《第八章网关ppt课件.ppt》由会员分享,可在线阅读,更多相关《第八章网关ppt课件.ppt(56页珍藏版)》请在三一办公上搜索。
1、第 8章 网关,本章学习目标:网关网关的分类防火墙防火墙的作用防火墙常见的几种类型如何在网络中配置防火墙,8.1、网关(Gateway),网关是高层上的一种互联设备,它具有协议转换,数据重新分组的功能,以便在不同类型(不同格式、协议、结构)的网之间通信,可以概括为能够连接不同网络的软件和硬件的结合产品。网关能运行在OSI模型的所有层上。所以可以实现各种应用进行通信,建立和管理会话,传输已经编码的数据,并解析逻辑和物理地址数据。与路由器相比具有功能强大、传输内容复杂、传输速度低、价格贵特点,1.网关概述,2.网关的分类,面向连接网关,面向无连接网关半网关、全网关模型协议网关、应用网关和安全网关,
2、协议网关常用于使用不同协议的网络间的协议转换协议转换可发生于OSI的第二层、第三层和该两层之间协议网关又分通道网关、专用网关和第二层协议网关三种,(1).协议网关,协议网关应用举例,LAN1的IPV4分组经G1封装转换成IPV6分组WAN的IPV6分组经G2拆封还原成IPV4分组传送到LAN2协议转换即数据格式的转换,(2).应用网关,应用网关是在两种不同格式间翻译数据的系统;应用网关充当连接不相容的源和目的的中间点;例如两个物理网的电子邮件格式不同,邮件专用网关能使双方都清楚从对方传递过来的电子邮件的控制信息。,(3).安全网关,这里的安全是指防止“黑客”的访问,以免网络资源被泄密甚至被损害
3、安全网关是若干技术的组合,这些技术包括分组过滤器、电路网关和应用网关分组过滤器是最基本的安全屏蔽形式,它是由软件对每个分组进行合法性判断,以过滤非法分组的传输,(3).安全网关,电路网关是借助一个代理服务器,它有一个唯一并公开的地址,把安全域中的计算机地址隐藏起来,外界用户只面对代理服务器,它能阻塞非法访问 应用网关是在每个被保护的主机上安装高度专用的应用软件,对主机实现更严格的安全性监控。例如病毒检测软件就属于此范围,(3).安全网关,所有形式的安全网关,无论是分组级、电路级,还是应用级的,都能对网络提供必要保护,8.2 防火墙概述,破坏者红客间谍技术爱好者好奇的年青人,1、影响网络安全的人
4、群,2、网络攻击的层次,第一层:基于应用层的操作。如拒绝服务或邮件炸弹攻击。第二层:指本地用户获得不应获得的文件(或目录)读权限。第三层:指本地用户获得不应获得的文件(或目录)写权限。第四层:指外部用户获得访问内部文件的权利。第五层:指获得特权文件的写权限。第六层:指获得系统管理员的权限或根权限。,网络安全,1、隐藏IP2、踩点扫描3、获得系统或管理员权限4、种植后门5、在网络中隐身,3、网络攻击的步骤,攻击技术:网络踩点、网络扫描和网络监听,网络安全,4、网络攻击手段社会工程学攻击物理攻击暴力攻击利用Unicode漏洞攻击利用缓冲区溢出漏洞进行攻击,网络安全,1、防火墙技术2、入侵检测技术3
5、、系统脆弱性扫描技术4、隔离技术5、VPN技术6、网络防病毒技术7、数据加密技术,5、网络防护的方法,网络安全,8.2 防火墙概述,通常意义上的防火墙:不同安全级别的网络或安全域之间的唯一通道 只有被防火墙策略明确授权的通信才可以通过 系统自身具有高安全性和高可靠性,注意区分个人防火墙、病毒防火墙,防火墙是位于两个(或多个)网络间,实施网络间访问控制的一组组件的集合。防火墙的英文名为“FireWall”,它是最重要的网络防护设备之一。,1、基本概念,网络边界即是采用不同安全策略的两个网络连接处,比如用户网络和因特网之间连接、和其他业务往来单位的网络连接、用户内部网络不同部门之间的连接等。,8.
6、2 防火墙概述,(1)不同安全级别的网络或安全域之间的唯一通道,防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。,8.2 防火墙概述,(2)只有被防火墙策略明确授权的通信才可以通过,8.2 防火墙概述,(3)系统自身具有高安全性和高可靠性,防火墙自身应具有非常强的抗攻击免疫力是防火墙之所以能担当企业内部网络安全防护重任的先决条件。,防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其他应用程序在防火墙上运行。,一般采用Linux、UNIX或FreeBSD系统作为支撑其工作的操作系统。,8
7、.2 防火墙概述,2、防火墙的功能,1)限定内部用户访问特殊站点。2)防止未授权用户访问内部网络。3)允许内部网络中的用户访问外部网络的服务和资源而不泄漏内部网络的数据和资源。4)记录通过防火墙的信息内容和活动。5)对网络攻击进行监测和报警。,8.2 防火墙概述,2、防火墙的功能(续),防火墙的基本功能:访问控制,基于源MAC地址 基于目的MAC地址 基于源IP地址 基于目的IP地址 基于源端口 基于目的端口,基于方向 基于时间 基于用户 基于流量 基于内容,路由功能NAT功能VPN功能用户认证,8.2 防火墙概述,2、防火墙的功能(续),防火墙的扩展功能:,带宽控制日志审计流量分析,8.2
8、防火墙概述,3防火墙的发展简史,第一代防火墙:采用了包过滤(Packet Filter)技术。第二、三代防火墙:1989年,推出了电路层防火墙,和应用层防火墙的初步结构。第四代防火墙:1992年,开发出了基于动态包过滤技术的第四代防火墙。第五代防火墙:1998年,NAI公司推出了一种自适应代理技术,可以称之为第五代防火墙,图8.2防火墙技术的简单发展历史,返回本节,8.3 防火墙在网络中的位置,安装防火墙以前的网络,8.3 防火墙在网络中的位置,安装防火墙后的网络,DMZ是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业
9、内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。这样,不管是外部还是内部与对外服务器交换信息数据也要通过防火墙,实现了真正意义上的保护。,8.3 防火墙在网络中的位置,DMZ区(demilitarized zone,也称非军事区),8.4 防火墙的体系结构,防火墙的体系结构一般有以下几种:,1)双重宿主主机体系结构。2)屏蔽主机体系结构。3)屏蔽子网体系结构。,8.4 防火墙的体系结构,1、双重
10、宿主主机体系结构,双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的,该计算机至少有两个网络接口。可充当与这些接口相连的网络之间的路由器;它能够从一个网络到另一个网络发送IP数据包。,实现双重宿主主机的防火墙体系结构禁止这种发送功能。因而,IP数据包从一个网络(例如,因特网)并不是直接发送到其他网络(例如,内部的、被保护的网络)。防火墙内部的系统能与双重宿主主机通信,同时防火墙外部的系统(在因特网上)能与双重宿主主机通信,但是这些系统不能直接互相通信。它们之间的IP通信被完全阻止。,8.4 防火墙的体系结构,2、屏蔽主机体系结构,屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的
11、网络相连的主机的服务。,堡垒主机是互联网上的主机能连接到内部网络上的系统的桥梁,数据包过滤也许堡垒主机开放可允许的连接到外部世界,8.3 防火墙的体系结构,3、屏蔽子网体系结构,屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步地把内部网络和外部网络(通常是Internet)隔离开。,最简单的形式为:两个屏蔽路由器,每一个都连接到周边网。一个位于周边网络与内部网络之间,另一个位于周边网与外部网络(通常为Internet)之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。,8.3 防火墙的体系结构,3、屏蔽子网体系结构(续),侵袭者必须通过两个路由器。即使侵
12、袭者侵入堡垒主机,它将仍然必须通过内部路由器。,软件防火墙和硬件防火墙以及芯片级防火墙。,8.4 防火墙的类型与特点,8.4.1 按物理实体分类,X86架构(PC架构工控机),NP架构(网络处理器),ASIC架构(专用集成电路),至少应具备三个端口,分别接内网、外网和DMZ区(非军事区),防火墙的工作方式主要分包过滤型和应用代理型两种。,8.4 防火墙的类型与特点,8.4.2 按工作方式分类,1包过滤型,包过滤(Packet filtering)型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被
13、转发到相应的目的地,其余数据包则被从数据流中丢弃。,8.4 防火墙的类型与特点,8.4.2 按工作方式分类(续),2应用代理型,应用代理型防火墙(Application Proxy)是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。,8.4 防火墙的类型与特点,8.4.3 按部署结构分类,从防火墙结构分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。,单一主机防火墙:是最为传统的防火墙,独立于其它网络设备,它位于网络边界。与一台计算机结构差不多,价格昂贵。,路由器集成式防火墙:这种防火墙通常是较低
14、级的包过滤型。许多中、高档路由器中集成了防火墙功能,如CiscoIOS防火墙系列。这样企业就不用再同时购买路由器和防火墙,大大降低了网络设备购买成本。,分布式防火墙:不只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的PCI防火墙卡。,8.4 防火墙的类型与特点,8.4.4 按部署位置分类,按防火墙的应用部署位置分为边界防火墙、个人防火墙和混合式防火墙三大类。,8.4.5 按性能分类,按防火墙性能分为百兆级防火墙和千兆级防火墙两类。目前还针对小企业用户(网络流量小、用户数量较少
15、)生产出了桌面型防火墙。,防火墙的优点,防火墙能强化安全策略。防火墙能有效地记录网上活动。限制暴露用户点防火墙是一个安全策略的检查点。,8.4 防火墙的类型与特点,防火墙的局限性,防火墙防外不防内。防火墙难于管理和配置,易造成安全漏洞。很难为用户在防火墙内外提供一致的安全策略。防火墙只实现了粗粒度的访问控制。,8.4 防火墙的类型与特点,8.5 防火墙的工作模式与主要技术,8.5.1 防火墙的工作模式,防火墙的工作模式有路由模式、透明桥模式和混合模式三大类。,路由模式:防火墙可以充当路由器,提供路由功能。,透明桥模式:防火墙可以方便的接入到网络,而且保持所有的网络设备配置完全不变。,混合模式:
16、防火墙同时工作在路由模式和桥模式。,路由模式,防火墙缺省工作模式,防火墙可以充当路由器,提供路由功能,FTP,www,DMZ区,内部网络,连接DMZ的接口需要设置成公网地址或在出接口启用destination nat,防火墙的各个接口处于不同的网段,Internet,策略路由,透明模式(桥模式),L3 Switch,Router,防火墙可以方便的接入到网络,而且保持所有的网络设备配置完全不变,此时防火墙类似网桥的工作方式,降低网络管理的复杂度,Internet,内部网络,混合模式,桥,防火墙同时工作在路由模式和桥模式,FTP,www,DMZ区,内部网络,Internet,路由,NAT,防火墙的
17、网桥接口启用NAT转换,外部接口和DMZ接口组成透明方式,混合模式防火墙的应用,1双端口或三端口的结构2透明的访问方式3灵活的代理系统4多级的过滤技术5网络地址转换技术(NAT)6网络状态监视器7Internet网关技术8安全服务器网络(SSN)9用户鉴别与加密,8.5.2 防火墙的主要技术,8.5 防火墙的工作模式与主要技术,10用户定制服务11审计和告警12应用网关代理13回路级代理服务器14代管服务器15IP通道(IP Tunnels)16隔离域名服务器(Split Domain Name Sever)17邮件转发技术(Mail Forwarding),8.5.2 防火墙的主要技术,8.
18、5 防火墙的工作模式与主要技术,源ip地址转换(NAT)目的ip地址转换(目的ip地址映射/MAP/反向NAT)一对一/静态ip地址转换/SAT地址池(ip pool)目的端口转换(端口映射/PAT)地址伪装透明应用代理,NAT(网络地址转换),8.5.2 防火墙的主要技术,8.5 防火墙的工作模式与主要技术,应用一:目的端口映射,在WIN2K中端口映射,查开放端口的小程序,应用二:防BT,应用三:防Flood攻击,Hacker,ICMP Flood,UDP Flood,TCP Flood,基于数据流的防范,基于数据包的防范,当源主机在1秒内发起的连接数达到门限值时,在该秒内的剩余时段和下一秒
19、中,丢弃该源主机发起的同类连接,当源主机在1秒内发出的数据包达到门限值时,在该秒内的剩余时段和下一秒中,丢弃该源主机发出的同类数据,大集成,需解决模块安全,8.6 防火墙的发展趋势,大多数防火墙的功能都比较全面,几乎包括了所有的安全功能,如VPN、防病毒、IDS、安全审计等。性能不断提升,国内已有千兆线速防火墙;架构已发生变化,从X86架构,开始向ASIC、NP等网络设备标准架构蜕变。,功能性能不断突破:需解决集成、核心技术,下一代网络的新需求:IPv6网络需求,高速、安全、可用:高性能、抗毁、业务连续,8.7 应用案例(一):某市局网上下互连,防火墙网络地址分配外口:221.12.118.1
20、79/29内口:10.33.120.20/24DMZ口:21.24.117.2,8.7 应用案例(二):单计算机保护,利用防火墙软件实现。目前可选天网、瑞星、趋势、诺顿等。此处以单机版软件为例,介绍防火墙规则设置与使用。(有条件的应该安排3-4次防火墙实验,如端口设置、NAT、规则管理、VPN及与IDS的联动等。),瑞星个人防火墙的设置与使用,瑞星个人防火墙的设置与使用,本章小结,防火墙是隔离在本地网络与外界网络之间执行访问控制策略的一道防御系统,目的是保护网络不被他人侵扰。防火墙在企业内网与Internet之间或与其他外部网络互相隔离、限制网络互访,从而实现内网保护。典型的防火墙具有三个基本
21、特性:内部网络和外部网络之间的所有网络数据流都必须经过防火墙;只有符合安全策略的数据流才能通过防火墙;防火墙自身应具有非常强的抗攻击免疫力。防火墙具有以下几种功能:限定内部用户访问特殊站点;防止未授权用户访问内部网络;允许内部网络中的用户访问外部网络的服务和资源而不泄漏内部网络的数据和资源;记录通过防火墙的信息内容和活动;对网络攻击进行监测和报警。防火墙的体系结构有以下几种:双重宿主主机体系结构;被屏蔽主机体系结构;被屏蔽子网体系结构。防火墙的类型有多种分类方法:技术上分“包过滤型”和“应用代理型”;结构上分单一主机防火墙、路由器集成式防火墙和分布式防火墙三种;应用部署位置分为边界防火墙、个人防火墙和混合式防火墙;性能上分为百兆级防火墙和千兆级防火墙。防火墙的发展趋势:功能性能不断突破;下一代网络的新需求;高速、安全、可用。,