现代计算机信息安全技术03课件.ppt

1、11/3/20221 网络安全技术 冶金工业出版社第三章第三章 防火墙防火墙11/3/20222 网络安全技术 冶金工业出版社内容概览内容概览 什么是防火墙什么是防火墙 防火墙的体系结构防火墙的体系结构 防火墙的实现防火墙的实现 防火墙的类型防火墙的类型 防火墙的设置防火墙的设置 PIX防火墙防火墙 Cisco IOS 小结小结11/3/20223 网络安全技术 冶金工业出版社3.1 什么是防火墙什么是防火墙 防火墙的概念防火墙的概念 防火墙的任务防火墙的任务 防火墙术语防火墙术语 防火墙的主要设计特征防火墙的主要设计特征 防火墙的缺陷防火墙的缺陷11/3/20224 网络安全技术 冶金工业出

2、版社3.1.1 防火墙的概念防火墙的概念防火墙是：防火墙是：把安全网络连接到不安全网络上。把安全网络连接到不安全网络上。保护安全网络最大程度地访问不安全网络。保护安全网络最大程度地访问不安全网络。将不安全网络转变为安全网络。将不安全网络转变为安全网络。11/3/20225 网络安全技术 冶金工业出版社3.1.2 防火墙的任务防火墙的任务 实现一个公司的安全策略实现一个公司的安全策略 创建一个阻塞点创建一个阻塞点 记录记录Internet活动活动 限制网络暴露限制网络暴露11/3/20226 网络安全技术 冶金工业出版社3.1.3 防火墙术语防火墙术语 网关 电路级网关 应用级网关 包过滤 代理

3、服务器 网络地址翻译（NAT）堡垒主机 强化操作系统 非军事化区域（DMZ）筛选路由器 阻塞路由器11/3/20227 网络安全技术 冶金工业出版社网关：在两个设备之间提供转发服务的系网关：在两个设备之间提供转发服务的系统。统。电路级网关：用来监控受信任的客户或服电路级网关：用来监控受信任的客户或服务器与不受信任的主机间的务器与不受信任的主机间的TCP握手网络，这样握手网络，这样来决定该会话是否合法，电路级网关是在来决定该会话是否合法，电路级网关是在OSI模模型中会话层上来过滤数据包，这样比包过滤防火型中会话层上来过滤数据包，这样比包过滤防火墙要高两层。另外，电路级网关还提供一个重要墙要高两层

4、。另外，电路级网关还提供一个重要的安全功能：网络地址转移（的安全功能：网络地址转移（NAT）将所有公司）将所有公司内部的内部的IP地址映射到一个地址映射到一个“安全安全”的的IP地址，这地址，这个地址是由防火墙使用的。个地址是由防火墙使用的。11/3/20228 网络安全技术 冶金工业出版社应用级网关：可以工作在应用级网关：可以工作在OSI七层模型的任一七层模型的任一层上，能够检查进出的数据包，通过网关复制传递层上，能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层主机间直接

5、建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细上的协议，能够做复杂一些的访问控制，并做精细的注册。的注册。包过滤：处理网络上基于包过滤：处理网络上基于packet-by-packet流流量的设备。量的设备。11/3/20229 网络安全技术 冶金工业出版社代理服务器：代表内部客户端与外部的服代理服务器：代表内部客户端与外部的服务器通信。务器通信。网络地址解释：对网络地址解释：对Internet隐藏内部地址，隐藏内部地址，防止内部地址公开。防止内部地址公开。堡垒主机：一种被强化的可以防御进攻的堡垒主机：一种被强化的可以防御进攻的计算机，被暴露于因特网之上，作为进入

6、内部网计算机，被暴露于因特网之上，作为进入内部网络的一个检查点，以达到把整个网络的安全问题络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考集中在某个主机上解决，从而省时省力，不用考虑其他主机的安全的目的。虑其他主机的安全的目的。11/3/202210 网络安全技术 冶金工业出版社DMZ：一个小型网络存在于公司的内部网络：一个小型网络存在于公司的内部网络和外部网络之间。这个网络由筛选路由器建立，有和外部网络之间。这个网络由筛选路由器建立，有时是一个阻塞路由器。时是一个阻塞路由器。DMZ用来作为一个额外的用来作为一个额外的缓冲区以进一步隔离公网和你的内部私有网络

7、。缓冲区以进一步隔离公网和你的内部私有网络。筛选路由器筛选路由器：对进出内部网络的所有网络进：对进出内部网络的所有网络进行分析，并按照一定的安全策略行分析，并按照一定的安全策略-网络过滤规则网络过滤规则对进出内部网络的网络进行限制，允许授权网络通对进出内部网络的网络进行限制，允许授权网络通过，拒绝非授权网络通过。过，拒绝非授权网络通过。阻塞路由器（也叫内部路由器）：保护内部阻塞路由器（也叫内部路由器）：保护内部的网络使之免受的网络使之免受Internet周边网的侵犯。周边网的侵犯。11/3/202211 网络安全技术 冶金工业出版社3.1.4 防火墙的主要设计特征防火墙的主要设计特征防火墙系统

8、是外部网络与内部防火墙系统是外部网络与内部网络（需受保护）之间的物理与逻网络（需受保护）之间的物理与逻辑界面防火墙借助于不同的传输接辑界面防火墙借助于不同的传输接口打开了进入内部网络的通道。口打开了进入内部网络的通道。11/3/202212 网络安全技术 冶金工业出版社网络包过滤器和网络包过滤器和OSI 7层模型层模型 11/3/202213 网络安全技术 冶金工业出版社线路中继器和线路中继器和OSI 7层模型层模型 11/3/202214 网络安全技术 冶金工业出版社应用网关和应用网关和OSI 7层模型层模型 11/3/202215 网络安全技术 冶金工业出版社防火墙的缺陷主要体现在以下的方

9、面防火墙的缺陷主要体现在以下的方面：限制有用的网络服务限制有用的网络服务 无法防护内部网络用户的攻击无法防护内部网络用户的攻击 Internet防火墙无法防范通过防火墙以外的其他防火墙无法防范通过防火墙以外的其他途径的攻击途径的攻击 Internet防火墙不能完全防止传送已感染病毒的防火墙不能完全防止传送已感染病毒的文件文件 防火墙无法防范数据驱动型的攻击防火墙无法防范数据驱动型的攻击 不能防备新的网络安全问题不能防备新的网络安全问题 3.1.5 防火墙的缺陷防火墙的缺陷 11/3/202216 网络安全技术 冶金工业出版社3.2 防火墙的体系结构防火墙的体系结构 3.2.1 防火墙的体系防火

10、墙的体系 一般将防火墙系统的体系结构区分如下：一般将防火墙系统的体系结构区分如下：边界路由器。边界路由器。带有安全中间网络的边界路由器（筛选性子网、安全子网）。带有安全中间网络的边界路由器（筛选性子网、安全子网）。带网络包过滤器的双归宿防御主机。带网络包过滤器的双归宿防御主机。带线路中继器器的双归宿防御主机。带线路中继器器的双归宿防御主机。带应用网关的双归宿防御主机。带应用网关的双归宿防御主机。带无防卫区域的（带无防卫区域的（DMZ）双归宿防御主机。）双归宿防御主机。级联的双归宿防御主机级联的双归宿防御主机11/3/202217 网络安全技术 冶金工业出版社3.2.2 防火墙的结构防火墙的结构

11、 双主机防火墙：把一台主机作双主机防火墙：把一台主机作为本地网和为本地网和Internet之间的分界线。之间的分界线。这台计算机使用两块独立网卡把这台计算机使用两块独立网卡把每个网络连接起来。当使用双主每个网络连接起来。当使用双主机主防火墙时，必须使主机的路机主防火墙时，必须使主机的路由功能无效，这样，计算机则不由功能无效，这样，计算机则不能通过软件把两个网络连接起来。能通过软件把两个网络连接起来。缺点：用户很容易意外地使内部缺点：用户很容易意外地使内部路由有效，并攻破防火墙路由有效，并攻破防火墙 11/3/202218 网络安全技术 冶金工业出版社双主机防火墙双主机防火墙 11/3/2022

12、19 网络安全技术 冶金工业出版社主机屏蔽防火墙主机屏蔽防火墙：把屏蔽路由器加：把屏蔽路由器加到内部网络上并使主机远离到内部网络上并使主机远离Internet（即（即主机并不直接与主机并不直接与Internet相连）相连）。子网屏蔽防火墙子网屏蔽防火墙：把两台独立的屏：把两台独立的屏蔽路由器和一台代理服务器连接起来。设蔽路由器和一台代理服务器连接起来。设计子网屏蔽防火墙时，把代理服务器放到计子网屏蔽防火墙时，把代理服务器放到它自己的网络中，并与屏蔽路由器共享网它自己的网络中，并与屏蔽路由器共享网络。一台屏蔽路由器控制从本地到网络的络。一台屏蔽路由器控制从本地到网络的传输，另一台屏蔽路由器监测并

13、控制进入传输，另一台屏蔽路由器监测并控制进入Internet和从和从Internet来的传输。来的传输。11/3/202220 网络安全技术 冶金工业出版社主机屏蔽防火墙主机屏蔽防火墙 11/3/202221 网络安全技术 冶金工业出版社子网屏蔽防火墙子网屏蔽防火墙 11/3/202222 网络安全技术 冶金工业出版社3.3 防火墙的实现防火墙的实现 TCP Wrapper：TCP Wrapper是是UNIX系统可免费使用的访问控制效伴。它不是一系统可免费使用的访问控制效伴。它不是一个运行在防火墙上的程序，而是用来保护防个运行在防火墙上的程序，而是用来保护防火墙外公用网络内的系统。火墙外公用网

14、络内的系统。TCP Wrapper完成以下基本功能：完成以下基本功能：记录记录Internet服务请求。服务请求。提供访问控制机制，控制对服务的访问。提供访问控制机制，控制对服务的访问。11/3/202223 网络安全技术 冶金工业出版社 Firewall-1：Firewall-1是一个基于策略的是一个基于策略的状态检查过滤器，带有一个集成的网络地址翻译器状态检查过滤器，带有一个集成的网络地址翻译器和过滤一般因特网协议的一组非集成的协议专用安和过滤一般因特网协议的一组非集成的协议专用安全过滤器。全过滤器。其主要功能：其主要功能：状态检查包过滤器。状态检查包过滤器。协议专用内容过滤器（协议专用内

15、容过滤器（HTTF、FTP和和SMTP）。）。网络地址翻译。网络地址翻译。付费可以得到附加的防火墙到防火墙的和防火墙付费可以得到附加的防火墙到防火墙的和防火墙到远程客户的虚拟专用网软件。到远程客户的虚拟专用网软件。用户的身份认证通过不同的协议内容过滤器时是用户的身份认证通过不同的协议内容过滤器时是透明执行的。透明执行的。11/3/202224 网络安全技术 冶金工业出版社Firewall-1网关网关 11/3/202225 网络安全技术 冶金工业出版社进入包的进入包的Firewall-1包过滤器模块的操作包过滤器模块的操作 11/3/202226 网络安全技术 冶金工业出版社送出包的送出包的F

16、irewall-1包过滤器模块的操作包过滤器模块的操作 11/3/202227 网络安全技术 冶金工业出版社 ANS InterLock：ANS InterLock在一在一个组织的内部网络和不可信外部网络中间提供个组织的内部网络和不可信外部网络中间提供了一个应用层防火墙网关。了一个应用层防火墙网关。ANS InterLock也也可用来控制内部可用来控制内部TCP/IP网络段间的访问。网络段间的访问。11/3/202228 网络安全技术 冶金工业出版社多多ANS InterLock连接连接 11/3/202229 网络安全技术 冶金工业出版社典型典型InterLock网关的实现网关的实现 11/

17、3/202230 网络安全技术 冶金工业出版社3.4 防火墙的类型防火墙的类型 3.4.1 数据报过滤工具数据报过滤工具 不需要构造一个完整的防火墙就可实现不需要构造一个完整的防火墙就可实现数据报过滤的功能数据报过滤的功能。其代表如下：。其代表如下：TCP Wrappers NetGate Internet数据报过滤器数据报过滤器 11/3/202231 网络安全技术 冶金工业出版社TCP Wrappers：以系统守护程序：以系统守护程序的形式运行并记录所有的连接请求、连的形式运行并记录所有的连接请求、连接时间和连接发起者，因此接时间和连接发起者，因此TCP Wrappers是最重要的证据收集

18、工具之一。是最重要的证据收集工具之一。同时它还能挑出不想要的网络和同时它还能挑出不想要的网络和IP地址地址并阻止用户从这些地址上和本地机器建并阻止用户从这些地址上和本地机器建立连接。立连接。11/3/202232 网络安全技术 冶金工业出版社NetGate：NetGate是一种基于规则的是一种基于规则的数据报过滤工具，用在运行数据报过滤工具，用在运行SunOS.4.1.x的的SPARC系统上。系统上。NetGate检查它捕获到的每检查它捕获到的每一个数据报并根据检查出来的一个数据报并根据检查出来的IP源地址实施源地址实施各种规则（各种规则（NetGate同时进行大量的日志工同时进行大量的日志工

19、作）。作）。11/3/202233 网络安全技术 冶金工业出版社Internet数据报过滤器：不仅能抛弃那数据报过滤器：不仅能抛弃那些不完整的或残缺的些不完整的或残缺的TCP报文，而且不向你报文，而且不向你的主机返回的主机返回ICMP错误。错误。Internet数据报过滤数据报过滤器同时还能提供复杂的测试功能，从而确保器同时还能提供复杂的测试功能，从而确保实施规则时的规则完整性（此工具将以前的实施规则时的规则完整性（此工具将以前的日志文件为输入，并且使你能观察到预定规日志文件为输入，并且使你能观察到预定规则的实施过程）。则的实施过程）。11/3/202234 网络安全技术 冶金工业出版社3.4

20、.2 审计和日志工具审计和日志工具 代表如下：代表如下：Argus Netlog NOCOL/NetConsole V4.0 当数据报过滤工具和功能强大的审当数据报过滤工具和功能强大的审计工具联合起来使用时，它们能更好地保计工具联合起来使用时，它们能更好地保护网络和更快更准确地定位入侵者。并且护网络和更快更准确地定位入侵者。并且恰当地综合使用这几种类型的工具能获得恰当地综合使用这几种类型的工具能获得和商业防火墙相同的效果和商业防火墙相同的效果。11/3/202235 网络安全技术 冶金工业出版社3.4.3 应用代理防火墙应用网关应用代理防火墙应用网关 它是基于软件的，当某远程用它是基于软件的，

21、当某远程用户想和一个运行应用网关的网络建户想和一个运行应用网关的网络建立连接时，此应用网关会阻塞这个立连接时，此应用网关会阻塞这个远程连接，然后对连接请求的各个远程连接，然后对连接请求的各个域进行检查。域进行检查。代表：代表：Trusted Information Systems（TIS）Firewall Tools Kit（简称为（简称为FWTK）11/3/202236 网络安全技术 冶金工业出版社3.5 防火墙的设置防火墙的设置 3.5.1 默认配置默认配置 默认情况下，防火墙可以配置成默认情况下，防火墙可以配置成以下两种情况：以下两种情况：拒绝所有的流量，这需要在网络中特拒绝所有的流量，

22、这需要在网络中特殊指定能够进入和出去的流量的一些类殊指定能够进入和出去的流量的一些类型。型。允许所有的流量，这种情况需要特殊允许所有的流量，这种情况需要特殊指定要拒绝的流量的类型。指定要拒绝的流量的类型。11/3/202237 网络安全技术 冶金工业出版社3.5.2 建立包过滤规则建立包过滤规则 包过滤技术（包过滤技术（Packet Filter）是防火墙）是防火墙为系统提供安全保障的主要技术，它通过设备为系统提供安全保障的主要技术，它通过设备对进出网络的数据流进行有选择的控制与操作。对进出网络的数据流进行有选择的控制与操作。用户可以设定一系列的规则，指定允许哪些类用户可以设定一系列的规则，指

23、定允许哪些类型的数据包可以流入或流出内部网络；哪些类型的数据包可以流入或流出内部网络；哪些类型的数据包的传输应该被拦截。包过滤规则以型的数据包的传输应该被拦截。包过滤规则以IP包网络为基础，对包网络为基础，对IP包的源地址、包的源地址、IP包的目包的目的地址、封装协议（的地址、封装协议（TCPUDPICMPIPTunnel）、端口号等进行筛选。）、端口号等进行筛选。11/3/202238 网络安全技术 冶金工业出版社3.5.3 使用使用ipchains和和iptables 3.5.4 配置代理服务器配置代理服务器 代理针对每一个特定应用都有一代理针对每一个特定应用都有一个程序。代理是企图在应用

24、层实现防火个程序。代理是企图在应用层实现防火墙的功能，代理的主要特点是有状态性。墙的功能，代理的主要特点是有状态性。代理能提供部分与传输方面的网络，代代理能提供部分与传输方面的网络，代理也能处理和管理网络。通过代理使得理也能处理和管理网络。通过代理使得网络管理员实现比包过滤路由器更严格网络管理员实现比包过滤路由器更严格的安全策略。的安全策略。39 网络安全技术 冶金工业出版社代理服务器的优点：代理服务器的优点：代理服务器的主要优点就是提供代理服务器的主要优点就是提供NAT的功能，并且对于公的功能，并且对于公网能隐藏你的内部网络也是极为重要的。网能隐藏你的内部网络也是极为重要的。日志和警报日志和

25、警报 缓存缓存 应用程序分析应用程序分析 反向代理和代理矩阵反向代理和代理矩阵 少量的规则少量的规则 代理服务器（应用级网关）代理服务器（应用级网关）客户端配置客户端配置 新的应用程序和病毒新的应用程序和病毒 速度速度 11/3/202240 网络安全技术 冶金工业出版社3.6 PIX防火墙防火墙 3.6.1 PIX防火墙简介防火墙简介 PIX防火墙概述：防火墙概述：PIX具有广泛的产具有广泛的产品系列和品系列和Cisco的先进技术：包括专用自适的先进技术：包括专用自适应安全算法、基于标准的应安全算法、基于标准的VPN支持、入侵支持、入侵检测以及许多其他丰富的特征检测以及许多其他丰富的特征为任

26、何为任何需要维护计算机网络的用户或组织提供了需要维护计算机网络的用户或组织提供了一个有效的解决方案。一个有效的解决方案。11/3/202241 网络安全技术 冶金工业出版社PIX模型模型：Cisco Secure PIX 535防火墙防火墙 Cisco Secure PIX 525防火墙防火墙 Cisco PIX 501防火墙防火墙 11/3/202242 网络安全技术 冶金工业出版社PIX性能：性能：PIX利用如下几种技术获得吞吐量利用如下几种技术获得吞吐量与特征集之间的平衡：与特征集之间的平衡：带有带有cut-through代理的用户验证代理的用户验证 可选性可选性VPN加速卡加速卡 专用

27、可拆分、固化的专用可拆分、固化的OS 11/3/202243 网络安全技术 冶金工业出版社3.6.2 自适应安全算法自适应安全算法 Cisco的的ASA（自适应安全算法）技术控制了包流过（自适应安全算法）技术控制了包流过PIX防火墙的方式。当防火墙的方式。当ASA被触发后，会应用以下规则，以被触发后，会应用以下规则，以决定允许还是拒绝网络流量通过。决定允许还是拒绝网络流量通过。任何没有进行连接和无状态的包不能通过任何没有进行连接和无状态的包不能通过PIX防火墙。防火墙。除了访问控制表中被专门拒绝的以外，向外的连接是允除了访问控制表中被专门拒绝的以外，向外的连接是允许的。许的。除了被特别允许的以

28、外，向内的连接或状态被拒绝。除了被特别允许的以外，向内的连接或状态被拒绝。除非特别允许，所有除非特别允许，所有ICMP包被拒绝。包被拒绝。11/3/202244 网络安全技术 冶金工业出版社3.7 Cisco IOS 3.7.1 IOS（网际操作系统）简介（网际操作系统）简介 IOS发展历程发展历程 11/3/202245 网络安全技术 冶金工业出版社IOS系统的发展方向系统的发展方向 11/3/202246 网络安全技术 冶金工业出版社IOS框架框架 11/3/202247 网络安全技术 冶金工业出版社IOS的优点的优点：灵活性灵活性 可伸缩性可伸缩性 可操作性可操作性 可管理性可管理性 投

29、资保护投资保护 11/3/202248 网络安全技术 冶金工业出版社3.7.2 IOS通用网络服务：安全通用网络服务：安全 Cisco安全体系结构安全体系结构 11/3/202249 网络安全技术 冶金工业出版社3.7.3 IOS通用网络服务：通信流量管理通用网络服务：通信流量管理 流量管理流量管理 NetFlow Switching 运用运用NetFlow Data Export进行流量管理进行流量管理 11/3/202250 网络安全技术 冶金工业出版社3.7.4 IOS其他通用网络服务其他通用网络服务 服务质量服务质量 VLANs 协议处理协议处理 11/3/202251 网络安全技术

30、冶金工业出版社Cisco IOS防火墙特性集概览特性说明基于上下文的访问控制（CBAC）针对通过周边（例如专用企业网和Internet之间）的所有通信流量，给内部用户提供安全的、基于每应用的访问控制Java阻断提供针对未识别的恶意Java小程序的保护Denial of Service（服务拒绝）检测/预防防御和保护路由器资源免受常见攻击；检查数据包包头和丢掉可疑的数据包审计踪迹详细说明事务；记录事件印迹、源主机、目的主机、端口、持续时间和传输的总字节数实时告警记录在发生服务拒绝攻击或出现其他预配置条件时的告警支持ConfigMaker一种基于Win95/WinNT向导的网络配置工具，为网络设计

31、、寻址和防火墙特性集实现提供逐步的指导11/3/202252 网络安全技术 冶金工业出版社新特性详细资料：新特性详细资料：基于上下文的访问控制基于上下文的访问控制 CBAC的工作原理的工作原理 CBAC加强机制加强机制 CBAC适用范围适用范围 CBAC的其他说明的其他说明 Java阻断阻断 服务拒绝检测和预防服务拒绝检测和预防 审计跟踪审计跟踪 实时告警实时告警 11/3/202253 网络安全技术 冶金工业出版社小结小结 本章讲述了一个防火墙如何通过区分一个公共网络本章讲述了一个防火墙如何通过区分一个公共网络（如（如Internet）和一个私有网络（如企业网）建立边界安全。）和一个私有网络

32、（如企业网）建立边界安全。一个防火墙对于全部安全策略来说，是至关重要的。这主要一个防火墙对于全部安全策略来说，是至关重要的。这主要是因为可以对所有的用户执行验证，并且对所有入站和出站是因为可以对所有的用户执行验证，并且对所有入站和出站的传输进行监控。一个正确配置的防火墙可以提高安全性并的传输进行监控。一个正确配置的防火墙可以提高安全性并且使业务能够正常运作。且使业务能够正常运作。接着讲述了防火墙的体系结构并列举了几个关于防火接着讲述了防火墙的体系结构并列举了几个关于防火墙实现的例子，如墙实现的例子，如TCP Wrapper、FireWall-1、ANS InterLock。11/3/20225

33、4 网络安全技术 冶金工业出版社然后讲述了各种类型的防火墙，包括包过滤、代理服务然后讲述了各种类型的防火墙，包括包过滤、代理服务器、应用层和链路层网关。并描述了各种防火墙类型间的相对器、应用层和链路层网关。并描述了各种防火墙类型间的相对的优点和缺点。的优点和缺点。接着讲解了如何对防火墙进行配置。包括如何建立包过接着讲解了如何对防火墙进行配置。包括如何建立包过滤规则、如何使用滤规则、如何使用ipchains和和iptables构筑防火墙，如何配置构筑防火墙，如何配置代理服务器。代理服务器。最后讲述最后讲述Cisco PIX防火墙。防火墙。PIX防火墙是一个有多种功防火墙是一个有多种功能的安全设备。能的安全设备。PIX有很多安全特性有很多安全特性:URL、ActiveX和和Java过过滤、访问控制列表、滤、访问控制列表、DMZ、AAA认证和授权、认证和授权、DNSGuard、IP Frag Guard、MailGuard、Flood Defender和和Flood Guard、IPsec有状态的过滤、保护对有状态的过滤、保护对PIX的访问和系统日志。的访问和系统日志。