资源预览内容
第1页 / 共40页
第2页 / 共40页
第3页 / 共40页
第4页 / 共40页
第5页 / 共40页
第6页 / 共40页
第7页 / 共40页
第8页 / 共40页
第9页 / 共40页
第10页 / 共40页
亲,该文档总共40页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出引用请注明出处处1 信息安全原理与应用信息安全原理与应用第十二章第十二章 防火墙技术及应用防火墙技术及应用本章由王昭主写本章由王昭主写2讨论议题讨论议题防火墙的基本概念防火墙的基本概念防火墙的体系结构防火墙的体系结构防火墙相关技术防火墙相关技术电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出引用请注明出处处3 防火墙定义防火墙定义防火墙防火墙是位于两个或多个网络之间,执行访问控制是位于两个或多个网络之间,执行访问控制策略的一个或一组系统,是一类防范措施的总称策略的一个或一组系统,是一类防范措施的总称 .一个好的防火墙具备一个好的防火墙具备:内部和外部之间的所有网络数据流必须经过防火墙内部和外部之间的所有网络数据流必须经过防火墙只有符合安全政策的数据流才能通过防火墙只有符合安全政策的数据流才能通过防火墙防火墙自身应对渗透免疫防火墙自身应对渗透免疫电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出引用请注明出处处4防火墙的访问控制能力防火墙的访问控制能力服务控制,确定哪些服务可以被访问服务控制,确定哪些服务可以被访问方向控制,对于特定的服务,可以确定允许哪方向控制,对于特定的服务,可以确定允许哪个方向能够通过防火墙个方向能够通过防火墙用户控制,根据用户来控制对服务的访问用户控制,根据用户来控制对服务的访问行为控制,控制一个特定的服务的行为行为控制,控制一个特定的服务的行为电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出引用请注明出处处5防火墙的作用防火墙的作用防火墙对企业内部网实现了集中的安全管理防火墙对企业内部网实现了集中的安全管理防火墙能防止非授权用户进入内部网络。防火墙能防止非授权用户进入内部网络。防火墙可以方便地监视网络的安全性并报警。防火墙可以方便地监视网络的安全性并报警。可以作为部署网络地址转换可以作为部署网络地址转换NAT的地点的地点可以实现重点网段的分离可以实现重点网段的分离防防火火墙墙是是审审计计和和记记录录网网络络的的访访问问和和使使用用的的最最佳佳地地方。方。电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出引用请注明出处处6防火墙的局限性防火墙的局限性限限制制或或关关闭闭了了一一些些有有用用但但存存在在安安全全缺缺陷陷的的网网络络服服务务,给用户带来使用的不便。给用户带来使用的不便。目前防火墙对于来自网络内部的攻击还无能为力。目前防火墙对于来自网络内部的攻击还无能为力。防火墙不能防范不经过防火墙的攻击。防火墙不能防范不经过防火墙的攻击。可能带来传输延迟、瓶颈及单点失效。可能带来传输延迟、瓶颈及单点失效。防火墙不能有效地防范数据驱动式攻击。防火墙不能有效地防范数据驱动式攻击。作作为为一一种种被被动动的的防防护护手手段段,防防火火墙墙不不能能防防范范因因特特网网上不断出现的新的威胁和攻击。上不断出现的新的威胁和攻击。 电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出引用请注明出处处7防火墙安全策略防火墙安全策略在构筑防火墙之前,需要制定一套完整有效的在构筑防火墙之前,需要制定一套完整有效的安全战略安全战略网络服务访问策略网络服务访问策略一种高层次的具体到事件的策略,主要用于定义在一种高层次的具体到事件的策略,主要用于定义在网络中允许或禁止的服务。网络中允许或禁止的服务。防火墙设计策略防火墙设计策略一切未被允许的就是禁止的一切未被允许的就是禁止的一切未被禁止的都是允许的一切未被禁止的都是允许的8讨论议题讨论议题防火墙的基本概念防火墙的基本概念防火墙的体系结构防火墙的体系结构防火墙相关技术防火墙相关技术电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出引用请注明出处处9防火墙的体系结构防火墙的体系结构包过滤型防火墙(包过滤型防火墙(Package Filtering)双宿双宿/多宿主机模式多宿主机模式 (Dual-Homed /Multi-Homed Host Firewall)屏蔽主机模式屏蔽主机模式(Screened Host Firewall ) 屏蔽子网模式屏蔽子网模式(Screened Subnet mode) 其他模式其他模式10几个概念几个概念堡垒主机堡垒主机:Bastion Host堡垒主机是一种配置了安全防范措施的网络上的计堡垒主机是一种配置了安全防范措施的网络上的计算机,堡垒主机为网络之间的通信提供了一个阻塞算机,堡垒主机为网络之间的通信提供了一个阻塞点,也就是说如果没有堡垒主机,网络之间将不能点,也就是说如果没有堡垒主机,网络之间将不能相互访问。相互访问。 双宿主机双宿主机:Dual-homed Host有两个网络接口的计算机系统,一个接口接内部网,有两个网络接口的计算机系统,一个接口接内部网,一个接口接外部网一个接口接外部网.DMZ(Demilitarized Zone,非军事区或者停火区,非军事区或者停火区)在内部网络和外部网络之间增加的一个子网在内部网络和外部网络之间增加的一个子网电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出引用请注明出处处包过滤防火墙包过滤防火墙往往用一台路由器来实现往往用一台路由器来实现基本的思想很简单基本的思想很简单对所接收的每个数据包进行检查,根据过滤对所接收的每个数据包进行检查,根据过滤规则,然后决定转发或者丢弃该包规则,然后决定转发或者丢弃该包往往配置成双向的往往配置成双向的1112包过滤防火墙包过滤防火墙往往用一台路由器来实现往往用一台路由器来实现基本的思想很简单基本的思想很简单对所接收的每个数据包进行检查,根据过滤规则,然对所接收的每个数据包进行检查,根据过滤规则,然后决定转发或者丢弃该包后决定转发或者丢弃该包往往配置成双向的往往配置成双向的如何过滤如何过滤过滤规则基于过滤规则基于IP包头信息。包头信息。IP源地址、目的地址、源地址、目的地址、TCP/UDP端口、端口、ICMP消息类型、消息类型、TCP头中的头中的ACK位。位。过滤器往往建立一组规则,根据过滤器往往建立一组规则,根据IP包是否匹配规则中包是否匹配规则中指定的条件来作出决定。指定的条件来作出决定。如果有匹配按规则执行,没有匹配,则按缺省策略。如果有匹配按规则执行,没有匹配,则按缺省策略。电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出引用请注明出处处13双宿双宿/ /多宿主机模式多宿主机模式 它是一种拥有两个或多个连接到不同网络上的网络接口它是一种拥有两个或多个连接到不同网络上的网络接口的防火墙的防火墙。电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出引用请注明出处处14屏蔽主机模式屏蔽主机模式 屏蔽主机防火墙由包过滤路由器和堡垒主机组屏蔽主机防火墙由包过滤路由器和堡垒主机组成成 电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出引用请注明出处处15屏蔽子网模式屏蔽子网模式 采用了两个包过滤路由器和一个堡垒主机,在内外网采用了两个包过滤路由器和一个堡垒主机,在内外网络之间建立了一个被隔离的子网,定义为络之间建立了一个被隔离的子网,定义为“非军事区非军事区(de-militarized zone)”网络,有时也称作周边网网络,有时也称作周边网(perimeter network) 16讨论议题讨论议题防火墙的基本概念防火墙的基本概念防火墙的体系结构防火墙的体系结构防火墙相关技术防火墙相关技术电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出引用请注明出处处17防火墙相关技术防火墙相关技术静态包过滤静态包过滤状态监测状态监测应用程序网关应用程序网关(代理服务器代理服务器)电路级网关电路级网关深度包检查技术深度包检查技术电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出引用请注明出处处18静态包过滤静态包过滤根据流经该设备的数据包头信息,决定是否允许该数据根据流经该设备的数据包头信息,决定是否允许该数据包通过包通过 如何过滤如何过滤过滤规则基于过滤规则基于IP包头信息。包头信息。IP源地址、目的地址、源地址、目的地址、TCP/UDP端口、端口、ICMP消息类消息类型、型、TCP头中的头中的ACK位。位。过滤器往往建立一组规则,过滤器往往建立一组规则,根据根据IP包是否匹配规则中指定包是否匹配规则中指定的条件来作出决定。的条件来作出决定。如果有匹配按规则执行,没如果有匹配按规则执行,没有匹配,则按缺省策略有匹配,则按缺省策略电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出引用请注明出处处19重要的约定重要的约定访问规则要使用访问规则要使用IP地址,而不使用主机名或域地址,而不使用主机名或域名名不要回应所有经过外部网络接口来的不要回应所有经过外部网络接口来的ICMP包。包。要丢弃所有通过外部网络适配器流入,且其源要丢弃所有通过外部网络适配器流入,且其源地址是来自受保护网络的包。地址是来自受保护网络的包。电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出引用请注明出处处 telnet服务的数据包的特性服务的数据包的特性 20从内往外的从内往外的telnet服务服务电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出引用请注明出处处针对针对telnet服务的过滤规则服务的过滤规则 21双向允许双向允许电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出引用请注明出处处针对针对SMTP服务的过滤规则服务的过滤规则 22双向允许双向允许电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出引用请注明出处处针对针对WWW服务的过滤规则服务的过滤规则 23允许内部网用户的允许内部网用户的WWW服务服务电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出引用请注明出处处正常模式的正常模式的FTP过滤规则过滤规则 24电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出引用请注明出处处PASV模式的模式的FTP过滤规则过滤规则 2526针对包过滤防火墙的攻击针对包过滤防火墙的攻击IP地址欺骗,例如,假冒内部的地址欺骗,例如,假冒内部的IP地址地址对策:在外部接口上禁止内部地址对策:在外部接口上禁止内部地址源路由攻击,即由源指定路由源路由攻击,即由源指定路由对策:禁止这样的选项对策:禁止这样的选项小碎片攻击,利用小碎片攻击,利用IP分片功能把分片功能把TCP头部切分到不同头部切分到不同的分片中的分片中对策:丢弃分片太小的分片对策:丢弃分片太小的分片利用复杂协议和管理员的配置失误进入防火墙利用复杂协议和管理员的配置失误进入防火墙例如,利用例如,利用ftp协议对内部进行探查协议对内部进行探查电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出引用请注明出处处27防火墙相关技术防火墙相关技术静态包过滤静态包过滤状态监测状态监测应用程序网关应用程序网关(代理服务器代理服务器)电路级网关电路级网关深度包检查技术深度包检查技术电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出引用请注明出处处28动态包过滤动态包过滤Check point一项称为一项称为“Stateful Inspection”的技术的技术防火墙跟踪客户端口,而不是打开全部高编号端口给防火墙跟踪客户端口,而不是打开全部高编号端口给外部访问,因而更安全。外部访问,因而更安全。 状态监测防火墙建立连状态监测防火墙建立连接状态表,记录外出的接状态表,记录外出的TCP连接及相应的高编号连接及相应的高编号客户端口,以验证任何进客户端口,以验证任何进入的通信是否合法。可动入的通信是否合法。可动态生成态生成/删除规则删除规则电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出引用请注明出处处29动态包过滤特点动态包过滤特点优点:优点:对网络通信的各层实施监测分析。对网络通信的各层实施监测分析。能够提供对基于无连接的协议(能够提供对基于无连接的协议(UDP)的应用及基于端)的应用及基于端口动态分配的协议的应用的安全支持。口动态分配的协议的应用的安全支持。总之,这类防火墙减少了端口的开放时间,提供了对几总之,这类防火墙减少了端口的开放时间,提供了对几乎所有服务的支持。乎所有服务的支持。缺点缺点:是它也允许外部客户和内部主机的直接连接;不:是它也允许外部客户和内部主机的直接连接;不提供用户的鉴别机制。提供用户的鉴别机制。 电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出引用请注明出处处30防火墙相关技术防火墙相关技术静态包过滤静态包过滤状态监测状态监测应用程序网关应用程序网关(代理服务器代理服务器)电路级网关电路级网关深度包检查技术深度包检查技术电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出引用请注明出处处31应用级网关应用级网关 1.网关理解应用协议,可以网关理解应用协议,可以实施更细粒度的访问控制实施更细粒度的访问控制2.对每一类应用,都需要一对每一类应用,都需要一个专门的代理个专门的代理3.灵活性不够灵活性不够32应用层网关的特点应用层网关的特点所有的连接都通过防火墙,防火墙作为网关所有的连接都通过防火墙,防火墙作为网关在应用层上实现在应用层上实现可以监视包的内容可以监视包的内容可以实现基于用户的认证可以实现基于用户的认证所有的应用需要单独实现所有的应用需要单独实现可以提供理想的日志功能可以提供理想的日志功能非常安全,但是开销比较大非常安全,但是开销比较大电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出引用请注明出处处33防火墙相关技术防火墙相关技术静态包过滤静态包过滤状态监测状态监测应用程序网关应用程序网关(代理服务器代理服务器)电路级网关电路级网关深度包检查技术深度包检查技术电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出引用请注明出处处34电路级网关防火墙电路级网关防火墙拓扑结构同应用程序网关相同拓扑结构同应用程序网关相同本质上,也是一种代理服务器,接收客户端连接请求,本质上,也是一种代理服务器,接收客户端连接请求,代理客户端完成网络连接代理客户端完成网络连接在客户和服务器间中转数据在客户和服务器间中转数据通用性强通用性强电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出引用请注明出处处35电路级网关防火墙特点电路级网关防火墙特点 电路级网关是一个通用代理服务器,它工作于电路级网关是一个通用代理服务器,它工作于OSI互联模型的会话层或是互联模型的会话层或是TCP/IP协议的协议的TCP层。它适用于多个协议,但它不能识别在同一层。它适用于多个协议,但它不能识别在同一个协议栈上运行的不同的应用,当然也就不需个协议栈上运行的不同的应用,当然也就不需要对不同的应用设置不同的代理模块,但这种要对不同的应用设置不同的代理模块,但这种代理需要对客户端作适当修改。代理需要对客户端作适当修改。 电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出引用请注明出处处36防火墙相关技术防火墙相关技术静态包过滤静态包过滤状态监测状态监测应用程序网关应用程序网关(代理服务器代理服务器)电路级网关电路级网关深度包检查技术深度包检查技术电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出引用请注明出处处37深度包检测技术深度包检测技术与只是检查数据包的包头部分的浅层包检查技术(通与只是检查数据包的包头部分的浅层包检查技术(通常称为状态监测技术)不同,常称为状态监测技术)不同,深度包检查深度包检查(deep packet inspection,DPI)也称为)也称为完全包检查完全包检查(complete packet inspection)和)和信息提取信息提取(Information extraction)。)。DPI技技术组合了入侵合了入侵检测系系统、入侵保、入侵保护系系统及及传统状状态监测防火防火墙的功能。的功能。这种种组合使它能合使它能够检测单独的独的IDS、IPS或者状或者状态监测防火防火墙不能不能检测的攻的攻击行行为。电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出引用请注明出处处38其他防火墙技术其他防火墙技术网络地址转换网络地址转换热恢复策略热恢复策略流量控制流量控制IP和和MAC绑定绑定身份鉴别身份鉴别负载均衡负载均衡内容安全内容安全加密加密审计审计防火墙的免疫设计防火墙的免疫设计分布式防火墙分布式防火墙电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出引用请注明出处处39防火墙的发展趋势防火墙的发展趋势高速高速应用应用ASIC、FPGA和网络处理器是实现高速和网络处理器是实现高速防火墙的主要方法,算法也是关键。防火墙的主要方法,算法也是关键。多功能化多功能化比如比如NAT、VPN(IPSec)、IDS,以及一些鉴,以及一些鉴别和访问控制技术别和访问控制技术安全安全防火墙自身的安全性和稳定性防火墙自身的安全性和稳定性电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出引用请注明出处处40参考文献参考文献王昭,袁春编著,信息安全原理与应用,电子工业出版王昭,袁春编著,信息安全原理与应用,电子工业出版社,北京,社,北京,2010,1William Stallings, Cryptography and network security: principles and practice, Second Edition防火墙原理与实用技术,北京启明星辰有限公司,电子防火墙原理与实用技术,北京启明星辰有限公司,电子工业出版社工业出版社,北京,北京, 2002,1William R Cheswick,戴宗坤译,防火墙与因特网安全戴宗坤译,防火墙与因特网安全,机械工业出版社机械工业出版社,北京,北京,2000,4 Terry William Ogletree,防火墙原理与实践防火墙原理与实践,电子工业电子工业出版社,北京,出版社,北京,2001,2其他关于防火墙技术的书籍和站点其他关于防火墙技术的书籍和站点
收藏 下载该资源
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号