[IT认证]第5章防火墙技术.ppt

企业网络安全技术 Enterprise Network Security Technology 2 3 第5章 防火墙技术 本章学习目标 了解防火墙的概念及其功能 掌握防火墙的分类 掌握包过滤防火墙的工作原理及其优缺点 掌握代理服务器的工作原理及其优缺点 了解防火墙上可以应用的其他技术 5.1 防火墙基础技术 对黒客来说，只要有一点系统漏洞就足够了 保护网络安全的第一个建议就是安装防火墙 5 5.1.1 什么是防火墙 防火墙定义 隔离在本地网络与外界网络之间的一道防御系统 隔离风险区域与安全区域的连接 不会妨碍人们对风险区域的访问 设置防火墙简化网络的安全管理 6 5.1.1 什么是防火墙(续) —— 防火墙示意图 7 内部网络 5.1.1 什么是防火墙(续) —— 防火墙实现方式 路由器 主机 子网 8 5.1.2 防火墙的功能 防火墙是企业网络中实施安全保护的核心 防火墙能够拒绝进出网络的数据流量 9 5.1.2 防火墙的功能(续) 防火墙的主要功能有： 过滤不安全的服务和非法用户 控制对特殊站点的访问 提供监视Internet安全访问和预警的可靠节点 实现公司的安全策略 防止暴露内部网的结构 审计和记录Internet使用费用 在物理上设置一个单独的网段，放置服务器 10 5.1.3 防火墙的缺陷 防火墙防范功能不完备 防火墙的缺陷： 防火墙不能防范不经过防火墙的攻击 防火墙不能防止感染了病毒的软件或文件的传输 防火墙不能防止数据驱动式攻击 防火墙需要其他的安全策略配合 11 5.1.4 防火墙的分类 按照防火墙对内外来往数据的处理方法分类 包过滤防火墙 以色列的Checkpoint防火墙 Cisco公司的PIX防火墙 代理防火墙（应用层网关防火墙） Microsoft ISA Server 12 5.2 包过滤技术 5.2.1 包过滤的原理 5.2.2 包过滤技术的优点 5.2.3 包过滤技术的缺点 13 5.2.1 包过滤的原理 第一代包过滤称为静态包过滤 根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配 过滤规则是根据数据包的报头信息进行定义的 “没有明确允许的都被禁止” 14 5.2.1 包过滤的原理(续) —— IP地址过滤 15 UNIX服务器 防火墙 PC客户机 5.2.1 包过滤的原理(续) —— 防火墙阻止IP流 16 UNIX服务器 防火墙过滤目标IP 为UNIX主机地址的 IP分组 Telnet客户 Telnet服务器 Telnet产生目 标地址为服务 器地址的IP分组 5.2.1 包过滤的原理(续) —— 防火墙阻止IP流(续) 防火墙可以把所有发给UNIX计算机的数据包都给过滤掉 防火墙可以根据IP地址判断是否过滤数据包 IP地址欺骗技术可以破坏上面的防范措施 采用TCP/UDP端口过滤技术 17 5.2.1 包过滤的原理(续) —— 服务器端TCP/UDP端口过滤 18 UNIX服务器 Telnet客户 Telnet服务器 PC客户机 Telnet应用程序产生目标IP为UNIX服务器地址TCP端口号为23的IP分组 防火墙阻断目标地址为UNIX服务器，TCP端口号为23的IP分组，让其他分组通行 5.2.1 包过滤的原理(续) —— 服务器端TCP/UDP端口过滤(续) TCP/IP客户程序使用大于1023的随机分配的端口号 打开所有高于1023的端口不安全 可以要求防火墙放行已知服务的数据包，其他的全部挡在防火墙之外 19 5.2.1 包过滤的原理(续) —— TCP/UDP端口 20 UNIX服务器 Web服务器 PC客户机 Web客户 客户机向服务器发送目标地址是Web服务器，目标TCP端口为80的分组，防火墙则放行，其他的IP包均过滤。 5.2.1 包过滤的原理(续) —— TCP/UDP端口(续) 用户无法知道要访问的服务器正在运行的端口号 源地址不能相信，目标端口也不可信任 对于TCP协议，利用ACK位 21 5.2.1 包过滤的原理(续) —— 使用ACK位 22 外部Web服务器 PC客户机 1）客户发起连接请求 (ACK没有置位) 2）服务器应答 (ACK置位） 5.2.1 包过滤的原理(续) ——动态包过滤技术 使用ACK位无法解决一些问题 FTP协议 UDP协议 使用动态包过滤技术 动态设置包过滤规则 发展成为状态检测（Stateful Inspection）技术 仍然存在问题，可以使用代理服务器 23 5.2.1 包过滤的原理(续)——规则要求 访问控制列表的编号标明哪个协议是被过滤的 每个接口，每个协议，每个方向上可以有一个访问控制列表