信息安全原理与应用-防火墙技术及应用.ppt

《信息安全原理与应用-防火墙技术及应用.ppt》由会员分享，可在线阅读，更多相关《信息安全原理与应用-防火墙技术及应用.ppt（40页珍藏版）》请在装配图网上搜索。

1、电子工业出版社 ， 信息安全原理与应用 ， 2010.1 版权所有 ,引用请注明出处 1 信息安全原理与应用 第十二章 防火墙技术及应用 本章由王昭主写 2 讨论议题 防火墙的基本概念 防火墙的体系结构 防火墙相关技术 电子工业出版社 ， 信息安全原理与应用 ， 2010.1 版权所有 ,引用请注明出处 3 防火墙定义 防火墙 是位于两个或多个网络之间，执行访问控 制策略的一个或一组系统，是一类防范措施的总 称 . 一个好的防火墙具备 : 内部和外部之间的所有网络数据流必须经过防火墙 只有符合安全政策的数据流才能通过防火墙 防火墙自身应对渗透免疫 电子工业出版社 ， 信息安全原理与应用 ， 2

2、010.1 版权所有 ,引用请注明出处 4 防火墙的访问控制能力 服务控制，确定哪些服务可以被访问 方向控制，对于特定的服务，可以确定允许哪 个方向能够通过防火墙 用户控制，根据用户来控制对服务的访问 行为控制，控制一个特定的服务的行为 电子工业出版社 ， 信息安全原理与应用 ， 2010.1 版权所有 ,引用请注明出处 5 防火墙的作用 防火墙对企业内部网实现了集中的安全管理 防火墙能防止非授权用户进入内部网络 。 防火墙可以方便地监视网络的安全性并报警 。 可以作为部署网络地址转换 NAT的地点 可以实现重点网段的分离 防火墙是审计和记录网络的访问和使用的最佳地 方 。 电子工业出版社 ，

3、 信息安全原理与应用 ， 2010.1 版权所有 ,引用请注明出处 6 防火墙的局限性 限制或关闭了一些有用但存在安全缺陷的网络服务 ， 给用户带来使用的不便 。 目前防火墙对于来自网络内部的攻击还无能为力 。 防火墙不能防范不经过防火墙的攻击 。 可能带来传输延迟 、 瓶颈及单点失效 。 防火墙不能有效地防范数据驱动式攻击 。 作为一种被动的防护手段 ， 防火墙不能防范因特网 上不断出现的新的威胁和攻击 。 电子工业出版社 ， 信息安全原理与应用 ， 2010.1 版权所有 ,引用请注明出处 7 防火墙安全策略 在构筑防火墙之前，需要制定一套完整有效的 安全战略 网络服务访问策略 一种高层次

4、的具体到事件的策略，主要用于定义在 网络中允许或禁止的服务。 防火墙设计策略 一切未被允许的就是禁止的 一切未被禁止的都是允许的 8 讨论议题 防火墙的基本概念 防火墙的体系结构 防火墙相关技术 电子工业出版社 ， 信息安全原理与应用 ， 2010.1 版权所有 ,引用请注明出处 9 防火墙的体系结构 包过滤型防火墙（ Package Filtering) 双宿 /多宿主机模式 (Dual-Homed /Multi- Homed Host Firewall) 屏蔽主机模式 (Screened Host Firewall ) 屏蔽子网模式 (Screened Subnet mode) 其他模式

5、10 几个概念 堡垒主机 :Bastion Host 堡垒主机是一种配置了安全防范措施的网络上的计 算机，堡垒主机为网络之间的通信提供了一个阻塞 点，也就是说如果没有堡垒主机，网络之间将不能 相互访问。 双宿主机 :Dual-homed Host 有两个网络接口的计算机系统，一个接口接内部网， 一个接口接外部网 . DMZ(Demilitarized Zone，非军事区或者停火区 ) 在内部网络和外部网络之间增加的一个子网 电子工业出版社 ， 信息安全原理与应用 ， 2010.1 版权所有 ,引用请注明出处 包过滤防火墙 往往用一台路由器来实现 基本的思想很简单 对所接收的每个数据包进行检查，

6、根据过滤 规则，然后决定转发或者丢弃该包 往往配置成双向的 11 12 包过滤防火墙 往往用一台路由器来实现 基本的思想很简单 对所接收的每个数据包进行检查，根据过滤规则，然 后决定转发或者丢弃该包 往往配置成双向的 如何过滤 过滤规则基于 IP包头信息。 IP源地址、目的地址、 TCP/UDP端口、 ICMP消息类型、 TCP头中的 ACK位。 过滤器往往建立一组规则，根据 IP包是否匹配规则中 指定的条件来作出决定。 如果有匹配按规则执行，没有匹配，则按缺省策略。 电子工业出版社 ， 信息安全原理与应用 ， 2010.1 版权所有 ,引用请注明出处 13 双宿 /多宿主机模式 它是一种拥有

7、两个或多个连接到不同网络上的网络接口的防火墙 。 电子工业出版社 ， 信息安全原理与应用 ， 2010.1 版权所有 ,引用请注明出处 14 屏蔽主机模式 屏蔽主机防火墙由包过滤路由器和堡垒主机组 成 电子工业出版社 ， 信息安全原理与应用 ， 2010.1 版权所有 ,引用请注明出处 15 屏蔽子网模式 采用了两个包过滤路由器和一个堡垒主机，在内外网 络之间建立了一个被隔离的子网，定义为 “ 非军事区 （ de-militarized zone） ” 网络，有时也称作周边网 (perimeter network) 16 讨论议题 防火墙的基本概念 防火墙的体系结构 防火墙相关技术 电子工业出

8、版社 ， 信息安全原理与应用 ， 2010.1 版权所有 ,引用请注明出处 17 防火墙相关技术 静态包过滤 状态监测 应用程序网关 (代理服务器 ) 电路级网关 深度包检查技术 电子工业出版社 ， 信息安全原理与应用 ， 2010.1 版权所有 ,引用请注明出处 18 静态包过滤 根据流经该设备的数据包头信息，决定是否允许该数据 包通过 如何过滤 过滤规则基于 IP包头信息。 IP源地址、目的地址、 TCP/UDP端口、 ICMP消息类 型、 TCP头中的 ACK位。 过滤器往往建立一组规则， 根据 IP包是否匹配规则中指定 的条件来作出决定。 如果有匹配按规则执行，没 有匹配，则按缺省策略

9、 电子工业出版社 ， 信息安全原理与应用 ， 2010.1 版权所有 ,引用请注明出处 19 重要的约定 访问规则要使用 IP地址，而不使用主机名或域 名 不要回应所有经过外部网络接口来的 ICMP包。 要丢弃所有通过外部网络适配器流入，且其源 地址是来自受保护网络的包。 电子工业出版社 ， 信息安全原理与应用 ， 2010.1 版权所有 ,引用请注明出处 telnet服务的数据包的特性 20 从内往外的 telnet服务 电子工业出版社 ， 信息安全原理与应用 ， 2010.1 版权所有 ,引用请注明出处 针对 telnet服务的过滤规则 21 双向允许 电子工业出版社 ， 信息安全原理与应

10、用 ， 2010.1 版权所有 ,引用请注明出处 针对 SMTP服务的过滤规则 22 双向允许 电子工业出版社 ， 信息安全原理与应用 ， 2010.1 版权所有 ,引用请注明出处 针对 WWW服务的过滤规则 23 允许内部网用户的 WWW服务 电子工业出版社 ， 信息安全原理与应用 ， 2010.1 版权所有 ,引用请注明出处 正常模式的 FTP过滤规则 24 电子工业出版社 ， 信息安全原理与应用 ， 2010.1 版权所有 ,引用请注明出处 PASV模式的 FTP过滤规则 25 26 针对包过滤防火墙的攻击 IP地址欺骗，例如，假冒内部的 IP地址 对策：在外部接口上禁止内部地址 源路由

11、攻击，即由源指定路由 对策：禁止这样的选项 小碎片攻击，利用 IP分片功能把 TCP头部切分到不同 的分片中 对策：丢弃分片太小的分片 利用复杂协议和管理员的配置失误进入防火墙 例如，利用 ftp协议对内部进行探查 电子工业出版社 ， 信息安全原理与应用 ， 2010.1 版权所有 ,引用请注明出处 27 防火墙相关技术 静态包过滤 状态监测 应用程序网关 (代理服务器 ) 电路级网关 深度包检查技术 电子工业出版社 ， 信息安全原理与应用 ， 2010.1 版权所有 ,引用请注明出处 28 动态包过滤 Check point一项称为“ Stateful Inspection”的技术 防火墙跟

12、踪客户端口，而不是打开全部高编号端口给 外部访问，因而更安全。 状态监测防火墙建立连 接状态表，记录外出的 TCP连接及相应的高编号 客户端口，以验证任何进 入的通信是否合法。可动 态生成 /删除规则 电子工业出版社 ， 信息安全原理与应用 ， 2010.1 版权所有 ,引用请注明出处 29 动态包过滤特点 优点： 对网络通信的各层实施监测分析。 能够提供对基于无连接的协议（ UDP）的应用及基于端 口动态分配的协议的应用的安全支持。 总之，这类防火墙减少了端口的开放时间，提供了对几 乎所有服务的支持。 缺点 ：是它也允许外部客户和内部主机的直接连接；不 提供用户的鉴别机制。 电子工业出版社

13、， 信息安全原理与应用 ， 2010.1 版权所有 ,引用请注明出处 30 防火墙相关技术 静态包过滤 状态监测 应用程序网关 (代理服务器 ) 电路级网关 深度包检查技术 电子工业出版社 ， 信息安全原理与应用 ， 2010.1 版权所有 ,引用请注明出处 31 应用级网关 1. 网关理解应用协议，可以 实施更细粒度的访问控制 2. 对每一类应用，都需要一 个专门的代理 3. 灵活性不够 32 应用层网关的特点 所有的连接都通过防火墙，防火墙作为网关 在应用层上实现 可以监视包的内容 可以实现基于用户的认证 所有的应用需要单独实现 可以提供理想的日志功能 非常安全，但是开销比较大 电子工业出

14、版社 ， 信息安全原理与应用 ， 2010.1 版权所有 ,引用请注明出处 33 防火墙相关技术 静态包过滤 状态监测 应用程序网关 (代理服务器 ) 电路级网关 深度包检查技术 电子工业出版社 ， 信息安全原理与应用 ， 2010.1 版权所有 ,引用请注明出处 34 电路级网关防火墙 拓扑结构同应用程序网关相同 本质上，也是一种代理服务器，接收客户端连接请求， 代理客户端完成网络连接 在客户和服务器间中转数据 通用性强 电子工业出版社 ， 信息安全原理与应用 ， 2010.1 版权所有 ,引用请注明出处 35 电路级网关防火墙特点 电路级网关是一个通用代理服务器，它工作于 OSI互联模型的

15、会话层或是 TCP/IP协议的 TCP 层。它适用于多个协议，但它不能识别在同一 个协议栈上运行的不同的应用，当然也就不需 要对不同的应用设置不同的代理模块，但这种 代理需要对客户端作适当修改。 电子工业出版社 ， 信息安全原理与应用 ， 2010.1 版权所有 ,引用请注明出处 36 防火墙相关技术 静态包过滤 状态监测 应用程序网关 (代理服务器 ) 电路级网关 深度包检查技术 电子工业出版社 ， 信息安全原理与应用 ， 2010.1 版权所有 ,引用请注明出处 37 深度包检测技术 与只是检查数据包的包头部分的浅层包检查技术（通 常称为状态监测技术）不同， 深度包检查 （ deep pa

16、cket inspection， DPI）也称为 完全包检查 （ complete packet inspection）和 信息提取 （ Information extraction）。 DPI技术组合了入侵检测系统、入侵保护系统及传统 状态监测防火墙的功能。这种组合使它能够检测单独 的 IDS、 IPS或者状态监测防火墙不能检测的攻击行为。 电子工业出版社 ， 信息安全原理与应用 ， 2010.1 版权所有 ,引用请注明出处 38 其他防火墙技术 网络地址转换 热恢复策略 流量控制 IP和 MAC绑定 身份鉴别 负载均衡 内容安全 加密 审计 防火墙的免疫设计 分布式防火墙 电子工业出版社

17、， 信息安全原理与应用 ， 2010.1 版权所有 ,引用请注明出处 39 防火墙的发展趋势 高速 应用 ASIC、 FPGA和网络处理器是实现高速 防火墙的主要方法，算法也是关键。 多功能化 比如 NAT、 VPN(IPSec)、 IDS，以及一些鉴 别和访问控制技术 安全 防火墙自身的安全性和稳定性 电子工业出版社 ， 信息安全原理与应用 ， 2010.1 版权所有 ,引用请注明出处 40 参考文献 王昭，袁春编著，信息安全原理与应用，电子工业出版 社，北京， 2010， 1 William Stallings, Cryptography and network security: principles and practice, Second Edition 防火墙原理与实用技术，北京启明星辰有限公司，电子 工业出版社 ， 北京， 2002， 1 William R Cheswick， 戴宗坤译，防火墙与因特网安全 , 机械工业出版社 ， 北京， 2000， 4 Terry William Ogletree， 防火墙原理与实践 ， 电子工业 出版社，北京， 2001， 2 其他关于防火墙技术的书籍和站点