网络安全技术与实践第10章防火墙技术ppt课件.ppt

《网络安全技术与实践第10章防火墙技术ppt课件.ppt》由会员分享，可在线阅读，更多相关《网络安全技术与实践第10章防火墙技术ppt课件.ppt（39页珍藏版）》请在三一办公上搜索。

1、第10章 防火墙技术,信息安全概论,目 录,上海市精品课程网络安全技术,教 学 目 标, 掌握防火墙的概念 掌握防火墙的功能 了解防火墙的不同分类 掌握SYN Flood攻击的方式 掌握用防火墙阻止SYN Flood攻击的方法,重点,重点,教学目标,上海市精品课程网络安全技术,10.1.1 防火墙的概念,防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全策略控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。,10

2、.1.1 防火墙的概念,根据已经设置好的安全规则，防火墙决定是允许（allow）或者拒绝（deny）内部网络和外部网络的连接,10.1.2 防火墙的功能,防火墙的功能建立一个集中的监视点隔绝内、外网络，保护内部网络强化网络安全策略对网络存取和访问进行监控审计实现网络地址变换的理想平台,10.1.3 防火墙的主要优点,（1）防火墙能强化安全策略每时每刻在Internet上都有上百万人在收集信息、交换信息，防火墙执行站点的安全策略，仅仅容许认可的和符合规则的请求通过。（2）防火墙能有效地记录Internet上的活动因为所有进出信息都必须通过防火墙，所以防火墙非常适用收集关于系统和网络使用和误用的信

3、息。作为唯一的访问点，防火墙能在被保护的网络和外部网络之间进行记录（3）防火墙限制暴露用户点防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。（4）防火墙是一个安全策略的检查站所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。,10.1.4 防火墙的主要缺陷与不足,防火墙的主要缺陷与不足不能防范恶意的知情者不能防范不通过它的连接不能防御全部的威胁防火墙不能防范病毒讨论思考（1）什么是防火墙？现实生活中有没有类似于防火墙功能的生活现象？（2）使用防火墙构建企业网络体系后，管理员是否可以高枕无忧？（3）能够提出一种

4、思路，来快速响应网络攻击行为？,10.2 防火墙类型,按照软硬件形式分类软件防火墙硬件防火墙芯片级防火墙按照技术分类包过滤防火墙应用代理防火墙应用网关防火墙电路级防火墙状态检测防火墙,包过滤防火墙,包过滤设备通常是根据IP、TCP或UDP包头信息如源地址、目的地址和端口号、协议类型等标志来确定是否允许数据包通过。,包过滤防火墙-静态,无状态数据包过滤也常被称作是第一代静态包过滤类型防火墙。无状态数据包过滤在做出是否丢弃一个数据包的决定时，并不关心连接的状态。但是无状态数据包过滤在需要完全阻塞从子网络和其他网络过来的通信时非常有用，并且数据包转发速度极快。过滤方法是建立规则集，这包含如下六个方面

5、：按IP数据包报头标准过滤按照TCP或UDP端口号过滤按照ICMP消息类型过滤按段标记过滤按ACK标记过滤可疑的入站数据包的过滤,包过滤防火墙-动态,动态包过滤动态包过滤试图将数据包的上下文联系起来，建立一种基于状态的包过滤机制。对于新建的应用连接，防火墙检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，这些相关信息构成一个状态表。这样，当一个新的数据包到达，如果属于已经建立的连接，则检查状态表，参考数据流上下文决定当前数据包通过与否；如果是新建连接，则检查静态规则表。动态包过滤通过在内存中动态地建立和维护一个状态表，数据包到达时，对该数据包的处理方式将综合静态

6、安全规则和数据包所处的状态进行。克服了传统包过滤仅仅孤立的检查单个数据包和安全规则静态不可变的缺陷，使得防火墙的安全控制力度更为细致,包过滤防火墙-其他技术,深度包检测深入检测数据包有效载荷，执行基于应用层的内容过滤，以此提高系统应用防御能力。应用防御的技术问题主要包括：需要对有效载荷知道得更清楚； 也需要高速检查它的能力。流过滤技术以状态包过滤的形态实现应用层的保护能力；通过内嵌的专门实现的TCPIP协议栈，实现了透明的应用信息过滤机制。流过滤技术的关键在于其架构中的专用TCPIP协议栈，这个协议栈是一个标准的TCP协议的实现，依据TCP协议的定义对出入防火墙的数据包进行了完整的重组，重组后

7、的数据流交给应用层过滤逻辑进行过滤，从而可以有效地识别并拦截应用层的攻击企图。,应用代理防火墙,应用代理型防火墙是工作在OSI的应用层。特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用,第一代应用网关型防火墙,从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙，它的核心技术就是代理服务器技术。,第二代自适应代理型防火墙,结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高1

8、0倍以上，组成这种类型防火墙的基本要素有两个：自适应代理服务器与动态包过滤器。,应用网关防火墙,应用网关防火墙的是通过打破传统的客户机/服务器模式实现的，可伸缩性较差。每个客户机/服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须要添加针对此应用的服务程序，否则不能用该服务。,电路级防火墙,电路级防火墙通过在TCP三次握手建立连接的过程中，检查双方的SYN、ACK和序号是否合乎逻辑来判断该请求的会话是否合法。一旦防火墙认为该会话是合法的，就为双方建立连接并维护一张合法会话连接表，当会话信息与表中

9、的条目匹配时才允许数据通过。会话结束后，表中相应的条目就被删除。,状态检测防火墙,当用户访问请求到达防火墙时，状态检测器要抽取有关的数据进行分析，结合网络配置和安全规定完成接纳拒绝身份认证报警或加密等处理动作。防火墙根据IP包头的信息与安全策略来决定是否转发IP包。通常的包过滤机制在接到每一个IP包时，IP包是被单独匹配和检查的。,10.2 防火墙类型-按体系结构,双重宿主主机体系结构,10.2 防火墙类型-按体系结构,被屏蔽主机体系结构,10.2 防火墙类型-按体系结构,被屏蔽子网体系结构,10.2 防火墙类型-按体系结构,云火墙云火墙”是目前最新的一种防火墙形式，它的基础是“云计算”、“云

10、安全”。思科公司把云安全和防火墙结合到了一起，提出了“云火墙”的概念云火墙具有以下特点：基于SensorBase动态更新策略利用IPS（Intrusion Prevention System，入侵防御系统）模块建立信誉的关联协作提供虚拟云端的移动安全接入,讨论思考（1）软件防火墙、硬件防火墙和芯片防火墙的主要区别是什么？（2）包过滤防火墙工作在OSI模型的哪一层？（3）应用代理防火墙为什么比包过滤防火墙的性能要好？（4）什么是DMZ（隔离区 ）？有什么作用？,10.3 防火墙的主要应用,企业网络体系结构边界网络：此网络通过路由器直接面向 Internet，应该以基本网络通信筛选的形式提供初始层

11、面的保护。路由器通过外围防火墙将数据一直提供到外围网络。外围网络：此网络通常称为 DMZ或者边缘网络，它将外来用户与 Web 服务器或其他服务链接起来。然后，Web 服务器将通过内部防火墙链接到内部网络。内部网络：内部网络则链接各个内部服务器（如 SQL Server）和内部用户。,10.3.2 内部防火墙系统应用,内部防火墙规则默认情况下，阻止所有数据包。在外围接口上，阻止看起来好像来自内部 IP 地址的传入数据包，以阻止欺骗。在内部接口上，阻止看起来好像来自外部 IP 地址的传出数据包以限制内部攻击。允许从内部 DNS 服务器到 DNS 解析程序堡垒主机的基于 UDP 的查询和响应。允许从

12、 DNS 解析程序堡垒主机到内部 DNS 服务器的基于 UDP 的查询和响应。允许从内部 DNS 服务器到 DNS 解析程序堡垒主机的基于 TCP 的查询，包括对这些查询的响应。允许从 DNS 解析程序堡垒主机到内部 DNS 服务器的基于 TCP 的查询，包括对这些查询的响应。允许从内部 SMTP 邮件服务器到出站 SMTP堡垒主机的传出邮件。允许从入站 SMTP 堡垒主机到内部 SMTP 邮件服务器的传入邮件。允许来自 VPN 服务器上后端的通信到达内部主机并且允许响应返回到 VPN 服务器。允许验证通信到达内部网络上的 RADUIS 服务器并且允许响应返回到 VPN 服务器。来自内部客户端

13、的所有出站 Web 访问将通过代理服务器，并且响应将返回客户端。在所有连接的网段之间路由通信，而不使用网络地址转换。,内部防火墙的可用性,单一防火墙容错防火墙,外围防火墙系统设计,外围防火墙的目的是为保护企业基础结构不受来自 Internet 的不安全网络流量威胁而设计的防火墙解决方案。外围防火墙部署位置如前图10-13所示，入侵者必须破坏该防火墙才能进一步进入内部网络，因此，它将成为明显的攻击目标，特别容易受到外部攻击。 边界位置中使用的防火墙是通向外部世界的通道。在很多大型组织中，此处实现的防火墙类别通常是高端硬件防火墙或者服务器防火墙，但是某些组织使用的是路由器防火墙。,用智能防火墙阻止

14、攻击,SYN Flood攻击原理 SYN Flood攻击所利用的是TCP协议存在的漏洞三次握手假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成)，这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接。如果有大量的等待丢失的情况发生，服务器端将为了维护一个非常大的半连接请求而消耗非常多的资源而导致系统崩溃，从而拒绝正常用户的访问（DoS）。,用智能防火墙阻止攻击,应用代理型防火墙的防御方法是客户端要与防火墙建立TCP连接的三次握手过程中，因为它位于客户端与

15、服务器端(通常分别位于外、内部网络)中间，充当代理角色，这样客户端要与服务器端建立一个TCP连接，就必须先与防火墙进行三次TCP握手，当客户端和防火墙三次握手成功之后，再由防火墙与客户端进行三次TCP握手，完成后再进行一个TCP连接的三次握手。,用智能防火墙阻止攻击,包过滤型防火墙是工作于IP层或者IP层之下，对于外来的数据报文，它只是起一个过滤的作用。当数据包合法时，它就直接将其转发给服务器，起到的是转发作用。在包过滤型防火墙中，客户端同服务器的三次握手直接进行，并不需要通过防火墙来代理进行。包过滤型防火墙效率要较网关型防火墙高，允许数据流量大。但是这种防火墙如果配置不当的话，会让攻击者绕过

16、防火墙而直接攻击到服务器。而且允许数据量大会更有利于SYN Flood攻击。这种防火墙适合于大流量的服务器，但是需要设置妥当才能保证服务器具有较高的安全性和稳定性。,防御SYN Flood攻击的防火墙设置,SYN网关：在这种方式中,防火墙收到客户端的SYN包时,直接转发给服务器;防火墙收到服务器的SYN/ACK包后，一方面将SYN/ACK包转发给客户端,另一方面以客户端的名义给服务器回送一个ACK包,完成一个完整的TCP三次握手,让服务器端由半连接状态进入连接状态。当客户端真正的ACK包到达时，有数据则转发给服务器，否则丢弃该包。由于服务器在连接状态要比在半连接状态能承受得更多，所以这种方法能

17、有效地减轻对服务器的攻击。被动式SYN网关：在这种方式中，设置防火墙的SYN请求超时参数，让它远小于服务器的超时期限。防火墙负责转发客户端发往服务器的SYN包，包括服务器发往客户端的SYN/ACK包和客户端发往服务器的ACK包。这样，如果客户端在防火墙计时器到期时还没发送ACK包，防火墙将往服务器发送RST包，以使服务器从队列中删去该半连接。由于防火墙的超时参数远小于服务器的超时期限，因此这样也能有效防止SYN Flood攻击。SYN中继：在这种方式中，防火墙在收到客户端的SYN包后，并不向服务器转发而是记录该状态信息，然后主动给客户端回送SYN/ACK包。若收到客户端的ACK包，表明是正常访

18、问，由防火墙向服务器发送SYN包并完成三次握手。这样由防火墙作为代理来实现客户端和服务器端的连接，可以将发往服务器的不可用连接完全过滤。,讨论思考： （1）什么是个人防火墙？其主要作用是什么？（2）分析瑞星云安全中心有什么作用？（3）列举2个以上其他类型的防火墙，并说明其优缺点。,10.4 防火墙安全应用实验,实验目的与要求1理解防火墙的基本工作原理和基本概念。2. 掌握瑞星个人防火墙的使用和设置实验环境Microsoft Windows 7及以上版本 、瑞星个人防火墙V16实验内容和步骤1瑞星个人防火墙V16的下载、安装以及安装设置向导2瑞星个人防火墙的使用和设置3防范“震荡波”病毒,启动防

19、火墙,10.4 防火墙安全应用实验,10.4 防火墙安全应用实验,防火墙设置,允许程序通过防火墙,10.4 防火墙安全应用实验,防火墙打开/关闭,防火墙高级设置,问题描述：公司内的某台计算机中了“震荡波”病毒，系统运行缓慢并且不停的进行倒计时重启。在该计算机上配置天网个人防火墙，防范震荡波病毒，震荡波使用协议TCP，监听端口为1068和5554。增加自定义规则，禁止端口1068访问本机。“名称”为“防范震荡波规则1”；“规则应用于：”设置为 ；“远程IP地址”设置为 ；“本地IP地址”设置为 ；“协议类型：”设置为 ；“本地端口”设置为“从 到 ”；“当满足上面条件时”选择“ ”。,10.4

20、防火墙安全应用实验,增加自定义规则，禁止端口5554访问本机。“名称”为“防范震荡波规则2”；“规则应用于：”设置为 ；“远程IP地址”设置为 ；“本地IP地址”设置为 ；“协议类型：”设置为 ；“本地端口”设置为“从 到 ”；“当满足上面条件时”选择“ ”。填写下表,10.4 防火墙安全应用实验,10.5 本章小结,本章简要介绍了防火墙的相关知识，通过深入了解防火墙的分类以及各种防火墙类型的优缺点，有助于更好的分析配置各种防火墙策略。重点阐述了企业防火墙的体系结构及配置策略，同时通过对SYN Flood攻击方式的分析，给出了解决此类攻击的一般性原理。 最后，概要介绍了防火墙的安全应用实验。,本章小结,诚挚谢意！,