防火墙体系结构.
计算机网络防火墙的体系结构
1 双宿主主机防火墙结构 双宿主主机结构是围绕着至少具有两个网络接口的双宿主主机而构成的。
双宿主主机的内网与外网均可与双宿主主机间实现互通,然而它的内网与外
网间IP 数据流被双宿主主机完全切断, 内网与外网间是不能互通的。在使用 的时候, 用户可以选择直接登录双宿主机或者是在双宿主机上运行代理服务 器。若是用户自己登陆的话, 会在不经意间给入侵者提供了相对容易的入侵 途径; 若是选择后者的话, 先要通过服务器认证, 再通过代理服务器访问, 则相
对安全些。因为代理服务器它也能像应用程序一样回应输入封包,同时封锁
其他的封包,达到类似于和防火墙一样的效果。但我们也应该看到, 双宿主 主机防火墙拒绝所有的网络服务, 其中也含有DNS, 要使他运行必须要满足应
用网关有代理模块的网络服务才行。所以我们应该认识到, 双宿主主机防火
墙最大的弊端就是不具有灵活性, 但在一些领域它仍然被使用着。 2 主机过滤防火墙结构
石家庄造价培训
现在是信息时代, 互联网在飞速的发展,计算机的应用也越来越广泛, 对
计算机的安全性也越来越严格。我们都知道, 计算机上储存着大量的信息, 个 人的或是公司的等等。若是计算机存在着安全隐患, 这些重要的信息可能会
泄露出去, 可能会造成个人的财产损失, 公司机密的泄露, 或者是对国家安全
全隐患。
3 子网屏蔽防火墙结构 屏蔽子网是在内部网络和外部网络之间建立一个被隔离的子网,用两台
分组过滤路由器将内网与外网分开。这种配置的危险带仅包括堡垒主机、子
网主机及所有连接内网、外网和屏蔽子网的路由器。 在使用时, 若是侵入者想要破坏这种防火墙, 需要重新配置连接三个网的 路由器或者是侵入者先侵入堡垒主机,然后进入内网主机,再返回来破坏屏 蔽路由器。侵入者要想在能入侵成功的同时, 但又不被发现, 不能引起警报,
计算机网络应用 防火墙的体系结构
计算机网络应用防火墙的体系结构防火墙主要应用结构可以分为包过滤型结构、双宿网关结构、屏蔽主机结构和屏蔽子网结构。
1.包过滤型结构包过滤型结构是通过专用的包过滤路由器,或是安装了包过滤功能的普通路由器来实现的。
包过滤型结构对进出内部网络的所有信息进行分析,按照一定的安全策略对这些信息进行分析与限制,如图11-10所示。
图11-10 包过滤型结构包过滤型结构处理速度快、费用低且对用户透明,结构简单,便于管理。
但是,包过滤型结构对于包过滤的判断只限于数据包的头信息,并不涉及包的内容,所以它只能阻止部分IP欺骗的数据包。
另外,包过滤结构的日志功能有限,不能从日志中发现黑客的攻击记录,并且配置比较烦琐。
2.双宿网关结构连接了两个网络的多宿主机(具有多个网络连接的主机)称为双宿主机。
多宿主机是具有多个网络接口卡的主机,每个接口都可以和一个网络连接。
因为它能在不同的网络之间进行数据交换,因此也称为网关。
双宿网关结构是用一台装有两块网卡的主机作为防火墙,将外部网络与内部网络实现物理上的隔开,这台处于防火墙关键部位且运行应用级网关软件的计算机系统称为堡垒主机。
如图11-11所示,为双宿网关结构。
图11-11 双宿网关结构双宿网关的结构的安全性较高,但入侵者一旦得到了双宿网关的访问权,即可入侵内部网络。
所以在设置该应用级网关时应该注意以下几点:●在该应用级网关的硬件系统上运行安全可信任的安全操作系统。
●安全应用代理软件,保留DNS、FTP、SMTP等必要的服务,删除不必要的服务与应用软件。
●设计应用级网关的防攻击方法与被破坏后的应急方案。
3.屏蔽主机结构屏蔽主机结构将所有的外部主机强制与一个堡垒主机相连,从而不允许它们直接与内部网络的主机相连,如图11-12所示。
因此,屏蔽主机结构是由包过滤路由器和堡垒主机组成的。
屏蔽主机可以实现了网络层和应用层的安全,并且安全性较高。
但是堡垒主机一旦被绕过,则堡垒主机和其他内部网络的主机之间没有任何保护网络安全的措施,内网将暴露。
防火墙体系结构
1.针对小型,大型,特大型企业设计相应的防火墙体系结构,图和文字说明。
中小型用户,建议使用混合型防火墙。
混合型防火墙采用一种组合结构,它主要由内部防火墙、外部防火墙、堡垒主机和基站主机服务器四部分组成,组成如下图所示。
内、外防火墙在内部网和外部网之间构成一个安全子网,称为屏蔽子网,基站主机、堡垒主机、邮件服务器、打印服务器、Web服务器、数据库服务器等公用服务器布置在屏蔽子网中。
外部防火墙介于Internet与屏蔽子网之间,内部防火墙介于内部网与屏蔽子网之间。
公用服务器2.大型企业防火墙,建议用屏蔽子网防火墙,图如下。
这种方法是在Intranet和Internet之间建立一个被隔离的子网,用两个包过滤路由器将这一子网分别与Intranet和Internet分开。
两个路由器一个控制Intranet 数据流,另一个控制Internet数据流,Intranet和Internet均可访问屏蔽子网,但禁止它们穿过屏蔽子网通信。
可根据需要在屏蔽子网中安装堡垒主机,为内部网络和外部网络的互相访问提供代理服务,但是来自两网络的访问都必须通过两个包过滤路由器的检查。
对于向Internet公开的服务器,像WWW、FTP、Mail等Internet服务器也可安装在屏蔽子网内,这样无论是外部用户,还是内部用户都可访问。
这种结构的防火墙安全性能高,具有很强的抗攻击能力,但需要的设备多,造价高。
3.超大型企业,建议用双宿主机防火墙。
这种配置是用一台装有两个网络适配器的双宿主机做防火墙。
双宿主机用两个网络适配器分别连接两个网络,又称堡垒主机。
堡垒主机上运行着防火墙软件(通常是代理服务器),可以转发应用程序,提供服务等。
双宿主机网关有一个致命弱点,一旦入侵者侵入堡垒主机并使该主机只具有路由器功能,则任何网上用户均可以随便访问有保护的内部网络。
6.3防火墙的体系结构
1.安装防火墙管理器软件。 管理器软件一般安装在单独的管理主机上,管理主机通常位于管理中 心网络的网管主机上,管理中心为内部防火区的子集,同时管理主 机或管理中心与其他安全区域相比有更严格的访问安全策略。(详 见P155) 2.管理网络卫士防火墙 网络管理员可以通过多种方式管理网络卫士防火墙。管理港式包括本 地管理和远程管理,本地管理即通过Console口登录防火墙进行管理; 远程管理包括使用防火墙集中管理器,或通过Telnet及SSH等多种方 式登录防火墙进行配置管理. (1) 使用Console口登录防火墙。具体方法见P155-157 (2)使用防火墙集中管理器。具体方法见P157-158 3.防火墙的一些策略配置 (1)定义网络区域。(2)定义网络对象。(3)配置访问策略 (4)通信策略。
网络与用户的被保护的内部网络之间的附加网络。 如果侵袭着成功地侵入用户的防火墙的外层领域, 周边网络在侵袭着与用户的内部系统之间提供一 个附加的保护层。
(2)堡垒主机 在屏蔽子网体系结构中,用户把堡垒主机 连接到周边网,这台主机既是接收来自外界连接的主要 入口。对于出站服务可以按照如下任一方式进行。 在外部和内部的路由器上设置数据包过滤来允许内部的 客户端直接访问外部的服务器; 设置代理服务器在堡垒主机上允许来允许内部的客户端 间接地访问外部的服务器。用户也可以设置数据包过滤 来允许内部的客户端在堡垒主机上同代理服务器交谈。 反之亦然,但是禁止内部的客户端与外部之间直接通信。
6.3 防火墙的体系结构
1
双重宿主主机体系结构
2 3
屏蔽主机体系结构
基于代理型防火墙结构
4
屏蔽子网体系结构
6.3.1 双重宿主主机体系结构
基于双重宿主主机结构是最基本的防火墙系统结构。该 体系结构是围绕具有双重宿主的主机计算机而构筑的, 该计算机至少有两个网络接口。 这样的主机可以充当与这些接口相连的网络之间的路由 器,它能够从一个网络到另一个网络发送IP数据包,但 是,双重宿主主机防火墙体系结构禁止这种功能。 IP数据包从一个网络并不是直接发送到其他网络,经过 一个安全检查模块检查后,如果是合法的,则转发到另 一块网卡上,以实现网络的正常通信;如果不合法,则 阻止通信。这样,内外网络直接的IP数据流完全在双宿 主主机的控制之中。
7-4 防火墙的体系结构
3.屏蔽路由器上的操作 屏蔽路由器上数据包的过滤配置可以按下列之一执行。 (1)允许其他的内部主机与Internet上的主机连接,即允许已经由数据包过滤的服务。 (2)不允许来自内部主机的所有连接,强迫内部主机经由堡垒主机使用代理服务。 双宿主机体系结构优于屏蔽路由器体系结构。双宿主机体系结构的最大特点是网络层的通信 是被阻止的,两个网络间的通信依靠应用层代理服务来实现。双宿主机是隔开内部和外部网 络的唯一屏障,只能安装小的服务,并设置较低的权限,以免被攻击者控制后对内部网络造 成大的危害。此外,双宿主机的角色决定了其性能的重要性,也决定了外部用户对内部网络 的访问是否被影响。Interet防火墙 屏蔽路由器
内部网络
堡垒主机
2.双宿主机过滤操作 双宿主机是因特网上的主机连接到内部网络系统的桥梁(例如,传送进来的电子邮件),同 时仅有某些特定类型的连接被允许通过。任何外部系统试图访问内部系统或者服务,都必须 首先连接到这台双宿主机上。因此,双宿主机需要拥有高等级的安全。数据包过滤也允许双 宿主机开放可允许的连接到外部网络。具体的“可允许”动作将由用户站点的安全策略决定。
1.双宿主机(堡垒主机) 屏蔽主机体系结构中有一台特殊的主机,被称为堡垒主机。这台主机拥有两个不同的网络接 口,分别连接外部网络和需要被保护的内部网络,故称这台主机为双宿主机。双宿主机上运 行代理软件,提供与多个网络相连的主机服务(但是路由关闭,否则从一块网卡到另外一块 网卡的通信会绕过代理服务软件)。屏蔽主机体系结构使用一个单独的屏蔽路由器来提供与 内部网络相连主机(堡垒主机)的服务。在这种体系结构中,主要的安全措施有数据包过滤
项目7 防火墙技术
屏蔽路由器体系结构是最初的防火墙结构方案,并不是采用专用的防火墙设备部署的,而是 在原有的包过滤路由器上进行包过滤部署,又称为包过滤路由器体系结构,如图所示。 在屏蔽路由器防火墙结构中,内部网络的所有出入都必须通过包过滤路由器,路由器审核每 个数据包,依据过滤规则决定允许或拒绝数据包通过。
防火墙体系结构
防火墙体系结构防火墙有多种体系结构可以选择。
经常用到的防火墙包括包过滤防火墙、双重宿主主机防火墙、屏蔽主机防火墙、屏蔽子网防火墙等。
1.包过滤防火墙包过滤是防火墙最基本的构件。
它可以由厂家专门生产的路由器实现,也可以用主机来实现,所以这类防火墙往往就是一个屏蔽路由器。
屏蔽路由器作为内外连接的唯通道,要求所有的报文都必须在此通过检查。
路由器上可以装基于IP层的报文过滤软件,实现报文过滤功能。
许多路由器本身带有报文过滤配置选项,但一般比较简单。
图4.6所示为屏蔽路由器类型防火墙。
单纯由屏蔽路由器构成的防火墙的危险带包括路由器本身及路由器允许访问的主机。
它的缺点是一旦被攻陷后很难发现,而且不能识别不同的用户。
2.双重宿主主机防火墙双重宿主主机防火墙叫双宿网关防火墙。
这种配置是用一台装有两块网卡的堡垒主机做防火墙。
两块网卡各自与受保护网和外部网相连。
堡垒主机上运行着防火墙软件,可以转发应用程序,提供服务等。
图4.7所示为双重宿主主机类型防火墙。
双重宿主主机防火墙优于屏蔽路由器的地方是:堡垒主机的系统软件可用于维护系统日志、硬件复制日志或远程日志。
这对于日后的检查很有用,但不能帮助网络管理者确认内网中哪些主机可能已被黑客人侵。
/尼采手机双重宿主主机防火墙的一个致命弱点是:一旦人侵者侵人堡垒主机并使其只具有路由功能,则任何网上用户均可以随便访问内网。
3.屏蔽主机防火墙屏蔽主机防火墙既易于实现又很安全,因此应用广泛。
例如,一个分组过滤路由器连接外部网络,同时一个堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,并使这个堡垒主机成为从外部网络唯一可直接到达的主机,这确保了内部网络不受未被授权的外部用户的攻击。
图 4.8所示为屏蔽主机防火墙。
如果受保护网是一个虚拟扩展的本地网,即没有子网和路由器,那么内网的变化不影响堡垒主机和屏蔽路由器的配置。
危险的地方限制在堡垒主机和屏蔽路由器。
屏蔽主机防火墙的基本控制策略由安装在上面的软件决定。
防火墙的体系结构及原理
防火墙的体系结构及原理防火墙是构建网络安全体系的重要设备,它位于网络边缘,负责过滤、检测和阻止非法或有损害的网络流量进入或传出网络,同时允许合法的流量通过。
以下是防火墙的体系结构及原理的正式版说明:一、防火墙的体系结构1.边界设备边界设备是指放置在网络边缘的硬件设备,如路由器、交换机等。
它们负责网路流量的传输和转发,并起到连接内部网络和外部网络的桥梁作用。
2.过滤规则过滤规则是指防火墙根据网络流量的特征进行设置的规则。
它们决定了哪些流量可以通过防火墙,哪些需要被拦截或阻止。
过滤规则通常基于源地址、目标地址、协议、端口等参数进行设置。
3.安全策略安全策略是指防火墙的整体安全规划和管理策略。
它包括网络拓扑规划、身份认证、用户权限管理、访问控制等,以保障网络的安全性和合规性。
安全策略需要根据具体的网络环境和需求进行设计和实施。
二、防火墙的原理防火墙工作的原理主要包括数据过滤、状态检测和安全认证三个方面。
1.数据过滤数据过滤是指防火墙根据设定的过滤规则,对网络流量进行过滤和判断。
它分为包过滤和代理过滤两种方式。
-包过滤:防火墙会根据源地址、目标地址、协议和端口等信息过滤网络流量。
只有符合规则的数据包才能通过防火墙,不符合规则的数据包将被丢弃或阻止。
-代理过滤:在代理过滤中,防火墙会先完全接收数据包,然后解析、检测和过滤其中的有效信息。
只有符合规则的数据包才会被发送到目标主机,不符合规则的数据包将被丢弃或阻止。
2.状态检测状态检测是指防火墙根据网络会话的状态进行判断。
它可以检测网络会话的建立、维护和结束等过程,并根据设定的规则对会话进行处理。
-建立:防火墙会检测网络会话的建立请求,验证其合法性并记录相关信息。
-维护:防火墙会监控网络会话的状态,确保会话的持续和正常进行。
-结束:防火墙会检测网络会话的结束请求,关闭相关的会话连接并释放相关资源。
3.安全认证安全认证是指防火墙对网络流量进行身份验证和授权的过程。
防火墙介绍
防火墙介绍黎狸1.什么是防火墙?防火墙的功能?防火墙是一种用来加强网络之间访问控制的特殊网络互连设备,是一种非常有效的网络安全模型。
功能:(本质特征为隔离内外网络和对进出信息流实施访问控制)①网络安全的屏障;②过滤不安全服务;③阻断特定的网络攻击;④部署NAT机制;⑤提供了监视局域网安全和预警的方便端点。
2.理解防火墙的四种体系结构,掌握分组过滤路由器、双宿主机、屏蔽主机、屏蔽子网四种不同结构的原理。
①个人防火墙:在操作系统之上运行的软件,安装在个人PC上,为个人计算机提供简单的防火功能。
②软件防火墙:网络防火墙的软件防火墙具有比个人防火墙更强的控制功能和更高的性能。
支持Windows,Unix或者Linux系统。
③一般硬件防火墙:嵌入式主机,配件可定制,功能全,性能一般。
④纯硬件防火墙:采用专用芯片,高性能,非常高的并发连接数和吞吐量;⑥分布式防火墙:上述几种均为边界防火墙。
防火墙的体系结构:①分组过滤路由器②双宿主机③屏蔽主机④屏蔽子网3.理解和掌握数据包过滤、代理服务器、NAT、状态监测技术,并解释对应名词:数据包过滤、代理服务器、NAT、DMZ数据包过滤:工作在网络层,在网络的适当位置来对数据包实施有选择的通过的技术。
代理服务器:是运行于连接内部网络与外部网络的主机(堡垒主机)上的一种应用,是一种比较高级的防火墙技术。
状态检测技术:4.数据包过滤和状态检测区别和联系?这两种防火墙的主要区别是,状态监测系统维护一复个状态表,让这些系统跟踪通过防火墙的全部开放的连接。
而数据包过滤防火墙就没有这个功能。
当通讯到达时,这个系统把这个通讯与状态表进行比较,确定这个通讯是不是一个已经建立起来的通讯的一部分。
信息安全技术试题答案(全)
信息安全技术教程习题及答案信息安全试题(1/共3)一、单项选择题(每小题2分,共20分)1.信息安全的基本属性是___。
A.保密性B.完整性C. 可用性、可控性、可靠性D.A,B,C都是2.假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。
这种算法的密钥就是5,那么它属于___。
A. 对称加密技术B. 分组密码技术C. 公钥加密技术D. 单向函数密码技术3.密码学的目的是___。
A. 研究数据加密B. 研究数据解密C. 研究数据保密D.研究信息安全4.A方有一对密钥(K A公开,K A秘密),B方有一对密钥(K B公开,KB秘密),A方向B方发送数字签名M,对信息M加密为:M’= KB公开(K A秘密(M))。
B方收到密文的解密方案是___。
A.KB公开(KA秘密(M’))B. K A公开(K A公开(M’))C.K A公开(KB秘密(M’)) D. K B秘密(K A秘密(M’))5.数字签名要预先使用单向Hash函数进行处理的原因是___。
A. 多一道加密工序使密文更难破译B. 提高密文的计算速度C. 缩小签名密文的长度,加快数字签名和验证签名的运算速度D. 保证密文能正确还原成明文6.身份鉴别是安全服务中的重要一环,以下关于身份鉴别叙述不正确的是__。
A. 身份鉴别是授权控制的基础B.身份鉴别一般不用提供双向的认证C. 目前一般采用基于对称密钥加密或公开密钥加密的方法D.数字签名机制是实现身份鉴别的重要机制7.防火墙用于将Internet和内部网络隔离___。
A.是防止Internet火灾的硬件设施B.是网络安全和信息安全的软件和硬件设施C. 是保护线路不受破坏的软件和硬件设施D. 是起抗电磁干扰作用的硬件设施8.PKI支持的服务不包括___。
A.非对称密钥技术及证书管理B. 目录服务C.对称密钥的产生和分发D.访问控制服务9.设哈希函数H有128个可能的输出(即输出长度为128位),如果H的k个随机输入中至少有两个产生相同输出的概率大于0.5,则k约等于__。
防火墙体系结构
本章主题为防火墙体系结构,包括以下内容:◆防火墙的体系结构◆防火墙的分类◆防火墙的关键技术◆包过滤防火墙◆状态检测防火墙◆代理防火墙1.1 防火墙的体系结构和分类防火墙可以被设置成许多不同的结构,并提供不同级别的安全,而运行维护的费用也不同,各种组织机构应该根据不同的风险评估来确定采用不同的防火墙技术。
下面,将讨论一些典型的防火墙的体系结构和主要技术。
1.1.1 防火墙的体系结构按体系结构可以把防火墙分为屏蔽路由器型防火墙、双宿主机防火墙、屏蔽主机防火墙、屏蔽子网防火墙和一些防火墙结构的变体,下面着重介绍前四种体系结构。
1.屏蔽路由器屏蔽路由器是防火墙最基本的构件,对所接收的每个数据包做允许或拒绝的决定,它可以由厂家专门生产的路由器实现,也可以用主机来实现。
屏蔽路由器作为内外连接的唯一通道,将审查每个数据包以便确定其是否与某一条包过滤规则匹配。
在图中担当屏蔽路由器角色的就是原有路由器,在其中的防火墙包过滤配置中,可以根据数据包包头信息中的IP地址、UDP和TCP端口来过滤数据。
这种防火墙方案有个最大的缺点就是配置复杂,非专业人员很难正确、有效地配置。
如果采用这种措施,就需要对TCP/IP有很好的理解,并能够在路由器上正确地进行有关数据包过滤的设置。
如果不能够正确地进行配置,危险的数据包就有可能透过防火墙进入内部局域网。
如果这是唯一的安全设备,那么黑客们将非常容易地攻破系统,在局域网里为所欲为。
另外一点值得注意的就是采用这种措施,内部网络的IP地址并没有被隐藏起来,并且它不具备监测,跟踪和记录的功能。
纯由屏蔽路由器构成的防火墙,其危险区域包括路由器本身及路由器允许访问的主机。
它的缺点是路由器一旦被控制后很难发现,而且不能识别不同的用户。
2.双宿主机双宿主机,即有两个网络接口的计算机系统,其中一个接口连接内部网络,一个接口连接外部网络。
一个双宿主机是一种防火墙,这种防火墙的最大特点是IP层的通信是被阻止的,两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。
防火墙第四章
数据包进行检测,所以会出现一些漏洞。通常来说,配置了电路级 网关技术后向内的连接都是禁止的。所以,有时访问资源的空间和 范围是有限的。
上一页 返回
4.5
状态包检测(SPI)
状态包检测防火墙是最新一代的防火墙技术,一般称作第三代
防火墙。这类防火墙检查IP包的所有部分来判定是允许还是拒绝请 求,是目前最先进的网络层防火墙。状态包检测技术检查所有的OSI 层,因此它提供的安全程度远高于包过滤防火墙。
器将返回的数据转给客户机。
上一页 下一页 返回
4.3
应用级网关
4.3.3
应用级网关的优缺点
应用级网关的安全性高,其不足是要为每种应用提供专门的代
理服务程序。
应用级网关有较好的访问控制,是目前最安全的防火墙技术,
但实现困难,而且有的应用级网关缺乏“透明度”。在实际使用中,
用户在受信任的网络上通过防火墙访问Internet时,经常会发现存
在延迟并且必须进行多次登录(Login)才能访问Internet或 Intranet。
上一页 下一页 返回
4.3
应用级网关
应用级网关也存在一些不足之处,首先它会使访问速度变慢,
因为它不允许用户直接访问网络,而且应用级网关需要对每一个特 定的Internet服务安装相应的代理服务软件,用户不能使用未被服 务器支持的服务,对每一类服务要使用特殊的客户端软件,尤其是, 并非所有的Internet应用软件都可以使用代理服务器。
滤和动态包过滤。包过滤技术作为防火墙的应用有三类。
一是路由设备在完成路由选择和数据转发之外,同时进行包过
滤,这是目前较常用的方式。
二是在工作站上使用软件进行包过滤,这种方式价格较贵。
网络基础 防火墙的体系结构
网络基础防火墙的体系结构在防火墙与网络的配置上,有以下三种典型结构:双重宿主主机体系结构、屏蔽主机体系结构和屏蔽子网体系结构。
1.双重宿主主机体系结构双重宿主主机体系结构围绕双重宿主主机构筑。
双重宿主主机至少有两个网络接口。
这样的主机可以充当与这些接口相连的网络之间的路由器;它能够从一个网络到另外一个网络发送IP数据包。
然而双重宿主主机的防火墙体系结构禁止这种发送。
因此IP数据包并不是从一个网络(如外部网络)直接发送到另一个网络(如内部网络)。
外部网络能与双重宿主主机通信,内部网络也能与双重宿主主机通信。
但是外部网络与内部网络不能直接通信,它们之间的通信必须经过双重宿主主机的过滤和控制。
如图10-7所示,为双宿网关结构。
图10-7 双重宿主主机体系结构2.屏蔽主机体系结构双重宿主主机体系结构防火墙没有使用路由器。
而被屏蔽主机体系结构防火墙则使用一个路由器把内部网络和外部网络隔离开,如图10-8所示。
在这种体系结构中,主要的安全由数据包过滤提供(例如,数据包过滤用于防止人们绕过代理服务器直接相连)。
图10-8 屏蔽主机结构这种体系结构涉及到堡垒主机。
堡垒主机是因特网上的主机能连接到的唯一的内部网络上的系统。
任何外部的系统要访问内部的系统或服务都必须先连接到这台主机。
因此堡垒主机要保持更高等级的主机安全。
数据包过滤容许堡垒主机开放可允许的连接(什么是"可允许连接"将由你的站点的特殊的安全策略决定)到外部世界。
在屏蔽的路由器中数据包过滤配置可以按下列方案之一执行:允许其它的内部主机为了某些服务开放到Internet上的主机连接(允许那些经由数据包过滤的服务)不允许来自内部主机的所有连接(强迫那些主机经由堡垒主机使用代理服务)。
3.子网体系结构被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步的把内部网络和外部网络(通常是Internet)隔离开。
被屏蔽子网体系结构的最简单的形式为,两个屏蔽路由器,每一个都连接到周边网。
防火墙体系结构
防火墙体系结构
1.4 屏蔽主机结构
屏蔽主机结构的防火墙是由一台过滤路由 器和一台堡垒主机组成的。
防火墙体系结构
屏蔽主机结构的优点是:可配置过滤 路由器允许外部网络的某些通信直接传到内 部网络的特定主机上而不是堡垒主机,这样 使配置更有灵活性;简化了包过滤器的规则, 因为只有少数(或者没有)的通信是不直接 传到堡垒主机的。缺点是:堡垒主机与内部 网络其它主机之间没有任何安全保护,一旦 堡垒主机被攻破,内部网络将完全暴露。
缺点是:它要求的设备和软件模块较多,成 本较高,维护困难。
堡垒主机有3种类型: (1)单宿主堡垒主机;(2) 双宿主堡垒主机(3) 受
害堡垒主机 。
防火墙体系结构
(2)DMZ
DMZ(Demilitarized Zone,非军事区或隔离 区)指为不信任系统服务的孤立网段。DMZ的产生 来源于按照不同功能或者部门将网络分割成多个网 段的这一重要网络设计思想。根据各个网段不同的 安全需求实施不同的保护策略。把内部网络中需要 向外提供服务的服务器集中放置到一个单独的网段, 与内部网络隔离开,这个网段就是DMZ。 DMZ 通常是一个过滤的子网,在内、外网络之间构造了 一个缓冲地带,其间通常包括堡垒主机、提供各种 服务的服务器和Modem池。它解决了需要公开的服 务与内部网络安全策略相矛盾的问题。
防火墙体系结构
1.3 双宿主主机结构
双宿主主机结构是在外部网络和内部网络之 间放置一台双宿主堡垒主机作为防火墙。
防火墙体系结构
双宿主主机结构的优点是:有日志功能,对 于日后的检查很有用;内、外网络被堡垒主机完 全隔离开来,能较好的保护内部网络;堡垒主机 可以用来进行用户识别认证;内部网络的IP地址 对外部网络来说是不可见的。缺点是:一旦攻击 者侵入堡垒主机并使其具有路由功能,则任何外 部网络用户都可以随便访问内部网络;维护成本 较高。
防火墙体系结构PPT课件
基于路由器的防火墙
防火墙的发展历程
• 在路由器中通过ACL规则来实现对数据包的控制; • 过滤判断依据:地址、端口号、协议号等特征
防火墙工具套
• 软件防火墙的初级形式,具有审计和告警功能 • 对数据包的访问控制过滤通过专门的软件实现 • 与第一代防火墙相比,安全性提高了,价格降低了
基于通用操作 系统的防火墙
Page ▪ 20
双宿主机体系结构
▪ 实现功能: ▪ 接受用户登陆 ▪ 提供代理服务 ▪ 为了安全性应注意的几点: ▪ 禁止网络层的路由功能 ▪ 增设专门用作配置的网络接口 ▪ 尽量减少不必要的服务
Page ▪ 21
一个堡垒主机和一个非军事区
Internet
外部路由器
Page ▪ 22
堡垒主机
两个堡垒主机和两个非军事区
屏蔽子网体系结构
Page ▪ 17
▪ 周边网络:也称”停火区“或”非军事区“DMZ,使用两个包过滤路由器和 一个堡垒主机构成。
▪ 内部路由器执行大部分的过滤工作 ▪ 外部路由器主要保护周边网络上主机的安全,将数据包路由到堡垒主机,
还可以防止部分ip欺骗。
Page ▪ 18
屏蔽子网体系结构
▪ 被屏蔽子网 (Screened Subnet):
▪ 一般应用在安全要求不太高的小型网络中
Page ▪ 5
屏蔽主机体系结构
实现网络层和应用层安全
防火墙第一道防线,连接 内网和外网; 堡垒主机第二道防线, 过滤服务
Page ▪ 6
屏蔽主机体系结构
▪ 被屏蔽主机(Screened Host Gateway):
– 通常在路由器上设立ACL过滤规则,并通过堡垒主机进行数据转发,来确保内部网络的安全。 – 弱点:如果攻击者进入屏蔽主机内,内网中的主机就会受到很大威胁;这与双宿主主机受攻击
防火墙的体系结构
1.3 屏蔽子网结构
1.3 屏蔽子网结构
❖ 屏蔽子网防火墙体系结构添加额外的安全层到主机屏蔽体 系结构,即通过添加周边网络更进一步地把内部网络与外 网隔离。
❖ 屏蔽子网体系结构的最简单的形式为使用两个屏蔽路由器, 这两个路由器分别位于堡垒主机的两端,一端连接内网, 一端连接外网。为了入侵这种类型的体系结构,入侵者必 须穿透两个屏蔽路由器。即使入侵者控制了堡垒主机,他 仍然需要通过内网端的屏蔽路由器才能到达内网。
ቤተ መጻሕፍቲ ባይዱ
1.4 组合结构
❖ 在构造防火墙体系时,一般很少使用单一的技术,通常都是使用多种解决方 案的组合。这种组合主要取决于网管中心向用户提供什么服务以及网管中心 能接受什么等级的风险。还要看投资经费、技术人员的水平和时间等。一般 包括下面几种形式:
❖ (1)使用多个堡垒主机。 ❖ (2)合并内部路由器和外部路由器。 ❖ (3)合并堡垒主机和外部路由器。 ❖ (4)合并堡垒主机和内部路由器。 ❖ (5)使用多个内部路由器。 ❖ (6)使用多个外部路由器。 ❖ (7)使用多个周边网络。 ❖ (8)使用双重宿主主机与屏蔽子网。
1.2 屏蔽主机结构
1.屏蔽路由器
1.2 屏蔽主机结构
❖ 屏蔽主机结构的防火墙比双重宿主主机防火墙更安全。屏蔽主 机防火墙体系结构是在防火墙的外面增加了屏蔽路由器。
❖ 蔽路由器是屏蔽主机结构防火墙的有机组成部分,是保护堡垒 主机或服务主机以及内部网络的第一道防线。
❖ 屏蔽路由器一般遵循如下规则进行数据过滤: ❖ ❖ ❖
1.1 双重宿主主机结构
❖ 在双重宿主主机结构中,与外部网络直接相连的主机需要 承担堡垒主机的角色。它作为一种被强化的可防御进攻的 计算机,提供进入内部网络的一个检查点,以达到对整个 网络的安全问题集中解决的目的。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
用户账号策略
口令最小长度 口令最长有效期 口令历史 口令存储方式 用户账号锁定方式
– 在若干次口令错误之后
2018/9/24
用户权限策略
备份文件权限 远程/本地登录访问权限 远程/本地关机权限 更改系统时间权限 管理日志权限 删除/还原文件权限 设置信任关系权限 卷管理权限 安装/卸载设备驱动程序权限
4.2.1 防火墙体系结构
基于网络防火墙的部件类型
屏蔽路由器(Screening router)
实施分组过滤 能够阻断网络与某一台主机的IP层的通信
堡垒主机(Bastion host)
一个网络系统中安全性最强的计算机系统 安全性受到最严密的监视 没有保护的信息 不能作为跳板 实施分组代理
2018/9/24
网络防火墙体系结构
双重宿主机体系结构
– 基于堡垒主机
屏蔽主机体系结构
– 基于堡垒主机和屏蔽路由器
被屏蔽子网体系结构
– 双重屏蔽路由器
2018/9/24
双重宿主主机(dual-homed host)
连接因特网和局域网
过滤和代理
服务器 服务器 双重宿主 计算机 因特网
2018/9/24
解
某一个具有B类网络123.45的公司的网络管理员希望阻止来自因特 网上的访问(123.45/16)。该网络中有一个特殊子网(123.45.6.0/24) 是一个与某大学合作的,该大学的网址是135.79。他希望这个特 殊的子网能够被该大学的所有子网访问。此外还希望阻止公司 的网络被大学中某一个特殊子网(135.79.99.0/24)访问。试设计制 订过滤规则。
2018/9/24
审计策略
成功或者不成功的登录事件 成功或者不成功的对象访问 成功或者不成功的目录服务访问 成功或者不成功的特权使用 成功或者不成功的系统事件 成功或者不成功的账户管理事件
2018/9/24
4.2.3 防火墙技术
分组过滤技术 依据
– IP分组的源地址和目的地址 – 源端口号和目的端口号 – 传送协议
服务器
服务器
包过滤器
包过滤器 因特网
工作站工作站Fra bibliotek工作站
应用代理 服务器
DMZ
2018/9/24
4.2.2 防火墙的安全策略
安全策略的两个层次
– – 网络服务访问策略 防火墙设计策略
设计策略
1. 2. 3. 4. 5. 6. 7.
2018/9/24
用户账号策略 用户权限策略 信任关系策略 分组过滤策略 认证、签名和数据加密策略 密钥管理策略 审计策略
2018/9/24
解
规则 A B C D E F G H I J K L M 方向 出 入 出 入 出 入 入 出 出 入 入 出 双向 协议 TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP 任意 源地址 116.111.4.0 202.108.5.6 116.111.4.0 任意 116.111.4.1 任意 任意 116.111.4.1 116.111.4.0 任意 98.120.7.0 116.111.4.5 任意 目的地址 202.108.5.6 116.111.4.0 任意 116.111.4.0 任意 116.111.4.1 116.111.4.1 任意 任意 116.111.4.0 116.111.4.5 98.120.7.0 任意 源端口 >1023 23 >1023 23 >1023 25 >1023 25 >1023 80 >1023 80 任意 目的端口 23 >1023 23 >1023 25 >1023 25 >1023 80 >1023 80 >1023 任意 动作 拒绝 拒绝 允许 允许 允许 允许 允许 允许 允许 允许 允许 允许 拒绝
23:telnet 25:SMTP
2018/9/24
80: web >1023: 非系统进程
地址过滤配置实例
优点
– 可以实现粗颗粒的网络安全策略 – 容易实现 – 配置成本低 – 速度快
局限性 –配置分组过滤规则比较困难
– 不能识别分组中的用户信息 – 不能抵御IP地址欺骗
2018/9/24
例4-1
某一个具有B类网络123.45的公司的网络管理 员希望阻止来自因特网上的访问(123.45/16)。 该网络中有一个特殊子网(123.45.6.0/24)是一 个与某大学合作的,该大学的网址是135.79。 他希望这个特殊的子网能够被该大学的所有 子网访问。此外还希望阻止公司的网络被大 学中某一个特殊子网(135.79.99.0/24)访问。试 设计制订过滤规则。
工作站
工作站
工作站
2018/9/24
屏蔽主机(Screened Host)
用包过滤和应用代理的双重安全保护 包过滤器连接因特网 代理服务器为局域网上的客户机提供服务
服务器
服务器
包过滤器 因特网
工作站
工作站
应用代理网关
2018/9/24
屏蔽子网(Screened Subnet)
添加额外的安全层进一步地把内部网络 与Internet隔离开
制订过滤规则如下
规则 A B C 源地址 135.79.99.0/24 135.79.0.0/16 0.0.0.0/0 目标地址 123.45.6.0/24 123.45.6.0/24 0.0.0.0/0 动作 拒绝 允许 拒绝
2018/9/24
例4-2
处于一个C类网络116.111.4.0的防火墙,第一,希望 阻止网络中的用户访问主机202.108.5.6;假设需要阻 止这个主机的Telnet服务,对于Internet的其他站点, 允许网络内部用户通过Telnet方式访问,但不允许网 络外部其他站点以Telnet方式访问网络。第二,为了 收发电子邮件,允许SMTP出站入站服务,邮件服务 器的IP地址为116.111.4.1。第三,对于WWW服务, 允许内部网用户访问Internet上任何网络和站点,但只 允许一个公司的网络98.120.7.0访问内部WWW服务器, 内部WWW服务器的IP地址是116.111.4.5。试根据以 上要求设计过滤规则。