防火墙技术-几种防护墙概念介绍.ppt

第七讲：几种防火墙介绍,1,简单包过滤/分组过滤防火墙状态检测包过滤防火墙应用代理防火墙电路中继防火墙,传输层,网络层,数据链路层,物理层,应用层,数据链路层,物理层,应用层,传输层,网络层,一、状态检测防火墙,对于新建立的应用连接，状态检测型防火墙先检查预先设置的安全规则，允许符合规则的连接通过，并记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。状态检测防火墙保留状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。,2,过滤规则实例,3,过滤规则配置的两种方式（一）,限制策略：接受信任的数据包，拒绝其它所有数据包,4,过滤规则配置的两种方式（二）,宽松策略：拒绝不受信任的数据包，接受其它所有数据包,5,针对包过滤防火墙的攻击,IP地址欺骗，例如，假冒内部的IP地址对策：在外部接口上禁止内部地址小碎片攻击，利用IP分片功能把TCP头部切分到不同的分片中对策：丢弃分片太小的分片利用规则设置漏洞对策：采用状态检测防火墙1 192.168.1.9 any any any permit2 192.168.1.9 any any 80 deny源路由攻击，即由源指定路由对策：禁止这样的选项,6,源路由攻击,7,1,B,permit2,C,deny,B,Data,C,Data,B,Data,R3,R1,B,R3,R1,Data,作业1：根据条件编写防火墙规则,内网所有设备之间都能相互访问内网所有设备，除了以外，都能访问外网的Web服务只有能访问外网的应用A，其它设备都不能访问应用A内网Web服务和邮件服务能被外网所有设备访问内网文件服务能被外网的访问，其它网外设备不能访问其它访问被禁止,8,内网,外网,作业1：要求,11月6日前通过邮件递交()Word文件，文件名：学号-作业1.doc按以下格式编写规则：,9,第七讲：几种防火墙介绍,10,简单包过滤/分组过滤防火墙状态检测包过滤防火墙应用代理防火墙电路中继防火墙,传输层,网络层,数据链路层,物理层,应用层,数据链路层,物理层,应用层,传输层,网络层,二、应用代理防火墙,也称为应用层网关特点所有的内外网之间的连接都通过防火墙，防火墙作为网关在应用层上实现可以监视数据包的应用层内容可以实现基于用户的认证，防止IP欺骗所有的应用需要单独实现可以提供理想的日志功能非常安全，但是开销比较大,11,应用代理防火墙技术介绍,优点：安全性高提供应用层的安全,12,缺点：性能差伸缩性差只支持有限的应用不透明,应用代理防火墙,13,应用代理防火墙实际上并不允许在它连接的网络之间直接通信。相反，它是接受来自内部/外部网络特定用户应用程序的通信，然后建立与外部/内部网络主机单独的连接。网络内部/外部的用户不直接与外部/内部的服务器通信，所以内部/外部主机不能直接访问外部/内部网络的任何一部分。,D,D,应用代理防火墙工作原理,14,Telnet应用代理,15,远程登录Telnet应用代理的过程：用户首先Telnet到应用代理主机，并输入内部目标主机的名字（域名、IP地址）应用代理检查用户的源IP地址等，并根据事先设定的访问规则来决定是否转发或拒绝数据然后进行用户验证应用代理服务器为用户建立在网关与内部主机之间的Telnet连接应用代理服务器在两个连接（用户/应用网关，代理服务器/内部主机）之间传送数据应用网关对本次连接进行日志记录,Telnet“会话”在终端上的显示,Outside-Host telnet fwhost Username:John Smith Password:#Challenge Number 237936 Challenge Response:723456 Trying 200.43.67.17.Connecting to fwhost Escape character is fwhost telnet proxy(version 1.4)ready:fw-telnetconnect insidehost SunOS UNIX(insidehost)login:John Smith Password:#Last login:Wednesday Dec 13 11:17:15 Welcome Inside-Host,16,应用代理防火墙优点,可以检查应用层的协议特征，对数据包的检测能力较强。在网络连接建立之前可以对用户身份进行认证所有通过防火墙的信息流可以被记录下来传输内容的全面检查支持内部网络的信息隐藏易于控制和管理,17,应用代理防火墙缺点,配置困难：由于每个应用都要求单独的代理进程，这就要求网管人员能理解每项应用协议的弱点，并能合理的配置安全策略。配置繁琐，容易出现配置失误，最终影响内网的安全防范能力。处理速度非常慢，网络性能低对每种类型的服务都需要一个代理防火墙对用户不透明,18,三、电路中继防火墙,也叫电路层网关拓扑结构同应用层网关相同接收客户端连接请求，代理客户端完成网络连接在客户和服务器间中转数据通用性强,19,电路中继防火墙功能,电路中继防火墙可针对每个TCP、UDP会话进行识别和过滤。在会话的建立过程中，除了检查传统的过滤规则之外，还要求发起会话的客户端向防火墙发送用户名和口令，只有通过验证的用户才被允许建立会话。会话一旦建立，则报文流可不加检验直接穿透防火墙。电路中继防火墙通过对客户端的用户名和口令进行验证，有效地避免了网络传送过程中源地址被冒充等问题，可有效地防御IP/UDP/TCP欺骗，并可快速定位TCP/UDP的攻击发起者。,20,电路中继防火墙工作协议,21,应用层,传输层,网络层,数据链路层,物理层,物理层,数据链路层,网络层,应用层,传输层,网络层,数据链路层,物理层,外部网络主机,内部网络主机,电路中继防火墙,应用层,传输层,身份验证,电路中继防火墙,22,电路中继技术：Socks,专门设计用于防火墙在应用层和传输层之间增加了一层Socks lib和socks server基于用户的认证方案正在普及和流行,23,应用层传输层网络层数据链路层,client,Socks server,policy,server,TCP客户的处理过程,客户首先与socks 服务建立一个TCP连接，通常SOCKS端口为1080然后客户与服务器协商认证方案然后进行认证过程认证完成之后客户发出请求服务器送回应答一旦服务器应答指示成功，客户就可以传送数据了,24,四种防火墙的比较,25,案例分析：如何保护网络系统，避免受到入侵攻击？,26,问题,27,防火墙的共同特征包括：A.数据过滤B.访问控制C.病毒防御D.身份认证包过滤防火墙主要依据下列哪些因素进行过滤：A.物理地址B.IP地址C.端口D.协议关于状态检测技术，说法错误的是：A.跟踪流经防火墙的所有通信信息B.对通信连接的状态进行跟踪与分析C.需要配制过滤规则D.工作在协议最底层，所以不能有效监测应用层数据应用代理技术的特点包括：A.提供透明的应用层安全B.对数据包的检测能力较强C.性能高D.安全性高电路中继的特点包括：A.在应用层上实现 B.通用性强 C.性能高D.对用户透明,