防火墙技术与应用第1章 防火墙在网络安全防护中的地位和作用
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
这样可以在黑客攻击后通过这些记录来分析黑客的攻击方式, 弥补系统漏洞,防止再次遭受攻击,并可进行黑客追踪和查 找责任人。
此外,应急响应、灾难备份与恢复和安全管理等,都是网络 攻击发生后的常用应对方法。
防火墙技术与应用
28
第一篇 防火墙基础技术
防火墙技术与应用
1
第一篇 防火墙基础技术
第1章介绍防火墙在网络安全防护中的地位和 作用,帮助读者了解防火墙在整个网络信息安 全防护中所处的位置;
第2章从防火墙的定义出发,阐述防火墙的功 能、各项核心技术的工作原理、防火墙的结构 以及下一代防火墙技术。
通过本篇对防火墙核心技术的分析,为读者应 用和开发个人防火墙打下理论基础。
UDP另一个重要应用是域名系统DNS,用来把一个 给定URL解析为一个IP地址。
防火墙技术与应用
13
1.1 网络体系结构
1.1.3 网络中数据包的传输 使用包嗅探工具Wireshark来截取网络上所传
输的数据包
图中编号322的数据包为例,中间的窗体部分 就是数据包的结构,其结构分别如下。
但是该框架中系统部件维所包含的系统部件(端系统、 接口、网络系统和安全管理)并不能反应网络工程中的 实际需求,也没有给出安全属性维中各安全属性的逻 辑关系。
本节介绍一个针对TCP/IP网络由安全服务、协议层次
和实体单元组成的三维框架结构,它是在DISSP三维
安全模型基础上的改进模型,从三个不同的角度阐述
每一层负责一个具体任务,各层联合工作实现 整个网络通信。每一层与其上层或下层都有一 个明确定义的接口来具体说明希望处理的数据。 一般将TCP/IP协议族分为4个功能层:应用层、 传输层、网络层和网络接口层。这4层概括了 相对于OSI参考模型中的7层。
防火墙技术与应用
7
1.1 网络体系结构
1.1.2 TCP/IP协议结构
有了端口,就能为应用程序提供多路复用,换言之, 能够为运行在同一台计算机上的多个并发应用程序 产生的多个连接区分数据。
防火墙技术与应用
12
1.1 网络体系结构
1.1.2 TCP/IP协议结构 (3)UDP
虽然UDP数据报只能提供不可靠的交付,但在许多 方面还必须使用UDP数据报。
这一协议通常用于流媒体(IP语音或视频聊天)和在 线游戏,对于这些应用,丢失一些数据报不是至关 重要的。
对主体与客体的标识与鉴别是计算机网络安全的前提 访问控制是许多系统安全保护机制的核心。比如需要一个参
考监控器,控制所有主体对客体的访问。 数据存储与传输的完整性是认证和访问控制有效性的重要保
证 保证系统高度的可用性、抗抵赖服务也是网络安全的重要内
容
防火墙技术与应用
25
1.3 网络安全防护中的防火墙
防火墙技术与应用
26
1.3 网络安全防护中的防火墙
1.3.2 攻击分层防护中的防火墙
(1)攻击发生前的防范
使用防火墙,作为网络安全的第一道防线,它可以识别并阻 挡许多黑客攻击行为。
(2)攻击发生过程中的防范
入侵检测系统(Intrusion Detection System,IDS) 相对于 传统意义的防火墙是一种主动防御系统,入侵检测作为安全 的一道屏障,可以在一定程度上预防和检测来自系统内、外 部的入侵。
不同实体、不同层次的安全需求以及它们之间的逻辑
关系。
防火墙技术与应用
22
1.2 网络安全框架
1.2.1 网络安全体系结构的相关概念
安全服务:OSI安全体系结构模型中定义了五组安全服务: 认证(Authentication)服务、保密(Confidentiality)服务、 数据完整性(Integrity)服务、访问控制(Access Control)服 务、抗抵赖(Non-repudiation)服务(或称作不可否认服务)。
防火墙技术与应用
2
第1章 防火墙在网络安全防护中的地 位和作用
两种重要的网络体系模型OSI和TCP/IP的基 础知识
网络安全框架 由此帮助读者认识防火墙在网络安全防护中的
基础性地位和作用。
防火墙技术与应用
3
1.1 网络体系结构
1.1.1 开放系统互联参考模型OSI
OSI/RM(Open Systems Interconnection Reference Model,开放系统互联参考模型), 简称OSI。
1.1.3 网络中数据包的传输 应用层:客户端使用HTTP1.1协议中的GET方
法,去获取Web服务器根目录的HTML文档。
防火墙技术与应用
15
1.1 网络体系结构
1.1.3 网络中数据包的传输 TCP层:发送端计算机使用TCP端口49265连
接到目的计算机的TCP端口80。
防火墙技术与应用
安全机制:是指安全服务的实现机制,一种安全服务可以由 多种安全机制来实现,一种安全机制也可以为多种安全服务 所用。
安全管理:
安全的管理(Management of Security),网络和系统中各种安全服务 和安全机制的管理,如认证或加密服务的激活、密钥等参数的分配、更 新等;
管理的安全(Security of Management),是指各种管理活动自身的安 全,如管理系统本身和管理信息的安全。
“开放”是指:只要遵循OSI标准,一个系统 就可以和位于世界上任何地方的、也遵循这同 一标准的其它任何系统进行通信。
“系统”是指在现实的系统中与互连有关的各 部分。
防火墙技术与应用
4
1.1 网络体系结构
1.1.1 开放系统互联参考模型OSI
OSI参考模型采用结构描述方法将整个网络的 通信功能划分为7部分(层次),在每个协议层 中完成一系列的特定功能。
防火墙技术与应用
23
1.2 网络安全框架
1.2.2 网络安全体系的三维框架结构
计算机网络安全体系的三维框架结构
防火墙技术与应用
24
1.2 网络安全框架
1.2.3 安全服务之间的关系
在计算机系统或网络通信中,参与交互或通信的实体分别被 称为主体(Subject)和客体(Object)
Frame 322/Ethernet II:网络接口层(实体层)。 Intemet Protocol:网络层。 Transmission Control Protocol:传输层。 Hypertext Transfer Protocol:应用层。
防火墙技术与应用
14
1.1 网络体系结构
1.1 网络体系结构
1.1.2 TCP/IP协议结构 (2)TCP
TCP握手过程需要在发送者S和接收者R之间交换三 个协议消息
防火墙技术与应用
11
1.1 网络体系结构
1.1.2 TCP/IP协议结构 (3)UDP
UDP只在IP的数据报服务之上增加了很少一点功能, 也就是端口和差错校验的功能。
防火墙正在于IDS、主机防护等安全设备融合,共同进行攻 击发生过程中的防范,本书将在2.4.3节中介绍相关内容
防火墙技术与应用
27
1.3 网络安全防护中的防火墙
1.3.2 攻击分层防护中的防火墙 (3)攻击发生后的应对
防火墙、IDS等都提供详细的数据记录功能,可以对所有误 操作的危险动作和蓄意攻击行为保留详尽的记录
1.3.1 防火墙与网络层次关系 防火墙可以工作在TCP/IP模型中的各层。 防火墙的主要工作在于实现访问控制策略,且所有防
火墙均依赖于对TCP/IP各层协议所产生的信息流进行 检查。 一般说来,防火墙越是工作在协议的上层,其能够检 查的信息就越多,也就能够获得更多的信息用于安全 决策,因而检查的网络行为就可以越细致深入,提供 的安全防护等级就越高。
当然,这样的工具必须成为网络通信的唯一通 道。这种工具就是本书介绍的网络安全防护设 备——防火墙。
防火墙技术与应用
19
1.2 网络安全框架
尽管TCP/IP协议在连通性上非常成功,但在安全性方 面却暴露了很多问题。
由于TCP/IP没有一个整体的安全体系,各种安全技术 (如防火墙、SSL通信协议等)虽然能够在某一方面保 护网络资源或保证网络通信的安全,但是各种技术相 对独立,冗余性大,在可管理性和扩展性方面都存在 很多局限。
TCP协议是面向连接的,通过所谓的数据流,两个 网络主机之间提供一个可复用的、可靠的通信信道。
如果两台主机需要可靠的网络通信,通常使用TCP。 例如,对于万维网使用的HTTP协议、电子邮件相
关应用程序使用的SMTP和POP3/IMAP协议,以 及数据传输使用的FTP协议
防火墙技术与应用
10
然而这一体系只为安全通信环境提出了一个概念性框 架。事实上,安全体系结构不仅应该定义一个系统安 全所需的各种元素,还应该包括这些元素之间的关系, 以构成一个有机的整体,正像Architecture这个词的 本意,一堆砖瓦不能称之为建筑。
防火墙技术与应用
21
1.2 网络安全框架
美国国防信息系统安全计划(DISSP)提出了一个反映 网络安全需求的安全框架,该框架是一个由安全属性、 OSI各协议层和系统部件组成的三维矩阵结构
从安全体系结构的角度研究怎样有机地组合各种单元
技术,设计出一个合理的安全体系,为各种层次不同
的应用提供统一的安全服务,以满足不同强度的安全
需求,这对于网络安全的设计、实现与管理都非常重
要。
防火墙技术与应用
20
1.2 网络安全框架
开放式系统互联参考模型(OSI/RM)扩展部分中增加 了有关安全体系结构的描述,安全体系结构(Security Architecture)是指对网络系统安全功能的抽象描述, 从整体上定义网络系统所提供的安全服务和安全机制,
计算机网络系统可以看成是一个扩大了的计算 机系统,在网络操作系统和TCP/IP协议的支 持下,位于不同主机内的操作系统进程可以像 在一个单机系统中一样互相通信,只不过通信 时延稍大一些而已。
防火墙技术与应用
6
1.1 网络体系结构
1.1.2 TCP/IP协议结构 TCP/IP协议族可以看作是一组不同层的集合,
两台网络主机之间进行通信时,发送方将数据 从应用层向下传递到物理层,每一层协议模块 为下一层进行数据封装,数据流经网络到达接 收方,再由下而上通过协议栈传递,并与接收 方应用程序进行通信。
防火墙技术与应用
5
1.1 网络体系结构
1.1.2 TCP/IP协议结构
OSI的七层协议体系结构虽然概念清楚,但是 复杂又不适用。TCP/IP协议得到了全世界的 承认,成为因特网使用的参考模型。
防火墙技术与应用
8
1.1 网络体系结构
1.1.2 TCP/IP协议结构 (1)IP
IPv4是一个面向数据的协议,设计用于分组交换网 络(例如以太网),是一个尽最大努力交付协议。
IP通过所谓的IP地址实现寻址 IP实现了分片概念
防火墙技术与应用
9
1.1 网络体系结构
1.1.2 TCP/IP协议结构 (2)TCP
16
1.1 网络体系结构
1.1.3 网络中数据包的传输 IP层:由211.87.100.12这台计算机所发送
出来的,而接收端的计算机地址是 202.119.104.28。
防火墙技术与应用
17
1.1 网络体系结构
1.1.3 网络中数据包的传输 实体层:代表该数据包是由笔者的笔记本网卡
发送出来的,以及发送到Cisco交换机的网卡。
防火墙技术与网络中数据包的传输
包嗅探工具Wireshark可以捕获数据包并能够 清晰展示其中的内容
如果在这样一种工具的基础上再增加相应的判 别规则对数据包进行允许通过、丢弃等处理, 就可对网络通信进行基本的安全管理了
此外,应急响应、灾难备份与恢复和安全管理等,都是网络 攻击发生后的常用应对方法。
防火墙技术与应用
28
第一篇 防火墙基础技术
防火墙技术与应用
1
第一篇 防火墙基础技术
第1章介绍防火墙在网络安全防护中的地位和 作用,帮助读者了解防火墙在整个网络信息安 全防护中所处的位置;
第2章从防火墙的定义出发,阐述防火墙的功 能、各项核心技术的工作原理、防火墙的结构 以及下一代防火墙技术。
通过本篇对防火墙核心技术的分析,为读者应 用和开发个人防火墙打下理论基础。
UDP另一个重要应用是域名系统DNS,用来把一个 给定URL解析为一个IP地址。
防火墙技术与应用
13
1.1 网络体系结构
1.1.3 网络中数据包的传输 使用包嗅探工具Wireshark来截取网络上所传
输的数据包
图中编号322的数据包为例,中间的窗体部分 就是数据包的结构,其结构分别如下。
但是该框架中系统部件维所包含的系统部件(端系统、 接口、网络系统和安全管理)并不能反应网络工程中的 实际需求,也没有给出安全属性维中各安全属性的逻 辑关系。
本节介绍一个针对TCP/IP网络由安全服务、协议层次
和实体单元组成的三维框架结构,它是在DISSP三维
安全模型基础上的改进模型,从三个不同的角度阐述
每一层负责一个具体任务,各层联合工作实现 整个网络通信。每一层与其上层或下层都有一 个明确定义的接口来具体说明希望处理的数据。 一般将TCP/IP协议族分为4个功能层:应用层、 传输层、网络层和网络接口层。这4层概括了 相对于OSI参考模型中的7层。
防火墙技术与应用
7
1.1 网络体系结构
1.1.2 TCP/IP协议结构
有了端口,就能为应用程序提供多路复用,换言之, 能够为运行在同一台计算机上的多个并发应用程序 产生的多个连接区分数据。
防火墙技术与应用
12
1.1 网络体系结构
1.1.2 TCP/IP协议结构 (3)UDP
虽然UDP数据报只能提供不可靠的交付,但在许多 方面还必须使用UDP数据报。
这一协议通常用于流媒体(IP语音或视频聊天)和在 线游戏,对于这些应用,丢失一些数据报不是至关 重要的。
对主体与客体的标识与鉴别是计算机网络安全的前提 访问控制是许多系统安全保护机制的核心。比如需要一个参
考监控器,控制所有主体对客体的访问。 数据存储与传输的完整性是认证和访问控制有效性的重要保
证 保证系统高度的可用性、抗抵赖服务也是网络安全的重要内
容
防火墙技术与应用
25
1.3 网络安全防护中的防火墙
防火墙技术与应用
26
1.3 网络安全防护中的防火墙
1.3.2 攻击分层防护中的防火墙
(1)攻击发生前的防范
使用防火墙,作为网络安全的第一道防线,它可以识别并阻 挡许多黑客攻击行为。
(2)攻击发生过程中的防范
入侵检测系统(Intrusion Detection System,IDS) 相对于 传统意义的防火墙是一种主动防御系统,入侵检测作为安全 的一道屏障,可以在一定程度上预防和检测来自系统内、外 部的入侵。
不同实体、不同层次的安全需求以及它们之间的逻辑
关系。
防火墙技术与应用
22
1.2 网络安全框架
1.2.1 网络安全体系结构的相关概念
安全服务:OSI安全体系结构模型中定义了五组安全服务: 认证(Authentication)服务、保密(Confidentiality)服务、 数据完整性(Integrity)服务、访问控制(Access Control)服 务、抗抵赖(Non-repudiation)服务(或称作不可否认服务)。
防火墙技术与应用
2
第1章 防火墙在网络安全防护中的地 位和作用
两种重要的网络体系模型OSI和TCP/IP的基 础知识
网络安全框架 由此帮助读者认识防火墙在网络安全防护中的
基础性地位和作用。
防火墙技术与应用
3
1.1 网络体系结构
1.1.1 开放系统互联参考模型OSI
OSI/RM(Open Systems Interconnection Reference Model,开放系统互联参考模型), 简称OSI。
1.1.3 网络中数据包的传输 应用层:客户端使用HTTP1.1协议中的GET方
法,去获取Web服务器根目录的HTML文档。
防火墙技术与应用
15
1.1 网络体系结构
1.1.3 网络中数据包的传输 TCP层:发送端计算机使用TCP端口49265连
接到目的计算机的TCP端口80。
防火墙技术与应用
安全机制:是指安全服务的实现机制,一种安全服务可以由 多种安全机制来实现,一种安全机制也可以为多种安全服务 所用。
安全管理:
安全的管理(Management of Security),网络和系统中各种安全服务 和安全机制的管理,如认证或加密服务的激活、密钥等参数的分配、更 新等;
管理的安全(Security of Management),是指各种管理活动自身的安 全,如管理系统本身和管理信息的安全。
“开放”是指:只要遵循OSI标准,一个系统 就可以和位于世界上任何地方的、也遵循这同 一标准的其它任何系统进行通信。
“系统”是指在现实的系统中与互连有关的各 部分。
防火墙技术与应用
4
1.1 网络体系结构
1.1.1 开放系统互联参考模型OSI
OSI参考模型采用结构描述方法将整个网络的 通信功能划分为7部分(层次),在每个协议层 中完成一系列的特定功能。
防火墙技术与应用
23
1.2 网络安全框架
1.2.2 网络安全体系的三维框架结构
计算机网络安全体系的三维框架结构
防火墙技术与应用
24
1.2 网络安全框架
1.2.3 安全服务之间的关系
在计算机系统或网络通信中,参与交互或通信的实体分别被 称为主体(Subject)和客体(Object)
Frame 322/Ethernet II:网络接口层(实体层)。 Intemet Protocol:网络层。 Transmission Control Protocol:传输层。 Hypertext Transfer Protocol:应用层。
防火墙技术与应用
14
1.1 网络体系结构
1.1 网络体系结构
1.1.2 TCP/IP协议结构 (2)TCP
TCP握手过程需要在发送者S和接收者R之间交换三 个协议消息
防火墙技术与应用
11
1.1 网络体系结构
1.1.2 TCP/IP协议结构 (3)UDP
UDP只在IP的数据报服务之上增加了很少一点功能, 也就是端口和差错校验的功能。
防火墙正在于IDS、主机防护等安全设备融合,共同进行攻 击发生过程中的防范,本书将在2.4.3节中介绍相关内容
防火墙技术与应用
27
1.3 网络安全防护中的防火墙
1.3.2 攻击分层防护中的防火墙 (3)攻击发生后的应对
防火墙、IDS等都提供详细的数据记录功能,可以对所有误 操作的危险动作和蓄意攻击行为保留详尽的记录
1.3.1 防火墙与网络层次关系 防火墙可以工作在TCP/IP模型中的各层。 防火墙的主要工作在于实现访问控制策略,且所有防
火墙均依赖于对TCP/IP各层协议所产生的信息流进行 检查。 一般说来,防火墙越是工作在协议的上层,其能够检 查的信息就越多,也就能够获得更多的信息用于安全 决策,因而检查的网络行为就可以越细致深入,提供 的安全防护等级就越高。
当然,这样的工具必须成为网络通信的唯一通 道。这种工具就是本书介绍的网络安全防护设 备——防火墙。
防火墙技术与应用
19
1.2 网络安全框架
尽管TCP/IP协议在连通性上非常成功,但在安全性方 面却暴露了很多问题。
由于TCP/IP没有一个整体的安全体系,各种安全技术 (如防火墙、SSL通信协议等)虽然能够在某一方面保 护网络资源或保证网络通信的安全,但是各种技术相 对独立,冗余性大,在可管理性和扩展性方面都存在 很多局限。
TCP协议是面向连接的,通过所谓的数据流,两个 网络主机之间提供一个可复用的、可靠的通信信道。
如果两台主机需要可靠的网络通信,通常使用TCP。 例如,对于万维网使用的HTTP协议、电子邮件相
关应用程序使用的SMTP和POP3/IMAP协议,以 及数据传输使用的FTP协议
防火墙技术与应用
10
然而这一体系只为安全通信环境提出了一个概念性框 架。事实上,安全体系结构不仅应该定义一个系统安 全所需的各种元素,还应该包括这些元素之间的关系, 以构成一个有机的整体,正像Architecture这个词的 本意,一堆砖瓦不能称之为建筑。
防火墙技术与应用
21
1.2 网络安全框架
美国国防信息系统安全计划(DISSP)提出了一个反映 网络安全需求的安全框架,该框架是一个由安全属性、 OSI各协议层和系统部件组成的三维矩阵结构
从安全体系结构的角度研究怎样有机地组合各种单元
技术,设计出一个合理的安全体系,为各种层次不同
的应用提供统一的安全服务,以满足不同强度的安全
需求,这对于网络安全的设计、实现与管理都非常重
要。
防火墙技术与应用
20
1.2 网络安全框架
开放式系统互联参考模型(OSI/RM)扩展部分中增加 了有关安全体系结构的描述,安全体系结构(Security Architecture)是指对网络系统安全功能的抽象描述, 从整体上定义网络系统所提供的安全服务和安全机制,
计算机网络系统可以看成是一个扩大了的计算 机系统,在网络操作系统和TCP/IP协议的支 持下,位于不同主机内的操作系统进程可以像 在一个单机系统中一样互相通信,只不过通信 时延稍大一些而已。
防火墙技术与应用
6
1.1 网络体系结构
1.1.2 TCP/IP协议结构 TCP/IP协议族可以看作是一组不同层的集合,
两台网络主机之间进行通信时,发送方将数据 从应用层向下传递到物理层,每一层协议模块 为下一层进行数据封装,数据流经网络到达接 收方,再由下而上通过协议栈传递,并与接收 方应用程序进行通信。
防火墙技术与应用
5
1.1 网络体系结构
1.1.2 TCP/IP协议结构
OSI的七层协议体系结构虽然概念清楚,但是 复杂又不适用。TCP/IP协议得到了全世界的 承认,成为因特网使用的参考模型。
防火墙技术与应用
8
1.1 网络体系结构
1.1.2 TCP/IP协议结构 (1)IP
IPv4是一个面向数据的协议,设计用于分组交换网 络(例如以太网),是一个尽最大努力交付协议。
IP通过所谓的IP地址实现寻址 IP实现了分片概念
防火墙技术与应用
9
1.1 网络体系结构
1.1.2 TCP/IP协议结构 (2)TCP
16
1.1 网络体系结构
1.1.3 网络中数据包的传输 IP层:由211.87.100.12这台计算机所发送
出来的,而接收端的计算机地址是 202.119.104.28。
防火墙技术与应用
17
1.1 网络体系结构
1.1.3 网络中数据包的传输 实体层:代表该数据包是由笔者的笔记本网卡
发送出来的,以及发送到Cisco交换机的网卡。
防火墙技术与网络中数据包的传输
包嗅探工具Wireshark可以捕获数据包并能够 清晰展示其中的内容
如果在这样一种工具的基础上再增加相应的判 别规则对数据包进行允许通过、丢弃等处理, 就可对网络通信进行基本的安全管理了