第8章 《网络安全》ppt

网络安全与法规
8.1.7 防火墙的分类
从实现技术方式来分类，防火墙可分为： （1）包过滤防火墙 （2）应用网关防火墙 （3）代理防火墙和状态检测防火墙。 从形态上来分类，防火墙可以分为： （1）软件防火墙 （2）硬件防火墙
网络安全与法规
8.1.8 防火墙的访问效率和安全需求
防火墙是网络的开放性和安全的控制性矛盾对立的 产物。 （1） 吞吐量 （2） 时延 （3） 丢包率 （4） 背对背 （5） 并发连接数
网络安全与法规
8.1.5 互操作性要求
防火墙是一种安全设备，同时也是一种网络设 备，它安放在网络系统中，需要和其他网络设备配 合，以适应各种网络环境，这样才能做到安全性和 可用性的统一。
防火墙需要适应各种网络环境，这样就要求防 火墙除了在安全防护的功能之外，还需要具有各种 网络设备的功能，比如路由功能，支持各种路由协 议，这样才能和其他的路由器协同工作；VLAN的 支持，这样才能支持划分了VLAN的网络；ADSL 的支持，就能对ADSL的接入方式提供安全保护。
网络安全与法规
8.3.2 被屏蔽主机体系结构
网络安全与法规
8.3.3 被屏蔽子网体系结构
网络பைடு நூலகம்全与法规
网络安全与法规
8.4 堡垒主机
在防火墙体系中，堡垒主机要高度暴露，是在Internet上公 开的，是网络上最容易遭受非法入侵的设备。所以防火墙 设计者和管理人员需要致力于堡垒主机的安全，而且在运 行期间对堡垒主机的安全给予特别的注意。 构建堡垒主机的要点如下: （1） 选择合适的操作系统。 （2） 堡垒主机的安装位置。 （3） 堡垒主机提供的服务。 （4） 保护系统日志。 （5） 监测和备份。
网络安全与法规
8.2.3 状态检测防火墙
状态检测(Stateful Inspection)防火墙现在应用非常 广泛，状态检测是一种相当于4.5层的过滤技术， 它不限于包过滤防火墙的3/4层的过滤，又不需要 应用层网关防火墙的5层过滤，既提供了比包过滤 防火墙更高的安全性和更灵活的处理，也避免了应 用层网关防火墙带来的速度降低的问题。
网络安全与法规
8.2.2 应用网关技术
应用网关(Application Gateway)与包过滤防火墙不 同，它不使用通用目标机制来允许各种不同种类的 通信，而是针对每个应用使用专用目的的处理方法。 虽然这样做看起来有些浪费，但却比任何其他方法 安全得多，因为不必担心不同过滤规则集之间的交 互影响及对外部提供安全服务的主机中的漏洞，而 只需仔细检查选择的应用程序。
网络安全与法规
网络安全与法规
8.5.4 数据包过滤规则
在配置数据包过滤规则之前，需要明确要允许或者 拒绝什么服务，并且需要把策略转换成为针对数据 包的过滤规则。 建立数据包过滤规则需按如下步骤去做： ① 建立安全策略（写出所允许的和禁止的任务）。 ② 将安全策略转化为数据包分组字段的逻辑表达 式。 ③ 用防火墙提供的过滤规则句法重写逻辑表达式 并设置。
TCP报文
WWW 端口
129.9.0.0/16
202.38.160.0/24
问题: 下面这条访问控制列表表示什么意思? rule deny udp source 129.9.8.0 0.0.0.255 destination 202.38.160.0 0.0.0.255
destination-port greater-than 128
网络安全与法规
8.5.2 数据包过滤的应用
现在Internet广泛采用TCP/IP协议，TCP/IP协议簇 遵守一个4层的参考模型，包括接口层、网络层、 传输层和应用层。下面分析数据包过滤在各层协议 中的应用。
网络安全与法规
1.IP协议 对于数据包过滤，IP层有几个重要的信息，可以依 据这些信息制定相应的安全策略： （1） IP源地址，32位。 （2） IP目的地址，32位。 （3） IP协议类型，辨别TCP数据包类型和ICMP 数据包类型。 （4） IP选项字段。
网络安全与法规
2.TCP协议 针对数据包过滤，TCP层有几个重要的信息： (1) TCP源端口。 (2) TCP目标端口。 (3) TCP标志字段。
3.UDP协议
网络安全与法规
针对数据包过滤，UDP协议有几个重要的信息：
（1） UDP源端口。
（2） UDP目标端口。
可以根据UDP协议中的源端口和目的端口来制定安 全规则。因为UDP的源端口通常是随机的，所以通 常不使用源端口进行控制。
网络安全与法规
4.ICMP协议
ICMP即Internet控制与报文协议，由RFC792定义， 这个协议主要用来进行错误信息和控制信息的传递， 例如，著名的Ping工具是利用ICMP协议中的 ECHO request报文进行的（请求报文ICMP ECHO类型8代码0，应答报文ICMP ECHOREPLY 类型0代码0）。
路由器
网络安全与法规
扩展访问控制列表举例
• rule deny icmp source 10.1.0.0 0.0.255.255 destination any icmp-type host-
redirect
ICMP主机重定向报文
10.1.0.0/16
• rule deny tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port equal www logging
从 202.110.10.0/24 来的数据包可以
通过！
从192.110.10.0/24 来的数据包不能
通过！
路由器
网络安全与法规
扩展访问控制列表
• 扩展访问控制列表使用除源地址外更多的信 息描述数据包，表明是允许还是拒绝。
从202.110.10.0/24来的, 到179.100.17.10的，
使用TCP协议， 利用HTTP访问的 数据包可以通过！
网络安全与法规
8.5 数据包过滤
8.5.1 数据包过滤的特点
数据包过滤的安全策略基于以下几种方式： （1） 数据包的源地址。 （2） 数据包的目的地址。 （3） 数据包的TCP/UDP源端口。 （4） 数据包的TCP/UDP目的端口。 （5） 数据包的标志位。 （6） 用来传送数据包的协议。 但是数据包过滤也是有局限的，其局限性表现如下： （1） 不能进行内容级控制 （2） 数据包的过滤规则制定比较复杂 （3） 有些协议不适合包过滤。
网络安全与法规
8.2.5 代理服务器技术
代理服务器（Proxy Server）作用在应用层，它用 来提供应用层服务的控制，在内部网络向外部网络 申请服务时起到中间转接作用。内部网络只接受代 理提出的服务请求，拒绝外部网络其他结点的直接 请求。
8.3 防火墙体系结构
8.3.1 双重宿主主机体系结构
网络安全与法规
8.6 状态检测的数据包过滤
状态检测防火墙对每个合法网络连接保存的信息包 括源地址、目的地址、协议类型、协议相关信息 （如TCP/UDP协议的端口、ICMP协议的ID号）、 连接状态(如TCP连接状态)和超时时间等，防火墙 把这些信息叫做状态。通过状态检测，可实现比简 单包过滤防火墙具有更大的安全性。
元素定义的规则
网络安全与法规
如何标识访问控制列表？
• 利用数字标识访问控制列表 • 利用数字范围标识访问控制列表的种类
列表的种类
IP standard list IP extended list
数字标识的范围
1－99 100－199
网络安全与法规
标准访问控制列表
• 标准访问控制列表只使用源地址描述数据， 表明是允许还是拒绝。
网络安全与法规
8.7 防火墙的发展趋势
随着新的网络技术的出现，防火墙技术呈现以下新的发展。 （1） 目前防火墙在安全性、效率和功能方面的矛盾还是比 较突出。 （2） 数据加密技术的使用，使合法访问更安全。 （3） 混合使用包过滤技术、代理服务技术和其他一些新技 术。 （4） IP协议的变化将对防火墙的建立与运行产生深刻的影 响。 （5） 分布式防火墙。
ICMP协议有一个特点，它是无连接的，也就是说 只要发送端完成ICMP报文的封装并传递给路由器， 这个报文将会像邮包一样自己去寻找目的地址。这 个特点使得ICMP协议非常灵活快捷，但是同时也 带来一个缺陷就是易伪造（邮包上的寄信人地址是 可以随便写的）。
8.5.3 过滤规则制定的策略
（1）按地址过滤 （2）按服务过滤 （3）对数据包做日志记录
第8章 防火墙
网络安全与法规
8.1 防火墙的原理 8.2 防火墙技术 8.3 防火墙体系结构 8.4 堡垒主机 8.5 数据包过滤 8.6 状态检测的数据包过滤 8.7 防火墙的发展趋势 8.8 本章小结
网络安全与法规
8.1 防火墙的原理
8.1.1 防火墙的概念
防火墙是建立在内外网络边界上的过滤封锁机制，其作用 是防止不希望的、未经授权的通信进出被保护的内部网络， 通过边界控制强化内部网络的安全政策。
网络安全与法规
8.2 防火墙技术
8.2.1 包过滤技术
包过滤(Packet Filtering)技术是防火墙在网络层中 根据数据包中包头信息有选择地实施允许通过或阻 断。依据防火墙内事先设定的过滤规则,检查数据 流中每个数据包头部,根据数据包的源地址、目的 地址、TCP/UDP源端口号、TCP/UDP目的端口号 及数据包头中的各种标志位等因素来确定是否允许 数据包通过，其核心是安全策略即过滤规则的设计。 一般来说，不保留前后连接信息，利用包过滤技术 很容易实现允许或禁止访问。
内部网络 公司总部
网络安全与法规
R
Internet
办事处
未授权用户
网络安全与法规
一个IP数据包如下图所示（图中IP所承载的 上层协议为TCP/UDP）：
IP报头
TCP/UDP报头
数据
协议号 源地址 目的地址
源端口 目的端口
对于TCP/UDP来说，这5个元 素组成了一个TCP/UDP相关， 访问控制列表就是利用这些
网络安全与法规
8.2.4 电路级网关
电路级网关也被称为线路级网关，它工作在会话层。 它在两个主机首次建立TCP连接时创立一个电子屏 障。它作为服务器接收外来请求，转发请求；与被 保护的主机连接时则担当客户机角色，起代理服务 的作用。它监视两主机建立连接时的握手信息，如 SYN、ACK等标志和序列号等是否合乎逻辑，判 定该会话请求是否合法。一旦会话连接有效后网关 仅复制、传递数据，而不进行过滤。电路网关中特 殊的客户程序只在初次连接时进行安全协商控制， 其后就透明了。
8.1.2 防火墙的功能
防火墙具有如下几个功能： （1） 访问控制功能。 （2） 内容控制功能。 （3） 全面的日志功能。 （4） 集中管理功能。 （5） 自身的安全和可用性。 附加功能： （1）流量控制 （2）NAT （3）VPN
网络安全与法规
8.1.3 边界保护机制
网络安全与法规
对防火墙而言，网络可以分为可信网络和不可 信网络。可信网络和不可信网络是相对的，一般来 讲内部网络是可信网络，Internet是不可信网络；
防火墙的安放位置是可信网络和不可信网络的 边界，它所保护的对象是网络中有明确闭合边界的 网段。
网络安全与法规
8.1.4 潜在的攻击和可能的对象
（1） 入侵内部网络。 （2） 针对防火墙的攻击，使其失去功能。 （3） 拒绝服务攻击。 ① Syn Flood： ② Smurf： ③ Land based： ④ Ping of Death： ⑤ Teardrop： ⑥ Ping Sweep： ⑦ Ping Flood： 现在的攻击方式在不断地增加，但是主要的攻击方式可以分为以下几 种： （1） 强度攻击（即洪水攻击）。 （2） 协议漏洞攻击。 （3） 应用漏洞攻击。
网络安全与法规
8.1.6 防火墙的局限性
安装防火墙并不能做到绝对的安全，它有许多防范 不到的地方，具体如下： （1） 防火墙不能防范不经由防火墙的攻击。 （2） 防火墙不能防止感染了病毒的软件或文件的 传输。这只能在每台主机上装反病毒软件。 （3） 防火墙不能防止数据驱动式攻击。 （4） 防火墙不能防范恶意的内部人员侵入。 （5） 防火墙不能防范不断更新的攻击方式。
网络安全与法规
防火墙是什么? 防火墙如何保护网络安全? （1） 所有进出被保护网络的通信必须通过防火墙。 （2） 所有通过防火墙的通信必须经过安全策略的 过滤或者防火墙的授权。 （3） 防火墙本身是不可被侵入的。 结论:防火墙是在被保护网络和非信任网络之间进 行访问控制的一个或者一组访问控制部件。