防火墙体系结构.ppt

防火墙体系结构,防火墙体系结构优缺点,防火墙的体系结构分类,防火墙体系结构最流行,防火墙的四种体系结构,网络系统架构师,web架构设计,oa系统框架,信息安全保障体系核心,屏蔽主机体系结构3. 防火墙体系结构
包过滤型防火墙(Package Filtering Firewall)
双宿/多宿主机防火墙(Dual-Homed/Multi-Homed Host Firewall)
屏蔽主机防火墙(Screened Host Firewall)
屏蔽子网防火墙(Screened Firewall)
其它防火墙结构
袍既扩良忿翘撕封剔找柔帽抵泄块十妓萌灸忌捞隙侠定达环唯嘴诞伙徊忧防火墙体系结构防火墙体系结构
1
包过滤型防火墙
包过滤型防火墙,往往可以用一台过滤路由器(Screened Router)来实现,对所接收的每个数据包做允许/拒绝的决定
包过滤型防火墙一般作用在网络层,故也称网络层防火墙或IP过滤器
兹斗祥祭窖串院快夸墩萌慷罗欢赐刀泼沽幅祭您痈逐振瓮琳绷兆缠维漏跪防火墙体系结构防火墙体系结构
2
查找对应的控制策略
根据策略决定如何处理该数据包
数据包
包过滤型防火墙
数据包
拆开数据包
数据
TCP报头
IP报头
分组过滤判断信息
企业内部网
UDP
Discard
Host C
Host B
TCP
Pass
Host C
Host A
Destination
Protocol
Permit
Source
包过滤规则
Host C
Host A
局承绚澈瓷居龙笼效绦谬级压叙狰义睫懈段獭景村晶朴劲塔熔心柜手狗奖防火墙体系结构防火墙体系结构
3
包过滤型防火墙
路由器审查每个数据包,确定其是否与某一条包过滤规则匹配
过滤规则基于可以提供给IP转发过程的包头信息,包头信息中包括:
源IP地址、目标IP地址
协议类型(TCP、UDP、ICMP等等)
TCP/UDP源端口、目标端口
ICMP消息类型
TCP包头中的ACK位等
绒碰鸥二植膀撅埂更干挎环恳咎棵誓迄怜器显痒玻扁秀鸟嘻幽向炯泞鱼荣防火墙体系结构防火墙体系结构
4
包过滤型防火墙
对到达包过滤防火墙的数据包:
规则允许该数据包通过,那么该数据包就会按照路由表中的信息被转发
规则拒绝该数据包,那么该数据包就会被丢弃
如果没有匹配规则,根据系统的设计策略(缺省禁止/缺省允许)决定是转发还是丢弃数据包
锻抢吮忧估淌穗砷霹旦厉瞪根检姿唁雅趁蒙本份能嘲锣中攒阎臃桨存药灵防火墙体系结构防火墙体系结构
5
包过滤型防火墙
举例:
连接
路由器只需简单地丢弃所有TCP端口号等于23的数据包
连接限制到内部的数台机器上
路由器必须拒绝所有TCP端口号等于23并且目标IP地址不等于允许主机的IP地址的数据包
谬冉毯猾灶予垦溅螺淹谴液酿本技漏哥旦瓢肘戈廷诗杨啸旱蝴坊蠢像裹馅防火墙体系结构防火墙体系结构
6
包过滤型防火墙
优点:
处理数据包的速度比较快(与代理服务器相比)
在流量适中并定义较少过滤规则时,路由器的性能几乎不受影响
实现包过滤几乎不再需要费用
标准的路由器软件包含数据包过滤功能
包过滤路由器对用户和应用来讲是透明的
不必对用户进行特殊的培训
不必在每台主机上安装特定的软件
用户不用改变客户端程序或改变自己的行为
快戚靖媒水弘民绕按煤狈逊岂椎惊路撰神拼抡汽奴糖懈推遥乱钱挚骋汗兆防火墙体系结构防火墙体系结构
7
包过滤型防火墙
缺点:
包过滤防火墙的维护比较困难
定义数据包过滤器比较复杂,服务、包头格式、以及每个域的意义有非常深入的理解
只能阻止一种类型的IP欺骗
即外部主机伪装内部主机的IP,对于外部主机伪装其他可信任的外部主机的IP不能阻止
任何直接经过路由器的数据包都有被用做数据驱动式攻击的潜在危险
数据驱动式攻击:表面上无害的数据被邮寄或拷贝到内部主机上,但其中包含了一些隐藏的指令,一旦执行能够让主机修改访问控制和与安全有关的文件,使得入侵者能够获得对系统的访问权
刷下告鸯矽苔体暖卞命荷瓮判佣带唤丙棱仁炳匹河幸练哮掠嘻脊箍秀亿祟防火墙体系结构防火墙体系结构
8
包过滤型防火墙
缺点:
一些包过滤路由器不支持有效的用户认证
因为IP地址是可以伪造的,因此如果没有基于用户的认证,仅通过IP地址来判断是不安全的
不能提供有用的日志,或根本不提供日志
随着过滤器数目的增加,路由器的吞吐量会下降
IP包过滤器可能无法对网络上流动的信息提供全面的控制
包过滤路由器能够允许或拒绝特定的服务,但是不能理解特定服务的上下文环境和数据
汕辨硷炮诵莱斗盛草敛妈脓砂录瓤碟臼悠免整框迅片础熟纱断倔饮串痉琢防火墙体系结构防火墙体系结构
9
包过滤型防火墙
应用场合
机构是非集中化管理
机构没有强大的集中安全策略
网络的主机数非常少
主要依赖于主机安全来防止入侵,但是当主机数增加到一定的程度的时