网络管理与安全技术课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《网络管理与安全技术课件.ppt》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 管理 安全技术 课件
- 资源描述:
-
1、网络管理与安全技术第第7章章 防火墙 防火墙作为网络安全的一种防护手段防火墙作为网络安全的一种防护手段得到了广泛的应用,已成为各企业网络中得到了广泛的应用,已成为各企业网络中实施安全保护的核心,安全管理员可以通实施安全保护的核心,安全管理员可以通过其选择性地拒绝进出网络的数据流量,过其选择性地拒绝进出网络的数据流量,增强了对网络的保护作用增强了对网络的保护作用 。7.1 防火墙基本概念防火墙基本概念 防火墙示意图防火墙示意图 UF3500/3100防火墙应用 三端口NAT模式交换机交换机路由器路由器集线器集线器防火墙防火墙UF3500/3100UF3500/3100WWW WWW 服务器服务器
2、MailMail服务器服务器PCPCPCPCFTP FTP 服务器服务器7.1.1 防火墙技术发展状况防火墙技术发展状况 n第四代防火墙:第四代防火墙:19921992年,开发出了基于动年,开发出了基于动态包过滤技术的第四代防火墙。态包过滤技术的第四代防火墙。n第五代防火墙:第五代防火墙:19981998年,年,NAINAI公司推出了一公司推出了一种自适应代理技术,可以称之为第五代防种自适应代理技术,可以称之为第五代防火墙。火墙。7.1.1 防火墙技术发展状况防火墙技术发展状况 7.17.1.2 .2 防火墙的任务防火墙的任务 2.创建检查点创建检查点 n 防火墙在内部网络和公网间建立一个检查
3、防火墙在内部网络和公网间建立一个检查点。点。n通过检查点防火墙设备可以监视、过滤和通过检查点防火墙设备可以监视、过滤和检查所有进来和出去的流量。检查所有进来和出去的流量。n网络管理员可以在检查点上集中实现安全网络管理员可以在检查点上集中实现安全目的。目的。7.17.1.2 .2 防火墙的任务防火墙的任务7.17.1.2 .2 防火墙的任务防火墙的任务 九运会信息网络系统已经受并成功地抵御了九运会信息网络系统已经受并成功地抵御了87万多次网络攻击万多次网络攻击3.3.记录记录InternetInternet活动活动 7.17.1.2 .2 防火墙的任务防火墙的任务目前大多数防火墙都采用几种技术相
4、结合的形式目前大多数防火墙都采用几种技术相结合的形式来保护网络不受恶意的攻击,其基本技术通常分来保护网络不受恶意的攻击,其基本技术通常分为两类:为两类:l l 网络数据单元过滤网络数据单元过滤l l 网络服务代理网络服务代理 数据包过滤(数据包过滤(Packet Packet FilteringFiltering)技术是在网)技术是在网络层对数据包进行分析、络层对数据包进行分析、选择,选择的依据是系统选择,选择的依据是系统内设置的过滤逻辑,称为内设置的过滤逻辑,称为访问控制表(访问控制表(Access Access Control TableControl Table)。)。通过检查数据流中每
5、一个通过检查数据流中每一个数据包的源地址、目的地数据包的源地址、目的地址、所用端口号、协议状址、所用端口号、协议状态等因素,或它们的组合态等因素,或它们的组合来确定是否允许该数据包来确定是否允许该数据包通过。通过。l l 源源IP地址地址l l 目的目的IP地址地址l l TCP/UDP源端口源端口l l TCP/UDP目的端口目的端口l l 协议类型(协议类型(TCP包、包、UDP包、包、ICMP包)包)l l TCP报头中的报头中的ACK位位l l ICMP消息类型消息类型例如:例如:FTPFTP使用使用TCPTCP的的2020和和2121端口。如果包过滤要禁止所有的数端口。如果包过滤要禁
6、止所有的数据包只允许特殊的数据包通过。据包只允许特殊的数据包通过。第一条是允许网络地址为第一条是允许网络地址为192.168.1.0192.168.1.0内的任何主机与目标地址为内的任何主机与目标地址为任意且端口为任意且端口为2121建立建立TCPTCP的会话连接。的会话连接。第二条是阻止任何源端口为第二条是阻止任何源端口为2020的远程的远程IPIP地址访问内部网络地址为地址访问内部网络地址为192.168.1.0192.168.1.0且端口小于且端口小于10241024的任意主机。的任意主机。第三条规则是允许源端口为第三条规则是允许源端口为2020的任意远程主机可以访问的任意远程主机可以访
7、问192.168.1.0192.168.1.0网络内主机任意端口。这些规则的应用是按照顺序执网络内主机任意端口。这些规则的应用是按照顺序执行的。第三条看上去好像是矛盾的。如果任何包违反第二条规则,行的。第三条看上去好像是矛盾的。如果任何包违反第二条规则,它会被立刻丢弃掉,第三条规则不会执行。但第三条规则仍然需要它会被立刻丢弃掉,第三条规则不会执行。但第三条规则仍然需要是因为包过滤对所有进来和出去的流量进行过滤直到遇到特定的允是因为包过滤对所有进来和出去的流量进行过滤直到遇到特定的允许规则。许规则。n包过滤防火墙的优点包过滤防火墙的优点 速度快、逻辑简单、成本低、易于安装和使用,速度快、逻辑简单
8、、成本低、易于安装和使用,网络性能和透明度好。它通常安装在路由器上,网络性能和透明度好。它通常安装在路由器上,因内部网络与因内部网络与InternetInternet连接必须通过路由器,所连接必须通过路由器,所以在原有网络上增加这类防火墙,几乎不需要任以在原有网络上增加这类防火墙,几乎不需要任何额外的费用。何额外的费用。n包过滤防火墙的缺点包过滤防火墙的缺点 不能对数据内容进行控制,缺乏用户级的授权;不能对数据内容进行控制,缺乏用户级的授权;非法访问一旦突破防火墙,即可对主机上的系统非法访问一旦突破防火墙,即可对主机上的系统和配置进行攻击。数据包的源地址、目的地址以和配置进行攻击。数据包的源地
9、址、目的地址以及及IPIP端口号都在数据包的头部,很有可能被冒充端口号都在数据包的头部,很有可能被冒充或窃取。或窃取。n应用层网关技术是应用层网关技术是在网络的应用层上在网络的应用层上实现协议过滤和转实现协议过滤和转发功能。它针对特发功能。它针对特定的网络应用服务定的网络应用服务协议使用指定的数协议使用指定的数据过滤逻辑,并在据过滤逻辑,并在过滤的同时,对数过滤的同时,对数据包进行必要的分据包进行必要的分析、记录和统计,析、记录和统计,形成报告。实际的形成报告。实际的应用网关通常安装应用网关通常安装在专用工作站系统在专用工作站系统上上 n应用级网关能够理解应用层上的协议,进应用级网关能够理解应
10、用层上的协议,进行复杂一些的访问控制。但每一种协议需行复杂一些的访问控制。但每一种协议需要相应的代理软件,使用时工作量大,效要相应的代理软件,使用时工作量大,效率不如网络级防火墙。率不如网络级防火墙。n常用的应用级防火墙有相应的代理服务器,常用的应用级防火墙有相应的代理服务器,应用级网关有较好的访问控制,但实现困应用级网关有较好的访问控制,但实现困难,而且有的应用级网关缺乏难,而且有的应用级网关缺乏“透明度透明度”n应用层网关防火墙和应用层网关防火墙和数据包过滤有一个共数据包过滤有一个共同的特点,就是它们同的特点,就是它们仅仅依靠特定的逻辑仅仅依靠特定的逻辑来判断是否允许数据来判断是否允许数据
11、包通过。一旦符合条包通过。一旦符合条件,防火墙内外的计件,防火墙内外的计算机系统便可以建立算机系统便可以建立直接联系,外部的用直接联系,外部的用户便有可能直接了解户便有可能直接了解到防火墙内部的网络到防火墙内部的网络结构和运行状态,这结构和运行状态,这大大增加了非法访问大大增加了非法访问和攻击的机会。和攻击的机会。n应用代理服务技术能够将所有跨越防火墙的网络通应用代理服务技术能够将所有跨越防火墙的网络通信链路分为两段。信链路分为两段。n防火墙内外计算机系统间应用层的连接是由两个代防火墙内外计算机系统间应用层的连接是由两个代理服务器之间的连接来实现,外部计算机的网络链理服务器之间的连接来实现,外
12、部计算机的网络链路只能到达代理服务器,从而起到隔离防火墙内外路只能到达代理服务器,从而起到隔离防火墙内外计算机系统的作用。计算机系统的作用。n另外,代理服务器也对过往的数据包进行分析、记另外,代理服务器也对过往的数据包进行分析、记录、形成报告,当发现攻击迹象时会向网络管理员录、形成报告,当发现攻击迹象时会向网络管理员发出警告,并保留攻击痕迹。发出警告,并保留攻击痕迹。n 应用代理服务器对客户应用代理服务器对客户端的请求行使端的请求行使“代理代理”职责。客户端连接到防职责。客户端连接到防火墙并发出请求,然后火墙并发出请求,然后防火墙连接到服务器,防火墙连接到服务器,并代表这个客户端重复并代表这个
13、客户端重复这个请求。返回时数据这个请求。返回时数据发送到代理服务器,然发送到代理服务器,然后再传送给用户,从而后再传送给用户,从而确保内部确保内部IPIP地址和口令地址和口令不在不在InternetInternet上出现。上出现。n代理技术与包过滤技术完全不同,包过滤技术是代理技术与包过滤技术完全不同,包过滤技术是在网络层拦截所有的信息流,代理技术是针对每在网络层拦截所有的信息流,代理技术是针对每一个特定应用都有一个程序。一个特定应用都有一个程序。n根据其处理协议的不同,可分为根据其处理协议的不同,可分为FTPFTP网关型、网关型、WWWWWW网关型、网关型、TelnetTelnet网关型等防
14、火墙,其优点在于既网关型等防火墙,其优点在于既能进行安全控制,又可加速访问,但实现起来比能进行安全控制,又可加速访问,但实现起来比较困难,对于每一种服务协议必须设计一个代理较困难,对于每一种服务协议必须设计一个代理软件模式,以进行安全控制。软件模式,以进行安全控制。应用层代理主要的优点:应用层代理主要的优点:n支持用户认证并提供详细的注册信息;支持用户认证并提供详细的注册信息;n过滤规则相对于包过滤路由器更容易配置和测试;过滤规则相对于包过滤路由器更容易配置和测试;n 可提供详细的日志和安全审计功能;可提供详细的日志和安全审计功能;n可以隐藏内部网的可以隐藏内部网的IPIP地址以保护内部主机不
15、受外地址以保护内部主机不受外部主机的进攻;部主机的进攻;n内部网中的所有主机通过代理可以访问内部网中的所有主机通过代理可以访问InternetInternet。应用层代理也有明显的缺点:应用层代理也有明显的缺点:n应用层实现的防火墙会造成执行速度慢,其性能应用层实现的防火墙会造成执行速度慢,其性能明显下降;明显下降;n每个应用程序都必须有一个代理服务程序来进行每个应用程序都必须有一个代理服务程序来进行安全控制,并随应用升级面升级。其适应性和连安全控制,并随应用升级面升级。其适应性和连接性都是有限的。接性都是有限的。n状态检测是对包过滤功能的扩展。状态检测是对包过滤功能的扩展。n传统的包过滤在用
16、动态端口的协议时,事先传统的包过滤在用动态端口的协议时,事先无法知道哪些端口需要打开,就会将所有可无法知道哪些端口需要打开,就会将所有可能用到的端口打开,而这会给安全带来不必能用到的端口打开,而这会给安全带来不必要的隐患。要的隐患。n状态检测将通过检查应用程序信息来判断此状态检测将通过检查应用程序信息来判断此端口是否需要临时打开,并当传输结束时,端口是否需要临时打开,并当传输结束时,端口马上恢复为关闭状态。端口马上恢复为关闭状态。n状态检测防火墙克服了包过滤防火墙和应用代理状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性,不要求每个被访问的应用都有服务器的局限性,不要求每个被访问的应用
17、都有代理。代理。n状态检测模块能够理解并学习各种协议和应用,状态检测模块能够理解并学习各种协议和应用,以支持各种最新的应用服务。以支持各种最新的应用服务。n状态检测模块截获、分析并处理所有试图通过防状态检测模块截获、分析并处理所有试图通过防火墙的数据包,保证网络的高度安全和数据完整。火墙的数据包,保证网络的高度安全和数据完整。n网络和各种应用的通信状态动态存储、更新到动网络和各种应用的通信状态动态存储、更新到动态状态表中,结合预定义好的规则,实现安全策态状态表中,结合预定义好的规则,实现安全策略。略。n状态检测是检查状态检测是检查OSIOSI七层模型的所有层,以决定是七层模型的所有层,以决定是
18、否过滤,而不仅仅是对网络层检测。否过滤,而不仅仅是对网络层检测。防火墙体系结构通常分为四类:防火墙体系结构通常分为四类:l l 屏蔽路由器(屏蔽路由器(Screening RouterScreening Router)l l 屏蔽主机网关屏蔽主机网关 (Screened Host Gateway)Screened Host Gateway)l l 双穴主机网关双穴主机网关 (Dual-Homed Gateway)Dual-Homed Gateway)l l 屏蔽子网屏蔽子网 (Screened Subnet)Screened Subnet)7.3.13.1屏蔽路由器屏蔽路由器 n屏蔽路由器就是
展开阅读全文