防火墙及其应用
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
7.2.2 代理服务防火墙技术 1. 电路级网关 2. 应用级网关 3. 自适应代理
2020/7/2
7
7.2.1包过滤防火墙技术
包过滤(Packet Filter)是所有防火墙中最核心的功能,与代理服 务器技术相比,其优势是传输信息时不占用网络带宽。包过滤路 由器在网络上的物理位置和逻辑位置如图7-2和图7-3所示。包过 滤型防火墙根据一组过滤规则集合,逐个检查IP数据包,确定是 否允许该数据包通过。
第三代防火墙:到20世纪90年代初,开始推出第三代 防火墙,即应用层防火墙(或者叫做代理防火墙)。
第四代防火墙:到1992年,USC信息科学院的 BobBraden开发出了基于动态包过滤(Dynamic Packet Filter)技术的的第四代防火墙。
第五代防火墙:到了1998年,NAI公司推出了一种自 适应代理(Adaptive Proxy)技术,可以称之为第五 代防火墙。
也称作称静态包过滤。简单包过滤防火墙 在检查数据包报头时,只是根据定义好的过滤 规则集来检查所有进出防火墙的数据包报头信 息,并根据检查结果允许或者拒绝数据包,并 不关心服务器和客户机之间的连接状态。
2. 状态检测包过滤技术
也称动态包过滤,是包过滤器和应用级网 关的一种折衷方案。该技术具有包过滤机制的 高速和灵活性,也有应用级网关的应用层安全 的优点。状态检测包过滤防火墙除了有一个过 滤规则集外,还要跟踪通过自身的每一个连接 ,提取有关的通信和应用程序的状态信息,构 成当前连接的状态列表。
服务器
包过滤路由器
互联网
内部网络
图7-2 包过滤路由器的物理位置
内部网络
过滤规则处理
应用层 表示层 会话层 传输层 网络层 链路层 物理层
外部网络
图7-3 包过滤路由器的逻辑位置
两类包过滤防火墙技术
包过滤防火墙技术根据所使用的过滤方法又具 体可分为:简单包过滤技术和状态检测包过滤 技术。 1. 简单包过滤技术
7.2.3 防火墙常见分类
7.2.3 防火墙常见分类
1. 按照实现方法分类
(1)软件防火墙
运行于特定的计算机上,一般来说这台计算 机就是整个网络的网关。
2020/7/2
5
7.1.3 防火wk.baidu.com局限性
7.1.3 防火墙局限性 1.对某些正常服务的限制 2.无法抵御来自内网的威胁 3.无法阻挡旁路攻击及潜在后门 4.无法控制对病毒文件的传输 5.内网瓶颈问题
2020/7/2
6
7.2 防火墙技术与分类
7.2.1 包过滤防火墙技术 1. 简单包过滤技术 2. 状态检测包过滤技术
7.2.2代理服务防火墙技术
代理服务(Proxy Service)是指运行于内部网 络与外网之间的主机(堡垒主机)上的一种应用。当用 户需要访问代理服务器另一侧主机时,代理服务器对 于符合安全规则的连接,会代替主机响应访问请求, 并重新向主机发出一个相同的请求。当此连接请求得 到回应并建立起连接之后,内部主机同外部主机之间 的通信将通过代理程序的相应连接映射来实现。代理 既是客户端(Client),也是服务器端(Server)。 代理服务防火墙的工作原理如图7-4。
3.防火墙的发展趋势
高安全性和高效率 对数据包的全方位检查 分布式防火墙技术 建立与部署适用于IP V6协议下的防火墙体系
架构
7.1.2 防火墙的功能
对防火墙有两个基本需求:一是保证内部网的安全性; 二是保证内部网与外部网之间的连通性。
(1)过滤不安全数据和非法用户。 (2)报警与审计。 (3)透明代理。 (4)抗攻击能力。 (5)VPN 功能。 (6)路由管理。
外部网络
受保护网络
防火墙
2020/7/2
2
2. 防火墙的发展
第一代防火墙:第一代防火墙技术几乎与路由器同时 出现,主要基于包过滤技术(Packet Filter),是依 附于路由器的包过滤功能实现的防火墙。
第二代防火墙:1989年,贝尔实验室的Dave Presotto和Howard Trickey最早推出了第二代防火 墙,即电路层防火墙。
第7章 防火墙及其应用
7.1 防火墙概述 7.2 防火墙技术与分类 7.3防火墙体系结构 7.4 防火墙安全规则 7.5防火墙应用
2020/7/2
1
7.1 防火墙概述
7.1.1 防火墙概念与发展历程 1. 防火墙概念
防火墙是指设置在不同网络之间,例如可 信任的内部网和不可信的公共网,或者不同网 络安全域之间的软硬件系统组合。它可通过监 测、限制、更改跨越防火墙的数据流,尽可能 地对外部屏蔽网络内部的信息、结构和运行状 况,以此来保护企业内部网络的安全。
应用代理防火墙
客户机 内部网络
代理 服务器端 请求
转发响应
代理 客户端
转发请求
服务器 响应 外部网络
设置规则
图7-4应用代理防火墙的原理图
代理服务防火墙主要包含以下三类:
1.电路级网关
也称线路级网关,工作在会话层,在两主机首次 建立TCP连接时建立通信屏障。它作为服务器接收外 来请求,转发请求;与被保护的主机连接时则扮演客 户机角色、起到代理服务的作用。它监视两主机建立 连接时的握手信息,如SYN,ACK和序列数据等是否 合乎逻辑,然后由网关复制、传递数据,而不进行数 据包过滤。电路级网关中特殊的客户程序只在初次连 接时进行安全协商控制,此后则不再参与内外网之间 的通信控制。
2. 应用级网关
应用级网关使用软件来转发和过滤特定的 应用服务,如TELNET,FTP服务等。这也是 一种代理服务,只允许被认为是可信的服务通 过防火墙。此外,代理服务也可以过滤协议, 如过滤FTP连接、拒绝使用FTP命令等。
3.自适应代理
自适应代理(Adaptive Proxy) 技术结合了代理服 务器防火墙的安全性和包过滤防火墙的高速度等优点 。组成自适应代理防火墙的基本要素有两个:自适应 代理服务器(Adaptive Proxy Server)与动态包过滤 器。在自适应代理防火墙中,初始的安全检查仍在应 用层中进行,保证实现传统防火墙的最大安全性。而 一旦可信任身份得到认证,建立了安全通道,随后的 数据包就可以重新定向到网络层。这种技术能够在确 保安全性的基础上提高代理服务器防火墙的性能。
2020/7/2
7
7.2.1包过滤防火墙技术
包过滤(Packet Filter)是所有防火墙中最核心的功能,与代理服 务器技术相比,其优势是传输信息时不占用网络带宽。包过滤路 由器在网络上的物理位置和逻辑位置如图7-2和图7-3所示。包过 滤型防火墙根据一组过滤规则集合,逐个检查IP数据包,确定是 否允许该数据包通过。
第三代防火墙:到20世纪90年代初,开始推出第三代 防火墙,即应用层防火墙(或者叫做代理防火墙)。
第四代防火墙:到1992年,USC信息科学院的 BobBraden开发出了基于动态包过滤(Dynamic Packet Filter)技术的的第四代防火墙。
第五代防火墙:到了1998年,NAI公司推出了一种自 适应代理(Adaptive Proxy)技术,可以称之为第五 代防火墙。
也称作称静态包过滤。简单包过滤防火墙 在检查数据包报头时,只是根据定义好的过滤 规则集来检查所有进出防火墙的数据包报头信 息,并根据检查结果允许或者拒绝数据包,并 不关心服务器和客户机之间的连接状态。
2. 状态检测包过滤技术
也称动态包过滤,是包过滤器和应用级网 关的一种折衷方案。该技术具有包过滤机制的 高速和灵活性,也有应用级网关的应用层安全 的优点。状态检测包过滤防火墙除了有一个过 滤规则集外,还要跟踪通过自身的每一个连接 ,提取有关的通信和应用程序的状态信息,构 成当前连接的状态列表。
服务器
包过滤路由器
互联网
内部网络
图7-2 包过滤路由器的物理位置
内部网络
过滤规则处理
应用层 表示层 会话层 传输层 网络层 链路层 物理层
外部网络
图7-3 包过滤路由器的逻辑位置
两类包过滤防火墙技术
包过滤防火墙技术根据所使用的过滤方法又具 体可分为:简单包过滤技术和状态检测包过滤 技术。 1. 简单包过滤技术
7.2.3 防火墙常见分类
7.2.3 防火墙常见分类
1. 按照实现方法分类
(1)软件防火墙
运行于特定的计算机上,一般来说这台计算 机就是整个网络的网关。
2020/7/2
5
7.1.3 防火wk.baidu.com局限性
7.1.3 防火墙局限性 1.对某些正常服务的限制 2.无法抵御来自内网的威胁 3.无法阻挡旁路攻击及潜在后门 4.无法控制对病毒文件的传输 5.内网瓶颈问题
2020/7/2
6
7.2 防火墙技术与分类
7.2.1 包过滤防火墙技术 1. 简单包过滤技术 2. 状态检测包过滤技术
7.2.2代理服务防火墙技术
代理服务(Proxy Service)是指运行于内部网 络与外网之间的主机(堡垒主机)上的一种应用。当用 户需要访问代理服务器另一侧主机时,代理服务器对 于符合安全规则的连接,会代替主机响应访问请求, 并重新向主机发出一个相同的请求。当此连接请求得 到回应并建立起连接之后,内部主机同外部主机之间 的通信将通过代理程序的相应连接映射来实现。代理 既是客户端(Client),也是服务器端(Server)。 代理服务防火墙的工作原理如图7-4。
3.防火墙的发展趋势
高安全性和高效率 对数据包的全方位检查 分布式防火墙技术 建立与部署适用于IP V6协议下的防火墙体系
架构
7.1.2 防火墙的功能
对防火墙有两个基本需求:一是保证内部网的安全性; 二是保证内部网与外部网之间的连通性。
(1)过滤不安全数据和非法用户。 (2)报警与审计。 (3)透明代理。 (4)抗攻击能力。 (5)VPN 功能。 (6)路由管理。
外部网络
受保护网络
防火墙
2020/7/2
2
2. 防火墙的发展
第一代防火墙:第一代防火墙技术几乎与路由器同时 出现,主要基于包过滤技术(Packet Filter),是依 附于路由器的包过滤功能实现的防火墙。
第二代防火墙:1989年,贝尔实验室的Dave Presotto和Howard Trickey最早推出了第二代防火 墙,即电路层防火墙。
第7章 防火墙及其应用
7.1 防火墙概述 7.2 防火墙技术与分类 7.3防火墙体系结构 7.4 防火墙安全规则 7.5防火墙应用
2020/7/2
1
7.1 防火墙概述
7.1.1 防火墙概念与发展历程 1. 防火墙概念
防火墙是指设置在不同网络之间,例如可 信任的内部网和不可信的公共网,或者不同网 络安全域之间的软硬件系统组合。它可通过监 测、限制、更改跨越防火墙的数据流,尽可能 地对外部屏蔽网络内部的信息、结构和运行状 况,以此来保护企业内部网络的安全。
应用代理防火墙
客户机 内部网络
代理 服务器端 请求
转发响应
代理 客户端
转发请求
服务器 响应 外部网络
设置规则
图7-4应用代理防火墙的原理图
代理服务防火墙主要包含以下三类:
1.电路级网关
也称线路级网关,工作在会话层,在两主机首次 建立TCP连接时建立通信屏障。它作为服务器接收外 来请求,转发请求;与被保护的主机连接时则扮演客 户机角色、起到代理服务的作用。它监视两主机建立 连接时的握手信息,如SYN,ACK和序列数据等是否 合乎逻辑,然后由网关复制、传递数据,而不进行数 据包过滤。电路级网关中特殊的客户程序只在初次连 接时进行安全协商控制,此后则不再参与内外网之间 的通信控制。
2. 应用级网关
应用级网关使用软件来转发和过滤特定的 应用服务,如TELNET,FTP服务等。这也是 一种代理服务,只允许被认为是可信的服务通 过防火墙。此外,代理服务也可以过滤协议, 如过滤FTP连接、拒绝使用FTP命令等。
3.自适应代理
自适应代理(Adaptive Proxy) 技术结合了代理服 务器防火墙的安全性和包过滤防火墙的高速度等优点 。组成自适应代理防火墙的基本要素有两个:自适应 代理服务器(Adaptive Proxy Server)与动态包过滤 器。在自适应代理防火墙中,初始的安全检查仍在应 用层中进行,保证实现传统防火墙的最大安全性。而 一旦可信任身份得到认证,建立了安全通道,随后的 数据包就可以重新定向到网络层。这种技术能够在确 保安全性的基础上提高代理服务器防火墙的性能。