计算机网络之防火墙讲解
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
– 并没有考虑连接状态信息
• 通常在路由器上实现
– 实际上是一种网络的访问控制机制
• 数据包过滤技术的发展:静态包过滤、 动态包过滤
包过滤防火墙
• 优点:
– – – – – 不用改动应用程序 一个过滤路由器能协助保护整个网络 过滤路由器速度快 数据包过滤对用户透明 效率高
包过滤防火墙
• 缺点:
– – – – – 正确制定规则并不容易 不可能引入认证机制 不能彻底防止地址欺骗 一些应用协议不适合于数据包过滤 正常的数据包过滤路由器无法执行某些安 全策略
– 服务控制,确定哪些服务可以被访问 – 方向控制,对于特定的服务,可以确定允许哪个 方向能够通过防火墙 – 用户控制,根据用户来控制对服务的访问 – 行为控制,控制一个特定的服务的行为
防火墙能做什么
• 定义一个必经之点
– 挡住未经授权的访问流量 – 禁止具有脆弱性的服务带来危害 – 实施保护,以避免各种IP欺骗和路由攻 击
防火墙能做什么
• 防火墙提供了一个监视各种安全事件的位置, 所以,可以在防火墙上实现审计和报警 • 对于有些Internet功能来说,防火墙也可以是一 个理想的平台,比如地址转换,Internet日志、 审计,甚至计费功能 • 防火墙可以作为IPSec的实现平台
防火墙本身的局限性
• 对于绕过防火墙的攻击,它无能为力, 例如,在防火墙内部通过拨号出去 • 防火墙不能防止内部的攻击,以及内部 人员与外部人员的联合攻击(比如,通过 tunnel进入) • 防火墙不能防止被病毒感染的程序或者 文件、邮件等 • 防火墙的性能要求
计算机网络安全
防火墙技术
内容提要
• • • • • • 防火墙的基本概念 防火墙的发展历程 防火墙的核心技术 防火墙的体系结构 防火墙的构造体系 防火墙的功能与原理
安全层次
应用安全 系统安全 网络安全 安全协议 安全的密码算法
防火墙(Firewall)
• 防火墙的基本设计目标
– 对于一个网络来说,所有通过“内部”和“外部”的网络 流量都要经过防火墙 – 防火墙的基本目标是通过隔离达到访问控制的目的 – 通过一些安全策略,来保证只有经过授权的流量才可以通 过防火墙 – 防火墙本身必须建立在安全操作系统的基础上
简单包过滤防火墙
• • • • • 不检查数据区。 不建立连接状态表。 前后报文无关。 应用层控制很弱。 效率高。
包过滤路由器
• 基本的思想很简单
– 对于每个进来的包,适用一组规则,然后 决定转发或者丢弃该包 – 往往配置成双向的
包过滤路由器
• 如何过滤
– 过滤的规则以IP和传输层的头中的域(字段) 为基础,包括源和目标IP地址、IP协议域、 源和目标端口号 – 过滤器往往建立一组规则,根据IP包是否匹 配规则中指定的条件来作出决定。
防火墙的类型
• • • • • 简单包过滤防火墙 状态检测包过滤防火墙 应用代理防火墙 包过滤与应用代理复合型防火墙 核检测防火墙
简单包过滤防火墙
• 包过滤防火墙是第一代和最基本形式的防火墙, 防火墙检查每一个通过的数据包,并查看数据 包的包头,然后依据一套规则决定或者丢弃, 或者放行该数据包。这称为包过滤防火墙。 • 包过滤防火墙检查每一个传入包,查看包中可 用的基本信息(源地址和目的地址、端口号、 协议等)。然后,将这些信息与设立的规则相 比较。
• 基于安全操作系统的防火墙
– 防火墙厂商具有操作系统的源代码,并可实现安全内 核。 – 去掉不必要的系统特性,加固内核,强化安全保护。 – 在功能上包括了分组过滤、应用网关、电路级网关。 – 增加了许多附加功能:加密、鉴别、审计、NAT转换。 – 透明性好,易于使用。
内容提要
• • • • • • 防火墙的基本概念 防火墙的发展历程 防火墙的核心技术 防火墙的体系结构 防火墙的构造体系 防火墙的功能与原理
串口:可对 防火墙进行 初始化的配置
内容提要
• • • • • • 防火墙的基本概念 防火墙的发展历程 防火墙的核心技术 防火墙的体系结构 防火墙的构造体系 防火墙的功能与原理
防火墙的发展历程
• 基于路由器的防火墙
– – – – 利用路由器本身对分组的解析,进行分组过滤 过滤判断依据:地址、端口号以及其他网络特征 防火墙与路由器合为一体,只有过滤功能 适用于对安全要求不高的网络环境
简单包过滤防火墙
•包过滤器操作的基本过程
•包过滤规则必须被包过滤设备端口存储起来。 •当包到达端口时,对包报头进行语法分析。大多数 包过滤设备只检查IP、TCP、或UDP报头中的字段。 •包过滤规则以特殊的方式存储。应用于包的规则的 顺序与包过滤器规则存储顺序必须相同。 •若一条规则阻止包传输或接收,则此包便不被允许。 •若一条规则允许包传输或接收,则此包便可以被继 续处理。 •若包不满足任何一条规则,则此包便被阻塞。
内部网络
外部网络
防火墙
防火墙(Firewall)
• 防火墙的定义
– 是一种高级访问控制设备,置于不同网络 安全域之间的一系列部件的组合,它是不 同网络安全域之间通信流的唯一通道,能 根据有关的安全策略控制(允许、拒绝、 监视、记录)进出网络的访问行为。
防火墙(Firewall)
• 防火墙的控制能力
Βιβλιοθήκη Baidu
• 防火墙工具组件
– 将过滤功能从路由器中独立出来,并加上审计和告警 功能 – 针对用户需求,提供模块化的软件包 – 软件可以通过网络发送,用户可根据需要构造防火墙 – 与第一代相比,安全性提高了,价格降低了
防火墙的发展历程
• 基于通用操作系统的防火墙
– – – – – 是批量上市的专用防火墙。 包括分组过滤或者借用路由器的分组过滤功能。 装有专用的代理系统,监控所有协议的数据和指令。 保护用户编程空间和用户可配置内核参数的设置。 安全性和速度大为提高
• 如果匹配到一条规则,则根据此规则决定转发或 者丢弃 • 如果所有规则都不匹配,则根据缺省策略
安全缺省策略
• 两种基本策略,或缺省策略
– 没有被拒绝的流量都可以通过
• 管理员必须针对每一种新出现的 攻击,制定新的规则
– 没有被允许的流量都要拒绝
• 比较保守 • 根据需要,逐渐开放
包过滤防火墙
• 在网络层上进行监测
• 通常在路由器上实现
– 实际上是一种网络的访问控制机制
• 数据包过滤技术的发展:静态包过滤、 动态包过滤
包过滤防火墙
• 优点:
– – – – – 不用改动应用程序 一个过滤路由器能协助保护整个网络 过滤路由器速度快 数据包过滤对用户透明 效率高
包过滤防火墙
• 缺点:
– – – – – 正确制定规则并不容易 不可能引入认证机制 不能彻底防止地址欺骗 一些应用协议不适合于数据包过滤 正常的数据包过滤路由器无法执行某些安 全策略
– 服务控制,确定哪些服务可以被访问 – 方向控制,对于特定的服务,可以确定允许哪个 方向能够通过防火墙 – 用户控制,根据用户来控制对服务的访问 – 行为控制,控制一个特定的服务的行为
防火墙能做什么
• 定义一个必经之点
– 挡住未经授权的访问流量 – 禁止具有脆弱性的服务带来危害 – 实施保护,以避免各种IP欺骗和路由攻 击
防火墙能做什么
• 防火墙提供了一个监视各种安全事件的位置, 所以,可以在防火墙上实现审计和报警 • 对于有些Internet功能来说,防火墙也可以是一 个理想的平台,比如地址转换,Internet日志、 审计,甚至计费功能 • 防火墙可以作为IPSec的实现平台
防火墙本身的局限性
• 对于绕过防火墙的攻击,它无能为力, 例如,在防火墙内部通过拨号出去 • 防火墙不能防止内部的攻击,以及内部 人员与外部人员的联合攻击(比如,通过 tunnel进入) • 防火墙不能防止被病毒感染的程序或者 文件、邮件等 • 防火墙的性能要求
计算机网络安全
防火墙技术
内容提要
• • • • • • 防火墙的基本概念 防火墙的发展历程 防火墙的核心技术 防火墙的体系结构 防火墙的构造体系 防火墙的功能与原理
安全层次
应用安全 系统安全 网络安全 安全协议 安全的密码算法
防火墙(Firewall)
• 防火墙的基本设计目标
– 对于一个网络来说,所有通过“内部”和“外部”的网络 流量都要经过防火墙 – 防火墙的基本目标是通过隔离达到访问控制的目的 – 通过一些安全策略,来保证只有经过授权的流量才可以通 过防火墙 – 防火墙本身必须建立在安全操作系统的基础上
简单包过滤防火墙
• • • • • 不检查数据区。 不建立连接状态表。 前后报文无关。 应用层控制很弱。 效率高。
包过滤路由器
• 基本的思想很简单
– 对于每个进来的包,适用一组规则,然后 决定转发或者丢弃该包 – 往往配置成双向的
包过滤路由器
• 如何过滤
– 过滤的规则以IP和传输层的头中的域(字段) 为基础,包括源和目标IP地址、IP协议域、 源和目标端口号 – 过滤器往往建立一组规则,根据IP包是否匹 配规则中指定的条件来作出决定。
防火墙的类型
• • • • • 简单包过滤防火墙 状态检测包过滤防火墙 应用代理防火墙 包过滤与应用代理复合型防火墙 核检测防火墙
简单包过滤防火墙
• 包过滤防火墙是第一代和最基本形式的防火墙, 防火墙检查每一个通过的数据包,并查看数据 包的包头,然后依据一套规则决定或者丢弃, 或者放行该数据包。这称为包过滤防火墙。 • 包过滤防火墙检查每一个传入包,查看包中可 用的基本信息(源地址和目的地址、端口号、 协议等)。然后,将这些信息与设立的规则相 比较。
• 基于安全操作系统的防火墙
– 防火墙厂商具有操作系统的源代码,并可实现安全内 核。 – 去掉不必要的系统特性,加固内核,强化安全保护。 – 在功能上包括了分组过滤、应用网关、电路级网关。 – 增加了许多附加功能:加密、鉴别、审计、NAT转换。 – 透明性好,易于使用。
内容提要
• • • • • • 防火墙的基本概念 防火墙的发展历程 防火墙的核心技术 防火墙的体系结构 防火墙的构造体系 防火墙的功能与原理
串口:可对 防火墙进行 初始化的配置
内容提要
• • • • • • 防火墙的基本概念 防火墙的发展历程 防火墙的核心技术 防火墙的体系结构 防火墙的构造体系 防火墙的功能与原理
防火墙的发展历程
• 基于路由器的防火墙
– – – – 利用路由器本身对分组的解析,进行分组过滤 过滤判断依据:地址、端口号以及其他网络特征 防火墙与路由器合为一体,只有过滤功能 适用于对安全要求不高的网络环境
简单包过滤防火墙
•包过滤器操作的基本过程
•包过滤规则必须被包过滤设备端口存储起来。 •当包到达端口时,对包报头进行语法分析。大多数 包过滤设备只检查IP、TCP、或UDP报头中的字段。 •包过滤规则以特殊的方式存储。应用于包的规则的 顺序与包过滤器规则存储顺序必须相同。 •若一条规则阻止包传输或接收,则此包便不被允许。 •若一条规则允许包传输或接收,则此包便可以被继 续处理。 •若包不满足任何一条规则,则此包便被阻塞。
内部网络
外部网络
防火墙
防火墙(Firewall)
• 防火墙的定义
– 是一种高级访问控制设备,置于不同网络 安全域之间的一系列部件的组合,它是不 同网络安全域之间通信流的唯一通道,能 根据有关的安全策略控制(允许、拒绝、 监视、记录)进出网络的访问行为。
防火墙(Firewall)
• 防火墙的控制能力
Βιβλιοθήκη Baidu
• 防火墙工具组件
– 将过滤功能从路由器中独立出来,并加上审计和告警 功能 – 针对用户需求,提供模块化的软件包 – 软件可以通过网络发送,用户可根据需要构造防火墙 – 与第一代相比,安全性提高了,价格降低了
防火墙的发展历程
• 基于通用操作系统的防火墙
– – – – – 是批量上市的专用防火墙。 包括分组过滤或者借用路由器的分组过滤功能。 装有专用的代理系统,监控所有协议的数据和指令。 保护用户编程空间和用户可配置内核参数的设置。 安全性和速度大为提高
• 如果匹配到一条规则,则根据此规则决定转发或 者丢弃 • 如果所有规则都不匹配,则根据缺省策略
安全缺省策略
• 两种基本策略,或缺省策略
– 没有被拒绝的流量都可以通过
• 管理员必须针对每一种新出现的 攻击,制定新的规则
– 没有被允许的流量都要拒绝
• 比较保守 • 根据需要,逐渐开放
包过滤防火墙
• 在网络层上进行监测