防火墙演示文稿.ppt

防火墙演示文稿
第一页，共五十七页。
防火墙
第二页，共五十七页。
本章要求
了解防火墙的定义、发展历史、目的、功能、局限性等
掌握包过滤、应用代理、电路级代理和NAT代理等工作原理、技术特点和实现方式；
掌握防火范则需要定义规则
1）源IP地址欺骗攻击
入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包；这些信息包似乎像包含了一个内部系统的源IP地址。如果这些信息包到达Router的外部接口，则舍弃每个含有这个源IP地址的信息包，就可以挫败这种源欺骗攻击。
第二十三页，共五十七页。
按规则过滤
2）源路由攻击
　　攻击者为信息包指定一个穿越Internet的路由，这类攻击企图绕过安全措施，并使信息包沿一条意外(疏漏)的路径到达目的地。可以通过舍弃所有包含这类源路由选项的信息包方式，来挫败这类攻击。
3）残片攻击
　　入侵者利用IP分段特性生成一个极小的片断并将TCP报头信息肢解成一个分离的信息包片断，使数据包绕过用户定义的过滤规则。黑客希望过滤路由器只检查第一分段，而允许其它分段通过。通过舍弃所有协议类型为TCP、IP报头中Fragment Offset=1的数据包，即可挫败残片的攻击。
第二十四页，共五十七页。
推荐的规则
任何进入内网的数据包不能将内部地址作为源地址
任何进入内网的数据包必须将内部地址作为目标地址
任何离开内网的数据包必须将内部地址作为源地址
任何离开内网的数据包不能将内部地址作为目标地址

第二十五页，共五十七页。
静态包过滤的优缺点
优点：
速度快
价格低
对用户透明
缺点：
配置难把握
防范能力低
没有用户身份验证机制
第二十六页，共五十七页。
动态包过滤
动态包过滤是Check Point的一项称为“Stateful Inspection”的专利技术，也称状态检测防火墙 。
动态包过滤防火墙不仅以一个数据包的内容作为过滤的依据，还根据这个数据包在信息流位置加以判断。
动态包过滤防火墙可阻止未经内网请求的外部通信，而允许内网请求的外部网站传入的通信 。
第二十七页，共五十七页。
动态包过滤防火墙
第二十八页，共五十七页。
使用动态包过滤制定的规则
Deny ip from $internal to any in via eth0
Deny ip from not $internal to any in via eth1
Allow $internal access any dns by udp keep state
Allow $Internal acess any www by tcp keep state
Allow $internal access any ftp by tcp keep state
Deny ip from any to any
第二十九页，共五十七页。
动态包过滤的优缺点
优点：
基于应用程序信息验证一个包状态的能力
记录通过的每个包的详细信息
缺点：
造成网络连接的迟滞
系统资源要求较高
第三十页，共五十七页。
防火墙分类：
包过滤
代理型防火墙：应用代理型
代理型防火墙：电路代理型
代理型防火墙：NAT
第三十一页，共五十七页。
代理服务技术
代理服务技术能够将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的连接，由两个代理服务器之间的连接来实现，外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用。
第三十二页，共五十七页。
应用代理防火墙
工作在应用层
对所有规则内允许的应用程序作中转转发
牺牲了对应用程序的透明性
第三十三页，共五十七页。
应用代理防火墙
应用代理防火墙
第三十四页，共五十七页。
应用代理
应用代理工作原理示意
缓冲文件
应用请求
回复
应用请求
回复
第三十五页，共五十七页。
应用代理防火墙
应用代理服务器的安全性
屏蔽内网用户与外网的直接通信，提供更严格的检查
提供对协议的控制，拒绝所有没有配置的连接
提供用户级控制，可近一步提供身份认证等信息
第三十六页，共五十七页。
应用代理的优缺点
优点：
可以隐藏内部网络的信息；
可以具有强大的日志审核；
可以实现内容的过滤；
缺点：
价格高
速度慢
失效时造成网络的瘫痪
第三十七页，共五十七页。
防火墙分类：
包过滤
代理型防火墙：应用代理型
代理型防火墙：电路代理型
代理型防火墙：NAT
第三十八页，共五十七页。
电路级代理
电路级代理因此可以同时为不同的服务，如WEB、FTP、TELNET提供代理服即