密码编码学与网络安全(第五版)课件:17-防火墙技术.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《密码编码学与网络安全(第五版)课件:17-防火墙技术.ppt》由用户(罗嗣辉)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 密码 编码 网络安全 第五 课件 17 防火墙 技术
- 资源描述:
-
1、 防火墙技术防火墙技术2022-1-20华中农业大学信息学院华中农业大学信息学院2主要内容主要内容v防火墙概述防火墙概述v防火墙发展史及分类防火墙发展史及分类v防火墙的体系结构防火墙的体系结构v防火墙的发展趋势防火墙的发展趋势v防火墙产品介绍防火墙产品介绍2022-1-20华中农业大学信息学院华中农业大学信息学院3防火墙概述防火墙概述v防火墙是什么防火墙是什么所谓防火墙指的是一个有软件和硬件设备组合而所谓防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,使间的界面上构造的保护屏障,使Interne
2、t与与Intranet之间建立起一个安全网关(之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵),从而保护内部网免受非法用户的侵入,是一种安全方法的形象说法,防火墙主要由入,是一种安全方法的形象说法,防火墙主要由服务访问政策、验证工具、包过滤和应用网关服务访问政策、验证工具、包过滤和应用网关4个部分组成。个部分组成。2022-1-20华中农业大学信息学院华中农业大学信息学院4防火墙的设计目标防火墙的设计目标v所有通信都必须经过防火墙所有通信都必须经过防火墙通过阻塞未通过防火墙的访问实现通过阻塞未通过防火墙的访问实现v只有被授权的通信才能通过防火墙只有被
3、授权的通信才能通过防火墙授权是本地安全策略规定的授权是本地安全策略规定的v对于渗透必须是免疫的对于渗透必须是免疫的即必须使用运行安全操作系统的可信系统即必须使用运行安全操作系统的可信系统2022-1-20华中农业大学信息学院华中农业大学信息学院5所采用的技术所采用的技术v服务控制:服务控制:决定哪些服务可以被访问决定哪些服务可以被访问v方向控制:方向控制:决定哪些特定方向上的服务请求可被发起并通过决定哪些特定方向上的服务请求可被发起并通过防火墙防火墙v用户控制:用户控制:根据用户正在试图访问的服务器,来控制其访问根据用户正在试图访问的服务器,来控制其访问v行为控制:行为控制:控制一个具体的服务
4、作用实现控制一个具体的服务作用实现2022-1-20华中农业大学信息学院华中农业大学信息学院6防火墙的功能防火墙的功能v定义单一阻塞点定义单一阻塞点v提供监视安全事件的功能提供监视安全事件的功能v用用 IPSec 实现实现VPNv安全无关的功能,如安全无关的功能,如NAT等等2022-1-20华中农业大学信息学院华中农业大学信息学院7防火墙的局限性防火墙的局限性v防外不防内防外不防内防火墙可以禁止系统用户经过网络连接发送专有防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘、磁带上,的信息,但用户可以将数据复制到磁盘、磁带上,放在公文包中带出去。如果入侵者已经在防火墙
5、放在公文包中带出去。如果入侵者已经在防火墙内部,防火墙是无能为力的。内部用户偷窃数据,内部,防火墙是无能为力的。内部用户偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内防火墙。对于来自知情者的威胁只能要求加强内部管理,如主机安全和用户教育、管理、制度等。部管理,如主机安全和用户教育、管理、制度等。2022-1-20华中农业大学信息学院华中农业大学信息学院8防火墙的局限性防火墙的局限性v不能防范绕过防火墙的攻击不能防范绕过防火墙的攻击防火墙能够有效地防止通过它进行传输信息,然防火墙能够有效地防止通过它进行传输
6、信息,然而不能防止不通过它而传输的信息。例如,如果而不能防止不通过它而传输的信息。例如,如果站点允许对防火墙后面的内部系统进行拨号访问,站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入那么防火墙绝对没有办法阻止入侵者进行拨号入侵。侵。v防火墙配置复杂,容易出现安全漏洞防火墙配置复杂,容易出现安全漏洞v防火墙往往只认机器(防火墙往往只认机器(IP地址)不认人(用地址)不认人(用户身份),并且控制粒度较粗。户身份),并且控制粒度较粗。2022-1-20华中农业大学信息学院华中农业大学信息学院9防火墙的局限性防火墙的局限性v防火墙不能防范病毒防火墙不能防范病毒防
7、火墙不能防止感染了病毒的软件或文件的传输。防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。这只能在每台主机上装反病毒软件。v防火墙不能防止数据驱动式攻击。防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到内部当有些表面看来无害的数据被邮寄或复制到内部网主机上并被执行而发起攻击时,就会发生数据网主机上并被执行而发起攻击时,就会发生数据驱动攻击。特别是随着驱动攻击。特别是随着Java、JavaScript、ActiveX的应用,这一问题更加突出。的应用,这一问题更加突出。2022-1-20华中农业大学信息学院华中农业大学信息学院10防火墙发展史及分类防
8、火墙发展史及分类v第一代防火墙第一代防火墙几乎与路由器同时出现,采用了包过滤技术。几乎与路由器同时出现,采用了包过滤技术。v第二、三代防火墙第二、三代防火墙1989年,贝尔实验室的年,贝尔实验室的Dave Presotto和和Howard Trickey推出了第推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙二代防火墙,即电路层防火墙,同时提出了第三代防火墙应用应用层防火墙(代理防火墙)的初步结构。层防火墙(代理防火墙)的初步结构。v第四代防火墙第四代防火墙1992年,年,USC信息科学院的信息科学院的BobBraden开发出了基于动态包过滤开发出了基于动态包过滤(Dynamic p
9、acket filter)技术的第四代防火墙,后来演变为目前)技术的第四代防火墙,后来演变为目前所说的状态监视(所说的状态监视(Stateful inspection)技术。)技术。1994年,以色列的年,以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。公司开发出了第一个采用这种技术的商业化的产品。v第五代防火墙第五代防火墙1998年,年,NAI公司推出了一种自适应代理(公司推出了一种自适应代理(Adaptive proxy)技术,)技术,并在其产品并在其产品Gauntlet Firewall for NT中得以实现,给代理类型的防中得以实现,给代理类型的防火墙赋予了
10、全新的意义,可以称之为第五代防火墙。火墙赋予了全新的意义,可以称之为第五代防火墙。 2022-1-20华中农业大学信息学院华中农业大学信息学院11防火墙发展史防火墙发展史2022-1-20华中农业大学信息学院华中农业大学信息学院12防火墙的分类防火墙的分类v包过滤路由器包过滤路由器v应用级网关应用级网关v电路级网关电路级网关2022-1-20华中农业大学信息学院华中农业大学信息学院13包过滤路由器包过滤路由器2022-1-20华中农业大学信息学院华中农业大学信息学院14v静态包过滤静态包过滤 这种类型的防火墙根据定义好的过滤规则审查每个数据这种类型的防火墙根据定义好的过滤规则审查每个数据包,以
11、便确定其是否与某一条包过滤规则匹配。过滤规包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括则基于数据包的报头信息进行制订。报头信息中包括IP源地址、源地址、IP目标地址、传输协议目标地址、传输协议(TCP、UDP、ICMP等等等等)、TCP/UDP目标端口、目标端口、ICMP消息类型等。包过滤类消息类型等。包过滤类型的防火墙要遵循的一条基本原则是型的防火墙要遵循的一条基本原则是“最小特权原则最小特权原则”,即明确允许那些管理员希望通过的数据包,禁止其他的即明确允许那些管理员希望通过的数据包,禁止其他的数据包。数据包。 2022-1-20华中农业大学
12、信息学院华中农业大学信息学院15v动态包过滤动态包过滤 这种类型的防火墙采用动态设置包过滤规则的方法,这这种类型的防火墙采用动态设置包过滤规则的方法,这种技术后来发展成为包状态监测(种技术后来发展成为包状态监测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增接都进行跟踪,并且根据需要可动态地在过滤规则中增加或删除。加或删除。2022-1-20华中农业大学信息学院华中农业大学信息学院16代理防火墙(应用级网关)代理防火墙(应用级网关)2022-1-20华中农业
13、大学信息学院华中农业大学信息学院17v代理防火墙代理防火墙代理防火墙也叫应用层网关(代理防火墙也叫应用层网关(Application Gateway)防)防火墙。这种防火墙通过一种代理(火墙。这种防火墙通过一种代理(Proxy)技术参与到一)技术参与到一个个TCP连接的全过程。从内部发出的数据包经过这样的连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的被网络安全专
14、家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。核心技术就是代理服务器技术。2022-1-20华中农业大学信息学院华中农业大学信息学院18v自适应代理防火墙自适应代理防火墙自适应代理技术是最近在商业应用防火墙中实现的一种自适应代理技术是最近在商业应用防火墙中实现的一种革命性的技术。它可以结合代理类型防火墙的安全性和革命性的技术。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙的性能提高础之上将代理型防火墙的性能提高10倍以上。倍以上。2022-1-20华中农业大学信息学院华中农
15、业大学信息学院19电路级网关电路级网关2022-1-20华中农业大学信息学院华中农业大学信息学院20包过滤技术包过滤技术 2022-1-20华中农业大学信息学院华中农业大学信息学院21包过滤技术的原理包过滤技术的原理v在路由器上加入在路由器上加入IP Filtering 功能,这样的路由器就成为功能,这样的路由器就成为Screening Router 。vRouter逐一审查每个数据包以判定它是否与其它包过滤规则逐一审查每个数据包以判定它是否与其它包过滤规则相匹配(只检查包头,不理会包内的正文信息)。如果找到相匹配(只检查包头,不理会包内的正文信息)。如果找到一个匹配,且规则允许这包,这个包则
16、根据路由表中的信息一个匹配,且规则允许这包,这个包则根据路由表中的信息前行;前行;v如果找到一个匹配,且规则允许拒绝此包,这一包则被舍弃;如果找到一个匹配,且规则允许拒绝此包,这一包则被舍弃;v如果无匹配规则,用户配置的缺省参数将决定此包是前行还如果无匹配规则,用户配置的缺省参数将决定此包是前行还是被舍弃。是被舍弃。 2022-1-20华中农业大学信息学院华中农业大学信息学院22IPv4版本号版本号Version(4bit)报头长报头长IHL(4bit) 服务类型服务类型 ServiceType (8bit)分组总长度分组总长度Total Length(16bit)标识标识Identifica
17、tion(16bit)标志标志Flags(3bit)片偏移片偏移Fragment Offset(13bit)生存时间生存时间Time to Live(8bit)传输层协议传输层协议Protocol(8bit)头部校验和头部校验和 Header Checksum(16bit)源源IP地址地址Source Address(32bit)宿宿IP地址地址Destination Address(32bit)可选项可选项Option有效负载有效负载Payload(0或多个字节)或多个字节)20 bytes0 4 8 16 19 31填充域填充域padding2022-1-20华中农业大学信息学院华中农业大
18、学信息学院23ICMP报文报文ICMPICMP报文的一般格式报文的一般格式Data差错信息差错信息出错出错IPIP数据报的头数据报的头+64+64个字节数据个字节数据类型类型Type(8bit)代码代码Code (8bit) 检验和检验和Checksum(16bit)不同类型和代码有不同的内容不同类型和代码有不同的内容Data0 8 16 31ICMP header ICMP data IP header I P data 封装封装2022-1-20华中农业大学信息学院华中农业大学信息学院24TCP头部头部源端口源端口 Source Port(16bit)宿端口宿端口 Destination
19、Port(16bit)序列号序列号 Sequence Number (32bit)确认号确认号 Acknowledgment Number(32bit)DataOffset(4bit)Reserved(6bit)URGACKPSHRSTSYNFIN窗口大小窗口大小 Window size(16bit)校验和校验和 Checksum(16bit)紧急指针紧急指针 Urgent Pointer (16bit)选项选项 Options (0或多个或多个 32bit 字字)数据数据 Data ( 可选可选)2022-1-20华中农业大学信息学院华中农业大学信息学院25UDP头部头部UDP源端口源端口U
20、DP宿端口宿端口UDP长度长度UDP校验和校验和16bit16bit最小值为最小值为8全全“0”:不选;:不选;全全“1”:校验和为:校验和为0。2022-1-20华中农业大学信息学院华中农业大学信息学院26包过滤的依据包过滤的依据v IP 源地址源地址v IP目的地址目的地址v 封装协议封装协议(TCP、UDP、或或IP Tunnel)v TCP/UDP源端口源端口v TCP/UDP目的端口目的端口v ICMP包类型包类型v TCP报头的报头的ACK位位v 包输入接口和包输出接口包输入接口和包输出接口2022-1-20华中农业大学信息学院华中农业大学信息学院27依赖于服务的过滤依赖于服务的过
21、滤v多数服务对应特定的端口,例:多数服务对应特定的端口,例:Telnet、SMTP、POP3分别为分别为23、25、110。如要封锁输入。如要封锁输入Telnet 、SMTP的连的连接,则接,则Router丢弃端口值为丢弃端口值为23和和25的所有数据包。的所有数据包。v 典型的过滤规则有以下几种:典型的过滤规则有以下几种:只允许进来的只允许进来的Telnet会话连接到指定的一些内部主机会话连接到指定的一些内部主机只允许进来的只允许进来的FTP会话连接到指定的一些内部主机会话连接到指定的一些内部主机允许所有出去的允许所有出去的Telnet 会话会话 允许所有出去的允许所有出去的FTP 会话会话
22、拒绝从某些指定的外部网络进来的所有信息拒绝从某些指定的外部网络进来的所有信息2022-1-20华中农业大学信息学院华中农业大学信息学院28独立于服务的过滤独立于服务的过滤v有些类型的攻击很难用基本包头信息加以鉴别,有些类型的攻击很难用基本包头信息加以鉴别,因为独立于服务。要防止这类攻击,需要在过滤因为独立于服务。要防止这类攻击,需要在过滤规则中考虑其它信息,如:路由表、特定的规则中考虑其它信息,如:路由表、特定的IP选项、选项、特定的片段偏移等。不依赖于服务的攻击有三类:特定的片段偏移等。不依赖于服务的攻击有三类:v源源IP地址欺骗攻击地址欺骗攻击入侵者从伪装成源自一台内部主机的一个外部地点传
23、送入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包;这些信息包似乎像包含了一个内部系统的一些信息包;这些信息包似乎像包含了一个内部系统的源源IP地址。如果这些信息包到达地址。如果这些信息包到达Router的外部接口,则的外部接口,则舍弃每个含有这个源舍弃每个含有这个源IP地址的信息包,就可以挫败这种地址的信息包,就可以挫败这种源欺骗攻击。源欺骗攻击。2022-1-20华中农业大学信息学院华中农业大学信息学院29v源路由攻击源路由攻击攻击者为信息包指定一个穿越攻击者为信息包指定一个穿越Internet的路由,这类攻的路由,这类攻击企图绕过安全措施,并使信息包沿一条意外(疏漏)击企图绕过
24、安全措施,并使信息包沿一条意外(疏漏)的路径到达目的地。可以通过舍弃所有包含这类源路由的路径到达目的地。可以通过舍弃所有包含这类源路由选项的信息包方式,来挫败这类攻击。选项的信息包方式,来挫败这类攻击。v残片攻击残片攻击入侵者利用入侵者利用IP分段特性生成一个极小的片断并将分段特性生成一个极小的片断并将TCP报报头信息肢解成一个分离的信息包片断,使数据包绕过用头信息肢解成一个分离的信息包片断,使数据包绕过用户定义的过滤规则。入侵者希望过滤路由器只检查第一户定义的过滤规则。入侵者希望过滤路由器只检查第一分段,而允许其它分段通过。通过舍弃所有协议类型为分段,而允许其它分段通过。通过舍弃所有协议类型
25、为TCP、IP报头中报头中Fragment Offset=1的数据包,即可挫的数据包,即可挫败残片的攻击。败残片的攻击。 2022-1-20华中农业大学信息学院华中农业大学信息学院30推荐的过滤规则推荐的过滤规则v任何进入内网的数据包不能将内部地址作为源地址任何进入内网的数据包不能将内部地址作为源地址v任何进入内网的数据包必须将内部地址作为目标地址任何进入内网的数据包必须将内部地址作为目标地址v任何离开内网的数据包必须将内部地址作为源地址任何离开内网的数据包必须将内部地址作为源地址v任何离开内网的数据包不能将内部地址作为目标地址任何离开内网的数据包不能将内部地址作为目标地址v任何进入或离开内网
展开阅读全文