北京大学信息安全《b10 防火墙技术及其应用.pdf》

网络与信息安全

第10讲防火墙技术及其应用

唐礼勇博士

tly@

2001/4/21 北京大学

网络间实施网间访问合它满足以下条件

人利用那0.01%的错误

0.01%安全问题等于100%的失败

信任边界复杂

年代多级系统和安全模型吸引屏蔽路由器网关

隔离不同网络

便认

明可能带来传输延迟瓶颈端加密时其作

服务最

信息决

)

型TCP UDP ICMP IGMP

源目

源目端口FTP HTTP DNS

选项源路由记录路由等

选项SYN ACK FIN RST

议选项ICMP ECHO ICMP ECHO REPLY

数据包流向in或out

数据包流经网络接口eth0eth1

中内部网地为192.168.0.0/24

eth1地为192.168.0.1

为10.11.12.13

为10.11.15.4

内部网所有主机能访问外网WWW FTP服务

包过滤技术的一些实现
商业版防火墙产品 q 个人防火墙 q 路由器 q Open Source Software
q
– – – –
Ipfilter (FreeBSD OpenBSD Solaris …) Ipfw (FreeBSD) Ipchains (Linux 2.0.x/2.2.x) Iptables (Linux 2.4.x)

应用程序网关(代理服务器)
发送请求
客 户 网 关
转发请求
服务器
转发响应
请求响应
1. 网关理解应用协议 可以实施更细粒度的访问控制 2. 对每一类应用 都需要一个专门的代理 3. 灵活性不够

应用程序网关的一些实现
q q
商业版防火墙产品 商业版代理(cache)服务器 Open Source
– TIS FWTK(Firewall toolkit) – Apache – Squid
q

电路级网关
q
拓扑结构同应用程序网关相同 接收客户端连接请求 代理客户端完成网络连接 在客户和服务器间中转数据 通用性强
q
q
q

电路级网关实现方式
q
简单重定向
– 根据客户的地址及所请求端口 将该连接重定向 到指定的服务器地址及端口上 – 对客户端应用完全透明
q
在转发前同客户端交换连接信息
– 需对客户端应用作适当修改
q
Sockify

电路级网关的一些实现
q
Socks Winsock Dante
q
q

网络地址翻译(NAT)
q
目的
– 解决IP地址空间不足问题 – 向外界隐藏内部网结构
q
方式
– M-1 多个内部网地址翻译到1个IP地址 – 1-1 简单的地址翻译 – M-N 多个内部网地址翻译到N个IP地址池

虚拟专用网(VPN)
路由-路由 路由 路由 加密隧道(VPN) 加密隧道
路由 端-路由 加密隧道
广域网络
端 端-端 加密数据流

各级网络安全技术
加密/ 加密/ 安全技术
应用程序网关 /保密网关
OSI 协议层 应用层 表示层
安全协议 应用相关
信源加密 会话层
动态包过滤
SOCKS SSL/TLS IPSec PPTP/L2TP
传输层 网络层 链路层 物理层
静态包过滤
信道加密

报告内容
q
基本概念 防火墙配置模式 防火墙相关技术 几个新的方向
q
q
q

能尤其境中去时

可信另外部穿

结构不

法依赖

描述语言说明接允许什么连

系统管理工具用于一主机处以保证机构

MAC在

MAC较

time src-addr dst-addr user data

路信息自带

网关证

密级信息源信息流向是

方式滤应用程序网关和