chapter5 防火墙技术09861.pptVIP

第五章 防火墙技术 山东工会管理干部学院信息工程系 王灿伟 本章学习目标 了解防火墙的定义、发展简史、目的、功能、局限性及其发展动态和趋势。 掌握包过滤防火墙和和代理防火墙的实现原理、技术特点和实现方式；熟悉防火墙的常见体系结构。 熟悉防火墙的产品选购和设计策略。 5.1　防火墙技术概述 防火墙的定义 防火墙的功能和局限性 防火墙的发展简史 防火墙的定义 防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。 它是不同网络或网络安全域之间信息的唯一出入口 。 防火墙的功能 访问控制 对网络存取和访问进行监控审计 防止内部信息的外泄 支持VPN功能 支持网络地址转换 …… 防火墙的基本特征 内部网络和外部网络之间的所有网络数据流都必须经过防火墙 只有符合安全策略的数据流才能通过防火墙 防火墙自身应具有非常强的抗攻击免疫力 防火墙的局限性 防火墙不能防范不经过防火墙的攻击。如拨号访问、内部攻击等。 防火墙不能解决来自内部网络的攻击和安全问题。 防火墙不能防止策略配置不当或错误配置引起的安全威胁。 防火墙不能防止利用标准网络协议中的缺陷进行的攻击。 防火墙不能防止利用服务器系统漏洞所进行的攻击。 防火墙不能防止受病毒感染的文件的传输。 防火墙不能防止数据驱动式的攻击。有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动式的攻击。 防火墙不能防止本身的安全漏洞的威胁。目前还没有厂商绝对保证防火墙不会存在安全漏洞。 防火墙不能防止可接触的人为或自然的破坏。 防火墙的发展简史 按防火墙的体系结构分类 多宿主主机 被屏蔽主机 被屏蔽子网 概念 堡垒主机(Bastion host):堡垒主机是一种配置了安全防范措施的网络上的计算机，堡垒主机为网络之间的通信提供了一个阻塞点，也就是说如果没有堡垒主机，网络之间将不能相互访问。 DMZ(Demilitarized Zone，非军事区或者停火区)：为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施。 双宿主主机（Dual-Homed Host Firewall） 双宿主主机(Dual-homed Host):有两个网络接口的计算机系统，一个接口接内部网，一个接口接外部网。 被屏蔽主机(Screened Host Firewall) 外部网络必须通过堡垒主机才能访问内部网络中的资源。 内部网络中的计算机则可以通过堡垒主机或者屏蔽路由器访问外部网络中的某些资源 被屏蔽子网(Screened subnet Firewall) 内网可以访问外网 内网可以访问DMZ 外网不能访问内网 外网可以访问DMZ中的服务器 DMZ不能访问内网和外网 5.3 防火墙实现技术原理 简单包过滤防火墙 动态包过滤(状态检测) 防火墙 应用代理防火墙 包过滤与应用代理复合型防火墙 1．简单包过滤防火墙（Packet filtering） 数据包过滤技术的发展：静态包过滤、动态包过滤。 包过滤防火墙在网络层实现数据的转发，包过滤模块一般检查网络层、传输层内容，包括下面几项： ① 源、目的IP地址； ② 源、目的端口号； ③ 协议类型； ④ TCP报头的标志位。 简单包过滤防火墙的工作原理1 包过滤防火墙的工作流程 包过滤防火墙的特点 优点： 保护整个网络；对用户透明；可用路由器，不需要其他设备。 缺点： 1.包过滤的一个重要的局限是它不能分辨好的和坏的用户，只能区分好的包和坏的包。 2.包过滤规则难配置。 3.新的协议的威胁。 4.IP欺骗 应用实例 E0访问规则 E0端口 S0访问规则 【问题】 1. 攻击者在内网安装了一个服务端的端口大于1023，客户端的端口是80的木马，是否可以通过这个防火墙？ 2.防火墙是否能够阻挡对服务器的SYN扫描？ 判断数据包的标志位 【问题】 1.此时防火墙是否能够阻挡对服务器的SYN扫描？ 2.对于特殊构造了标志位的数据包？ 3.是否可以阻挡反弹端口的木马？ 2. 动态包过滤 (状态检测) 防火墙 应用实例 【问题】 动态包过滤防火墙如何解决了特殊构造了标志位的数据包？但是还是无法阻挡反弹端口的木马。 动态包过滤防火墙的工作流程 3．代理防火墙（Proxy Server） 代理防火墙的工作过程： 代理防火墙的工作原理 代理服务器的类型 HTTP代理：代理客户机的http访问，主要代理浏览器访问网页，它的端口一般为80、8080、3128等。 FTP代理：代理客户机上的ftp软件访问ftp服务器，