第9章防火墙技术选读.ppt

9.1.1 防火墙的基本概念 防火墙是在两个网络之间执行控制和安全策略的系统，它可以是软件，也可以是硬件，或两者并用。 采用防火墙保护内部网有以下优点。 （1）防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户（如黑客和网络破坏者等）进入内部网。 （2）保护网络中脆弱的服务。 （3）在防火墙上可以很方便地监视网络的安全性，并产生报警。 （4）可以集中安全性。 （5）防火墙可以作为部署（网络地址转换Network Address Translator，NAT）的逻辑地址。 （6）增强必威体育官网网址性和强化私有权。 （7）防火墙是审计和记录Internet使用量的一个最佳地方。 （8）防火墙也可以成为向客户发布信息的地点。 防火墙的分类 从实现技术角度分类 包过滤防火墙 状态检测防火墙 应用网关防火墙 代理防火墙 从形态角度分类 1．用户账号策略 2．用户权限策略 3．信任关系策略 4．包过虑策略 这里主要从以下几个方面来讨论包过滤策略： ? 包过滤控制点； ? 包过滤操作过程； ? 包过滤规则； ? 防止两类不安全设计的措施； ? 对特定协议包的过滤。 5．认证、签名和数据加密策略 6．密钥分配策略 7．审计策略 审计是用来记录如下事件： （1）哪个用户访问哪个对象； （2）用户的访问类型； （3）访问过程是否成功。 2．堡垒主机的选择 （1）选择主机时，应选择一个可以支持多个网络接口同时处于活跃状态，从而能够向内部网用户提供多个网络服务的机器。 （2）建议用户选择较为熟悉的UNIX操作系统作为堡垒主机的操作系统。 （3）选择堡垒主机时，不需要功能过高、速度过快的机器，而是争取做到物尽其用。但是应使堡垒主机的内存和硬盘足够大，以保证足够的信息交换空间。 （4）在网络上，堡垒主机应位于DMZ内没有机密信息流或信息流不太敏感的部分。 （5）在配置堡垒主机的网络服务时，应注意除了不得不提供的基本网络服务（如SMTP，FTP，WAIS，HTTP，NNTP和Gopher）外，应把那些内部网不使用的服务统统关闭。而且应尽量减少堡垒主机上的用户账户数，如果有可能，应禁止一切用户账户。 Any:3000?5:6001 5:6001 ? Any:3000 Any:3000?5:6001 实例 安全策略 任何时间，内网→邮件服务器：允许 任何时间，内网→web服务器：允许 上班时间，内网→FTP服务器：允许 上班时间，内网→Internet：允许 任何时间，Internet →内网：禁止 任何时间，Internet →web服务器：允许 任何时间，Internet →邮件服务器：允许 任何时间，Internet →数据库服务器：禁止 任何时间，Interent →FTP服务器：允许 其它：禁止 逻辑表达式 Sip=/24 and dip= and ( dport=25 or dport=110) , action=permit Sip=any and dip=/24, action=reject Sip=any and dip= and dport=80, action=permit Sip=any and dip= and dport=1358, action=reject …… Default=reject 包过滤规则 有新需求 安全策略 上班时间，内网→数据库服务器：允许 新的规则 包过滤代码 /*包合法性检查*/ static int packet_validity(struct iphdr *iph) { if (ntohs(iph-tot_len) (4 * iph-ihl)) return PF_DROP; if (iph-ihl 5) return PF_DROP; /* block invalid TCP,UDP,ICMP packet */ if (iph-protocol == IPPROTO_TCP) if (ntohs(iph-tot_len) (iph-ihl * 4 + sizeof(struct tcphdr))) return PF_DROP; if (iph-protocol == IPPROTO_UDP) if (ntohs(iph-tot_len) (iph-ihl * 4 + sizeof(struct udphdr))) return PF_DROP; if (iph-protocol == IPPROTO_ICMP) if (ntohs(iph-tot_len) (iph-ihl * 4 + sizeof(struct icmphdr))) return PF_DROP; return PF_ACCEPT; } /*重组分片包 */ i