9防火墙技术.ppt

9.4 防火墙的主要技术 9.4.1 数据包过滤技术 数据包过滤技术是在网络中的适当位置对数据包实施有选择的通过的技术。 图9.18 包过滤模型 包过滤一般要检查下面几项： （1）IP源地址； （2）IP目的地址； （3）协议类型（TCP包、UDP包和ICMP包）； （4）TCP或UDP的源端口； （5）TCP或UDP的目的端口； （6）ICMP消息类型； （7）TCP报头中的ACK位。 另外，TCP的序列号、确认号，IP校验以及分段偏移也往往是要检查的选项。 2．数据包过滤特性 （1）IP包过滤特性 （2）TCP包过滤特性 （3）UDP包的过滤特性 （4）ICMP包的过滤特性 图9.21 UDP动态数据包过滤 在决定包过滤防火墙是否返回ICMP错误代码时，应考虑以下几点。 ① 防火墙应该发送什么消息。 ② 是否负担得起生成和返回错误代码的高额费用。 ③ 返回错误代码能使得侵袭者得到很多有关你发送的数据包过滤信息。 ④ 什么错误代码对你的网站有意义。 （5）RPC服务中的包过滤的特点 图9.22 RPC的端口映射 （6）源端口过滤的作用 表9.1 过滤规则示例 规 则 方 向 源 地 址 目的地址 协 议 源 端 口 目的端口 动 作 A 入 任意 172.46.23.45 TCP / 25 拒绝 B 出 172.46.23.45 任意 TCP / 1023 任意 C 出 172.46.23.45 任意 TCP / 25 允许 D 入 任意 172.46.23.45 TCP / 1023 允许 ? 图9.23 进攻X窗口服务 （7）ACK位在数据包过滤中的作用 表9.2 过滤规则示例 规则 方向 源地址 目的地址 协议 源端口 目的端口 ACK设置 动作 A 出 172.46.23.45 任意 TCP 1023 23 任意 允许 B 入 任意 172.46.23.45 TCP 23 1023 是 允许 图9.24 用ACK位阻止欺骗 （8）包过滤技术的优点 ① 帮助保护整个网络，减少暴露的风险； ② 对用户完全透明，不需要对客户端做任何改动，也不需要对用户做任何培训； ③ 很多路由器可以作数据包过滤，因此不需要专门添加设备。 包过滤最明显的缺陷是即使是最基本的网络服务和协议，它也不能提供足够的安全保护，包过滤是不够安全的。 ① 包过滤规则难于配置。一旦配置，数据包过滤规则也难于检验。 ② 包过滤仅可以访问包头信息中的有限信息。 ③ 包过滤是无状态的，因为包过滤不能保持与传输相关的状态信息或与应用相关的状态信息。 ④ 包过滤对信息的处理能力非常有限。 ⑤ 一些协议不适合用数据包过滤，如基于RPC的应用的“r”命令等。 9.4.2 代理技术 代理技术也称为应用层网关技术，代理技术与包过滤技术完全不同，包过滤技术是在网络层拦截所有的信息流，代理技术是针对每一个特定应用都有的一个程序。 1．应用级代理 应用级代理有两种情况，一种是内部网通过代理访问外部网。另一种情况是，外部网通过代理访问内部网。 代理使得网络管理员能够实现比包过滤路由器更严格的安全策略，它会对应用程序的数据进行校验以确保数据格式可以接受。 提供代理应用层网关主要有以下优点。 （1）应用层网关有能力支持可靠的用户认证并提供详细的注册信息。 （2）应用层的过滤规则相对于包过滤路由器来说更容易配置和测试。 （3）代理工作在客户机和真实服务器之间，完全控制会话，所以可以提供很详细的日志和安全审计功能。 （4）提供代理服务的防火墙可以被配置成惟一的可被外部看见的主机，这样可以隐藏内部网的IP地址，可以保护内部主机免受外部网的进攻。 （5）通过代理访问Internet，可以解决合法的IP地址不够用的问题。 * * 第9章 防火墙技术 9.1 防火墙概述 9.2 防火墙的设计策略和安全策略 9.3 防火墙的体系结 9.4 防火墙的主要技术 9.1.1 防火墙的基本概念 防火墙是在两个网络之间执行控制和安全策略的系统，它可以是软件，也可以是硬件，或两者并用。 9.1 防火墙概述 9.1.2 防火墙的作用与不足 总的来说，防火墙系统应具有以下5个方面的特性。 （1）内部网和外部网之间的数据传输都必须经过防火墙。 （2）只有被授权的合法数据，即符合安全策略的数据，才可以通过防火墙，其他的数据将被防火墙丢弃。 （3）防火墙本身不受各种攻击的影响，