欢迎来到三一办公! | 帮助中心 三一办公31ppt.com(应用文档模板下载平台)
三一办公
全部分类
  • 办公文档>
  • PPT模板>
  • 建筑/施工/环境>
  • 毕业设计>
  • 工程图纸>
  • 教育教学>
  • 素材源码>
  • 生活休闲>
  • 临时分类>
  • ImageVerifierCode 换一换
    首页 三一办公 > 资源分类 > PPT文档下载  

    第五章防火墙技术课件.ppt

    • 资源ID:3946777       资源大小:6.55MB        全文页数:39页
    • 资源格式: PPT        下载积分:16金币
    快捷下载 游客一键下载
    会员登录下载
    三方登录下载: 微信开放平台登录 QQ登录  
    下载资源需要16金币
    邮箱/手机:
    温馨提示:
    用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)
    支付方式: 支付宝    微信支付   
    验证码:   换一换

    加入VIP免费专享
     
    账号:
    密码:
    验证码:   换一换
      忘记密码?
        
    友情提示
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
    5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。

    第五章防火墙技术课件.ppt

    网络安全与病毒防范,第五章,防火墙技术,5.1,防火墙的基本概念,?,?,5.2,?,5.3,?,5.4,2018/11/5,电子科技大学成都学院,2,防火墙的主要技术,防火墙的体系结构,防火墙的局限性及发展,5.1,防火墙的基本概念,?,?,防火墙是一种高级访问控制设备,是在被保护,网和外网之间执行访问控制策略的一种或一系,列部件的组合,是不同网络安全域间通信流的,通道,能根据企业有关安全策略控制进出网络,的访问行为。,防火墙是设置在可信网络,(Trusted Network),和,不可信任的外界之间的一道屏障,可以实施比,较广泛的安全策略来控制信息流进入可信网络,,防止不可预料的潜在的入侵破坏;另一方面能,够限制可信网络中的用户对外部网络的非授权,访问。,电子科技大学成都学院,3,2018/11/5,?,防火墙都必须具有以下三种基本性质:,?,进出网络的双向通信信息必须通过防火墙;,?,只能允许经过本地安全策略授权的通信信息,通过;,?,防火墙本身不能影响网络信息的流通。,2018/11/5,电子科技大学成都学院,4,?,防火墙的功能,主要表现在如下四个方面:,?,(,1,)防火墙是网络安全的屏障,?,(,2,)防火墙可以强化网络安全策略,?,(,3,)对网络存取和访问进行监控审计,?,(,4,)防止内部信息的外泄,?,由于防火墙所处的优越位置,在实际应用中往往加,入其他功能,如,NAT,(网络地址转换)、路由管理、,VPN,等。,2018/11/5,电子科技大学成都学院,5,?,从总体上来看,防火墙应具有以下五个基本功,能:,?,过滤进、出网络的数据;,?,管理进、出网络的访问行为;,?,封堵某些禁止的业务;,?,记录通过防火墙的信息内容和活动;,?,对网络攻击进行检测和告警。,2018/11/5,电子科技大学成都学院,6,5.2,防火墙技术,?,常见的防火墙技术有三种:,?,1,、包,(,分组,),过滤技术,?,2,、代理技术,?,3,、状态检测技术,2018/11/5,电子科技大学成都学院,7,?,1,包,(,分组,),过滤技术,?,包过滤技术,指在网络中适当的位置对数据包,有选择的通过,选择的依据是系统内设置的,过滤规则,只有满足过滤规则的数据包才被,转发到相应的网络接口,其余数据包则从数,据流中删除。,?,包过滤防火墙一般位于内部网络和外部网络,的边界上,是内外网络通信的唯一出入点,,所有进出内部网络的流量首先都要经过包过,滤防火墙的审查。,2018/11/5,电子科技大学成都学院,8,?,包过滤防火墙作用在网络层和传输层,它根据通过防,火墙的每个数据包的首部信息确定是否允许数据包通,过。只有满足过滤逻辑的数据包才被转发到相应的目,的地出口端,其余数据包则被从数据流中丢弃。,?,过滤依据特性:,?,?,?,?,?,?,?,?,IP,源地址,IP,目标地址,协议类型(,TCP,包、,UDP,包和,ICMP,包),TCP,或,UDP,包的目的端口,TCP,或,UDP,包的源端口,ICMP,消息类型,TCP,包头的,ACK,位,TCP,包的序列号、,IP,校验和等,2018/11/5,电子科技大学成都学院,9,分组过滤原理,2018/11/5,控制策略,查找对应的,控制策略,安全网域,根据策略决定如,何处理该数据包,Host C,Host D,拆开数据包,数,据,数据包,数据包,数据包,包,IP,报头,TCP,报头,数据,分组过滤判断信息,过滤依据主要是,TCP/IP,报头里面的,信息,不能对应用层数据进行处理,电子科技大学成都学院,10,?,?,包过滤设备,(,不管是路由器还是防火墙,),配置有一系列的,数据包过滤规则,定义了什么包可以通过防火墙,什,么包必须丢弃,这些规则常称为数据包过滤访问扩展,列表,(ACL),。,各个厂商的防火墙产品都有自己的语法用于创建规则。,一些常用的包过滤规则使用与厂商无关但可理解的定,义语言,如表,5-1,所示。,2018/11/5,电子科技大学成都学院,11,?,一般地,应该阻止如下几种,IP,包进入内部网:,?,(,1,)源地址是内部地址的外来数据包。这类数据包很,可能是为实行,IP,地址诈骗攻击而设计的,其目的是装,扮成内部主机混过防火墙的检查进入内部网。,?,(,2,)指定中转路由器的数据包。这类数据包很可能是,为绕过防火墙而设计的数据包。,?,(,3,)有效载荷很小的数据包。这类数据包很可能是为,抵御过滤规则而设计的数据包,其目的是将,TCP,包首,部分封装成两个或多个,IP,包送出,比如将起始端口和,目标端口分别放在两个不同的,TCP,包中,使防火墙的,过滤规则对这类数据包失效,这种方法称为,TCP,碎片,攻击。,2018/11/5,电子科技大学成都学院,12,?,除了阻止从外部网送来的恶意数据包外,过滤规则还,应阻止某些类型的内部网数据包进入外部网,特别是,用于建立局域网和提供内部网通信服务的各种协议数,据包,包括,:,?,启动程序协议,(Bootp),?,动态主机配置协议,(DHCP),?,简易文件传输协议,(TFTP),?,微软网络基本输入输出系统,(NetBIOS),?,公共互联网文件系统,(CIFS),?,远程行式打印机,(LPR),?,网络文件系统,(NFS),2018/11/5,电子科技大学成都学院,13,?,优点,?,包过滤防火墙的优点在于处理效率上,安全性体现,在根据过滤规则对,TCP,、,UDP,数据包进行检测。,?,缺点,?,制定包过滤路由器的安全规则非常复杂,且不易配,置和维护,有时为了允许正常情况下被阻塞的访问,服务而需要制定规则的例外情形,这使得过滤规则,复杂到难以管理的地步。,?,包过滤防火墙不能很好的处理动态端口连接的情况。不能,根据每一连接的情况,开放实际使用的端口。,2018/11/5,电子科技大学成都学院,14,?,例,1,:包过滤防火墙不能很好的处理动态端口,连接的情况。不能根据每一连接的情况,开放,实际使用的端口。,?,例,2,:包过滤防火墙对于,TCP ACK,隐蔽扫描无,能为力,。,2018/11/5,电子科技大学成都学院,15,?,2,状态包过滤技术,?,状态包过滤,(Stateful Packet Filter),是一种基于连接的,状态检测机制,将属于同一连接的所有包作为一个整,体的数据流看待,对接收到的数据包进行分析,判断,其是否属于当前合法连接,从而进行动态的过滤。,?,跟传统包过滤只有一张过滤规则表不同,状态包过滤,同时维护过滤规则表和状态表。过滤规则表是静态的,,而状态表中保留着当前活动的合法连接,它的内容是,动态变化的,随着数据包来回经过设备而实时更新。,当新的连接通过验证,在状态表中则添加该连接条目,,而当一条连接完成它的通信任务后,状态表中的该条,目将自动删除。,2018/11/5,电子科技大学成都学院,16,?,工作过程,2018/11/5,电子科技大学成都学院,17,?,针对前例的优势,?,状态包过滤借助状态表,可以按需开放端口,,分配到哪个动态端口,就只开放这个端口,,一旦连接结束,该端口重新被关闭,这样很,好的弥补了前面提到的传统包过滤缺陷,大,大增强了安全性。,?,在状态过滤防火墙中,状态过滤器记住了原,来,Web,请求的外出,SYN,包,如果攻击者试图,从早先没有,SYN,的地址和端口发送,ACK,数据,包,则状态包过滤器会丢弃这些包。,2018/11/5,电子科技大学成都学院,18,?,此外,状态数据包过滤能够帮助保护更复杂,2018/11/5,的服务,如,FTP,。,FTP,传输一个文件需要两,个连接:一个,FTP,控制连接,(,通过这个连接发,送获取目录列表和传输文件的命令,),,以及,一个,FTP,数据连接,(,通过这个连接发送文件列,表和文件本身,),。可以配置状态数据包过滤,器,使之只在建立了,FTP,控制连接之后才允,许,FTP,数据连接,从而比传统的,(,非状态,),数,据包过滤器更好地维护协议。,电子科技大学成都学院,19,?,状态数据包过滤器比传统数据包过滤具有强得多的,安全能力。但是,由于必须查询状态表,状态数据,包过滤器通常要比传统数据包过滤器慢一些。不过,,由于大大提高了安全性,性能上的这点变化通常可,以忽略。而且,使用定制的专用芯片,状态过滤处,理仍然可以相当快速。由于这些极大的好处,现在,许多防火墙解决方案都是基于状态数据包过滤技术。,2018/11/5,电子科技大学成都学院,20,?,3.,代理技术,?,代理服务一般分为应用层代理与传输层代理两种。,?,应,用,层,代,理,,,也,称,为,应,用,层,网,关,(Application,Gateway),技术。,?,它工作在网络体系结构的最高层,应用层,通过,对每一种应用服务编制专门的代理程序,实现监视,和,控,制,应,用,层,信,息,流,的,作,用,。,防,火,墙,可,以,代,理,HTTP,、,FTP,、,SMTP,、,POP3,、,Telnet,等协议,使,得内网用户可以在安全的情况下实现浏览网页、收,发邮件、远程登录等应用。,2018/11/5,电子科技大学成都学院,21,?,应用代理防火墙的优点,?,基于代理的防火墙没有传统数据包过滤器遇到的,ACK,攻击扫描问题,因为,ACK,不是有意义的应用请求的一,部分,它将被代理丢弃。,?,基于代理的防火墙可以梳理应用级协议,以确保所有,交换都严格遵守协议消息集。例如,一个,Web,代理可,以确保所有消息都是正确格式化的,HTTP,,而不是仅,仅检查确保它们是前往目标,TCP,端口,80,。,?,代理可以允许或拒绝应用级功能。因此,对于,FTP,,,代理可以允许,FTP,GET,,从而使用户可以将文件带入,网络,同时拒绝,FTP,PUT,,禁止用户使用,FTP,将文件,传送出去。,2018/11/5,电子科技大学成都学院,22,?,应用层网关有能力支持可靠的用户认证并提供详细,的注册信息。因为它在应用级操作,并可以显示用,户,ID,和口令提示或其他验证请求。,?,用于应用层的过滤规则相对于包过滤路由器来说更,容易配置和测试。,?,代理工作在客户机和真实服务器之间,完全控制会,话,所以可以提供很详细的日志和安全审计功能。,?,提供代理服务的防火墙可以被配置成惟一的可被外,部看见的主机,这样可以隐藏内部网的,IP,地址,可,以保护内部主机免受外部主机的进攻。,?,通过代理访问,Internet,可以解决合法,IP,地址不够用的,问题,因为,Internet,所见到只是代理服务器的地址,,内部的,IP,则通过代理可以访问,Internet,。,2018/11/5,电子科技大学成都学院,23,?,缺点,?,尽管特定厂商的实现差别很大,一般来讲,,因为基于代理的防火墙注重于应用层,并详,细搜索协议,因此它们比数据包过滤器防火,墙稍慢。代理对数据流的控制要多得多,但,是控制需要,CPU,开销和内存开销。因此,要,处理相同量的数据流,基于代理的防火墙通,常需要更高性能的处理器。,?,有限的连接性。,?,有限的技术。,2018/11/5,电子科技大学成都学院,24,5.3,防火墙体系结构,?,防火墙体系结构一般分为:,?,包过滤路由器,?,双宿主机防火墙,?,屏蔽主机防火墙,?,屏蔽子网防火墙,2018/11/5,电子科技大学成都学院,25,屏蔽子网防火墙,?,几个概念:,?,1,、周边网络,周边网络是一个防护层,在其上可放置一些信息服,务器,它们是牺牲主机,可能会受到攻击,因此又,被称为非军事区(,DMZ,)。,?,周边网络的作用:即使堡垒主机被入侵者控制,它,仍可消除对内部网的侦听。,E.g.:netxray,等的工作原,理。,?,2018/11/5,电子科技大学成都学院,26,屏蔽子网防火墙,?,2,、堡垒主机,堡垒主机位于周边网络,是整个防御体系的核心。,?,堡垒主机可被认为是应用层网关,可以运行各种代,理服务程序。,?,对于出站服务不一定要求所有的服务经过堡垒主机,代理,但对于入站服务应要求所有服务都通过堡垒,主机。,?,2018/11/5,电子科技大学成都学院,27,屏蔽子网防火墙,?,3,、外部路由器(访问路由器),作用:保护周边网络和内部网络不受外部网络的侵,犯。,?,它把入站的数据包路由到堡垒主机。,?,防止部分,IP,欺骗,它可分辨出数据包是否真正来自,周边网络,而内部路由器不可。,?,?,4,、内部路由器(阻塞路由器),作用:保护内部网络不受外部网络和周边网络的侵,害,它执行大部分过滤工作。,?,外部路由器一般与内部路由器应用相同的规则。,?,2018/11/5,电子科技大学成都学院,28,包过滤路由器,进行包过滤,包过滤器,内部网络,外部网络,2018/11/5,电子科技大学成都学院,29,双宿主主机防火墙,双宿主主机,2018/11/5,所有的通信必须经过双宿主主机,?,通过应用代理,?,通过登陆到双宿主主机上获得服务,缺点:如何保护双宿主,主机本身的安全,内部网络,外部网络,?,禁止内外网络之间直接通信,电子科技大学成都学院,30,双宿主主机防火墙,?,?,?,双重宿主主机体系结构是围绕双重宿主主机构筑的。,双重宿主主机至少有两个网络接口,它位于内部网络和外,部网络之间,这样的主机可以充当与这些接口相连的网络,之间的路由器,它能从一个网络接收,IP,数据包并将之发往,另一网络。然而实现双重宿主主机的防火墙体系结构禁止,这种发送功能,完全阻止了内外网络之间的,IP,通信。,两个网络之间的通信可通过应用层数据共享和应用层代理,服务的方法实现。一般情况下采用代理服务的方法,。,2018/11/5,电子科技大学成都学院,31,双宿主主机防火墙,?,双重宿主主机的特性:,?,安全至关重要(唯一通道),其用户口,令控制安全是关键。,?,必须支持很多用户的访问(中转站),,其性能非常重要。,?,缺点:双重宿主主机是隔开内外网络的唯一屏障,,一旦它被入侵,内部网络便向入侵者敞开大门。,2018/11/5,电子科技大学成都学院,32,2018/11/5,缺点:,屏蔽主机,?,堡垒主机与其他主机在同一个子,互联网,网,?,一旦堡垒主机被攻破或被越过,,整个内网和,堡垒主机之间就再也,没有任何阻挡。,过滤器,不允许外部主机直接,进行规则配置,只允许外部,访问除堡垒主机之外,主机与堡垒主机通讯,的其他主机,对内部其他主机的访问,必须经过堡垒主机,电子科技大学成都学院,堡垒主机,33,屏蔽主机防火墙,?,?,屏蔽主机体系结构由防火墙和内部网络的堡垒主,机承担安全责任。一般这种防火墙较简单,可能,就是简单的路由器。,典型构成:包过滤路由器堡垒主机。,?,包过滤路由器配置在内部网和外部网之间,保证外部,系统对内部网络的操作只能经过堡垒主机。,?,堡垒主机配置在内部网络上,是外部网络主机连接到,内部网络主机的桥梁,它需要拥有高等级的安全。,2018/11/5,电子科技大学成都学院,34,屏蔽主机防火墙,?,屏蔽路由器可按如下规则之一进行配置:,?,允许内部主机为了某些服务请求与外部网上的主机建,立直接连接(即允许那些经过过滤的服务)。,?,不允许所有来自内部主机的直接连接。,?,?,安全性更高,双重保护:实现了网络层安全(包,过滤)和应用层安全(代理服务)。,缺点:过滤路由器能否正确配置是安全与否的关,键。,如果路由器被损害,堡垒主机将被穿过,整,个网络对侵袭者是开放的。,2018/11/5,电子科技大学成都学院,35,屏蔽子网体系结构,Internet,外部路由器,堡垒主机,周边网络,内部路由器,内部网络,2018/11/5,电子科技大学成都学院,36,屏蔽子网防火墙,?,?,屏蔽子网体系结构在本质上与屏蔽主机体系结构,一样,但添加了额外的一层保护体系,周边网,络。,堡垒主机位于周边网络上,,周边网络和内部,网络被内部路由器分开。,原因:堡垒主机是用户网络上最容易受侵袭的机,器。通过在周边网络上隔离堡垒主机,能减少在,堡垒主机被侵入的影响。,2018/11/5,电子科技大学成都学院,37,5.3,防火墙,5.3.4,防火墙的局限性和发展,?,没有万能的网络安全技术,防火墙也不例外。防火墙,有以下三方面的局限:,?,防火墙不能防范网络内部的攻击。比如:防火墙无法,禁止变节者或内部间谍将敏感数据拷贝到软盘上。,?,防火墙也不能防范那些伪装成超级用户或诈称新雇员,的黑客们劝说没有防范心理的用户公开其口令,并授,予其临时的网络访问权限。,?,防火墙不能防止传送己感染病毒的软件或文件,不能,期望防火墙去对每一个文件进行扫描,查出潜在的病,毒。,2018/11/5,电子科技大学成都学院,38,防火墙的发展趋势,?,优良的性能,?,可扩展的结构和功能,?,简化的安装与管理,?,主动过滤,?,防病毒与防黑客,2018/11/5,电子科技大学成都学院,39,

    注意事项

    本文(第五章防火墙技术课件.ppt)为本站会员(牧羊曲112)主动上传,三一办公仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知三一办公(点击联系客服),我们立即给予删除!

    温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。




    备案号:宁ICP备20000045号-2

    经营许可证:宁B2-20210002

    宁公网安备 64010402000987号

    三一办公
    收起
    展开