第5讲 防火墙与入侵检测.ppt
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
采用包过滤防火墙不要求运行的应用程序做 任何改动或安装任何特定的软件,也不需要 对用户进行特殊培训。
包过滤防火墙缺点
包过滤防火墙允许被保护网络的多台主机与外部网络比如 Internet网络的多台主机进行直接通信,其危险性分布在被保 护网络的全部主机以及允许访问的各种服务类型上。随着服务 的增多,网络的危险性将急剧增加。
第一条规则:主机10.1.1.1任何端口访问任何主机的任何 端口,基于TCP协议的数据包都允许通过。
第二条规则:任何主机的20端口访问主机10.1.1.1的任何 端口,基于TCP协议的数据包允许通过。
第三条规则:任何主机的20端口访问主机10.1.1.1小于 1024的端口,如果基于TCP协议的数据包都禁止通过。
拆开数据包 防火墙
数据包服务器ຫໍສະໝຸດ 常见防火墙系统模型包过滤防火墙模型 单宿主堡垒主机(屏蔽主机防火墙)模型 双宿主堡垒主机模型(屏蔽防火墙系统模型) 屏蔽子网模型
包过滤防火墙模型
包过滤防火墙模型是网络的第一道防线,功能是实施包 过滤。
创建相应的过滤策略时对工作人员的TCP/IP的知识有 相当的要求,如果筛选路由器被黑客攻破那么内部网络 将变的十分的危险。该防火墙不能够隐藏你的内部网络 的信息、不具备监视和日志记录功能。
Internet已经成为信息化社会发展的重要保证。已深入到国家 的政治、军事、经济、文教等诸多领域。许多重要的政府宏观 调控决策、商业经济信息、银行资金转帐、股票证券、能源资 源数据、科研数据等重要信息都通过网络存贮、传输和处理。
因此,难免会遭遇各种主动或被动的攻击。例如信息泄漏、信 息窃取、数据篡改、数据删除和计算机病毒等。因此,网络安 全已经成为迫在眉睫的重要问题,没有网络安全就没有社会信 息化
网络防火墙结构
安全区域
服务器
工作站 台式PC 打印机
服务器
安全区域
服务器
工作站 台式PC 打印机
服务器
防火墙 Internet网络
防火墙的功能
根据不同的需要,防火墙的功能有比较大差异,但是一般都包含以下 三种基本功能。
可以限制未授权的用户进入内部网络,过滤掉不安全的服务和 非法用户
防止入侵者接近网络防御设施 限制内部用户访问特殊站点
由于防火墙假设了网络边界和服务,因此适合于相对独立的网络,例 如Intranet等种类相对集中的网络。Internet上的Web网站中,超过 三分之一的站点都是有某种防火墙保护的,任何关键性的服务器,都 应该放在防火墙之后。
防火墙的必要性
随着世界各国信息基础设施的逐渐形成,国与国之间变得“近 在咫尺”。
组序号 1 2 3
动作 允许 允许 禁止
源IP 10.1.1.1 * *
目的IP * 10.1.1.1 10.1.1.1
源端口 * 20 20
目的端口 * * <1024
协议类型 TCP TCP TCP
应用代理防火墙
应用代理(Application Proxy)是运行在防火墙上的一种服 务器程序,防火墙主机可以是一个具有两个网络接口的双重 宿主主机,也可以是一个堡垒主机。
防火墙的分类
分组过滤防火墙
分组过滤(Packet Filtering):作用在协议组的网络层和 传输层,根据分组包头源地址、目的地址和端口号、协议类 型等标志确定是否允许数据包通过,只有满足过滤逻辑的数 据包才被转发到相应的目的地的出口端,其余的数据包则从 数据流中丢弃。
应用代理防火墙
应用代理(Application Proxy):也叫应用网关 (Application Gateway),它作用在应用层,其特点是完 全“阻隔”网络通信流,通过对每种应用服务编制专门的代 理程序,实现监视和控制应用层通信流的作用。实际中的应 用网关通常由专用工作站实现。
内部网络的所有出入都必须通过过滤路由器,路由器审 查每个数据包,根据过滤规则决定允许或拒绝流动的数 据
典型的包过滤防火墙模型如图
内部网络
进行包过滤 路由器
外部网络
包过滤防火墙的优点
容易实现
如果在内部网络与外界之间已有一台路由器, 那么只需简单地加一个包过滤软件进去,就可 以实现网络保护。事实上,现在标准的路由器 软件中都包含有包过滤功能。
代理服务器被放置在内部服务器和外部服务器之间,用于转 接内外主机之间的通信,它可以根据安全策略来决定是否为 用户进行代理服务。
代理服务器运行在应用层,因此又被称为“应用网关”。
安全区域
服务器
工作站 台式PC 打印机
服务器
数据包
IP报头 TCP报头
数据
分组过滤判断 应用代理分析数据
控制策略
查找对应的策略
过滤路由器很少或没有日志记录能力,当网络被击破时,几乎 无法保留攻击者的踪迹,所以网络管理员很难确认系统是否正 在被人侵或已经被人侵了。
防火墙的局限性
防火墙不能防范网络内部的攻击 如防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软 盘上。
防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑 客们劝说没有防范心理的用户公开其口令,并授予其临时 的网络访问权限。
防火墙不能防止传送己感染病毒的软件或文件,不能期望 防火墙去对每一个文件进行扫描,查出潜在的病毒。
第5讲 防火墙与入侵检测
主要内容
防火墙
防火墙的基本概念 常见防火墙类型 如何使用规则集实现防火墙。
入侵检测技术
入侵检测系统的基本概念 入侵检测的常用方法
防火墙的定义
防火墙的本义原是指古代人们房屋之间修建的墙,这道墙可以 防止火灾发生的时候蔓延到别的房屋
防火墙的定义
网络安全中的防火墙不是指为了防火而造的墙,而是指隔离在本地网 络与外界网络之间的一道防御系统。 在互联网上,防火墙是一种非常有效的网络安全系统,通过它可以隔 离风险区域(Internet或有一定风险的网络)与安全区域(局域网) 的连接,同时不会妨碍安全区域对风险区域的访问,
分组过滤防火墙
数据包过滤可以在网络层截获数据。使用一些规则来确 定是否转发或丢弃数据包。
通常情况下,如果规则中没有明确允许指定数据包的出 入,那么数据包将被丢弃
安全区域
服务器
工作站 台式PC 打印机
服务器
数据包
IP报头 TCP报头 分组过滤判断
数据
控制策略
查找对应的策略
防火墙
数据包
服务器
一个可靠的分组过滤防火墙依赖于规则集,下表列出了几 条典型的规则集。
包过滤防火墙缺点
包过滤防火墙允许被保护网络的多台主机与外部网络比如 Internet网络的多台主机进行直接通信,其危险性分布在被保 护网络的全部主机以及允许访问的各种服务类型上。随着服务 的增多,网络的危险性将急剧增加。
第一条规则:主机10.1.1.1任何端口访问任何主机的任何 端口,基于TCP协议的数据包都允许通过。
第二条规则:任何主机的20端口访问主机10.1.1.1的任何 端口,基于TCP协议的数据包允许通过。
第三条规则:任何主机的20端口访问主机10.1.1.1小于 1024的端口,如果基于TCP协议的数据包都禁止通过。
拆开数据包 防火墙
数据包服务器ຫໍສະໝຸດ 常见防火墙系统模型包过滤防火墙模型 单宿主堡垒主机(屏蔽主机防火墙)模型 双宿主堡垒主机模型(屏蔽防火墙系统模型) 屏蔽子网模型
包过滤防火墙模型
包过滤防火墙模型是网络的第一道防线,功能是实施包 过滤。
创建相应的过滤策略时对工作人员的TCP/IP的知识有 相当的要求,如果筛选路由器被黑客攻破那么内部网络 将变的十分的危险。该防火墙不能够隐藏你的内部网络 的信息、不具备监视和日志记录功能。
Internet已经成为信息化社会发展的重要保证。已深入到国家 的政治、军事、经济、文教等诸多领域。许多重要的政府宏观 调控决策、商业经济信息、银行资金转帐、股票证券、能源资 源数据、科研数据等重要信息都通过网络存贮、传输和处理。
因此,难免会遭遇各种主动或被动的攻击。例如信息泄漏、信 息窃取、数据篡改、数据删除和计算机病毒等。因此,网络安 全已经成为迫在眉睫的重要问题,没有网络安全就没有社会信 息化
网络防火墙结构
安全区域
服务器
工作站 台式PC 打印机
服务器
安全区域
服务器
工作站 台式PC 打印机
服务器
防火墙 Internet网络
防火墙的功能
根据不同的需要,防火墙的功能有比较大差异,但是一般都包含以下 三种基本功能。
可以限制未授权的用户进入内部网络,过滤掉不安全的服务和 非法用户
防止入侵者接近网络防御设施 限制内部用户访问特殊站点
由于防火墙假设了网络边界和服务,因此适合于相对独立的网络,例 如Intranet等种类相对集中的网络。Internet上的Web网站中,超过 三分之一的站点都是有某种防火墙保护的,任何关键性的服务器,都 应该放在防火墙之后。
防火墙的必要性
随着世界各国信息基础设施的逐渐形成,国与国之间变得“近 在咫尺”。
组序号 1 2 3
动作 允许 允许 禁止
源IP 10.1.1.1 * *
目的IP * 10.1.1.1 10.1.1.1
源端口 * 20 20
目的端口 * * <1024
协议类型 TCP TCP TCP
应用代理防火墙
应用代理(Application Proxy)是运行在防火墙上的一种服 务器程序,防火墙主机可以是一个具有两个网络接口的双重 宿主主机,也可以是一个堡垒主机。
防火墙的分类
分组过滤防火墙
分组过滤(Packet Filtering):作用在协议组的网络层和 传输层,根据分组包头源地址、目的地址和端口号、协议类 型等标志确定是否允许数据包通过,只有满足过滤逻辑的数 据包才被转发到相应的目的地的出口端,其余的数据包则从 数据流中丢弃。
应用代理防火墙
应用代理(Application Proxy):也叫应用网关 (Application Gateway),它作用在应用层,其特点是完 全“阻隔”网络通信流,通过对每种应用服务编制专门的代 理程序,实现监视和控制应用层通信流的作用。实际中的应 用网关通常由专用工作站实现。
内部网络的所有出入都必须通过过滤路由器,路由器审 查每个数据包,根据过滤规则决定允许或拒绝流动的数 据
典型的包过滤防火墙模型如图
内部网络
进行包过滤 路由器
外部网络
包过滤防火墙的优点
容易实现
如果在内部网络与外界之间已有一台路由器, 那么只需简单地加一个包过滤软件进去,就可 以实现网络保护。事实上,现在标准的路由器 软件中都包含有包过滤功能。
代理服务器被放置在内部服务器和外部服务器之间,用于转 接内外主机之间的通信,它可以根据安全策略来决定是否为 用户进行代理服务。
代理服务器运行在应用层,因此又被称为“应用网关”。
安全区域
服务器
工作站 台式PC 打印机
服务器
数据包
IP报头 TCP报头
数据
分组过滤判断 应用代理分析数据
控制策略
查找对应的策略
过滤路由器很少或没有日志记录能力,当网络被击破时,几乎 无法保留攻击者的踪迹,所以网络管理员很难确认系统是否正 在被人侵或已经被人侵了。
防火墙的局限性
防火墙不能防范网络内部的攻击 如防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软 盘上。
防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑 客们劝说没有防范心理的用户公开其口令,并授予其临时 的网络访问权限。
防火墙不能防止传送己感染病毒的软件或文件,不能期望 防火墙去对每一个文件进行扫描,查出潜在的病毒。
第5讲 防火墙与入侵检测
主要内容
防火墙
防火墙的基本概念 常见防火墙类型 如何使用规则集实现防火墙。
入侵检测技术
入侵检测系统的基本概念 入侵检测的常用方法
防火墙的定义
防火墙的本义原是指古代人们房屋之间修建的墙,这道墙可以 防止火灾发生的时候蔓延到别的房屋
防火墙的定义
网络安全中的防火墙不是指为了防火而造的墙,而是指隔离在本地网 络与外界网络之间的一道防御系统。 在互联网上,防火墙是一种非常有效的网络安全系统,通过它可以隔 离风险区域(Internet或有一定风险的网络)与安全区域(局域网) 的连接,同时不会妨碍安全区域对风险区域的访问,
分组过滤防火墙
数据包过滤可以在网络层截获数据。使用一些规则来确 定是否转发或丢弃数据包。
通常情况下,如果规则中没有明确允许指定数据包的出 入,那么数据包将被丢弃
安全区域
服务器
工作站 台式PC 打印机
服务器
数据包
IP报头 TCP报头 分组过滤判断
数据
控制策略
查找对应的策略
防火墙
数据包
服务器
一个可靠的分组过滤防火墙依赖于规则集,下表列出了几 条典型的规则集。