信息安全课程教学课件防火墙.pptVIP

地址转换（NAT） * NAT（Network Address Translation） 其功能是将企业内部自行定义的私有IP地址转换为Internet公网合法IP地址 为什么要使用NAT 公用地址资源有限, 申请困难 安全问题 根据约定，路由器不在Internet上向私有地址转发任何数据包 地址转换设备 NAT的工作原理 假设内部网络的地址段为私有地址段192.168.0.x，其中一台计算机的IP地址为，在防火墙上设定一个用作NAT的地址。 1) 当用户发出连接请求时(假设端口为12345)，防火墙将根据NAT设置，分配的一个端口，假设为2222，分配给该用户； 2) 防火墙为该连接建立一个NAT表项，表项中的内容为来源地址:12345、已分配资源:2222； 3) 防火墙将该连接的IP包源地址替换，替换为:2222，并将数据包发出； ...续 4) 当由数据返回到防火墙时，返回的数据包的目的地址为:2222，防火墙根据这个地址在表项中查出对应的地址/端口:12345； 5) 防火墙将返回的数据包中的目的地址/端口改为:12345，并将IP包发出。 6) 整个NAT过程完成 11.4 防火墙的体系结构 堡垒主机（Bastion Host） 物理内部网中唯一可供外界访问到的主机，它通常配置了严格的安全防范措施，堡垒主机为内部网和外部网之间的通信提供一个阻塞点。 DMZ 指供外部网访问的专门区域，用于发布信息、提供服务。通常情况下，外部网和内部网都可以访问这一区域。 防火墙的体系结构一般有双重宿主主机体系结构、屏蔽主机体系结构和屏蔽子网体系结构。 双重宿主主机体系结构 IP数据包从一个网络（例如Internet）并不是直接发送到其它网络（例如内部的、被保护的网络），即内部网络和内部网络不能直接通信，而是由双重宿主主机在中间实现交接过滤。 屏蔽主机体系结构 屏蔽主机体系结构防火墙使用一个路由器把内部网络和外部网络隔离开 任何外部的系统要访问内部的系统或服务都必须先连接到堡垒主机。 内部网也只有堡垒主机可以连接 Internet，堡垒主机实际也就是代理服务器。 屏蔽子网体系结构 堡垒主机是接受来自外界连接的主要入口。内部路由器对内部网络与堡垒主机之间的通信进行过滤，外部路由器对外部网络到周边网的访问进行过滤。 防火墙的工作模式 工作模式 透明模式(桥接) 非透明模式(路由) 区别: 透明模式的两块网卡（与路由器相连的和与内网相连的）在一个网段（也和子网在同一个网段）； 而非透明模式的两块网卡分别属于两个网段（内网可能是内部不可路由地址，外网则是合法地址） ARP代理 防火墙通过配ARP代理（ARP?Proxy）在内网主机和路由器之间传递ARP包。实现透明访问 当路由器发送ARP广播包询问内网内的某一主机的硬件地址时，防火墙用和路由器相连接口的MAC地址回送ARP包； 内网内某一主机发送ARP广播包询问路由器的硬件地址时，防火墙用和内网相连接口的MAC地址回送ARP包， 路由器和内网主机都认为将数据包发给了对方，而实际上是发给了防火墙转发。 11.5 防火墙的局限性 防火墙无法防范来自网络内部的攻击，而通过调查发现，有将近一半以上的攻击都来自网络内部 防火墙无法对绕过它的通信进行限制。 防火墙不能堵住来自外部网络的病毒。 第11章  防火墙 主要内容 11.1 防火墙的原理 11.2 防火墙的分类 11.3 防火墙技术 11.4 防火墙的体系结构 11.5 防火墙的局限性 11.1 防火墙的原理 Willam Cheswick和 steven Beellovin：防火墙是位于两个（或多个）网络间，实施网间访问控制的一组组件的集合，它满足以下条件： 内部和外部之间的所有网络数据流必须经过防火墙； 有符合安全政策的数据流才能通过防火墙； 防火墙自身能抗攻击。 防火墙可以是在可信任网络和不可信任网络之间的一个缓冲系统，它可以是一台有访问控制策略的路由器，或者一台多个网络接口的计算机、也可以是安装在某台特定机器上的软件。它被配置成保护指定网络，使其免受来自于非信任网络区域的某些协议与服务的影响。 防火墙的基本功能 服务控制：确定哪些服务可以被访问； 方向控制：对于特定的服务，可以确定允许哪个方向能够通过防火墙； 用户控制：根据用户来控制对服务的访问； 行为控制：控制一个特定的服务的行为。 防火墙的实施策略 一切未被禁止的就是允许的（Yes规则） 确定那些被认为是不安全的服务，禁止其访问；而其他服务则被认为是安全的，允许访问。 一切未被允许的就是禁止的（No规则） 确定所有可以被提供的服务以及它们的安全性，然后开放这些服务，并将所有其他未被列入的服务排除在外，禁止访问。 11.