第5章防火墙技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙的发展简史
• 第一代防火墙:采用了包过滤(Packet Filter) 技术。
• 第二、三代防火墙:1989年,推出了电路层防 火墙,和应用层防火墙的初步结构。
• 第四代防火墙:1992年,开发出了基于动态包 过滤技术的第四代防火墙。
• 第五代防火墙:1998年,NAI公司推出了一种 自适应代理技术,可以称之为第五代防火墙。
第5章防火墙技术
包过滤路由器常见的攻击有以下几种。 (1)源IP地址欺骗式攻击。 (2)源路由攻击。 (3)极小数据段式攻击。
第5章防火墙技术
3.2 多宿主主机(多宿主网关)防火墙 多宿主主机拥有多个网络接口,每一个
接口都连在物理上和逻辑上都分离的不同的 网段上。每个不同的网络接口分别连接不同 的子网,不同子网之间的相互访问实施不同 的访问控制策略。
第5章防火墙技术
包过滤技术的优点 ① 帮助保护整个网络,减少暴露的风险; ② 对用户完全透明,不需要对客户端做任何改
动,也不需要对用户做任何培训; ③ 很多路由器可以作数据包过滤,因此不需要
专门添加设备。
第5章防火墙技术
包过滤最明显的缺陷是即使是最基本的网络 服务和协议,它也不能提供足够的安全保护,包 过滤是不够安全的。
第5章防火墙技术
图 11 堡垒主机转发数据包 第5章防火墙技术
3.4 屏蔽子网型防火墙
图 12 被屏蔽子网防火墙系统(DMZ) 第5章防火墙技术
3.5 堡垒主机 堡垒主机是一种被强化的可以防御进攻的计算
机,是高度暴露于Internet中的,也是网络中最容易 受到侵害的主机。
构筑堡垒主机的基本原则有以下两条。 (1)使堡垒主机尽可能简单 (2)做好备份工作以防堡垒主机受损
第5章防火墙技术
图 8 运行代理服务器的双宿主机
使用双宿主主机作为防火墙,防火墙本身 的安全性至关重要。
第5章防火墙技术
3.3 屏蔽主机型防火墙 屏蔽主机型防火墙由堡垒主机和包过滤路由
器组成,所有的外部主机与一个堡垒主机相连接 而不让它们与内部主机直接相连。
第5章防火墙技术
图 10 被屏蔽主机结构
包过滤型防火墙具有以下优点。
(1)处理包的速度比代理服务器快,过滤路 由器为用户提供了一种透明的服务,用户不用改 变客户端程序或改变自己的行为。
(2)实现包过滤几乎不再需要费用(或极少 的费用),因为这些特点都包含在标准的路由器 软件中。
(3)包过滤路由器对用户和应用来讲是透明 的。
第5章防火墙技术
包过滤型防火墙存在以下的缺点。
(1)防火墙的维护比较困难,定义数据包过滤器 会比较复杂,因为网络管理员需要对各种Internet 服务、包头格式以及每个域的意义有非常深入的理 解,才能将过滤规则集尽量定义得完善。
(2)只能阻止一种类型的IP欺骗,即外部主机伪 装内部主机的IP,对于外部主机伪装其他可信任的 外部主机的IP却不可阻止。
第5章防火墙技术
图 6 双宿主机防火墙
第5章防火墙技术
双宿主主机防火墙采用主机取代路由器执 行安全控制功能,故类似于包过滤防火墙, 双宿主主机可以在内部网络和外部网络之间 进行寻径。
双宿主主机防火墙的最大特点是IP层的通 信被阻止,两个网络之间的通信可通过应用 层数据共享或应用层代理服务来完成,而不 能直接通信。
的攻击。 • 防火墙也不能完全防止传送已感染病毒的软
件或文件。 • 防火墙无法防范数据驱动型的攻击。 • 不能防备新的网络安全问题。
第5章防火墙技术
2 防火墙技术发展动态和趋势
• (1)优良的性能 • (2)可扩展的结构和功能 • (3)简化的安装与管理 • (4)主动过滤 • (5)防病毒与防黑客
第5章防火墙技术
图 2 防火墙技术的简单发展历史
第5章防火墙技术
设置防火墙的目的和功能 • (1)防火墙是网络安全的屏障 • (2)防火墙可以强化网络安全策略 • (3)对网络存取和访问进行监控审计 • (4)防止内部信息的外泄
第5章防火墙技术
防火墙的局限性
• 限制有用的网络服务。 • 无法防护内部网用户的攻击。 • 防火墙无法防范通过防火墙以外的其他途径
第5章防火墙技术
1.堡垒主机的主要结构
当前堡垒主机主要采用以下3种结构。 (1)无路由双宿主主机 (2)牺牲主机 (3)内部堡垒主机
第5章防火墙技术
4 防火墙的主要技术
4.1 数据包过滤技术 数据包过滤技术是在网络中的适当位置对数据
包实施有选择的通过的技术。
第5章防火墙技术
图 18 包过滤模型 第5章防火墙技术
防火墙技术
第5章防火墙技术
1 防火墙的定义
•
防火墙是设置在被保护网络和外部网络之
间的一道屏障,实现网络的安全保护,以防止
发生不可预测的、潜在破坏性的侵入。防火墙
本身具有较强的抗攻击能力,它是提供信息安
全服务、实现网络和信息安全的基础设施。图
1为防火墙示意图。
第5章防火墙技术
图 1 防火墙示意图
第5章防火墙技术
包过滤一般要检查下面几项: (1)IP源地址; (2)IP目的地址; (3)协议类型(TCP包、UDP包和ICMP包); (4)TCP或UDP的源端口; (5)TCP或UDP的目的端口; (6)ICMP消息类型; (7)TCP报头中的ACK位。
另外,TCP的序列号、确认号,IP校验以及分段 偏移也往往是要检查的选项。
(3)任何直接经过路由器的数据包都有被用做数 据驱动攻击的潜在危险。
第5章防火墙技术
(4)一些包过滤网关不支持有效的用户认证。 (5)不可能提供有用的日志,或根本就不提供, 这使用户发觉网络受攻击的难度加大,也就谈不 上根据日志来进行网络的优化、完善以及追查责 任。 (6)随着过滤器数目的增加,路由器的吞吐量 会下降。 (7)IP包过滤器无法对网络上流动的信息提供 全面的控制。 (8)允许外部网络直接连接到内部网络的主机 上,易造成敏感数据的泄漏。
第5章防火墙技术
3 防火墙的体系结构
防火墙按体系结构可以分为包过滤防火墙、屏 蔽主机防火墙、屏蔽子网防火墙、多宿主主机防火 墙和通过混合组合而衍生的其他结构的防火墙。 3.1 包过滤型防火墙
包过滤型防火墙的核心技术就是安全策略设计 即包过滤算法的设计。
第5章防火墙技术Leabharlann Baidu
图 5 包过滤型防火墙
第5章防火墙技术