防火墙的关键技术课件.ppt

第二讲：防火墙关键技术,计算机科学与技术学院主讲人：吕宏武,网络安全防护技术讲义,MAIN POINTS,包过滤技术状态包过滤技术NAT网络地址转换技术代理技术,MAIN POINTS,学习的目标,理解包过滤技术掌握NAT转换的基本原理了解防火墙代理技术,1、包过滤技术,包过滤原理,分组交换网络，包含信息头部和数据信息两部分工作在网络层和传输层根据首部信息决定处理方式理论上可以对报头的任意数据域进行过滤,1、包过滤技术,IPv4的头部,1、包过滤技术,TCP的头部,1、包过滤技术,包过滤的规则表,数据包过滤访问控制列表ACL只有满足规则的数据包才被转发,1、包过滤技术,包过滤的规则表,还可以包含TCP包的序列号、IP校验和、网卡名称等,1、包过滤技术,通常被阻止的数据包,部分内网数据包,1、包过滤技术,包过滤的优缺点,优点是简单,缺点是：过滤依据的信息有限缺少审计和报警机制不能对用户身份验证规则数目受限，规则表太大时，性能受影响对安全管理人员的要求很高由于缺少上下文关联信息，难以处理动态端口连接,1、包过滤技术,包过滤的优缺点,EX1,仅开通内部主机对外部Web服务的访问,？,1、包过滤技术,包过滤的优缺点,EX2,包过滤防火墙对于TCP ACK隐蔽扫描的处理分析,？,1、包过滤技术,包过滤的优缺点,EX2,包过滤防火墙对于TCP ACK隐蔽扫描的处理分析,？,2、状态包过滤技术,状态包过滤技术,基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流来看待,过滤规则表+状态表,2、状态包过滤技术,状态包过滤技术,基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流来看待,过滤规则表+状态表,2、状态包过滤技术,状态包过滤技术,重新分析EX1,OUT | 主机A地址：* | 服务器地址：80 | TCP协议 | 接收并加入状态表,2、状态包过滤技术,状态包过滤技术,重新分析EX2,2、状态包过滤技术,状态包过滤技术,也可以保护更复杂的情况，如UDPFTP需要两个连接，控制端口一般为21，而数据端口一般为20,2、状态包过滤技术,状态包过滤技术的优缺点,访问控制列表管理与维护困难：规模、顺序难以详细了解主机之间的会话关系底层难以实现对应用层服务的过滤查询状态表,2、NAT技术,NAT,最初只是为了将私有IP映射到公网IP地址短缺内部地址隐藏负载均衡网络地址交叠,2、NAT技术,静态NAT,私有IP：公网IP 1 to 1,5,2、NAT技术,动态NAT,私有IP：公网IP m to n,2、NAT技术,动态NAT,PAT IP地址+端口号：网络套接字映射,节省IP地址隐藏内部拓扑结构,2、NAT技术,NAT实现负载均衡,与NAT映射表中相匹配的目的地址会被内网集中的一个地址所替代以连接为单位轮询进行由外部发起到内部新连接时才执行,2、NAT技术,NAT实现负载均衡,2、NAT技术,NAT处理网络地址交叠,两个公司合并方案移植,2、NAT技术,NAT技术缺点,某些应用层协议无法使用NAT：与端口关联安全问题：静态/数据包中的相关地址不能替换对内部主机的引诱和木马攻击无抵御能力状态表超时问题,3、代理技术,Proxy,基于应用层信息处理问题，不再基于数据包,3、代理技术,应用层代理,针对每一种应用编制专门的代理程序HTTP、SMTP、POP3、Telnet,3、代理技术,应用层代理,代理服务程序接受内网用户请求访问规则检查表进行核查（允许的请求类型）IF允许，代理服务程序将请求转发给外部真正的服务程序。当会话建立后，代理仅承担中转站的任务。,内网用户和外部服务器之间传超数据，担当C/S双重角色；代理服务包括两个部分：代理服务器端程序和代理客户端程序,3、代理技术,应用层代理,无ACK攻击扫描问题，不是有意义的应用请求结合协议进行检测如HTTP，检查是否是正确格式，而不仅仅是80端口如FTP，可以get 不可put,3、代理技术,应用层代理优点,经常访问的信息可以缓存支持用户认证配置规则简单完全控制会话，可提供详细日志和安全审计可隐藏内部IP代理访问解决内部IP不足,3、代理技术,应用层代理缺点,吞吐量瓶颈有限的连接性，提供独特的Proxy不能支持RPC、TALK等协议族,3、代理技术,传输层代理SOCKS,不再是一种应用一种代理SOCKS服务端、 SOCKS客户端服务端实现在应用层客户端实现在应用层和传输层之间无需直接的IP联通性前提对高层透明SOCKS 5,3、代理技术,传输层代理SOCKS,静态包过滤防火墙,配置实例（1）,静态包过滤防火墙,配置实例（2）,Thank You!,