防火墻技術(shù)與VPN技術(shù)課件

第三講防火墻技術(shù)與ⅤPN技術(shù)來南大亭Allrightsreserved02010,Sodiversity內(nèi)容提要≯防火墻概述包過濾技術(shù)代理服務(wù)技術(shù)電路級網(wǎng)關(guān)VPN基本原理及工作流程VPN主要技術(shù)支持VPN的相關(guān)協(xié)議來南大亭Allrightsreserved02010,Sodiversity防火墻概述(1)防火墻的定義■防火墻是一個(gè)或一組實(shí)施訪問控制策略的系統(tǒng)。用來隔離受保護(hù)的網(wǎng)絡(luò)和不受的網(wǎng)絡(luò)(如因特網(wǎng)),通過單一集中的安全檢查點(diǎn),審查并過濾所有從I特網(wǎng)到受保護(hù)網(wǎng)絡(luò)的連接(反之亦然)。內(nèi)部局域網(wǎng)過濾防火防火墻的功能■過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)■管理進(jìn)、出網(wǎng)絡(luò)的訪問行為■封堵某些禁止的業(yè)務(wù)■記錄通過防火墻的信息內(nèi)容和活動(dòng)■對網(wǎng)絡(luò)攻擊的檢測和告警來南大亭Allrightsreserved(22010,SoutheastUniversity防火墻概述(2)防火墻的層次網(wǎng)絡(luò)層防火墻■應(yīng)用層網(wǎng)關(guān)■電路級網(wǎng)關(guān)■規(guī)則檢查防火墻物拜防火墻的結(jié)構(gòu)■雙宿堡壘主機(jī)因特網(wǎng)屏蔽主機(jī)防火墻為自自屏蔽子網(wǎng)防火墻區(qū)區(qū)s外部路由春DMZ網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)堡壘主機(jī)區(qū)區(qū)屏蔽路由器區(qū)島區(qū)區(qū)內(nèi)部網(wǎng)絡(luò)來南大亭Allrightsreserved(22010,SoutheastUniversity防火墻概述(3)防火墻產(chǎn)品的選擇■基本思路·明確內(nèi)部網(wǎng)絡(luò)安全的最終目標(biāo)明確網(wǎng)絡(luò)安全要達(dá)到什么級別監(jiān)測和控制防火墻安全標(biāo)準(zhǔn)■Secure/WAN(SWAN)標(biāo)準(zhǔn):RSA、SunMicrosystem、CheckPointFTP等■防火墻測試標(biāo)準(zhǔn):由NCSA成立的FWPD聯(lián)盟制常用工具■Firewal|-1:CheckPoint公司。PIXFirewall|和OS放火墻集:CSco公司SAServer2000:Microsoft公司SymantecFirewall:Symantec公司?！鰢鴥?nèi)產(chǎn)品:“網(wǎng)絡(luò)衛(wèi)士”、清華紫光系列防火墻等。來南大亭Allrightsreserved02010,Sodiversity包過濾技術(shù)(1)包過濾的原理和基本準(zhǔn)則■包過濾原理·包過濾路由器對所接收的毎個(gè)數(shù)據(jù)包做允許或拒絕的決定;路由器審查毎個(gè)數(shù)據(jù)包以便確定是否與某一條包過濾規(guī)則匹配。如果包的入接口匹配于出接口,并且規(guī)則允許該數(shù)據(jù)包,該數(shù)據(jù)包就會按路由表中的信息被轉(zhuǎn)發(fā);如果雖然匹配,但規(guī)則拒絕該數(shù)據(jù)包,則該數(shù)據(jù)包就丟棄;如果不相匹配,用戶配置的默認(rèn)參數(shù)會決定是轉(zhuǎn)發(fā)還是丟棄數(shù)據(jù)包決定包過濾規(guī)則的信息發(fā)出數(shù)據(jù)包的源|P地址或源IP地址的范圍接收數(shù)據(jù)包的目的P地址或目的|P地址的范圍所涉及的網(wǎng)絡(luò)協(xié)議(TCP,UDP,CMP等)所使用的端口號■包過濾的基本準(zhǔn)則切未被允許的就是被禁止的?；谠摐?zhǔn)則,防火墻應(yīng)封鎖所有信息流,然后對切未被禁止的就是被允許的?；谠摐?zhǔn)則,防火墻應(yīng)轉(zhuǎn)發(fā)所有信息流,然后逐項(xiàng)屏蔽可能有害的服務(wù)。來南大亭Allrightsreserved(22010,SoutheastUniversity包過濾技術(shù)(2)包過濾器的工作機(jī)制及配制工作機(jī)制個(gè)包過濾器由一個(gè)“臟”端口、一個(gè)“干凈”端口和一組規(guī)則組成·“臟”端口與Internet相連,來自Internet的流量都由此端口進(jìn)入庫所定義的標(biāo)準(zhǔn)來決定是否讓數(shù)據(jù)包由“干凈”端口進(jìn)入信任網(wǎng)絡(luò)根捃規(guī)則防火墻所配置的規(guī)則庫對由“臟”端口進(jìn)入的流量進(jìn)行處理,即防火■配制則「協(xié)議類型源地址目的地址源端口目的端口措施2429.·規(guī)則1:只允許某個(gè)小子網(wǎng)中的源地址訪問網(wǎng)內(nèi)資源,并從一個(gè)隨機(jī)高端口號上發(fā)出SSH連接到目的地址的TCP22端口上·規(guī)則2:用于典型的HTTP流量,允許外界通過端口訪問內(nèi)部網(wǎng)絡(luò)。來南大亭Allrightsreserved(22010,SoutheastUniversity包過濾技術(shù)(3)·規(guī)則3:允許訪問內(nèi)部網(wǎng)絡(luò)的SMTP流量規(guī)則4和5:允許訪問兩個(gè)DNS服務(wù)器,其|P地址分別為1291.5.152和12915.153規(guī)則6:阻塞那些與前面規(guī)則中所有的標(biāo)準(zhǔn)都不匹配的欻據(jù)包經(jīng)授權(quán)的用戶子網(wǎng)防火墻外部路由器服務(wù)器網(wǎng)絡(luò)旬國自圓自SshHttpsmtPDnsDns50/155來南大亭Allrightsreserved02010,Sodiversity包過濾技術(shù)(4)包過濾的優(yōu)缺點(diǎn)優(yōu)·僅需很少的管理開銷,對屏蔽設(shè)備的性能無太大影響.相當(dāng)便宜甚至是免費(fèi)的。對流量的管理較出色缺點(diǎn)允許外部網(wǎng)絡(luò)直接連接到網(wǎng)絡(luò)內(nèi)部主杋。僅能在傳輸層或網(wǎng)絡(luò)層檢測網(wǎng)絡(luò)流量,容易使網(wǎng)絡(luò)外圍設(shè)備出現(xiàn)許多安全漏洞在復(fù)雜環(huán)境中難于管理和測量。·除非進(jìn)行專門配制,否則很難防御源地址欺騙沒有用戶身份驗(yàn)證機(jī)制來南大亭Allrightsreserved02010,Sodiversity代理服務(wù)技術(shù)(1)代理服務(wù)器的結(jié)構(gòu)和工作過程概述代理服務(wù)器通常由兩部分構(gòu)成:服務(wù)器端程序和客戶端程序客戶端程序與中間節(jié)點(diǎn)代理服務(wù)器連接,中間節(jié)點(diǎn)再與要訪問的外部服務(wù)器實(shí)際內(nèi)部網(wǎng)網(wǎng)之間不存在直接的連接,代理服務(wù)器網(wǎng)絡(luò)服務(wù)時(shí)發(fā)揮中間轉(zhuǎn)接作用,內(nèi)部網(wǎng)絡(luò)只接受代理服務(wù)器提出的服務(wù)請求,拒絕外部網(wǎng)絡(luò)其他節(jié)點(diǎn)的直接請求結(jié)構(gòu)硬件結(jié)構(gòu):雙宿堡壘主機(jī)、屏蔽主機(jī)、屏蔽子網(wǎng)三種體系結(jié)構(gòu)。軟件結(jié)構(gòu):需要特殊的應(yīng)用軟件,卻不需要特定的客戶軟件;由在各個(gè)程序中建立安全性的特殊目的代碼組成,代理各種服務(wù)。