防火墙技术及其应.ppt

上传人：小飞机

文档编号：6395741

上传时间：2023-10-26

格式：PPT

页数：102

大小：1.35MB

《防火墙技术及其应.ppt》由会员分享，可在线阅读，更多相关《防火墙技术及其应.ppt（102页珍藏版）》请在三一办公上搜索。

1、2023/10/26,防火墙技术及其应用,2023/10/26,防火墙技术及其应用,Page:2,报告内容,基本概念防火墙配置模式防火墙相关技术几个新的方向,2023/10/26,防火墙技术及其应用,Page:3,基本概念,防火墙定义为什么需要防火墙对防火墙的两大需求防火墙系统四要素防火墙技术的发展过程引入防火墙技术的好处争议及不足,2023/10/26,防火墙技术及其应用,Page:4,防火墙定义,防火墙是位于两个(或多个)网络间，实施网间访问控制的一组组件的集合，它满足以下条件：内部和外部之间的所有网络数据流必须经过防火墙只有符合安全政策的数据流才能通过防火墙防火墙自身

2、应对渗透(peneration)免疫,2023/10/26,防火墙技术及其应用,Page:5,2023/10/26,防火墙技术及其应用,Page:6,2023/10/26,防火墙技术及其应用,Page:7,2023/10/26,防火墙技术及其应用,Page:8,2023/10/26,防火墙技术及其应用,Page:9,2023/10/26,防火墙技术及其应用,Page:10,2023/10/26,防火墙技术及其应用,Page:11,2023/10/26,防火墙技术及其应用,Page:12,2023/10/26,防火墙技术及其应用,Page:13,2023/10/26,防火墙技术及其应用,Page

3、:14,2023/10/26,防火墙技术及其应用,Page:15,2023/10/26,防火墙技术及其应用,Page:16,2023/10/26,防火墙技术及其应用,Page:17,2023/10/26,防火墙技术及其应用,Page:18,为什么需要防火墙,2023/10/26,防火墙技术及其应用,Page:19,所有软件都是有错的通常情况下99.99%无错的程序很少会出问题同安全相关的99.99%无错的程序可以确信会被人利用那0.01%的错误0.01%安全问题等于100%的失败,Why Security is Harder than it Looks,2023/10/26,防火墙技术及其应用

4、,Page:20,内部网特点,组成结构复杂各节点通常自主管理信任边界复杂，缺乏有效管理有显著的内外区别机构有整体的安全需求最薄弱环节原则,2023/10/26,防火墙技术及其应用,Page:21,为什么需要防火墙,保护内部不受来自Internet的攻击为了创建安全域为了增强机构安全策略,2023/10/26,防火墙技术及其应用,Page:22,对防火墙的两大需求,保障内部网安全保证内部网同外部网的连通,2023/10/26,防火墙技术及其应用,Page:23,防火墙系统四要素,安全策略内部网外部网技术手段,2023/10/26,防火墙技术及其应用,Page:24,防火墙技术发展过程,20世纪7

5、0年代和80年代，多级系统和安全模型吸引了大量的研究屏蔽路由器、网关防火墙工具包商业产品防火墙新的发展,2023/10/26,防火墙技术及其应用,Page:25,防火墙技术带来的好处,强化安全策略有效地记录Internet上的活动隔离不同网络，限制安全问题扩散是一个安全策略的检查站,2023/10/26,防火墙技术及其应用,Page:26,争议及不足,使用不便，认为防火墙给人虚假的安全感对用户不完全透明，可能带来传输延迟、瓶颈及单点失效不能替代墙内的安全措施不能防范恶意的知情者不能防范不通过它的连接不能防范全新的威胁不能有效地防范数据驱动式的攻击当使用端-端加密时，其作用会受到很大的

6、限制,2023/10/26,报告内容,基本概念防火墙配置模式防火墙相关技术几个新的方向,2023/10/26,防火墙技术及其应用,Page:28,防火墙简图,Filter,Filter,Inside,Outside,2023/10/26,防火墙技术及其应用,Page:29,防火墙的位置,2023/10/26,防火墙技术及其应用,Page:30,默认安全策略,没有明确禁止的行为都是允许的没有明确允许的行为都是禁止的,2023/10/26,防火墙技术及其应用,Page:31,防火墙体系结构,包过滤路由器单宿/多宿主机模式(dual-homed/multi-homed)屏蔽主机模式屏蔽子网模式

7、,2023/10/26,防火墙技术及其应用,Page:32,包过滤路由器,2023/10/26,防火墙技术及其应用,Page:33,包过滤路由器,最常见的防火墙是放在Internet和内部网络之间的包过滤路由器。包过滤路由器在网络之间完成数据包转发的普通路由功能，并利用包过滤规则来允许或拒绝数据包。一般情况下，是这样来定义过滤规则的：内部网络上的主机可以直接访问Internet，Internet上的主机对内部网络上的主机进行访问是有限制的。这种类型的防火墙系统的默认安全策略是对没有特别允许的外部数据包都拒绝。,2023/10/26,防火墙技术及其应用,Page:34,工作原理,包过滤路由器对所

8、接收的每个数据包做允许拒绝的决定。路由器审查每个数据报以便确定其是否与某一条包过滤规则匹配。如果有匹配并且规则允许该数据包，那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包，那么该数据包就会被丢弃。如果没有匹配规则，用户配置的缺省参数会决定是转发还是丢弃数据包。,2023/10/26,防火墙技术及其应用,Page:35,过滤规则,过滤规则基于可以提供给IP转发过程的包头信息。包头信息中包括IP源地址、IP目标端地址、内装协（ICP、UDP、ICMP、或IP Tunnel）、TCP/UDP目标端口、ICMP消息类型、包的进入接口和出接口。,2023/10/26,防火墙技术及

9、其应用,Page:36,与服务相关的过滤,包过滤路由器使得路由器能够根据特定的服务允许或拒绝流动的数据，因为多数的服务收听者都在已知的TCP/UDP端口号上。例如，Telnet服务器在TCP的23号端口上监听远地连接，而SMTP服务器在TCP的25号端口上监听人连接。为了阻塞所有进入的Telnet连接，路由器只需简单的丢弃所有TCP端口号等于23的数据包。为了将进来的Telnet连接限制到内部的数台机器上，路由器必须拒绝所有TCP端口号等于23并且目标IP地址不等于允许主机的IP地址的数据包。,2023/10/26,防火墙技术及其应用,Page:37,与服务无关的过滤,有几种类型的攻击很难使用

10、基本的包头信息来识别，因为这几种攻击是与服务无关的。可以对路由器配置以便防止这几种类型的攻击。但是它们很难指定，因为过滤规则需要附加的信息，并且这些信息只能通过审查路由表和特定的IP选项、检查特定段的内容等等才能学习到。,2023/10/26,防火墙技术及其应用,Page:38,与服务无关的过滤,-源IP地址欺骗式攻击（Sowrce IP Address Spoofing Attacks）。这种类型的攻击的特点是入侵者从外部传输一个假装是来自内部主机的数据包，即数据包中所包含的IP地址为内部网络上的IP地址。入侵者希望借助于一个假的源IP地址就能渗透到一个只使用了源地址安全功能的系统中。在这样

11、的系统中，来自内部的信任主机的数据包被接受，而来自其它主机的数据包全部被丢弃。对于源IP地址欺骗式攻击，可以利用丢弃所有来自路由器外部端口的使用内部源地址的数据包的方法来挫败。,2023/10/26,防火墙技术及其应用,Page:39,与服务无关的过滤,-源路由攻击（Source Rowing Attacks）这种类型的攻击的特点是源站点指定了数据包在Internet中所走的路线。这种类型的攻击是为了旁路安全措施并导致数据包循着一个对方不可预料的路径到达目的地。只需简单的丢弃所有包含源路由选项的数据包即可防范这种类型的攻击。,2023/10/26,防火墙技术及其应用,Page:40,与服务无关

12、的过滤,-极小数据段式攻击（Tiny Fragment Attacks）这种类型的攻击的特点是入侵者使用了IP分段的特性，创建极小的分段并强行将TCP头信息分成多个数据包段这种攻击是为了绕过用户定义的过滤规则，希望于过滤器路由器只检查第一个分段而允许其余的分段通过对于这种类型的攻击，只要丢弃协议类型为TCP，IP FragmentOffset等于1的数据包就可安然无恙。,2023/10/26,防火墙技术及其应用,Page:41,包过滤路由器,尽管这种防火墙系统有价格低和易于使用的优点，但同时也有缺点，如配置不当的路由器可能受到攻击，以及利用将攻击包裹在允许服务和系统内进行攻击等。由于允许在内部

13、和外部系统之间直接交换数据包，那么攻击面可能会扩展到所有主机和路由器所允许的全部服务上。这就意味着可以从Internet上直接访问的主机要支持复杂的用户认证，并且网络管理员要不断地检查网络以确定网络是否受到攻击。另外，如果有一个包过滤路由器被渗透，内部网络上的所有系统都可能会受到损害。,2023/10/26,防火墙技术及其应用,Page:42,单宿主机模式,堡垒主机,内部网,外部网络,最少服务最小特权,2023/10/26,防火墙技术及其应用,Page:43,堡垒主机（Bastion host）,一个应用层网关常常被称做“堡垒主机”（Bastion Host）。因为它是一个专门的系统，有特殊的

14、装备，并能抵御攻击。,2023/10/26,防火墙技术及其应用,Page:44,堡垒主机（Bastion host）安全特性,堡垒主机的硬件执行一个安全版本的操作系统。例如，如果堡垒主机是一个UNIX平台，那么它执行UNIX操作系统的安全版本，其经过了特殊的设计，避免了操作系统的脆弱点，保证防火墙的完整性。只有网络管理员认为必需的服务才能安装在堡垒主机上。原因是如果一个服务没有安装，它就不能受到攻击。一般来说，在堡垒主机上安装有限的代理服务，如Telnet，DNS，FTP，SMTP以及用户认证等。用户在访问代理服务之前堡垒主机可能要求附加认证。比如说，堡垒主机是一个安装严格认证的理想位置。在这

15、里，智能卡认证机制产生一个唯一的访问代码。另外每种代理可能在授予用户访问权之前进行其自己的授权。,2023/10/26,防火墙技术及其应用,Page:45,堡垒主机（Bastion host）安全特性,对代理进行配置，使得其只支持标准应用的命令集合的子集。如果代理应用不支持标准的命令，那么很简单，被认证的用户没有使用该命令的权限。对代理进行配置，使得其只允许对特定主机的访问。这表明，有限的命令/功能只能施用于内部网络上有限数量的主机。每个代理都通过登记所有的信息、每一次连接、以及每次连接的持续时间来维持一个详细的审计信息。审计记录是发现和终止入侵者攻击的一个基本工具。每个代理都是一个简短的程序

16、，专门为网络安全目的而设计。因此可以对代理应用的源程序代码进行检查，以确定其是否有纰漏和安全上的漏洞。比如说，典型的UNIX邮件应用可能包括20,000行代码，而邮件代理只有不到1,000行的程序。,2023/10/26,防火墙技术及其应用,Page:46,堡垒主机（Bastion host）安全特性,在堡垒主机上每个代理都与所有其它代理无关。如果任何代理的工作产生问题，或在将来发现脆弱性，只需简单的卸出，不会影响其它代理的工作。并且，如果一些用户要求支持新的应用，网络管理员可以轻而易举的在堡垒主机上安装所需应用。代理除了读取初始化配置文件之外，一般不进行磁盘操作。这使得入侵者很难在堡垒主机上

17、安装特洛伊马程序或其它的危险文件。每个代理在堡垒主机上都以非特权用户的身份运行在其自己的并且是安全的目录中。,2023/10/26,防火墙技术及其应用,Page:47,实例：Telnet Proxy,2023/10/26,防火墙技术及其应用,Page:48,实例：Telnet Proxy,Telnet代理永远不会允许远地用户注册到内部服务器或直接访问内部服务器。外部的客户Telnet到堡垒主机，其用一次性口令技术认证该用户。在经过认证之后，外部的客户获得了Telnet代理用户接口的访问权。这个Telnet代理只允许部分Telnet命令可以使用，并决定了内部的哪些主机可以提供给Telnet来访问

18、。外部客户指定目标主机，然后Telnet代理建立一个其自己到内部服务器的连接，并替外部客户转发命令。外部客户认为Telnet代理是一个真正的内部服务器，而内部服务器也把Telnet代理看作是外部客户。,2023/10/26,防火墙技术及其应用,Page:49,2023/10/26,防火墙技术及其应用,Page:50,说明,图中显示的是在建立到内部服务器的连接时在外部客户终端上的输出。请注意，该客户并没有注册到堡垒主机上，该用户由堡垒主机认证，并在允许与Telnet代理通信之前受到挑战。通过挑战之后，代理服务器给出了可以使用的命令集合和可以提供外部客户的目标主机。认证可以基于用户所知道的东西（如

19、口令）或用户物理上所拥有的东西（如智能卡）。这两种技术都面临被偷窃，但是使用两种方法的组合可以增加用户认证的正确性。在Telnet这个例子中，代理发出一个挑战，而用户借助于智能卡获得对挑战的回答。典型情况下，用户可以通过输入他的PIN来解锁智能卡，而该卡根据共享的“秘密”加密密钥和其内部时钟，返回一个加密的数值给用户用来回答挑战。,2023/10/26,防火墙技术及其应用,Page:51,要求,由于堡垒主机是唯一能从Internet上直接访问的内部系统，所以有可能受到攻击的主机就只有堡垒主机本身。但是，如果允许用户注册到堡垒主机，那么整个内部网络上的主机都会受到攻击的威胁。这是因为，对于入侵者

20、来说，如果允许注册，破坏堡垒主机相对比较容易。牢固可靠，避免被渗透和不允许用户注册对堡垒主机来说至关重要。,2023/10/26,防火墙技术及其应用,Page:52,多宿主机模式,2023/10/26,防火墙技术及其应用,Page:53,多宿主机模式,用双（多）宿堡垒主机可以构造更加安全的防火墙系统双（多）宿堡垒主机有两（多）个网络接口，但是主机在两个端口之间直接转发信息的功能被关掉了这种物理结构强行将让所有去往内部网络的信息经过堡垒主机，并且在外部用户被授予直接访问信息服务器的权利时，提供附加的安全性。,2023/10/26,防火墙技术及其应用,Page:54,屏蔽主机模式,2023/10/

21、26,防火墙技术及其应用,Page:55,屏蔽主机模式,屏蔽主机模式采用包过滤路由器和堡垒主机（双宿堡垒主机）组成。这个防火墙系统提供的安全等级比上一个例子中的防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。所以入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。,2023/10/26,防火墙技术及其应用,Page:56,屏蔽主机模式,对于这种防火墙系统，堡垒主机配置在内部网络上，而包过滤路由器则放置在内部网络和Internet之间。在路由器上进行规则配置，使得外部系统只能访问堡垒主机，去往内部系统上其它主机的信息全部被阻塞。由于内部主机与堡垒主机处于同

22、一个网络，内部系统是否允许直接访问Internet，或者是要求使用堡垒主机上的代理服务来访问Internet由机构的安全策略来决定。对路由器的过滤规则进行配置，使得其只接受来自堡垒主机的内部数据包，就可以强制内部用户使用代理服务。,2023/10/26,防火墙技术及其应用,Page:57,屏蔽主机模式,这种防火墙系统的优点之一是提供公开的信息服务的服务器，如Web，FTP等，可以放置在由包过滤路由器和堡垒主机共用的网段上。如果要求有特别高的安全特性，可以让堡垒主机运行代理服务，使得内部和外部用户在与信息服务器通信之前，必须先访问堡垒主机。如果较低的安全等级已经足够，则将路由器配置让外部用户直接

23、去访问公共的信息服务器。,2023/10/26,防火墙技术及其应用,Page:58,屏蔽子网模式（DMZ）,2023/10/26,防火墙技术及其应用,Page:59,DMZ,采用了两个包过滤路由器和一个堡垒主机。这个防火墙系统建立的是最安全的防火墙系统。在定义了“非军事区”（DMZ）网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主机，信息服务器，Modem组，以及其它公用服务器放在DMZ网络中。DMZ网络很小，处于Internet和内部网络之间。在一般情况下对DMZ配置成使用Internet和内部网络系统能够访问DMZ网络上数目有限的系统，而通过DMZ网络直接进行信息传输是严格禁止的。

24、,2023/10/26,防火墙技术及其应用,Page:60,DMZ,对于进来的信息，外面的这个路由器用于防范通常的外部攻击（如源地址欺骗和源路由攻击），并管理Internet到DMZ网络的访问。它只允许外部系统访问堡垒主机（还可能有信息服务器）。里面的这个路由器提供第二层防御，只接受源于堡垒主机的数据包，负责的是管理DMZ到内部网络的访问。,2023/10/26,防火墙技术及其应用,Page:61,DMZ,对于去往Internet的数据包，里面的路由器管理内部网络到DMZ网络的访问。它允许内部系统只访问堡垒主机（还可能有信息服务器）。外面的路由器上的过滤规则要求使用代理服务（只接受来自堡垒主机

25、的去往Internet的数据包）。,2023/10/26,防火墙技术及其应用,Page:62,DMZ优点,入侵者必须突破3个不同的设备（无法探测）才能侵袭内部网络：外部路由器，堡垒主机，还有内部路由器。由于外部路由器只能向Internet通告DMZ网络的存在，Internet上的系统不需要有路由器与内部网络相连。这样网络管理员就可以保证内部网络是“不可见”的，并且只有在DMZ网络上选定的系统才对Internet开放（通过路由表和DNS信息交换）。由于内部路由器只向内部网络通告DMZ网络的存在，内部网络上的系统不能直接通往Internet，这样就保证了内部网络上的用户必须通过驻留在堡垒主机上的代

26、理服务才能访问Internet。,2023/10/26,防火墙技术及其应用,Page:63,DMZ优点,包过滤路由器直接将数据引向DMZ网络上所指定的系统，消除了堡垒主机双宿的必要。内部路由器在作为内部网络和Internet之间最后的防火墙系统时，能够支持比双宿堡垒主机更大的数据包吞吐量。由于DMZ网络是一个与内部网络不同的网络，NAT（网络地址变换）可以安装在堡垒主机上，从而避免在内部网络上重新编址或重新划分子网。,2023/10/26,防火墙技术及其应用,Page:64,实施中的其他问题,最少服务、最小特权原则使用多堡垒主机合并内部路由器与外部路由器合并堡垒主机与外部路由器合并堡垒主机与内

27、部路由器使用多台内部路由器使用多台外部路由器使用多个周边网络使用双重宿主主机与屏蔽子网,2023/10/26,报告内容,基本概念防火墙配置模式防火墙相关技术几个新的方向,2023/10/26,防火墙技术及其应用,Page:66,防火墙相关技术,静态包过滤动态包过滤应用程序网关(代理服务器)电路级网关网络地址翻译虚拟专用网,2023/10/26,防火墙技术及其应用,Page:67,静态包过滤,根据流经该设备的数据包地址信息，决定是否允许该数据包通过判断依据有(只考虑IP包)：数据包协议类型：TCP、UDP、ICMP、IGMP等源、目的IP地址源、目的端口：FTP、HTTP、DNS等IP选项

28、：源路由、记录路由等TCP选项：SYN、ACK、FIN、RST等其它协议选项：ICMP ECHO、ICMP ECHO REPLY等数据包流向：in或out数据包流经网络接口：eth0、eth1,2023/10/26,防火墙技术及其应用,Page:68,包过滤示例,堡垒主机,内部网,外部网络,在上图所示配置中，内部网地址为：，堡垒主机内网卡eth1地址为：，外网卡eth0地址为：DNS地址为：要求允许内部网所有主机能访问外网WWW、FTP服务，外部网不能访问内部主机,2023/10/26,防火墙技术及其应用,Page:69,包过滤示例(续),Deny ip from$internal to an

29、y in via eth0Deny ip from not$internal to any in via eth1Allow udp from$internal to any dnsAllow udp from any dns to$internalAllow tcp from any to any establishedAllow tcp from$internal to any www in via eth1Allow tcp from$internal to any ftp in via eth1Allow tcp from any ftp-data to$internal in via

30、 eth0Deny ip from any to any,匹配那些有RST or ACK bits设置的TCP包,2023/10/26,防火墙技术及其应用,Page:70,动态包过滤,Check point一项称为“Stateful Inspection”的技术可动态生成/删除规则分析高层协议,2023/10/26,防火墙技术及其应用,Page:71,上一个示例的另一种解法(续),Deny ip from$internal to any in via eth0Deny ip from not$internal to any in via eth1Allow$internal access an

31、y dns by udp keep stateAllow$internal acess any www by tcp keep stateAllow$internal access any ftp by tcp keep stateDeny ip from any to any,2023/10/26,防火墙技术及其应用,Page:72,Stateful的作用是让防火墙能动态的创建一个规则，为了描述当匹配包所给出的模式的流程。当一个数据包匹配keep state 规则时，动态规则将被创建，这个动态规则将匹配所有的包所给出的src-ip/src-port dst-ip/dst-port之间的协议(

32、这里所使用的源地址和目的地地址都指最初的地址，但是后来他们将完全一样)动态规则在第一次的check state 将被选中，并执行匹配，此匹配跟父规则一样。动态规则典型的应用是保持一个关闭的防火墙设置，但是让第一个从内网来的TCP SYN包将安装一个为流程动态规则，所以那些包允许通过防火墙,2023/10/26,防火墙技术及其应用,Page:73,包过滤技术的一些实现,商业版防火墙产品个人防火墙路由器Open Source SoftwareIpfilter(FreeBSD、OpenBSD、Solaris，)Ipfw(FreeBSD)Ipchains(Linux 2.0.x/2.2.x)Iptab

33、les(Linux 2.4.x),2023/10/26,防火墙技术及其应用,Page:74,代理技术,应用层网关电路层网关,2023/10/26,防火墙技术及其应用,Page:75,代理工作方式,2023/10/26,防火墙技术及其应用,Page:76,应用程序网关(代理服务器),客,户,网,关,服务器,网关理解应用协议，可以实施更细粒度的访问控制对每一类应用，都需要一个专门的代理灵活性不够,2023/10/26,防火墙技术及其应用,Page:77,应用层网关使得网络管理员能够实现比包过滤路由器更严格的安全策略。应用层网关不用依赖包过滤工具来管理Internet服务在防火墙系统中的进出，而是采

34、用为每种所需服务而安装在网关上特殊代码（代理服务）的方式来管理Internet服务。如果网络管理员没有为某种应用安装代理编码，那么该项服务就不支持并不能通过防火墙系统来转发。同时，代理编码可以配置成只支持网络管理员认为必须的部分功能。,2023/10/26,防火墙技术及其应用,Page:78,这样增强的安全带来了附加的费用：购买网关硬件平台、代理服务应用、配置网关所需的时间和知识、提供给用户的服务水平的下降、由于缺少透明性而导致缺少友好性的系统。同以往一样，仍要求网络管理员在机构安全需要和系统的易于使用性方面作出平衡。允许用户访问代理服务是很重要的，但是用户是绝对不允许注册到应用层网关中的。假

35、如允许用户注册到防火墙系统中，防火墙系统的安全就会受到威胁，因为入侵者可能会在暗地里进行某些损害防火墙有效性运动作。例如，入侵者获取Root权限，安装特洛伊马来截取口令，并修改防火墙的安全配置文件,2023/10/26,防火墙技术及其应用,Page:79,应用程序网关的一些实现,商业版防火墙产品商业版代理(cache)服务器Open SourceTIS FWTK(Firewall toolkit)ApacheSquid,2023/10/26,防火墙技术及其应用,Page:80,电路级网关,拓扑结构同应用程序网关相同接收客户端连接请求，代理客户端完成网络连接在客户和服务器间中转数据通用性强电路层

36、网关简单地中继网络连接，并不做任何审查，过滤或Telnet协议管理。电路层网关就向电线一样，只是在内部连接和外部连接之间来回拷贝字节。但是由于连接似乎是起源于防火墙，其隐藏了受保护网络的有关信息。,2023/10/26,防火墙技术及其应用,Page:81,2023/10/26,防火墙技术及其应用,Page:82,电路级网关实现方式,简单重定向根据客户的地址及所请求端口，将该连接重定向到指定的服务器地址及端口上对客户端应用完全透明在转发前同客户端交换连接信息需对客户端应用作适当修改Sockify,2023/10/26,防火墙技术及其应用,Page:83,电路级网关的一些实现,SocksWinso

37、ckDante,2023/10/26,防火墙技术及其应用,Page:84,网络地址翻译(NAT),目的解决IP地址空间不足问题向外界隐藏内部网结构方式M-1：多个内部网地址翻译到1个IP地址1-1：简单的地址翻译M-N：多个内部网地址翻译到N个IP地址池,2023/10/26,防火墙技术及其应用,Page:85,2023/10/26,防火墙技术及其应用,Page:86,配置共享IP地址,应用需求：当您需要允许内部用户访问Internet，但又没有足够的合法IP地址时，可以使用配置共享IP地址连接Internet的NAT转换方式。,2023/10/26,防火墙技术及其应用,Page:87,配置在

38、Internet上发布的服务器,应用需求：当您需要将内部设备发布到Internet上时，可以使用配置在Internet上发布的服务器的NAT转换方式。,2023/10/26,防火墙技术及其应用,Page:88,配置端口映射,应用需求：假设您在Internet上发布一台在内部网络的Web服务器，服务器配置成监听8080端口，您需要把外部网络对Web服务器80端口的访问请求重定向。,2023/10/26,防火墙技术及其应用,Page:89,配置TCP传输,应用需求：TCP传输装载共享是与地址匮乏无关的问题，它将数个设备的地址映射成一个虚拟设备的地址，从而实现设备间的负载均衡。,2023/10/26

39、,防火墙技术及其应用,Page:90,虚拟专用网(VPN),2023/10/26,防火墙技术及其应用,Page:91,各级网络安全技术,2023/10/26,报告内容,基本概念防火墙配置模式防火墙相关技术几个新的方向,2023/10/26,防火墙技术及其应用,Page:93,关于防火墙技术的一些观点,防火墙技术是一项已成熟的技术目前更需要的是提高性能，尤其是将它集成到更大的安全环境中去时：用户界面和管理互操作性标准化当然其他方面的改进也是存在的,2023/10/26,防火墙技术及其应用,Page:94,分布式防火墙,传统防火墙技术的几个问题依赖于防火墙一端可信，另一端是潜在的敌人Inte

40、rnet的发展使从外部穿过防火墙访问内部网的需求增加了一些内部主机需要更多的权限只依赖于端-端加密并不能完全解决问题过于依赖物理拓扑结构考虑到下面几个事实个人防火墙已得到了广泛的应用操作系统大多已提供了许多在传统意义上还属于防火墙的手段IPv6以及IPSec技术的发展防火墙这一概念还不能抛弃,2023/10/26,防火墙技术及其应用,Page:95,分布式防火墙(续一),思路主要工作防护工作在主机端打破传统防火墙的物理拓扑结构，不单纯依靠物理位置来划分内外由安全策略来划分内外网具体方法：依赖于下面三点策略描述语言：说明什么连接允许，什么连接不允许一系列系统管理工具：用于将策略发布到每一主机处，

41、以保证机构的安全IPSec技术及其他高层安全协议,2023/10/26,防火墙技术及其应用,Page:96,分布式防火墙,2023/10/26,防火墙技术及其应用,Page:97,安全增强方面,FTP Guard严格MAC，在不同安全级别网络间传递文件DTE Firewall采用一种基于表的MAC，较为灵活安全网关,2023/10/26,防火墙技术及其应用,Page:98,安全网关,信息流五要素：time：时间src-addr：源地址dst-addr：目的地址user：用户data：信息内容,2023/10/26,防火墙技术及其应用,Page:99,安全网关(续一),传统防火墙技术与信息流诸要素：,2023/10/26,防火墙技术及其应用,Page:100,安全网关(续二),信息出入关控制技术：思路：信息自带标识网关证：信息密级、信息源、信息允许流向、是否完整预处理+出入关检查对经由网关的信息流给出了一个一致的结构及访问控制机制,2023/10/26,防火墙技术及其应用,Page:101,安全网关(续三),安全网关,内部网安全系统,2023/10/26,防火墙技术及其应用,Page:102,谢谢,