网络安全理论与实践-教案-第3章防火墙
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
金陵科技学院教案【教学单元首页】
第 1 次课授课学时 4 教案完成时间: 2018.2
授课内容
内容备注•防火墙概述
•防火墙是由软件和硬件组成的系统,它处于安全的网络和不安全的网络之间,根据由系统管理员设置的访问控制规则,对数据流进行过滤。
•在逻辑上,防火墙是一个分离器、限制器、分析器,能有效地监控内部网与Internet之间的任何活动,保证内部网络的安全。
•防火墙对数据流的处理方式:
防火墙是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控
制(允许、拒绝、丢弃)出入网络的信息流,且本身具有较强的抗攻击能力。
•允许数据流通过。
•拒绝数据流通过,并向发送者回复一条消息,提示发送者该数据流已被拒绝。
•将数据流丢弃,不对这些数据包进行任何处理,也不会向发送者发送任何提示信息。
•防火墙须满足的要求
防火墙是Internet安全的最基本组成部分,但对于内部攻击以及绕过防火墙的连
接却无能为力。
防火墙不是一台普通的主机,它自身的安全性要比普通主机更高。那些与防火墙功
能实现不相关但又可能带来安全威胁的网络服务和应用程序,都应当剥离出去。
•前提:所有进出网络的数据流都必须经过防火墙
•基本功能:只允许经过授权的数据流通过防火墙。
•先决条件:防火墙自身对入侵是免疫的。
•防火墙示意与组成
•过滤器:阻断数据传输
•外部过滤器:保护网关免受侵害
•内部过滤器:防备因网关被攻击而造成的伤害
•网关:提供中继服务的一台或多台机器
•堡垒主机:暴露在外面的网关主机
•DMZ:网关所在的网络称为“非军事区”
堡垒主机在防火墙体系结构中起着至关重要的作用,它专门用来击退攻击行为。网
络防御的第一步,是寻找堡垒主机的最佳位置,
堡垒主机为内网和外网之间的所有通道提供一个阻塞点。没有堡垒主机,就不能连接外网,同样,外网也不能访问内网。如果通过堡垒主机来集中网络权限,就可以轻松地配置软件来保护网络。
•防火墙本质:一种能够限制网络访问的设备或软件
•防火墙的类型和设计结构:
防火墙分类:包过滤防火墙,电路级网关防火,墙应用级网关防火墙。
防火墙设计结构:静态包过滤,动态包过滤,电路级网关
•OSI模型与防火墙类型的关系
防火墙工作于OSI模型的层次越高,能提供的安全保护等级就越高。
•网络地址转换NAT
NAT的优点:隐藏内部网络的拓扑结构,提升网络安全性,解决地址紧缺的问题。NAT的分类:
•根据NAT的实现方式对NAT进行分类:静态NAT,动态AT,端口地址转换动态NAT:可用的Internet IP地址限定在一个范围内。
静态NAT:在进行网络地址转换时,内部网络地址与外部的Internet IP
地址是一一对应的关系。
•根据数据流进行分类:源NAT,目标NAT
源NAT:当内部用户使用专用地址访问Internet时,必须将IP头部中的
数据源地址转换成合法的Internet地址。
目标NAT:必须将数据包中的目的地址转换成服务器的专用地址,使合法
的Internet IP地址与内部网络(防火墙后面)中服务器的专用地址相对
应。
NAT转换过程
在外部数据包进入内部网络之前,其目的地址字段应包含NAT路由器的外部地址。因此,对于所有输入数据包,NAT路由器必须采用最终目标主机的IP地址替换数据包的目的地址。
在内部数据包离开内部网络之前,其源地址字段应包含NAT路由器的外部地址
因此,对于所有输出的数据包,NAT路由器用其外部地址替换数据包的源地址。
NAT转换过程实例1:
对于输出数据包,NAT的工作很简单:NAT路由器只需用NAT的外部地址来替换数据包中的源地址(内部主机地址)
对于输入数据包,NAT如何知道该将数据包发给内网中的哪一台主机呢?
NAT路由器需要维护一个转换表,该表将内部主机的地址映射到外部目标主机的地址。
一旦某个内部主机发送一个数据包给外部主机,NAT路由器在此转换表中增加一个条目。
一旦从外部主机返回了一个响应,NAT路由器便查询转换表,决定将此响应数据包发给内网中的哪台主机。
NAT转换过程实例2:
如果有多个内部主机同时与外网的同一台主机通信,NAT路由器如何确定应该将响应包发给哪一台内部主机呢?——需要修改NAT转换表,添加几列新的参数。
•防火墙的体系结构
•双宿主主机体系结构
双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的,该计算机至少有两个网络接口,其中一些接口连接到一段网络,另一些接口连接另一网段,这样的主机可以充当与这些接口相连的网络之间的路由器,它能够从一个网络到另一个网络发送IP数据包。
•屏蔽主机体系结构
屏蔽主机体系结构如图所示,防火墙没有使用路由器,但能提供来自于多个网络相连的主机的服务,而屏蔽主机体系结构使用一个单独的路由器,提供来自仅仅与内部的网络相连的主机的服务。在这种体系结构中,主要的安全由数据包过滤提供。
在这种体系结构中,主要的安全由数据包过滤提供(例如,数据包过滤用于防止人们绕过代理服务器直接相连)。数据包过滤也允许堡垒主机开放可允许的连接(什么是可允许,将由用户站点的安全策略决定)到外部世界。
在屏蔽的路由器中,数据包过滤配置可以按下列之一执行:
•允许其他的内部主机为了某些服务与因特网上的主机连接,即允许那些已经由数据包过滤的服务。
•不允许来自内部主机的所有连接(强迫那些主机经由堡垒主机使用代理服务)。用户可以针对不同的服务混合使用这些手段,某些服务可以被允许直接经由数据包过滤,而其他服务可以被允许仅仅间接地经过代理。这完全取决于用户实行的安全策略。
•屏蔽子网体系结构
屏蔽子网体系结构(如图11-5所示)添加额外的安全层到屏蔽主机体系结构,即通过添加周边网络,更进一步地把内部网络和外部网络(通常是Internet)隔离开。下面将对上面提到的几个名词进行说明,具体如下。
1. 内部路由器
2. 外部路由器
3. 周边网络(DMZ)
•防火墙体系结构的组合形式