网络信息安全西财课件

《网络信息安全西财课件》由会员分享，可在线阅读，更多相关《网络信息安全西财课件（65页珍藏版）》请在装配图网上搜索。

1、单击此处编辑母版标题样式,,单击此处编辑母版文本样式,,第二级,,第三级,,第四级,,第五级,,,*,第八章 防火墙,第八章 防火墙,,第八章 防火墙,第一节　防火墙的根本原理,第二节　防火墙的分类,第三节 防火墙体系结构,第四节 防火墙的开展趋势,,第一节　防火墙的根本原理,一、防火墙的概念,,一、防火墙的概念,,,防火墙,(Firewall)是指一个由软件和硬件设备组合而成，处于企业或网络群体计算机与外界通道之间，限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。,第一节　防火墙的根本原理,,一、防火墙的概念,第一节　防火墙的根本原理,,二、防火墙模型,,形象地说，防火墙是

2、在两个网络通信时，执行一种相互访问控制的尺度，它能够允许用户“同意〞的人和数据进入他的网络，同时将用户“不同意〞的人和数据拒之门外，阻止网络中的黑客访问他的网络，防止他们更改、拷贝、毁坏用户的重要信息，按照OSI/RM模型要求，防火墙可以在OSI/RM七层中的五层设置。,第一节　防火墙的根本原理,,二、防火墙模型,,防火墙模型,第一节　防火墙的根本原理,,,三、防火墙的平安策略,包括用户的所有信息。其中最主要包括用户名、口令、用户所属的工作组、用户在系统中的权限和资源存取许可。,第一节　防火墙的根本原理,1．用户帐号策略,,,三、防火墙的平安策略,用户权限策略用来允许授权用户使用系统资源。用户

3、权限一般有两种：对执行特定任务用户的授权可应用于整个系统；对特定对象〔如目录、文件、打印机等〕的规定，这种规定限制用户能否或以何种方式存取对象。,第一节　防火墙的根本原理,2．用户权限策略,,,三、防火墙的平安策略,通过信任关系在网络中建立域的平安性。信任关系是两个域中一个域信任另外的域。它包括两个方面：信任域和被信任域。信任域可允许被信任域中的用户在其中使用。,第一节　防火墙的根本原理,3．信任关系策略,,,三、防火墙的平安策略,包过滤路由器根据过滤规那么，来过滤基于标准的数据包，完成包过滤功能。其中包括：包过滤控制点；包过滤操作过程、包过滤规那么；对地址欺骗、输入输出端口的过滤；FTD包与

4、UDP包的过滤等。,第一节　防火墙的根本原理,4．包过滤策略,,,三、防火墙的平安策略,目前已有的可以公开的加密算法很多，其中最有名的传统加密算法是美国DES〔数据加密标准〕和RC5算法、欧洲的IDEA算法、日本的FEAL算法。最有名的公开密钥体制是RSA体制、Elgamal体制等。最有名的数字签名体制是DSS体制、Elgamal体制等。最有名的消息签名体制有MD5等。,第一节　防火墙的根本原理,5．认证、签名和数据加密策略,,,三、防火墙的平安策略,从Internet的应用来看，密钥管理方式应采用自动化管理，特别对于密钥分配而言，应采用离线式密钥中心方式。针对Internet的层次结构，密钥

5、中心的设置应具有相应的层次。而整个密钥体系也应采用层次结构，以分为主密钥、密钥加密密钥和会话密钥三个层次为宜。,第一节　防火墙的根本原理,6．密钥分配策略,,,三、防火墙的平安策略,审计是用来记录如下事件：哪个用户访问哪个对象；访问类型；访问过程是否成功等。,第一节　防火墙的根本原理,7．审计策略,,按照防火墙对内外来往数据的处理方法，大致可以分为两大类：,包过滤〔packet filtering〕防火墙,应用代理〔application proxy〕防火墙,,〔又称应用层网关防火墙〕,第一节　防火墙的根本原理,,第八章 防火墙,第一节　防火墙的根本原理,第二节　防火墙的分类,第三节 防火

6、墙体系结构,第四节 防火墙的开展趋势,,第二节　防火墙的分类,,一、包过滤防火墙,包过滤作用在网络层和传输层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包那么被从数据流中丢弃。,1．包过滤的概念,,包过滤防火墙又称为过滤路由器，它通过将包头信息和管理员设定的规那么表比较，如果有一条规那么不允许发送某个包，路由器就将它丢弃。,一、包过滤防火墙,1．包过滤的概念,第二节　防火墙的分类,,包过滤方式有很多优点，而其主要优点之一是仅用放置在重要位置上的包过滤路由器就可保护整个网络。,1．包过滤的概念,一

7、、包过滤防火墙,第二节　防火墙的分类,,虽然包过滤防火墙有许多优点，但它也有一些缺点及局限性：,,〔1〕在机器中配置包过滤规那么比较困难；,,〔2〕对系统中的包过滤规那么的配置进行测试也较麻烦；,,〔3〕许多产品的包过滤功能有这样或那样的局限性，要寻找一个比较完整的包过滤产品比较困难。,一、包过滤防火墙,第二节　防火墙的分类,,,一、包过滤防火墙,2．包过滤的根本原理,〔1〕包过滤和网络平安策略,,包过滤还可以用来实现大范围内的网络平安策略。网络平安策略必须清楚地说明被保护的网络和效劳的类型、它们的重要程度和这些效劳要保护的对象等。,,第二节　防火墙的分类,,〔2〕包过滤模型,,包过滤器通常设

8、置于一个或多个网段之间。网络段区分为外部网段或内部网段。外部网段是通过网络将用户的计算机连接到外面的网络上，内部网段用来连接公司内部的主机和其他网络资源。,2．包过滤的根本原理,一、包过滤防火墙,第二节　防火墙的分类,,〔3〕包过滤操作,2．包过滤的根本原理,一、包过滤防火墙,①包过滤标准必须由包过滤设备端口存储起来，这些包过滤标准叫包过滤规那么;,②当包到达端口时，对包的报头进行语法分析;,③包过滤规那么以特殊的方式进行存储;,第二节　防火墙的分类,,④如果一条规那么允许包传输或接收那么该包可以继续处理 ;,⑤如果一条规那么阻止包传输或接收，此包便不被允许通过;,⑥如果一个包不满足任何一条规

9、那么，那么该包被阻塞;,2．包过滤的根本原理,一、包过滤防火墙,〔3〕包过滤操作,第二节　防火墙的分类,,,一、包过滤防火墙,图8.2 包过滤操作流程图,包过滤操作流程,3．包过滤规那么,第二节　防火墙的分类,,,一、包过滤防火墙,,4．依据地址进行过滤,用地址进行过滤可以不管使用什么协议，仅根据源地址/目的地址对流动的包进行过滤。,第二节　防火墙的分类,,,一、包过滤防火墙,,5．依据效劳进行过滤,被拒绝进入内部网络的伪装包主要是在依靠地址进行过滤的包过滤系统中。大多数包过滤系统还涉及到依据效劳进行过滤。,第二节　防火墙的分类,,,二、应用代理防火墙,,应用代理，也叫应用网关〔applic

10、ation gateway〕，它作用在应用层，其特点是完全“阻隔〞了网络通信流，通过对每种应用效劳编制专门的代理程序，实现监视和控制应用层通信流的作用。,1．应用代理概念,第二节　防火墙的分类,,二、应用代理防火墙,应用代理防火墙的典型配置,第二节　防火墙的分类,,应用代理或代理效劳器(application level proxyor，proxy server)是代理内部网络用户与外部网络效劳器进行信息交换的程序。它将内部用户的请求确认后送达外部效劳宝器，同时将外部效劳器的响应再回送给用户。,二、应用代理防火墙,1．应用代理概念,第二节　防火墙的分类,,代理的实现过程如图8.4所示，代理效劳

11、有两个主要部件：代理效劳器和代理客户。,用户,代理服务器,感觉的连接,实际的连接,外部主机,图8.4 代理的实现过程,二、应用代理防火墙,1．应用代理概念,第二节　防火墙的分类,,,二、应用代理防火墙,,2．代理效劳,代理效劳是具有访问互联网能力的主机作为那些无权访问互联网主机的代理，这样使得一些不能访问互联网的主机通过代理效劳也可以完成访问互联网的工作。,第二节　防火墙的分类,,二、应用代理防火墙,,3. 代理效劳的工作方法,代理效劳的工作细节对每一种效劳器都是不同的，一些效劳已自动地提供了代理，对于这些效劳可以通过对正常效劳器的配置来设置代理。但对于大多数效劳来说，代理效劳在效劳器上要求

12、运行特殊的代理效劳器软件。,第二节　防火墙的分类,,在客户端可以有以下两种方法:,3. 代理效劳的工作方法,二、应用代理防火墙,(1)定制客户软件。采用这种方法，软件必须知道当用户提出请求时怎样与代替真实效劳器的代理效劳器进行连接，并且告诉代理效劳器如何与真实效劳器连接。,第二节　防火墙的分类,,,(2)定制客户过程。采用这种方法时，用户使用标准的客户软件与代理效劳器连接，并通知代理效劳器与真实效劳器连接，以此来代替与真实效劳器的连接。,二、应用代理防火墙,3. 代理效劳的工作方法,第二节　防火墙的分类,,,二、应用代理防火墙,,4. 代理效劳器的使用,代理效劳器有一些特殊类型，主要表现为应用

13、级与回路级代理、公共与专用代理效劳器和智能代理效劳器。,〔1〕应用级与回路级代理,,应用级代理是代理效劳为哪个应用提供的代理，它能了解并解释应用协议中的命令；而回路级代理在客户端与效劳器之间不解释应用协议中的命令就建立了连接回路。,〔2〕公共与专用代理效劳器,,一个专用效劳器只适用于单个协议，而一个公共代理效劳器那么适用多个协议。实际上专用代理效劳器是应用级的，而公共代理效劳器是属于回路级的。,〔3〕智能代理效劳器,,如果一个代理效劳器不仅能处理转发请求，同时还能够做其他许多事情的话，这样的代理效劳器就称为智能代理效劳器。对于一个专用的应用级代理来说很容易升级到智能代理效劳器，但对一个回路级的

14、代理来说那么比较困难。,第二节　防火墙的分类,,三、 复合型防火墙,1．传统防火墙分析,基于网络地址转换〔network address translator, NAT〕的复合型防火墙系统，它融合了代理技术的高性能和包过滤技术高效性的优点。,第二节　防火墙的分类,,三、 复合型防火墙,2．设计思想,,集中访问控制技术是在效劳请求时由网关负责鉴别，一旦鉴别成功，其后的报文交互都直接通过TCP/IP层的过滤规那么，无需象应用层代理那样逐个报文转发，这就实现了与代理方式同样的平安水平而处理量大幅下降，性能随即得到大大提高。另一方面，NAT技术通过在网关上对进出IP包源与目的地址的转换，实现过滤规那么

15、的动态化。,第二节　防火墙的分类,,三、 复合型防火墙,,3．系统设计,,基于Web的防火墙管理系统,集中访问控制模块,临时访问端口表,认证访问控制系统,网络安全监控系统,NAT模块,内部网,内部网,图8.5 基于NAT的复合型防火墙系统总体结构模型,图8.5给出了基于NAT的复合型防火墙系统的总体结构模型，由五大模块组成。,第二节　防火墙的分类,,三、 复合型防火墙,,3．系统设计,,NAT模块依据一定的规那么，对所有出入的数据包进行源与目的地址识别，并将由内向外的数据包中源地址替换成一个真实地址，而将由外向内的数据包中的目的地址替换成相应的虚拟地址,第二节　防火墙的分类,,三、 复合型防

16、火墙,,集中访问控制〔CAC〕模块负责响应所有指定的由外向内的效劳访问，通知认证访问控制系统实施平安鉴别，为合法用户建立相应的连接，并将这一连接的相关信息传递给NAT模块，保证在后续的报文传输时直接转发而无需控制模块干预。,3．系统设计,,第二节　防火墙的分类,,三、 复合型防火墙,,临时访问端口表及连接控制〔TLTC〕模块通过监视外向型连接的端口数据动态维护一张临时端口表，记录所有由内向外的连接的源与目的端口信息，根据此表及预先配置好的协议集由连接控制模块决定哪些连接是允许的而哪些是不允许的，即根据所制定的规那么〔平安政策〕禁止相应的由外向内发起的连接，以防止攻击者利用网关允许的由内向外的访

17、问协议类型做反向的连接访问。,3．系统设计,,第二节　防火墙的分类,,三、 复合型防火墙,,认证与访问控制系统是防火墙系统的关键环节，它按照网络平安策略负责对通过防火墙的用户实施用户的身份鉴别和对网络信息资源的访问控制，保证合法用户正常访问和禁止非法用户访问。,3．系统设计,,第二节　防火墙的分类,,三、 复合型防火墙,,网络监控系统负责截取到达防火墙网关的所有数据包，对信息包报头和内容进行分析，检测是否有攻击行为，并实时通知系统管理员。,3．系统设计,,第二节　防火墙的分类,,三、 复合型防火墙,〔1〕网络地址转换模块,,〔2〕集中访问控制模块,,〔3〕临时访问端口表,,〔4〕认证与访问控制

18、系统,,〔5〕网络平安监控系统,,〔6〕基于WEB的防火墙管理系统,4．系统的实现,,第二节　防火墙的分类,,第八章 防火墙,第一节　防火墙的根本原理,第二节　防火墙的分类,第三节 防火墙体系结构,第四节 防火墙的开展趋势,,一、防火墙体系结构,1. 双重宿主主机体系结构,,双重宿主主机体系结构是围绕具有双重宿主的主体计算机而构筑的。该计算机至少有两个网络接口，这样的主机可以充当与这些接口相连的网络之间的路由器，并能够从一个网络向另一个网络发送IP数据包。,第三节 防火墙体系结构,,一、防火墙体系结构,1. 双重宿主主机体系结构,第三节 防火墙体系结构,,一、防火墙体系结构,2. 主机过

19、滤体系结构,第三节 防火墙体系结构,,一、防火墙体系结构,3. 子网过滤体系结构,第三节 防火墙体系结构,,二、防火墙的变化和组合,一般有以下几种形式：,,●使用多堡垒主机；,,●合并内部路由器和外部路由器；,,●合并堡垒主机与外部路由器；,,●合并堡垒主机与内部路由器；,,●合并多台内部路由器；,,●合并多台外部路由器；,,●使用多个参数网络；,,●使用双重宿主主机与子网过滤。,第三节 防火墙体系结构,,三、堡垒主机,设计和建立堡垒主机的根本原那么有两条：最简化原那么和预防原那么。,,〔1〕最简化原那么,,在堡垒主机上设置的效劳必须最少，同时对必须设置的效劳软件只能给予尽可能低的权限。,,〔

20、2〕预防原那么,,要尽量使堡垒主机不被破坏，但同时又必须时刻提防“它一旦被攻破怎么办？〞。一旦堡垒主机被破坏，我们还得尽力让内部网络仍处于平安保障之中。,第三节 防火墙体系结构,1. 建立堡垒主机的一般原那么,,三、堡垒主机,2. 堡垒主机的种类,堡垒主机目前一般有三种类型：,无路由双宿主主机,、,牺牲主机,和,内部堡垒主机。,无路由双宿主主机有多个网络接口，但这些接口间没有信息流。,牺牲主机是一种上面没有任何需要保护信息的主机，同时它又不与任何入侵者想利用的主机相连。,堡垒主机可与某些内部主机进行交互。这些内部主机其实是有效的次级堡垒主机，对它们就应像堡垒主机一样加以保护。,第三节 防火墙体

21、系结构,,三、堡垒主机,3. 堡垒主机的选择,〔1〕堡垒主机操作系统的选择,,应该选择较为熟悉的系统作为堡垒主机的操作系统。,第三节 防火墙体系结构,,三、堡垒主机,3. 堡垒主机的选择,〔2〕堡垒主机速度的选择,,作为堡垒主机的计算机并不要求有很高的速度。选用功能并不十分强大的机器作为堡垒主机反而更好。,第三节 防火墙体系结构,,三、堡垒主机,3. 堡垒主机的选择,〔3〕堡垒主机的硬件,,在选择堡垒主机及它的外围设备时，应慎选产品；不可选太旧的产品；堡垒主机的内存要大，并配置有足够的交换空间。；需要有较大的磁盘空间作为存储缓冲。,第三节 防火墙体系结构,,三、堡垒主机,3. 堡垒主机的选择,

22、〔4〕堡垒主机的物理位置,,①位置要平安,,②堡垒主机在网络上的位置,第三节 防火墙体系结构,,三、堡垒主机,3. 堡垒主机的选择,〔5〕堡垒主机提供的效劳,,堡垒主机应当提供站点所需求的所有与互联网有关的效劳，同时还要经过包过滤提供内部网络向外界的效劳。任何与外部网络无关的效劳都不应放置在堡垒主机上。,,第三节 防火墙体系结构,,三、堡垒主机,3. 堡垒主机的选择,我们将可以由堡垒主机提供的效劳分成以下四个级别。,,①无风险效劳，仅仅通过包过滤便可实施的效劳。,,②低风险效劳，在有些情况下这些效劳运行时有平安隐患，但加以一些平安控制措施便可消除平安问题，这类效劳只能由堡垒主机提供。,,③高风

23、险效劳，在使用这些效劳时无法彻底消除平安隐患；这类效劳一般应被禁用，特别需要时也只能放置在主机上使用。,,④禁用效劳，应被彻底禁止使用的效劳。,第三节 防火墙体系结构,,三、堡垒主机,3. 堡垒主机的选择,电子邮件〔SMTP〕是堡垒主机应提供的最根本的效劳，其他还应提供的服,,●FTP，文件传输效劳；,,●WHIS，基于关键字的信息浏览效劳；,,●HTTP，超文本方式的信息浏览效劳；,,●NNTP，Usenet新闻组效劳；,,●RTSP，实时视频音频效劳；,,为了支持以上这些效劳，堡垒主机还应有域名效劳〔DNS〕。,第三节 防火墙体系结构,,防火墙是目前使用最为广泛的网络平安产品之一，用户在选

24、购时应该注意以下几点：,,〔1〕防火墙自身的平安性,,〔2〕系统的稳定性,,〔3〕是否高效,,〔4〕是否可靠,,〔5〕是否功能灵活,,〔6〕是否配置方便,,〔7〕是否管理简便,,〔8〕是否可以抵抗拒绝效劳攻击,,〔9〕是否可以针对用户身份过滤,,〔10〕是否可扩展、可升级,第三节 防火墙体系结构,,第八章 防火墙,第一节　防火墙的根本原理,第二节　防火墙的分类,第三节 防火墙体系结构,第四节 防火墙的开展趋势,,第四节 防火墙的开展趋势,一、模式转变,越来越多的防火墙产品也开始表达出一种分布式结构。以分布式为体系进行设计的防火墙产品以网络节点为保护对象，可以最大限度地覆盖需要保护的对象，大大提升平安防护强度。,,二、 功能扩展,防火墙的管理功能一直在迅猛开展，并且不断地提供一些方便好用的功能给管理员，这种趋势仍将继续，更多新颖实效的管理功能会不断地涌现出来。,第四节 防火墙的开展趋势,,三、性能提高,未来的防火墙产品会呈现出更强的处理性能要求，而寄希望于硬件性能的水涨船高肯定会出现瓶颈，所以诸如并行处理技术等经济实用并且经过足够验证的性能提升手段将越来越多的应用在防火墙产品平台上。,第四节 防火墙的开展趋势,,