第五章-防火墙.ppt

第五章 防火墙 本节内容 防火墙概述 防火墙的种类 包过滤防火墙策略 应用代理防火墙策略 地址伪装 1.防火墙概述 1.1防火墙的概念 1.2防火墙的作用 1.3防火墙的不足 1.1防火墙的概念 防火墙是在两个网络之间执行控制和安全策略的系统，他可以是软件的，也可以是硬件的，或者两者并用。 防火墙作为内外部的访问控制设备，常常被安装在内外网边界的节点上。 防火墙图标 1.2防火墙的作用 限制他人进入内部网络 过滤掉不安全的服务和非法用户 限定人们访问特殊的站点 为监视局域网安全提供方便 1.3防火墙的不足 会限制很多有用的网络服务 无法防护内网用户的攻击 无法防护通过防火墙以外的其他攻击途径 无法完全防范传送受到病毒感染的软件 无法防范新的网络安全问题 2.防火墙的种类 硬件/软件防火墙 包过滤防火墙 应用代理防火墙（也称堡垒主机防火墙） 地址伪装防火墙 2.1包过滤防火墙 包过滤防火墙是目前使用最多的防火墙，占到市场的80%左右。 这种防火墙是基于源、目的、协议、端口号等来确定对目标数据包的动作，并不查看数据包中的内容，所以执行速度很快，但无法阻止对正常端口送入送出的数据中夹带攻击信息或者病毒等。 这种防火墙工作在OSI的3、4层面上。 包过滤防火墙工作原理 过滤动作基于过滤策略，一条过滤策略由以下3个元素组成： 动作元素：阻止(deny)或允许(permit) 协议元素：协议与端口号码 对象元素：来源与目的 路由器中防火墙策略举例 access-list 100 permit ip 55 55 eq 80 access-list 1 deny 3 元素的父子集关系与策略的执行顺序 在策略中使用协议元素时，一定要注意父子集关系，这种父子集关系在与策略的执行顺序进行组合时，将产生不同的效果，这点尤其要注意。 策略的执行顺序 防火墙中的策略按照生成的先后依次排列，（先入栈的在栈顶），当防火墙对进入的数据包进行策略匹配时，只要匹配上就不再匹配下边的策略，如果都没有匹配上，就匹配默认存在的隐含拒绝策略，该策略默认拒绝所有数据的通信。 元素的父子集关系 由于策略执行的特殊方式，导致了如果协议的父集在子集之前，就会导致子集策略无法执行。 如：ip协议的子集有：icmp、UDP、TCP、GRE、ESP、AH等 网段的子集：如/24是/24的子集 例1（错误的）： access-list 1 permit 55 access-list 1 deny 3 例1(正确的): access-list 1 deny 3 access-list 1 permit 55 例2（错误的）： access-list 100 permit ip 55 55 access-list 100 deny tcp 55 10.10.20 55 eq 80 例2（正确的）： access-list 100 deny tcp 55 10.10.20 55 eq 80 access-list 100 permit ip 55 55 例3（错误的）： access-list 100 deny tcp any any eq 445 （注意隐含拒绝条件） 例3（正确的）： access-list 100 deny tcp any any eq 445 access-list 100 permit ip any any 策略放置的位置 在大型防火墙上，策略制定完毕后，还要正确的放置在相应端口的相应方向上，不然策略是不起作用的。方向分为in或者out，in指流入防火墙，out指流出防火墙。 例：只允许网段访问网段 access-list 100 permit ip 55 55 当放置在E1口的in方向上，可以起到正确的效果，但是当放在E1的out方向上，就不起效果，还会导致全网不通。 2.2应用代理防火墙 应用代理型防火墙是工作在应用层的防火墙，这种防火墙可以针对某种应用看到该应用里的内容，目前常见的有： 邮件代理防火墙，主要监视pop、smtp、imap协议 web代理防火墙，主要监视http、https协议 DNS防火墙，主要监视DNS协议 应用代理防火墙的特点 优点：防护等级高，可以过滤的更细致 缺点：速度太慢，并且只能针对个别应用，无法做到全面防护 2.3地址伪装防火墙 这种防火墙的任务是将到达的数据包按照事先指定好的映射规则或者是随机的映射规则，把数据包中的源地址进行更换，使其他人无法看到原来的地址是什么。这样起到将保护对象隐藏起来的作用。 地址伪装的应用 静态NAT 动态NAT