第五章防火墙技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2018/11/5
电子科技大学成都学院
6
5.2 防火墙技术
? 常见的防火墙技术有三种:
? 1、包(分组)过滤技术 ? 2、代理技术 ? 3、状态检测技术
2018/11/5
电子科技大学成都学院
7
? 1.包(分组)过滤技术
?包过滤技术 指在网络中适当的位置对数据包 有选择的通过,选择的依据是系统内设置的 过滤规则,只有满足过滤规则的数据包才被 转发到相应的网络接口,其余数据包则从数 据流中删除。
? 只能允许经过本地安全策略授权的通信信息 通过;
? 防火墙本身不能影响网络信息的流通。
2018/11/5
电子科技大学成都学院
4
? 防火墙的功能 主要表现在如下四个方面:
? (1)防火墙是网络安全的屏障 ? (2)防火墙可以强化网络安全策略 ? (3)对网络存取和访问进行监控审计 ? (4)防止内部信息的外泄 ? 由于防火墙所处的优越位置,在实际应用中往往加
? (2)指定中转路由器的数据包。这类数据包很可能是 为绕过防火墙而设计的数据包。
? (3)有效载荷很小的数据包。这类数据包很可能是为 抵御过滤规则而设计的数据包,其目的是将TCP包首 部分封装成两个或多个IP包送出,比如将起始端口和 目标端口分别放在两个不同的TCP包中,使防火墙的 过滤规则对这类数据包失效,这种方法称为TCP碎片 攻击。
2018/11/5
电子科技大学成都学院
13
? 优点
? 包过滤防火墙的优点在于处理效率上,安全性体现 在根据过滤规则对TCP、UDP数据包进行检测。
? 缺点
? 制定包过滤路由器的安全规则非常复杂,且不易配 置和维护,有时为了允许正常情况下被阻塞的访问 服务而需要制定规则的例外情形,这使得过滤规则 复杂到难以管理的地步。
2018/11/5
电子科技大学成都学院
12
? 除了阻止从外部网送来的恶意数据包外,过滤规则还 应阻止某些类型的内部网数据包进入外部网,特别是 用于建立局域网和提供内部网通信服务的各种协议数 据包,包括:
? 启动程序协议(Bootp) ? 动态主机配置协议(DHCP) ? 简易文件传输协议(TFTP) ? 微软网络基本输入输出系统(NetBIOS) ? 公共互联网文件系统(CIFS) ? 远程行式打印机(LPR) ? 网络文件系统(NFS)
查找对应的 控制策略
根据策略决定如 何处理该数据包
拆开数据包
数据包
数据包
安全网域 Host C Host D
数 据 包 数据包
IP报头 TCP报头 分组过滤判断信息
数据
过滤依据主要是TCP/IP报头里面的 信息,不能对应用层数据进行处理
2018/11/5
电子科技大学成都学院
10
? 包过滤设备(不管是路由器还是防火墙)配置有一系列的 数据包过滤规则,定义了什么包可以通过防火墙,wk.baidu.com 么包必须丢弃,这些规则常称为数据包过滤访问扩展 列表(ACL)。
网络安全与病毒防范 第五章 防火墙技术
? 5.1 防火墙的基本概念 ? 5.2 防火墙的主要技术 ? 5.3 防火墙的体系结构 ? 5.4 防火墙的局限性及发展
2018/11/5
电子科技大学成都学院
2
5.1 防火墙的基本概念
? 防火墙是一种高级访问控制设备,是在被保护 网和外网之间执行访问控制策略的一种或一系 列部件的组合,是不同网络安全域间通信流的 通道,能根据企业有关安全策略控制进出网络 的访问行为。
? 包过滤防火墙不能很好的处理动态端口连接的情况。不能 根据每一连接的情况,开放实际使用的端口。
2018/11/5
电子科技大学成都学院
14
? 例1:包过滤防火墙不能很好的处理动态端口 连接的情况。不能根据每一连接的情况,开放 实际使用的端口。
? 例2:包过滤防火墙对于 TCP ACK 隐蔽扫描无 能为力 。
? 过滤依据特性:
? IP源地址 ? IP目标地址 ? 协议类型(TCP包、UDP包和ICMP包) ? TCP或UDP包的目的端口 ? TCP或UDP包的源端口 ? ICMP消息类型 ? TCP包头的ACK位 ? TCP包的序列号、IP校验和等
2018/11/5
电子科技大学成都学院
9
控制策略
分组过滤原理
? 包过滤防火墙一般位于内部网络和外部网络 的边界上,是内外网络通信的唯一出入点, 所有进出内部网络的流量首先都要经过包过 滤防火墙的审查。
2018/11/5
电子科技大学成都学院
8
? 包过滤防火墙作用在网络层和传输层,它根据通过防 火墙的每个数据包的首部信息确定是否允许数据包通 过。只有满足过滤逻辑的数据包才被转发到相应的目 的地出口端,其余数据包则被从数据流中丢弃。
? 防火墙是设置在可信网络 (Trusted Network) 和 不可信任的外界之间的一道屏障,可以实施比 较广泛的安全策略来控制信息流进入可信网络, 防止不可预料的潜在的入侵破坏;另一方面能 够限制可信网络中的用户对外部网络的非授权 访问。
2018/11/5
电子科技大学成都学院
3
? 防火墙都必须具有以下三种基本性质: ? 进出网络的双向通信信息必须通过防火墙;
入其他功能,如NAT (网络地址转换)、路由管理、 VPN等。
2018/11/5
电子科技大学成都学院
5
? 从总体上来看,防火墙应具有以下五个基本功 能:
? 过滤进、出网络的数据; ? 管理进、出网络的访问行为; ? 封堵某些禁止的业务; ? 记录通过防火墙的信息内容和活动; ? 对网络攻击进行检测和告警。
? 各个厂商的防火墙产品都有自己的语法用于创建规则。 一些常用的包过滤规则使用与厂商无关但可理解的定 义语言,如表5-1所示。
2018/11/5
电子科技大学成都学院
11
? 一般地,应该阻止如下几种 IP包进入内部网:
? (1)源地址是内部地址的外来数据包。这类数据包很 可能是为实行IP地址诈骗攻击而设计的,其目的是装 扮成内部主机混过防火墙的检查进入内部网。
2018/11/5
电子科技大学成都学院
15
? 2.状态包过滤技术
? 状态包过滤(Stateful Packet Filter)是一种基于连接的 状态检测机制,将属于同一连接的所有包作为一个整 体的数据流看待,对接收到的数据包进行分析,判断 其是否属于当前合法连接,从而进行动态的过滤。