第4-防火墙工作原理及应用-课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《第4-防火墙工作原理及应用-课件.ppt》由用户(三亚风情)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 工作 原理 应用 课件
- 资源描述:
-
1、第四章第四章 防火墙工作原理及应用防火墙工作原理及应用4.1 防火墙概念与分类防火墙概念与分类 4.1.1 防火墙简介防火墙简介 4.1.2 包过滤防火墙包过滤防火墙 4.1.3 代理服务防火墙代理服务防火墙 4.1.4 复合防火墙复合防火墙 4.1.5 个人防火墙个人防火墙第四章第四章 防火墙工作原理及应用防火墙工作原理及应用 4.2 防火墙体系结构防火墙体系结构 4.2.1.堡垒主机堡垒主机 4.2.2.非军事区非军事区 4.2.3.屏蔽路由器屏蔽路由器 4.2.4 双宿主主机体系结构双宿主主机体系结构 4.2.5 主机过滤体系结构主机过滤体系结构 4.2.6 子网过滤体系结构子网过滤体系
2、结构 4.2.7 组合体系结构组合体系结构第四章第四章 防火墙工作原理及应用防火墙工作原理及应用(续续)4.3 防火墙选型与产品简介防火墙选型与产品简介 4.3.1 防火墙的局限性防火墙的局限性 4.3.2 开发防火墙安全策略开发防火墙安全策略 4.3.3 防火墙选型原则防火墙选型原则 4.3.4 典型防火墙简介典型防火墙简介第四章第四章 防火墙工作原理及应用防火墙工作原理及应用(续续)第四章第四章 防火墙工作原理及应用防火墙工作原理及应用 当网络涉及不同的信任级别时(例如内部网、当网络涉及不同的信任级别时(例如内部网、Internet或者网络划分),要保证安全必须安装控制设备。或者网络划分)
3、,要保证安全必须安装控制设备。此类控制设备几乎总是某种形式的防火墙。防火墙允许授此类控制设备几乎总是某种形式的防火墙。防火墙允许授权的数据通过,而拒绝未经授权的数据通信,并记录访问权的数据通过,而拒绝未经授权的数据通信,并记录访问报告等。由于使用防火墙能增强内部网络的安全性,因此报告等。由于使用防火墙能增强内部网络的安全性,因此防火墙技术的研究已经成为网络信息安全技术的主导研究防火墙技术的研究已经成为网络信息安全技术的主导研究方向。本章将介绍防火墙的基本功能、工作原理、分类、方向。本章将介绍防火墙的基本功能、工作原理、分类、体系结构、局限性以及典型防火墙产品。体系结构、局限性以及典型防火墙产品
4、。4.1 防火墙概念与分类防火墙概念与分类 网络防火墙网络防火墙是隔离内部网与是隔离内部网与Internet之间的一道防御系统,这里有一个门,允许之间的一道防御系统,这里有一个门,允许人们在内部网和开放的人们在内部网和开放的Internet之间通信。之间通信。访问者必须首先穿越防火墙的安全防线,才访问者必须首先穿越防火墙的安全防线,才能接触目标计算机,网络防火墙如图能接触目标计算机,网络防火墙如图4.1所所示。示。图图4.1 网络网络防火墙防火墙 Internet 内部网内部网防火墙防火墙路由器路由器4.1.1 防火墙简介防火墙简介 在没有防火墙时,局域网内部的每个节点都暴露给在没有防火墙时,
5、局域网内部的每个节点都暴露给Internet上的其它主机,此时内部网的安全性要由每个节点的坚固程上的其它主机,此时内部网的安全性要由每个节点的坚固程度来决定,且安全性等同于其中最薄弱的节点。使用防火墙度来决定,且安全性等同于其中最薄弱的节点。使用防火墙后,防火墙会将内部网的安全性统一到它自身,网络安全性后,防火墙会将内部网的安全性统一到它自身,网络安全性在防火墙系统上得到加固,而不是分布在内部网的所有节点在防火墙系统上得到加固,而不是分布在内部网的所有节点上。上。防火墙把内部网与防火墙把内部网与Internet隔离,仅让安全、核准了的信息隔离,仅让安全、核准了的信息进入,而阻止对内部网构成威胁
6、的数据,它防止黑客更改、进入,而阻止对内部网构成威胁的数据,它防止黑客更改、拷贝、毁坏重要信息;同时又不会妨碍人们对拷贝、毁坏重要信息;同时又不会妨碍人们对Internet的访的访问。问。根据安全策略,从根据安全策略,从Intranet到到Internet 的流量以及响应的的流量以及响应的返回流量允许通过防火墙。返回流量允许通过防火墙。根据安全策略,从Internet到Intranet的流量受到阻塞 根据安全策略,从Internet来的特殊类型的流量可能被允许到达Intranet图图4.2防火墙的工作原理防火墙的工作原理服务器服务器 内部网内部网 Internet防火墙的基本功能防火墙的基本功
7、能 作为一个中心作为一个中心“遏制点遏制点”,将内部网的安,将内部网的安全管理集中起来,所有的通信都经过防火全管理集中起来,所有的通信都经过防火墙;墙;只放行经过授权的网络流量,屏蔽非法请只放行经过授权的网络流量,屏蔽非法请求,防止越权访问求,防止越权访问,并产生安全报警;并产生安全报警;能经受得起对其自身的攻击能经受得起对其自身的攻击。防火墙能为管理人员提供对下列问题的答防火墙能为管理人员提供对下列问题的答案:案:什么人在使用网络什么人在使用网络?他们什么时间,使用了什么网络资源他们什么时间,使用了什么网络资源?他们他们连接连接了什么站点了什么站点?他们在网上做什么他们在网上做什么?谁要上网
8、谁要上网,但是没有成功但是没有成功?防火墙的基本功能防火墙的基本功能(续续)防火墙工作防火墙工作在在OSI参考模型上参考模型上OSIOSI参考模型参考模型防火墙技术防火墙技术应用层应用层应用级网关应用级网关表示层表示层 加密加密会话层会话层电路级网关电路级网关传输层传输层包过滤包过滤网络层网络层NAT数据链路层数据链路层无无 物理层物理层 无无防火墙的发展史防火墙的发展史 第一代防火墙技术由附加在边界路由器上的第一代防火墙技术由附加在边界路由器上的访问控制访问控制表表ACL(Access Control Table)构成,采用了包过滤构成,采用了包过滤技术。技术。第二代代理防火墙即电路层网关和
9、应用层网关。第二代代理防火墙即电路层网关和应用层网关。1994年,以色列的年,以色列的Check Point公司开发出了第一个公司开发出了第一个基于动态包过滤技术的防火墙产品。基于动态包过滤技术的防火墙产品。1998年,美国的网络联盟公司年,美国的网络联盟公司NAI(Network Associates Inc.)又推出了一种自适应代理技术。又推出了一种自适应代理技术。防火墙的两大分类防火墙的两大分类 尽管防火墙的发展经过了将近尽管防火墙的发展经过了将近20年,但年,但是按照防火墙对内外来往数据的处理方法,大是按照防火墙对内外来往数据的处理方法,大致可以将防火墙分为两大体系:包过滤防火墙致可以
10、将防火墙分为两大体系:包过滤防火墙和代理防火墙。前者以和代理防火墙。前者以Checkpoint防火墙和防火墙和Cisco公司的公司的PIX防火墙为代表,后者以防火墙为代表,后者以NAI公司的公司的Gauntlet防火墙为代表,表防火墙为代表,表4.2为防火为防火墙两大体系性能的比较。墙两大体系性能的比较。防火墙两大体系性能的比较防火墙两大体系性能的比较包过滤防火墙包过滤防火墙代理防火墙代理防火墙优点优点工作在工作在IP和和TCP层,层,所以处理包的速度快,所以处理包的速度快,效率高;效率高;提供透明的服务,用提供透明的服务,用户不用改变客户端程户不用改变客户端程序序不允许数据包直接通过防不允许
11、数据包直接通过防火墙,避免了数据驱动式火墙,避免了数据驱动式攻击的发生,安全性好攻击的发生,安全性好;能生成各项记录。能灵活、能生成各项记录。能灵活、完全地控制进出的流量和完全地控制进出的流量和内容;内容;能过滤数据内容。能过滤数据内容。防火墙两大体系性能的比较防火墙两大体系性能的比较(续续)包过滤防火墙包过滤防火墙代理防火墙代理防火墙缺点缺点定义复杂,容易出现因配置定义复杂,容易出现因配置不当带来的问题;不当带来的问题;允许数据包直接通过,容易允许数据包直接通过,容易造成数据驱动式攻击的潜在造成数据驱动式攻击的潜在危险危险;不能彻底防止地址欺骗不能彻底防止地址欺骗;包中只有来自哪台机器的信包
12、中只有来自哪台机器的信息不包含来自哪个用户的信息不包含来自哪个用户的信息;不支持用户认证;息;不支持用户认证;不提供日志功能。不提供日志功能。对于每项服务代理可能对于每项服务代理可能要求不同的服务器;要求不同的服务器;速度较慢;速度较慢;对用户不透明,用户需对用户不透明,用户需要改变客户端程序;要改变客户端程序;不能保证免受所有协议不能保证免受所有协议弱点的限制;弱点的限制;不能改进底层协议的安不能改进底层协议的安全性全性。防火墙的组成防火墙的组成 防火墙既可以是一台路由器、一台防火墙既可以是一台路由器、一台PC或或者一台主机,也可以是由多台主机构成的体系。者一台主机,也可以是由多台主机构成的
13、体系。应该将防火墙放置在网络的边界。网络边界是应该将防火墙放置在网络的边界。网络边界是一个本地网络的整个边界,本地网络通过输入一个本地网络的整个边界,本地网络通过输入点和输出点与其它网络相连,这些连接点都应点和输出点与其它网络相连,这些连接点都应该装有防火墙,然而在网络边界内部也应该部该装有防火墙,然而在网络边界内部也应该部署防火墙,以便为特定主机提供额外的、特殊署防火墙,以便为特定主机提供额外的、特殊的保护。的保护。Internet 内部网内部网分支机构或合作分支机构或合作伙伴的网络伙伴的网络VPN连接连接图图 4.3防火墙放置的位置防火墙放置的位置防火墙的分类防火墙的分类防火墙有很多种分类
14、方法:防火墙有很多种分类方法:根据采用的技术不同,可分为包过滤防火墙和根据采用的技术不同,可分为包过滤防火墙和 代理服务防火墙;代理服务防火墙;按照应用对象的不同,可分为企业级防火墙与按照应用对象的不同,可分为企业级防火墙与 个人防火墙;个人防火墙;依据实现的方法不同,又可分为软件防火墙、依据实现的方法不同,又可分为软件防火墙、硬件防火墙和专用防火墙。硬件防火墙和专用防火墙。软件防火墙软件防火墙 防火墙运行于特定的计算机上,一般来说防火墙运行于特定的计算机上,一般来说这台计算机就是整个网络的网关。软件防火墙这台计算机就是整个网络的网关。软件防火墙像其它的软件产品一样需要先在计算机上安装像其它的
15、软件产品一样需要先在计算机上安装并做好配置才可以使用。使用这类防火墙,需并做好配置才可以使用。使用这类防火墙,需要网络管理人员对所工作的操作系统平台比较要网络管理人员对所工作的操作系统平台比较熟悉。熟悉。硬件防火墙硬件防火墙 由由PC硬件、通用操作系统和防火墙软件组成。硬件、通用操作系统和防火墙软件组成。在定制的在定制的PC硬件上,采用通用硬件上,采用通用PC系统、系统、Flash盘、盘、网卡组成的硬件平台上运行网卡组成的硬件平台上运行Linux、FreeBSD、Solaris等经过最小化安全处理后的操作系统及集成等经过最小化安全处理后的操作系统及集成的防火墙软件。特点是开发成本低、性能实用、
16、稳的防火墙软件。特点是开发成本低、性能实用、稳定性和扩展性较好,价格也低廉。由于此类防火墙定性和扩展性较好,价格也低廉。由于此类防火墙依赖操作系统内核,因此会受到操作系统本身安全依赖操作系统内核,因此会受到操作系统本身安全性影响,处理速度也慢。性影响,处理速度也慢。专用防火墙专用防火墙 采用特别优化设计的硬件体系结构,使用专采用特别优化设计的硬件体系结构,使用专用的操作系统,此类防火墙在稳定性和传输性能用的操作系统,此类防火墙在稳定性和传输性能方面有着得天独厚的优势,速度快,处理能力强,方面有着得天独厚的优势,速度快,处理能力强,性能高;由于使用专用操作系统,容易配置和管性能高;由于使用专用操
17、作系统,容易配置和管理,本身漏洞也比较少,但是扩展能力有限,价理,本身漏洞也比较少,但是扩展能力有限,价格也较高。由于专用防火墙系列化程度好,用户格也较高。由于专用防火墙系列化程度好,用户可根据应用环境选择合适的产品。可根据应用环境选择合适的产品。4.1.2 包过滤防火墙包过滤防火墙 包过滤包过滤(Packet Filter)是所有防火墙中最核心的功能,是所有防火墙中最核心的功能,进行包过滤的标准是根据安全策略制定的。通常情况下靠进行包过滤的标准是根据安全策略制定的。通常情况下靠网络管理员在防火墙设备的网络管理员在防火墙设备的ACL中设定。与代理服务器相中设定。与代理服务器相比,它的优势是不占
18、用网络带宽来传输信息。比,它的优势是不占用网络带宽来传输信息。包过滤规则一般存放于路由器的包过滤规则一般存放于路由器的ACL中。在中。在ACL中定义了中定义了各种规则来表明是否同意或拒绝数据包的通过。各种规则来表明是否同意或拒绝数据包的通过。如果没有一条规则能匹配,防火墙就会使用默认规则,一如果没有一条规则能匹配,防火墙就会使用默认规则,一般情况下,默认规则要求防火墙丢弃该包。包过滤的核心般情况下,默认规则要求防火墙丢弃该包。包过滤的核心是安全策略即包过滤算法的设计。是安全策略即包过滤算法的设计。帧头(例如HDLC)数据包(IP头部)段(例如TCP头部)数据帧尾目的端口号源端口号目的IP地址源
19、IP地址封装协议用用ACL规则规则测试数据包测试数据包拒绝,丢弃允许通过图图4.4ACL对数据包的过滤对数据包的过滤NoYesNo数据包到达数据包到达防火墙接口防火墙接口与第一条与第一条匹配吗?匹配吗?接口上有接口上有ACL吗?吗?Yes列表中的列表中的下一条目下一条目还有更多的还有更多的条目条目吗?吗?Yes应用条件应用条件拒绝拒绝允许允许转发给转发给接口接口NoICMP消息消息图图4.5ACL处理入数据包的过程处理入数据包的过程无状态包过滤防火墙无状态包过滤防火墙 无状态包过滤无状态包过滤也叫静态包过滤或者无检查也叫静态包过滤或者无检查包过滤。防火墙在检查数据包报头时,不关心包过滤。防火墙
20、在检查数据包报头时,不关心服务器和客户机之间的连接状态,只是根据定服务器和客户机之间的连接状态,只是根据定义好的过滤规则集来检查所有进出防火墙的数义好的过滤规则集来检查所有进出防火墙的数据包报头信息来允许或者拒绝数据包。据包报头信息来允许或者拒绝数据包。网络层网络层链路层链路层物理层物理层传输层传输层 Internet内部网内部网图图4.6无状态包过滤防火墙的执行无状态包过滤防火墙的执行无状态包过滤防火墙的优缺点无状态包过滤防火墙的优缺点 无状态包过滤防火墙最大的好处是速度快、效率高,对流无状态包过滤防火墙最大的好处是速度快、效率高,对流量的管理较出色;由于所有的通信必须通过防火墙,所以量的管
21、理较出色;由于所有的通信必须通过防火墙,所以绕过是困难的;同时对用户和应用是透明的。绕过是困难的;同时对用户和应用是透明的。无状态包过滤防火墙的缺点也很明显:它允许外部网络直无状态包过滤防火墙的缺点也很明显:它允许外部网络直接连接到内部网络主机;只要数据包符合接连接到内部网络主机;只要数据包符合ACL规则都可以规则都可以通过,因此它不能区分包的通过,因此它不能区分包的“好好”与与“坏坏”;它不能识;它不能识别别IP欺诈欺诈。它也不支持用户身份认证,不提供日志功能;。它也不支持用户身份认证,不提供日志功能;虽然可以过滤端口,但是虽然可以过滤端口,但是不能过滤服务不能过滤服务。IP欺骗欺骗 当外部
22、主机伪装内部主机的当外部主机伪装内部主机的IP地址时,防火墙能够阻地址时,防火墙能够阻止这种类型的止这种类型的IP欺骗。欺骗。但是当外部主机伪装成可信任的外部主机的但是当外部主机伪装成可信任的外部主机的IP地址时,地址时,防火墙却不能阻止它们。防火墙却不能阻止它们。由于无状态包过滤防火墙不能为挂起的通信维持一个记由于无状态包过滤防火墙不能为挂起的通信维持一个记录,所以它就必须根据数据包的格式来判断该数据包是录,所以它就必须根据数据包的格式来判断该数据包是否属于先前所允许的对话。这就使其有受到否属于先前所允许的对话。这就使其有受到IP欺诈的欺诈的可能性,并且无法识别可能性,并且无法识别UDP数据
23、包和数据包和ICMP包的状态。包的状态。无法过滤服务无法过滤服务 对于一些比较新的多媒体应用在会话开始之前对于一些比较新的多媒体应用在会话开始之前端口号是未知的。端口号是未知的。例如,例如,Web服务器默认端口为服务器默认端口为80,而计算机上,而计算机上又安装了又安装了RealPlayer,那么它会搜寻可以允许,那么它会搜寻可以允许连接到连接到RealAudio服务器的端口,而不管这个服务器的端口,而不管这个端口是否被其他协议所使用端口是否被其他协议所使用,RealPlayer正好正好是使用是使用80端口而搜寻的。就这样无意中,端口而搜寻的。就这样无意中,RealPlayer就利用了就利用了
24、Web服务器的端口。服务器的端口。有状态包过滤防火墙有状态包过滤防火墙 有状态包过滤有状态包过滤也叫也叫状态包检查状态包检查SPI(State-fulPacket Inspection)或者或者动态包过滤动态包过滤(Dynamic packet filter),后来发展成为包状,后来发展成为包状态监测技术,它是包过滤器和应用级网关的一态监测技术,它是包过滤器和应用级网关的一种折衷方案。具有包过滤机制的速度和灵活,种折衷方案。具有包过滤机制的速度和灵活,也有应用级网关的应用层安全的优点。也有应用级网关的应用层安全的优点。SPI防火墙防火墙 采用采用SPI技术的防火墙除了有一个过滤规则集外,技术的
25、防火墙除了有一个过滤规则集外,还要对通过它的每一个连接都进行跟踪,汲取相关的还要对通过它的每一个连接都进行跟踪,汲取相关的通信和应用程序的状态信息,形成一个当前连接的状通信和应用程序的状态信息,形成一个当前连接的状态列表。列表中至少包括源和目的态列表。列表中至少包括源和目的IP地址、源和目的地址、源和目的端口号、端口号、TCP序列号信息,以及与那个特定会话相关序列号信息,以及与那个特定会话相关的每条的每条TCP/UDP连接的附加标记。当一个会话经过防连接的附加标记。当一个会话经过防火墙时,火墙时,SPI防火墙把数据包与状态表、规则集进行对防火墙把数据包与状态表、规则集进行对比,只允许与状态表和
展开阅读全文