网络与信息安全第13章防火墙技术.ppt

第13章防火墙技术;13.1防火墙根本概念;13.2.1包过滤防火墙

包是网络上信息流动的根本单位，它由数据负载和协议头两个局部组成。包过滤是基于协议头的内容进行过滤的。;13.2.2应用代理防火墙

真正可靠的平安防火墙应该禁止所有通过防火墙的直接连接——在协议栈的最高层检验所有的输入数据。;13.2.3电路级网关型防火墙

电路级网关型防火墙起一定的代理效劳作用，它监视两台主机建立连接时的握手信息，从而判断该会话请求是否合法，一旦会话连接有效，该网关仅复制、传递数据。;13.2.4状态包检测防火墙

状态包检测模式增加了更多的包和包之间的平安上下文检查，以到达与应用级代理防火墙相类似的平安性能。;13.2.5双重宿主主机体系结构(DualHomedHost)

双重宿主主机体系结构是围绕具有双重宿主的计算机构筑的，该计算机至少有两个网络接口(NIC)。;13.2.6屏蔽主机体系结构(ScreenedHost)

屏蔽主机体系结构使用一个单独的路由器来提供外部网络与内部堡垒主机(BastionHost)连接的效劳。;13.2.7屏蔽子网结构(ScreenedSubnetArchitectures)

屏蔽子网结构通过进一步增加隔离内外网的边界网络(PerimeterNetwork)为屏蔽主机结构增添了额外的平安层。;13.3.1包过滤技术

包过滤器是最原始的防火墙。包过滤器根据每个包头部内的信息来决定是否要将包继续传输，从而增强平安性。理论上，包过滤器可以被配置为根据协议包头的任何局部进行判断，但是大局部的过滤器被配置成只过滤最有用的数据域，主要是：

①IP地址

②协议类型

③TCP/UDP头信息

④分片字段;包过滤器通常可以使用路由器来实现。;创立包过滤规那么

在确定包过滤的配置规那么之前，需要作如下决定：

●打算提供何种网络效劳，并以何种方向(从内部网络到外部网络，或者从外部网络到内部网络)提供这些效劳。

●是否限制内部主机与因特网进行连接。

●因特网上是否存在某些可信任主机，它们需要以什么形式访问内部网。;对于不同的包过滤产品，用来生成规那么的信息也不同，但通常都包括以下信息：

●接口和方向：包是流入还是离开网络，这些包通过哪种接口。

●源和目的IP地址：检查包从何而来(源IP??址)、发往何处(目的IP地址)。

●IP选项：检查所有选项字段，特别是要阻止源路由(SourceRouting)选项。

●高层协议：使用IP包的上层协议类型，例如TCP还是UDP。

●TCP包的ACK位检查：这一字段可帮助确定是否有，及以何种方向建立连接。

●ICMP的报文类型：可以阻止某些刺探网络信息的企图。

●TCP和UDP包的源和目的端口：此信息帮助确定正在使用的是哪些效劳。;以下是一些明确不能让它们通过防火墙的危险效劳：

●Telnet：如果让一个主机的这个端口翻开，很可能给黑客提供一条访问系统资源的通路。

●NetBIOS：如果让Windows或SMB效劳器的这个端口对互联网提供效劳，就等于让黑客像本地用户一样访问你的网络。

●网络文件系统(NFS)：如果允许这种效劳数据通过防火墙，网络外部的某人很有可能会在网络中安装一个文件系统，然后就像是被连接到本地网络一样访问该文件和目录。

●网络信息效劳(NIS)：这种效劳，被人们称为“黄页〞，会给黑客提供重要的信息，例如网络上的主机名或用户名。

●X窗口：使用X客户和效劳器会引发许多平安问题。;IP包的头部信息很有限。头部信息中有三种信息在包过滤中很重要：

●IP地址，包括源和目的地址；

●协议类型，例如TCP、UDP、ICMP；

●IP选项，例如源路由选择。;1.IP地址

所有防火墙都具有IP地址过滤功能。这项任务就是要检查IP包头，根据其IP源地址和目标地址作出放行/禁止决定。;2.协议字段

这一字段定义了包负载所使用的协议。例如，可以是TCP和UDP两种因特网上常用的协议，也可以是诸如ICMP等其它协议。通常，承载ICMP数据的包都应丢弃，因为ICMP数据将会告知对方本网内部的信息。;另一个IP级数据包过滤要注意的是分片字段。

由于TCP报头信息只包含在第0个分片中，因此无状态包过滤器通常是让所有非首个分片通过，并且仅在数据包的第0分片上做数据包过滤。因为，如果数据包过滤器放弃了第0分片后，不管后续接收了多少剩余分片，目标系统都无法把其余的分片重新组装成为原来的包。;用于包过滤的TCP头信息

控制SMTP连接流入和流出的例子,规那么2和规那么4允许大于端口1023的所有效劳，不管是流入还是流出方向。黑客可以利用这一个漏洞去做各种事情。;改进以后的例子,指定了源端口。;在TCP协议头