第4章网络安全-3防火墙
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙
• 主要知识点: -- 防火墙概述 -- 防火墙技术 -- 防火墙的体系结构
2020/12/8
Ch9-防火墙
1
防火墙概述
• 为什么需要防火墙 对网络通信进行筛选屏蔽以防止
未授权的访问进出计算机网络,即对网 络进行访问控制。
2020/12/8
Ch9-防火墙
2
防火墙在网络安全中的位置
防病毒
入侵探测
谢谢大家!
6
防火墙示意图
防火墙的实现层次
2020/12/8
Ch9-防火墙
8
防火墙的两条基本规则
• 一切未被允许的就是禁止的。 基于该规则,防火墙应封锁所有信息流,然后
对希望提供的服务逐项开放,即只允许符合开放规 则的信息进出。这种方法非常实用,可以造成一种 十分安全的环境,因为所能使用的服务范围受到了 严格的限制,只有特定的被选中的服务才被允许使 用。这就使得用户使用的方便性受到了影响。 • 一切未被禁止的就是允许的。
系统间的攻击,不能防御合法用户恶意的攻击以及 社交攻击等非预期的威胁 –防火墙不能防止感染了病毒的软件或文件的传输 –防火墙不能防止数据驱动式攻击 –不能修复脆弱的管理措施和存在问题的安全策略
WEB服务器
FW
或SQL服务器
2020/12/8
Ch9-防火墙
12
防火墙的分类
• 根据物理特性分类 • 软件防火墙 • 硬件防火墙
•
每天都是美好的一天,新的一天开启 。20.12.820.12.818:2818:28:2018:28:20Dec- 20
•
相信命运,让自己成长,慢慢的长大 。2020年12月8日星期 二6时28分20秒Tues day, December 08, 2020
•
爱情,亲情,友情,让人无法割舍。20.12.82020年12月8日 星期二 6时28分20秒20.12.8
2020/12/8
Ch9-防火墙
5
所谓“防火墙”,指的就是一种被 放置在自己的计算机与外界网络之间的 防御系统,从网络发往计算机的所有数 据都要经过它的判断处理后,才会决定 能不能把这些数据交给计算机,一旦发 现有害数据,防火墙就会拦截下来,实 现了对计算机的保护功能。
2020/12/8
Ch9-防火墙
数据流都必须经过防火墙。 • 只有符合安全策略的数据流才能通过
防火墙。 • 防火墙自身应具有非常强的抗攻击免
疫力。
2020/12/8
Ch9-防火墙
10
防火墙的功能及局限性
• 防火墙的功能
2020/12/8
Ch9-防火墙
11
• 防火墙的局限性
• 防火墙不能防范不经由防火墙的攻击和威胁 –不能防御已经授权的访问,以及存在于网络内部
内部 网络
26
防火墙产品
2020/12/8
Ch9-防火墙
27
典型防火墙产品介绍
1.3Com Office Connect Firewall 新增的网络管理模块使技术经验有限的
用户也能保障他们的商业信息的安全。 Office Connect Internet Firewall 25使用
全静态数据包检验技术来防止非法的网络接 入和防止来自Internet的“拒绝服务”攻击, 它还可以限制局域网用户对Internet的不恰 当使用。
2020/12/8
Ch9-防火墙
28
2.Cisco PIX防火墙 (1)实时嵌入式操作系统。 (2)保护方案基于自适应安全算法(ASA),可以确保
最高的安全性。
(3)用于验证和授权的“直通代理”技术。 (4)最多支持250 000个同时连接。 (5) URL过滤。 (6)HP Open View集成。 (7)通过电子邮件和寻呼机提供报警和告警通知。 (8)通过专用链路加密卡提供VPN支持。 (9)符合委托技术评估计划(TTAP),经过了美国安 全事务处(NSA)的认证,同时通过中国公安部安全检测 中心的认证(PIX520除外)。
Ch9-防火墙
14
防火墙技术的发展过程
15
防火墙技术
• 数据包过滤技术 • 静态包过滤 • 动态包过滤 • 代理服务 • 应用级网关 • 电路级网关 • 状态检测技术
2020/12/8
Ch9-防火墙
16
数据包过滤
Internet 包过滤路由器
2020/12/8
工作站 工作站 工作站 服务器
内部网络
Ch9-防火墙
17
应用级网关(代理服务器)
• 应用级网关(代理服务器)
应用级网关提供两个网络间传输的高水平的控 制,即能进行特定服务内容的监控和提供基于网络 安全策略的过滤。
应用级网关
客户机
服务器代理
客户代理
服务器
服务器 安全网络
客户代理
服务器代理
客户机 不安全网络
2020/12/8
Ch9-防火墙
•
人生得意须尽欢,莫使金樽空对月。18:28:2018:28:2018:2812/8/2020 6:28:20 PM
•
做一枚螺丝钉,那里需要那里上。20.12.818:28:2018:28Dec -208-D ec-20
•
日复一日的努力只为成就美好的明天 。18:28:2018:28:2018:28Tues day, December 08, 2020
•
让自己更加强大,更加专业,这才能 让自己 更好。2020年12月下 午6时28分20.12.818:28December 8, 2020
•
这些年的努力就为了得到相应的回报 。2020年12月8日星期 二6时28分20秒18:28:208 December 2020
•
科学,你是国力的灵魂;同时又是社 会发展 的标志 。下午6时28分 20秒下 午6时28分18:28:2020.12.8
2020/12/8
Ch9-防火墙
24
屏蔽主机防火墙
Interne t
路由器 堡垒主机
工作站 工作站 工作站
服务器
内-防火墙
25
屏蔽子网防火墙
堡垒主机
Internet
2020/12/8
外部路由器 内部路由器
防火墙
FTP服务器
WWW服务器
Telnet服务器
Ch9-防火墙
18
例:FTP代理服务器
安全数 据库
FTP客户 安全网络
2020/12/8
FTP 代理 端口2021 TCP/UDP IP/ICMP Interfaces
Ch9-防火墙
FTP代 理规则 IP过滤 规则
FTP服务器 不安全网络
19
电路级网关
• 电路级网关是一个通用代理服务器,工作在TCP/IP协议的
基于该规则,防火墙逐项屏蔽被禁止的服务,而 转发所有其它信息流。这种方法可以提供一种更为 灵活的应用环境,可为用户提供更多的服务。但却 很难提供可靠的安全防护,特别是当网络服务日益 增多或受保护的网络范围增大时。
2020/12/8
Ch9-防火墙
9
典型的防火墙具有的基本特性 • 内部网络和外部网络之间的所有网络
内容检测
VPN 虚拟专用网
防火墙
2020/12/8
Ch9-防火墙
3
谁需要防火墙
• 任何使用互联网的企事业单位都需要防火墙
2020/12/8
Ch9-防火墙
4
防火墙的基本概念
• 防火墙的来源 “防火墙”一词源自于早期建筑。在
古代,构筑和使用木制结构房屋的时候 为防止火灾的发生和蔓延,人们将坚固 的石块堆砌在房屋周围作为屏障,这种 防护构筑物就被称为“防火墙” (FireWall)。如今在计算机网络中, 沿用了古代这个名字来表示实现类似的 网络安全功能。
括了序号、窗口大小等其它TCP协议信息。)
2020/12/8
Ch9-防火墙
21
状态检测原理
2020/12/8
Ch9-防火墙
22
防火墙的体系结构
• 双宿主机防火墙结构 • 屏蔽主机防火墙结构 • 屏蔽子网防火墙结构
2020/12/8
Ch9-防火墙
23
双宿主机防火墙
Interne t
堡垒主机
工作站 工作站 工作站 服务器 内部网络
例如,对内部主机到外部主机的连接请求,防火墙会加 以标注,允许从外部响应此请求的数据包以及随后两台主机 间传输数据包通过,直到此连接中断为止,而对由外部发起 的企图连接内部主机的数据包则全部丢弃,因此状态检测防 火墙提供了完整的对传输层的控制能力。
(以TCP协议为例,状态检测机制关注的主要问题不再
仅是SYN和ACK标志位,或者是来源端口和目标端口,还包
• 从结构上分类 • 单一主机防火墙 • 路由集成式防火墙 • 分布式防火墙
2020/12/8
Ch9-防火墙
13
• 按工作位置分类 • 边界防火墙 • 个人防火墙 • 混合防火墙
• 按防火墙性能分类 • 百兆级防火墙 • 千兆级防火墙
• 从实现技术上分类 • 数据包过滤技术 • 代理服务
2020/12/8
TCP层,仅仅提供TCP连接的转发而不提供任何其它的报文处
理和过滤。
TCP层
IP层
Interfaces
客户
安全网络
2020/12/8
Ch9-防火墙
服务器
不安全网络
20
状态检测技术
状态检测防火墙不仅像包过滤防火墙考查数据包的IP地 址等几个孤立的信息,而是增加了对数据包连接状态变化的 额外考虑。它在防火墙的核心部分建立数据包的连接状态表 ,将在内外网间传输的数据包以会话角度进行监测,利用状 态表跟踪每一个会话状态,记录有用的信息以帮助识别不同 的会话。
•
安全放在第一位,防微杜渐。20.12.820.12.818:28:2018:28:20December 8, 2020
•
加强自身建设,增强个人的休养。2020年12月8日下 午6时28分20.12.820.12.8
•
精益求精,追求卓越,因为相信而伟 大。2020年12月8日星 期二下 午6时28分20秒18:28:2020.12.8
2020/12/8
Ch9-防火墙
29
WINDOWS防火墙配置实验
开启windows 防火墙
2020/12/8
Ch9-防火墙
30
2020/12/8
Ch9-防火墙
31
进行入站规则设置
2020/12/8
Ch9-防火墙
32
应用程序进行例外添加
2020/12/8
Ch9-防火墙
33
•
生活中的辛苦阻挠不了我对生活的热 爱。20.12.820.12.8Tuesday, December 08, 2020
• 主要知识点: -- 防火墙概述 -- 防火墙技术 -- 防火墙的体系结构
2020/12/8
Ch9-防火墙
1
防火墙概述
• 为什么需要防火墙 对网络通信进行筛选屏蔽以防止
未授权的访问进出计算机网络,即对网 络进行访问控制。
2020/12/8
Ch9-防火墙
2
防火墙在网络安全中的位置
防病毒
入侵探测
谢谢大家!
6
防火墙示意图
防火墙的实现层次
2020/12/8
Ch9-防火墙
8
防火墙的两条基本规则
• 一切未被允许的就是禁止的。 基于该规则,防火墙应封锁所有信息流,然后
对希望提供的服务逐项开放,即只允许符合开放规 则的信息进出。这种方法非常实用,可以造成一种 十分安全的环境,因为所能使用的服务范围受到了 严格的限制,只有特定的被选中的服务才被允许使 用。这就使得用户使用的方便性受到了影响。 • 一切未被禁止的就是允许的。
系统间的攻击,不能防御合法用户恶意的攻击以及 社交攻击等非预期的威胁 –防火墙不能防止感染了病毒的软件或文件的传输 –防火墙不能防止数据驱动式攻击 –不能修复脆弱的管理措施和存在问题的安全策略
WEB服务器
FW
或SQL服务器
2020/12/8
Ch9-防火墙
12
防火墙的分类
• 根据物理特性分类 • 软件防火墙 • 硬件防火墙
•
每天都是美好的一天,新的一天开启 。20.12.820.12.818:2818:28:2018:28:20Dec- 20
•
相信命运,让自己成长,慢慢的长大 。2020年12月8日星期 二6时28分20秒Tues day, December 08, 2020
•
爱情,亲情,友情,让人无法割舍。20.12.82020年12月8日 星期二 6时28分20秒20.12.8
2020/12/8
Ch9-防火墙
5
所谓“防火墙”,指的就是一种被 放置在自己的计算机与外界网络之间的 防御系统,从网络发往计算机的所有数 据都要经过它的判断处理后,才会决定 能不能把这些数据交给计算机,一旦发 现有害数据,防火墙就会拦截下来,实 现了对计算机的保护功能。
2020/12/8
Ch9-防火墙
数据流都必须经过防火墙。 • 只有符合安全策略的数据流才能通过
防火墙。 • 防火墙自身应具有非常强的抗攻击免
疫力。
2020/12/8
Ch9-防火墙
10
防火墙的功能及局限性
• 防火墙的功能
2020/12/8
Ch9-防火墙
11
• 防火墙的局限性
• 防火墙不能防范不经由防火墙的攻击和威胁 –不能防御已经授权的访问,以及存在于网络内部
内部 网络
26
防火墙产品
2020/12/8
Ch9-防火墙
27
典型防火墙产品介绍
1.3Com Office Connect Firewall 新增的网络管理模块使技术经验有限的
用户也能保障他们的商业信息的安全。 Office Connect Internet Firewall 25使用
全静态数据包检验技术来防止非法的网络接 入和防止来自Internet的“拒绝服务”攻击, 它还可以限制局域网用户对Internet的不恰 当使用。
2020/12/8
Ch9-防火墙
28
2.Cisco PIX防火墙 (1)实时嵌入式操作系统。 (2)保护方案基于自适应安全算法(ASA),可以确保
最高的安全性。
(3)用于验证和授权的“直通代理”技术。 (4)最多支持250 000个同时连接。 (5) URL过滤。 (6)HP Open View集成。 (7)通过电子邮件和寻呼机提供报警和告警通知。 (8)通过专用链路加密卡提供VPN支持。 (9)符合委托技术评估计划(TTAP),经过了美国安 全事务处(NSA)的认证,同时通过中国公安部安全检测 中心的认证(PIX520除外)。
Ch9-防火墙
14
防火墙技术的发展过程
15
防火墙技术
• 数据包过滤技术 • 静态包过滤 • 动态包过滤 • 代理服务 • 应用级网关 • 电路级网关 • 状态检测技术
2020/12/8
Ch9-防火墙
16
数据包过滤
Internet 包过滤路由器
2020/12/8
工作站 工作站 工作站 服务器
内部网络
Ch9-防火墙
17
应用级网关(代理服务器)
• 应用级网关(代理服务器)
应用级网关提供两个网络间传输的高水平的控 制,即能进行特定服务内容的监控和提供基于网络 安全策略的过滤。
应用级网关
客户机
服务器代理
客户代理
服务器
服务器 安全网络
客户代理
服务器代理
客户机 不安全网络
2020/12/8
Ch9-防火墙
•
人生得意须尽欢,莫使金樽空对月。18:28:2018:28:2018:2812/8/2020 6:28:20 PM
•
做一枚螺丝钉,那里需要那里上。20.12.818:28:2018:28Dec -208-D ec-20
•
日复一日的努力只为成就美好的明天 。18:28:2018:28:2018:28Tues day, December 08, 2020
•
让自己更加强大,更加专业,这才能 让自己 更好。2020年12月下 午6时28分20.12.818:28December 8, 2020
•
这些年的努力就为了得到相应的回报 。2020年12月8日星期 二6时28分20秒18:28:208 December 2020
•
科学,你是国力的灵魂;同时又是社 会发展 的标志 。下午6时28分 20秒下 午6时28分18:28:2020.12.8
2020/12/8
Ch9-防火墙
24
屏蔽主机防火墙
Interne t
路由器 堡垒主机
工作站 工作站 工作站
服务器
内-防火墙
25
屏蔽子网防火墙
堡垒主机
Internet
2020/12/8
外部路由器 内部路由器
防火墙
FTP服务器
WWW服务器
Telnet服务器
Ch9-防火墙
18
例:FTP代理服务器
安全数 据库
FTP客户 安全网络
2020/12/8
FTP 代理 端口2021 TCP/UDP IP/ICMP Interfaces
Ch9-防火墙
FTP代 理规则 IP过滤 规则
FTP服务器 不安全网络
19
电路级网关
• 电路级网关是一个通用代理服务器,工作在TCP/IP协议的
基于该规则,防火墙逐项屏蔽被禁止的服务,而 转发所有其它信息流。这种方法可以提供一种更为 灵活的应用环境,可为用户提供更多的服务。但却 很难提供可靠的安全防护,特别是当网络服务日益 增多或受保护的网络范围增大时。
2020/12/8
Ch9-防火墙
9
典型的防火墙具有的基本特性 • 内部网络和外部网络之间的所有网络
内容检测
VPN 虚拟专用网
防火墙
2020/12/8
Ch9-防火墙
3
谁需要防火墙
• 任何使用互联网的企事业单位都需要防火墙
2020/12/8
Ch9-防火墙
4
防火墙的基本概念
• 防火墙的来源 “防火墙”一词源自于早期建筑。在
古代,构筑和使用木制结构房屋的时候 为防止火灾的发生和蔓延,人们将坚固 的石块堆砌在房屋周围作为屏障,这种 防护构筑物就被称为“防火墙” (FireWall)。如今在计算机网络中, 沿用了古代这个名字来表示实现类似的 网络安全功能。
括了序号、窗口大小等其它TCP协议信息。)
2020/12/8
Ch9-防火墙
21
状态检测原理
2020/12/8
Ch9-防火墙
22
防火墙的体系结构
• 双宿主机防火墙结构 • 屏蔽主机防火墙结构 • 屏蔽子网防火墙结构
2020/12/8
Ch9-防火墙
23
双宿主机防火墙
Interne t
堡垒主机
工作站 工作站 工作站 服务器 内部网络
例如,对内部主机到外部主机的连接请求,防火墙会加 以标注,允许从外部响应此请求的数据包以及随后两台主机 间传输数据包通过,直到此连接中断为止,而对由外部发起 的企图连接内部主机的数据包则全部丢弃,因此状态检测防 火墙提供了完整的对传输层的控制能力。
(以TCP协议为例,状态检测机制关注的主要问题不再
仅是SYN和ACK标志位,或者是来源端口和目标端口,还包
• 从结构上分类 • 单一主机防火墙 • 路由集成式防火墙 • 分布式防火墙
2020/12/8
Ch9-防火墙
13
• 按工作位置分类 • 边界防火墙 • 个人防火墙 • 混合防火墙
• 按防火墙性能分类 • 百兆级防火墙 • 千兆级防火墙
• 从实现技术上分类 • 数据包过滤技术 • 代理服务
2020/12/8
TCP层,仅仅提供TCP连接的转发而不提供任何其它的报文处
理和过滤。
TCP层
IP层
Interfaces
客户
安全网络
2020/12/8
Ch9-防火墙
服务器
不安全网络
20
状态检测技术
状态检测防火墙不仅像包过滤防火墙考查数据包的IP地 址等几个孤立的信息,而是增加了对数据包连接状态变化的 额外考虑。它在防火墙的核心部分建立数据包的连接状态表 ,将在内外网间传输的数据包以会话角度进行监测,利用状 态表跟踪每一个会话状态,记录有用的信息以帮助识别不同 的会话。
•
安全放在第一位,防微杜渐。20.12.820.12.818:28:2018:28:20December 8, 2020
•
加强自身建设,增强个人的休养。2020年12月8日下 午6时28分20.12.820.12.8
•
精益求精,追求卓越,因为相信而伟 大。2020年12月8日星 期二下 午6时28分20秒18:28:2020.12.8
2020/12/8
Ch9-防火墙
29
WINDOWS防火墙配置实验
开启windows 防火墙
2020/12/8
Ch9-防火墙
30
2020/12/8
Ch9-防火墙
31
进行入站规则设置
2020/12/8
Ch9-防火墙
32
应用程序进行例外添加
2020/12/8
Ch9-防火墙
33
•
生活中的辛苦阻挠不了我对生活的热 爱。20.12.820.12.8Tuesday, December 08, 2020