防火墙体系结构.ppt

1 3. 防火墙体系结构?包过滤型防火墙(Package Filtering Firewall) ?双宿/多宿主机防火墙(Dual-Homed/Multi- Homed Host Firewall) ?屏蔽主机防火墙(Screened Host Firewall) ?屏蔽子网防火墙(Screened Firewall) ?其它防火墙结构 2 包过滤型防火墙?包过滤型防火墙,往往可以用一台过滤路由器(Screened Router) 来实现,对所接收的每个数据包做允许/拒绝的决定?包过滤型防火墙一般作用在网络层,故也称网络层防火墙或 IP过滤器 3 查找对应的控制策略根据策略决定如何处理该数据包数据包 包过滤型防火墙数据包拆开数据包数据 TCP 报头 IP报头分组过滤判断信息企业内部网 UDP Discard Host C Host B TCP Pass Host C Host A Destination Protocol Permit Source 包过滤规则 Host C Host A 4 包过滤型防火墙?路由器审查每个数据包,确定其是否与某一条包过滤规则匹配?过滤规则基于可以提供给 IP 转发过程的包头信息,包头信息中包括: ?源 IP地址、目标 IP地址?协议类型(TCP 、 UDP 、 ICMP 等等) ? TCP/UDP 源端口、目标端口? ICMP 消息类型? TCP 包头中的 ACK 位等 5 包过滤型防火墙?对到达包过滤防火墙的数据包: ?规则允许该数据包通过,那么该数据包就会按照路由表中的信息被转发?规则拒绝该数据包,那么该数据包就会被丢弃?如果没有匹配规则,根据系统的设计策略(缺省禁止/缺省允许)决定是转发还是丢弃数据包 6 包过滤型防火墙?举例: ?阻塞所有进入的 连接路由器只需简单地丢弃所有 TCP 端口号等于 23 的数据包?将进来的 连接限制到内部的数台机器上路由器必须拒绝所有 TCP 端口号等于 23 并且目标 IP地址不等于允许主机的 IP地址的数据包 7 包过滤型防火墙?优点: ?处理数据包的速度比较快(与代理服务器相比) ?在流量适中并定义较少过滤规则时,路由器的性能几乎不受影响?实现包过滤几乎不再需要费用?标准的路由器软件包含数据包过滤功能?包过滤路由器对用户和应用来讲是透明的?不必对用户进行特殊的培训?不必在每台主机上安装特定的软件?用户不用改变客户端程序或改变自己的行为 8 包过滤型防火墙?缺点: ?包过滤防火墙的维护比较困难?定义数据包过滤器比较复杂,网络管理员需要对各种 服务、包头格式、以及每个域的意义有非常深入的理解?只能阻止一种类型的 IP欺骗?即外部主机伪装内部主机的 IP,对于外部主机伪装其他可信任的外部主机的 IP不能阻止?任何直接经过路由器的数据包都有被用做数据驱动式攻击的潜在危险?数据驱动式攻击:表面上无害的数据被邮寄或拷贝到内部主机上,但其中包含了一些隐藏的指令,一旦执行能够让主机修改访问控制和与安全有关的文件,使得入侵者能够获得对系统的访问权 9 包过滤型防火墙?缺点: ?一些包过滤路由器不支持有效的用户认证?因为 IP地址是可以伪造的,因此如果没有基于用户的认证,仅通过 IP地址来判断是不安全的?不能提供有用的日志,或根本不提供日志?随着过滤器数目的增加,路由器的吞吐量会下降? IP包过滤器可能无法对网络上流动的信息提供全面的控制?包过滤路由器能够允许或拒绝特定的服务,但是不能理解特定服务的上下文环境和数据 10 包过滤型防火墙?应用场合?机构是非集中化管理?机构没有强大的集中安全策略?网络的主机数非常少?主要依赖于主机安全来防止入侵,但是当主机数增加到一定的程度的时候,仅靠主机安全是不够的?没有使用 DHCP 这样的动态 IP地址分配协议