信息安全技术教程清华大学出版社-第七章解读.ppt

* 第七章 防火墙技术 7.1 边界安全设备 7.2 防火墙的种类 7.3 防火墙拓扑结构 7.4 防火墙过滤规则库 7.5 习题 * 7.1 边界安全设备 7.1.1 路由器 7.1.2 代理服务器 7.1.3 防火墙 * 7.1.1 路由器 保护网络方法 限制进入被保护网络的通信流量 实现相对复杂的包过滤 减少其它边界安全设备上的负载 阻止对一个网络的欺骗攻击 7.1.2 代理服务器 代理服务器交互过程 * 作用 隐藏客户端身份，限制网络嗅探的有效性 使安全管理者能够执行许可使用策略，提供过滤功能 优化使用带宽 7.1.3 防火墙 什么是防火墙 防火墙负责过滤进入或离开计算机网络的通信数据，通过对接收到的数据包和防火墙内部过滤规则库中的安全规则进行比较，决定是否把一个数据包转发到它的目的地 特点 网络安全的“银子弹” 复杂的边界保护链中的一环 * 7.2 防火墙的种类 7.2.1 硬件防火墙和软件防火墙 7.2.2 包过滤防火墙 7.2.3 状态检测防火墙 * 7.2.1 硬件防火墙和软件防火墙 硬件防火墙 包含了运行防火墙所必需的所有硬件和软件的整合方案 专用的应用工具，处理数据的速度更快，更适用于高带宽的环境，更加昂贵 软件防火墙 安装在PC机平台上的软件产品，通过在操作系统底层工作来实现网络管理和防御功能 相对便宜，配置复杂 * 7.2.2 包过滤防火墙 分析域 源地址，目标地址，目的端口和传输协议 其它因素 时间日期、网络使用率 * 7.2.3 状态检测防火墙 状态检测防火墙维持了关于连接开放的数据以确保数据包是一个由合法用户建立的连接的一部分。 工作机制 当客户端发出一个连接建立请求时，防火墙积极侦听应答信息，并且记录正在被客户端和防火墙使用的两个端口。 在连接存在的整个时期，来自这些端口的数据包被允许通过防火墙。 当防火墙观察到连接拆除中的FIN-FIN/ACK-ACK标志时，它就会撤销临时授权，在这两个套接字中的通信就被阻断了。 当一个连接的时间超出指定的阀值时，也会发生同样的动作。 * 7.3 防火墙拓扑结构 7.3.1 屏蔽主机 7.3.2 屏蔽子网防火墙 7.3.3 双重防火墙 * 7.3.1 屏蔽主机 屏蔽主机结构 * 7.3.2 屏蔽子网防火墙 屏蔽子网结构 * 7.3.3 双重防火墙 双重防火墙结构 * 变体：在应用中使用两个本质上根本不相同的防火墙。 7.4 防火墙过滤规则库 7.4.1 概述 7.4.2 特殊规则 * 7.4.1 概述 规则形式 action protocol from source_address source_port to destination_address destination_port 高级应用 1.终止（而不是阻塞）入站的数据包； 2.整合防火墙自身（或外部的）的认证系统来向不同的级别的用户提供不同的安全限制； 3.与虚拟专用网方法相结合； 4.设置服务质量的规则，使得一定类型的网络流量事先排好序 * 7.4.2 特殊规则 清除规则拒绝不被明确允许的任何东西 deny any from any to any any 隐形规则阻止网络上对防火墙的任何形式的直接连接 deny any from any any to firewall any * * 7.5 习题 一、选择题 1.以下哪一项不是通过实施访问控制来阻止对敏感客体进行未授权访问攻击？ A. 欺骗攻击 B. 暴力攻击 C. 穷举攻击 D. 字典攻击 2. 常见类型的防火墙拓扑结构以下哪一项？ A. 屏蔽主机防火墙 B. 屏蔽子网防火墙 C. 双重防火墙 D. 硬件防火墙 * 二、问答题 1. 试说明在保护网络的边界安全中，路由器所起的作用。 2. 简述客户端/代理服务器/服务器之间的相互交互过程。 3. 举例说明常见的防火墙类型。 4. 常见的防火墙拓扑结构有哪些?简单说明其原理。