《第6章防火墙ppt课件.ppt》由会员分享,可在线阅读,更多相关《第6章防火墙ppt课件.ppt(23页珍藏版)》请在三一办公上搜索。
1、1,9.1 防火墙概述,什么是防火墙(Firewall) ?,防火墙:在两个信任程度不同的网络之间设置的、用于加强访问控制的软硬件保护设施。,2,一、防火墙的用途,9.1 防火墙概述,1)作为“扼制点”,限制信息的进入或离开;2)防止侵入者接近并破坏你的内部设施;3)监视、记录、审查重要的业务流;4)实施网络地址转换,缓解地址短缺矛盾。建立防火墙必须全面考虑安全策略,否则形同虚设。,3,二、好的防火墙系统,9.1 防火墙概述,1)内部网络和外部网络之间传输的数据必须通过防火墙;2)只有防火墙系统中安全策略允许的数据可以通过防火墙;3)防火墙本身不受各种攻击的影响。,4,四、防火墙的局限性,9.
2、1、防火墙概述,1)防火墙防外不防内如果入侵者已经在防火墙内部,防火墙是无能为力的。内部用户偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理,如主机安全和用户教育、管理、制度等。,5,9.1、防火墙概述,2)不能防范绕过防火墙的攻击防火墙能够有效地防止通过它进行传输信息,然而不能防止不通过它而传输的信息。例如,如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。3)防火墙配置复杂,容易出现安全漏洞4)防火墙往往只认机器(IP地址)不认人(用户身份),并且控制粒度较粗。,6,9.1、防火墙概述,5)防火
3、墙不能防范病毒防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。6)防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到内部网主机上并被执行而发起攻击时,就会发生数据驱动攻击。特别是随着Java、JavaScript、ActiveX的应用,这一问题更加突出。,7,防火墙的体系结构,1)屏蔽路由器(Screened Router)2)双宿主机网关; Dual Homed Host Gateway3)屏蔽主机防火墙; Screened Gateway4)屏蔽子网防火墙。 Screened Subnet,9.3 防火墙体系结构,8,1.屏蔽路由器(Scree
4、ned Router),包过滤路由器: 路由 + 过滤这是最简单的防火墙。缺点:日志没有或很少,难以判断是否被入侵规则表会随着应用变得很复杂单一的部件保护,脆弱,9.3 防火墙体系结构,9,2.双宿主机网关,9.3 防火墙体系结构,10,用一台装有两块网卡的计算机作为堡垒主机(Bastion host),两块网卡分别与内部网和外部网(或屏蔽路由器)相连,每块网卡有各自的IP地址。堡垒主机上运行防火墙软件代理服务(应用层网关)。优点:与屏蔽路由器相比,提供日志以备检查缺点:双宿主机易受攻击,9.3 防火墙体系结构,11,3.屏蔽主机防火墙,9.3 防火墙体系结构,12,屏蔽主机体系结构,9.3
5、防火墙体系结构,13,由屏蔽路由器和应用网关组成。两道屏障:网络层的包过滤;应用层代理服务注:与双宿主机网关不同,这里的应用网关只有一块网卡。优点:双重保护,安全性更高。,9.3 防火墙体系结构,14,15,4.屏蔽子网体系结构,防火墙体系结构,组成:一个包含堡垒主机的周边子网、两台屏蔽路由器。,16,屏蔽子网体系结构,9.3 防火墙体系结构,17,18,包过滤技术,9.4 包过滤技术,19,包过滤技术的原理,包过滤技术,在路由器上加入IP Filtering 功能,这样的路由器就成为Screening Router 。Router逐一审查每个数据包以判定它是否与其它包过滤规则相匹配(只检查包
6、头,不理会包内的正文信息)。 如果找到一个匹配,且规则允许这包,这个包则根据路由表中的信息前行;且规则允许拒绝此包,这一包则被舍弃;如果无匹配规则,一个用户配置的缺省参数将决定此包是前行还是被舍弃。,20,一个可靠的包过滤防火墙依赖于规则集的定义,下表列出了几条典型的规则集。第一条规则:主机10.1.1.1任何端口访问任何主机的任何端口,基于TCP协议的数据包都允许通过。第二条规则:任何主机的20端口访问主机10.1.1.1的小于1024的端口,基于TCP协议的数据包允许通过。第三条规则:任何主机的20端口访问主机10.1.1.1任何端口,如果基于TCP协议的数据包都禁止通过。,21,IPv4
7、,包过滤技术,版本号,Version,(4bit),报头长,IHL,(4bit),服务类型,ServiceType,(8bit),分组总长度,Total Length,(16bit),标识,Identification,(16bit),标志,Flags,(3bit),片偏移,Fragment Offset,(13bit),生存时间,Time to Live,(8bit),传输层协议,Protocol,(8bit),头部校验和,Header Checksum,(16bit),源,IP,地址,Source Address(32bit),宿,IP,地址,Destination Address(32bit),可选项,Option,有效负载Payload(0或多个字节),20 bytes,0 4 8 16 19 31,填充域,padding,22,防火墙产品介绍,以色列Checkpoint公司的Fire Wall-1Cisco公司的PIX个人防火墙: “天网”、“瑞星防火墙”,23,天网防火墙,