九章防火墙的任务和类型.pptVIP

第九章 防火牆的任務和類型 9-1 防火牆概述 9-2 防火牆的任務 9-3 防火牆術語 9-4 防火牆的設定 9-5 建立包過濾規則 9-6 設定代理伺服器 9-1 防火牆概述 裝設防火牆就如在住家外築起一道圍牆，只開放必要的Port，讓資料出入，其餘通道一律封閉，以減少被攻擊的機會。 防火牆可以由一台電腦或硬體防火牆組成。它位於私有網路和Internet之間。 非軍事化區概念 9-2 防火牆的任務 1. 執行安全策略的主要工具 2. 建立一個節流點 3. 記錄 Internet 行為 4. 減少網路主機的暴露 9-3 防火牆術語 了解防火牆的概念和術語不僅會幫助你成為安全專家，而且還確保你能夠支援今後所建立的任意一台防火牆。 1.封包過濾器 封包過濾(packet filtering) 是一種簡單的防火牆機制。封包過濾常與路由器結合，且大部分的主要廠商都把封包過濾作為內定的組態。 這種防火牆會檢查封包的目的地和來源的IP位址、TCP/UDP埠，並根據管理者設定的簡單規則來決定是否接受或拒絕封包。 2.代理伺服器 由於代理伺服器等同於一個中間人角色，例如去某個網頁下載某一個檔案，無代理伺服器就直接與該網頁連接，如有代理伺服器則先連線至代理伺服器，再由代理伺服器進行存取。 一般情況下，代理伺服器都會可以將有人存取過的檔案暫時儲在代理伺服器內，其他人又存取同一檔案的話就可以直接由代理伺服器存取，而不用再連線至網站存取，理論上可以加快速度。 (1)應用層代理 位於應用層的代理程式是在防火牆上執行的一種軟體，能夠模擬網路連線的來源和目的地兩端。每台電腦跟其他電腦的網路傳輸都必須通過此代理伺服器，進行資料檢查並檢查連線的是否合法性，如此一來在檢查資料的過程中，能夠有效地將受信任的區域網路和網際網路隔離開來。代理伺服器的程式會檢查用戶端電腦送過來的資料，並判斷是否為合法的資料要作轉送出去或是為非法的資料直接丟棄。 (2)鏈路層代理 鏈路層代理（circuit-level proxy）工作在OSI參考模型的傳輸層。鏈路層代理的另一個名字是鏈路層閘道或線路閘道器。 鏈路層代理(Circuit Level Gateway)有效阻隔端對端的TCP連接，使用者對外部主機的連線均需經過線路閘道器(Circuit Level Gateway)的轉置，線路閘道器(Circuit Level Gateway)不檢視封包之應用層資料。 3.防禦主機 防禦（bastion）是一個被直接安置於受信任的網路和不可信任的網路（如Internet）之間的安全電腦系統。你可以有一個單一的防禦主機，然而，最經常見到的，一台防禦主機使用兩塊網路介面卡（NIC）。每一塊卡作為連接一個單獨的網路的介面。在其中一塊卡上，是用來管理、控制和保護企業網路，而在連接另一個網路的網路卡上，通常是公共網路，如 Internet。 4.網路位址轉換 網路位址轉換（NAT，Network Address Translation）定義於 RFC 1631， 基本上它是在 router 中進行一個偷換 IP header 的動作，以便讓多台電腦能共用一個 IP 連上 Internet 的技術。 NAT會自動將內部用戶端電腦的 IP 位址隱藏起來，不讓Interne網際網路的人知曉內部網路的架構。 5.偽裝 偽裝是對IP封包標頭進行修改的過程。特別是，一個使用偽裝的封包過濾器可以修改IP封包標頭，這樣這個IP封包看起來像是從防火牆產生的，而不是由源主機產生的。 偽裝與NAT一起使用是很有用的，因為偽裝允許主機使用私有網路的IP位址來與Internet上的主機進行通信。 6.NAT和網路卡 防火牆最簡單的概念，就是在Internet與組織的LAN之間設一節流點，以管制進出組織資料及組織內機器的安全。一般防火牆的做法都是在主機上插兩片或兩片以上的網路卡，其中一片連接可公開網路，另一片則是連接到被保護網路，而防火牆則是管理流經這兩片卡的資料封包。 7.NAT和產品術語 每個防火牆產品都使用它自己的術語。舉例來說，微軟的Proxy Server 2使用術語信任和可信任，來描述一個代理伺服器在多點（multicast）情況下的防禦方式： ◇信任：代理伺服器允許流量從內部網路卡進入代理伺服器系統。 ◇可信任：這個術語被用來描述那些被允許存取這個網路的網路和/或主機。 8.作業系統硬體化 過去防火牆或入侵偵測多為軟體形式，主要原因是升級容易。然而，硬體產品，即裝置型產品，但挾著效能高、整合容易以及更安全的優勢，已逐漸取代軟體成為業界主流。 一台防火牆只需要有限的一些服務。在作業系統硬化中，防火牆的安裝程式廢止或刪除了所有不必要的服務。 9.屏蔽和節流路由器 屏蔽式路由器至少