向. 防火墻的開展方向為了有效抵御網(wǎng)絡(luò)攻擊，適應(yīng)Internet的開展勢頭，防火墻表現(xiàn)出如下開展趨勢：智能化的開