Internet防火墙技术基础.docx

Internet防火墙技术基础.docx

《Internet防火墙技术基础.docx》由会员分享，可在线阅读，更多相关《Internet防火墙技术基础.docx（15页珍藏版）》请在冰豆网上搜索。

Internet防火墙技术基础

Internet防火墙技术基础

第一节防火墙技术简介3

一、防火墙基本概念3

1.什么是防火墙3

2.防火墙的优点3

3.防火墙的缺点3

二、防火墙基本原理3

1.OSI网络安全体系结构3

2.防火墙模型3

3.防火墙的类型4

4.防火墙安全策略4

第二节防火墙体系结构5

一、包过滤器5

1.工作原理5

2.过滤规则5

3.优点5

4.缺点5

5.应用场合5

二、双宿主机6

1.工作原理6

2.特点6

3.双宿网关防火墙6

4.实例6

三、屏蔽主机6

1.工作原理6

2.特点7

四、屏蔽子网7

1.工作原理7

2.特点7

3.各种变形7

五、堡垒主机8

1.基本思想8

2.设计原则8

3.结构形式8

第三节防火墙关键技术8

一、包过滤技术8

1.包过滤模型8

2.包过滤规则的组成8

二、应用级代理9

1.基本原理9

2.代理的优点9

3.代理的缺点9

4.使用代理的原则9

5.使用SOCKS进行代理10

三、地址翻译技术10

1.基本原理10

2.翻译模式10

四、虚拟专用网（VPN）10

1.基本原理10

2.基本功能10

3.特点10

4.VPN中的安全协议10

5.基本类型11

6.VPN的实现11

五、其他防火墙技术11

第一节防火墙技术简介

一、防火墙基本概念

1.什么是防火墙

一个独立的进程或一组紧密结合的进程，运行于路由器或服务器上，通过控制经过防火墙的网络应用程序的通信流量，加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络设备不被破坏，防止内部网络数据被窃取。

2.防火墙的优点

（1）集中化的网络安全管理；

（2）保护网络中脆弱的服务；

（3）在防火墙上可以方便地监视网络的安全性，并产生报警和日志；

（4）在防火墙上可进行网络地址转换NAT（NetworkAddressTranslation）；

（5）可增强网络的保密性；

（6）是审计和记录网络流量的最佳场所；

（7）可作为部署WWW服务器和FTP服务器的理想场所

3.防火墙的缺点

（1）必须限制有用（但安全性较差）的网络服务；

（2）无法防范内部网络用户的攻击；

（3）无法防范绕过防火墙的攻击；

（4）不能防止病毒的传播；

（5）无法防范数据驱动型攻击；

二、防火墙基本原理

1.OSI网络安全体系结构

物理层

数据联路层

网络层

传输层

会话层

表示层

应用层

对等实体鉴别

访问控制

连接保密

选择字段保密

报文流安全

数据完整性

数据源鉴别

禁止否认服务

2.防火墙模型

3.防火墙的类型

（1）双宿主机；

（2）屏蔽主机；

（3）屏蔽子网

4.防火墙安全策略

未被允许就是被禁止；未被禁止就是被允许；

（1）用户帐号策略；

（2）用户权限策略；

（3）信任关系策略；

（4）包过滤策略；

（5）认证策略；

（6）签名策略；

（7）数据加密策略；

（8）密钥分配策略；

（9）审计策略

第二节防火墙体系结构

一、包过滤器

1.工作原理

以所收到的IP数据包的源地址、目的地址、封装协议类型（TCP、UDP、ICMP等）、源端口号、目标端口号及ICMP报文类型等信息为依据，由预先设置好的过滤规则决定是否允许（或拒绝）该IP数据包通过。

2.过滤规则

（1）过滤规则的组成：

●过滤规则序号FRNO（FilterruleNumber）；

●动作（Action）：

允许（Allow）或禁止（Block）；

●源IP地址SIP（SourceIPaddress）；

●源端口SP（SourcePort）；

●目的IP地址DIP（DestinationIPaddress）；

●目的端口DP（DestinationPort）；

●协议标志PF（ProtocolFlagoption）；

●注释（Comment）

（1）过滤规则的制定：

3.优点

（1）一台包过滤器就可保护整个网络；

（2）处理速度快；

（3）对用户透明；

（4）可集成到路由器中，实现方便；

4.缺点

（1）过滤规则定义较复杂，不利于维护和测试；

（2）只能防范一种IP欺骗（外部主机伪装内部主机的IP）；

（3）不能防范数据驱动式攻击（如通过E-mail）；

（4）不支持有效的用户验证；

（5）不能提供有效的日志；

（6）过滤器数量较大时会影响路由器的吞吐量；

（7）无法对网上信息提供全面的控制

5.应用场合

（1）机构是非集中化管理；

（2）机构没有强大的集中安全策略；

（3）网络中主机较少；

（4）主要依靠主机安全来防止入侵；

（5）无法使用DHCP动态分配IP地址

二、双宿主机

1.工作原理

使用带有两个网络接口的主机（Dual-HomedHost）代替路由器执行安全控制功能，同时完成路由寻径工作：

2.特点

（1）使用用户帐号控制对内部网络的访问；

（2）对双宿主机的性能要求较高；

（3）双宿主机必须具有路由寻径功能；

（4）用户帐号提供了相对容易的入侵通道；

（5）用户帐号较多时不易管理；

3.双宿网关防火墙

4.实例

三、屏蔽主机

1.工作原理

屏蔽主机防火墙强迫所有外部主机与一个堡垒主机相连接，而不让它们直接与其它内部主机相连：

堡垒主机上运行代理服务器，任何外部主机对内部主机的访问都必须经过堡垒主机上的代理服务器，都只能与堡垒主机建立连接

2.特点

（1）过滤路由器和堡垒主机为内部网提供了双重保护：

网络层安全（包过滤）和应用层安全（代理服务）；

（2）过滤路由器的路由表必须受到严格保护；

（3）堡垒主机易受攻击

四、屏蔽子网

1.工作原理

在内部网络和外部网络间增加一个隔离子网，使内部网络和外部网络不能直接通信，

系统中使用了两个包过滤路由器和一个堡垒主机：

●外部路由器用于防范外部攻击（只允许通过堡垒主机上的代理服务器访问内部网），并管理Internet到DMZ的访问；

●外部路由器可保护DMZ中的主机；

●外部路由器可防止部分IP欺骗；

●内部路由器保护内部网不受来自Internet和DMZ的攻击；

●内部路由器管理内部主机对外部网的访问，外出数据也必须经过堡垒主机上的代理服务器

2.特点

（1）系统安全性高：

内部网与外部网间有两层阻隔，隔离子网可隔离堡垒主机与内部网（减轻堡垒主机被入侵后对内部网的冲击）；可防源地址欺骗和源路由攻击；

（2）管理方便；

（3）对堡垒主机的安全性要求较高；

3.各种变形

（1）合并外部路由器和堡垒主机；

（2）

合并外部路由器和内部路由器；

（3）使用多台外部路由器；

五、堡垒主机

1.基本思想

是一种被强化的可以防御攻击的计算机，被暴露于Internet之上，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决而不考虑其它主机的目的

2.设计原则

（1）最简化原则：

堡垒主机上设置的服务尽可能地少，对不得不设置的服务应给予尽可能低的权限；

（2）预防原则：

应对最坏情况作好准备，以便堡垒主机被入侵时能及时探测到并加以修复，将损失减到最小

3.结构形式

（1）无路由双宿主机：

注意关闭其路由功能；

（2）牺牲主机：

无任何保护，也不与内部网相连，用于向外提供信息；

（3）内部堡垒主机：

专门向内部主机提供网络服务地服务器

第三节防火墙关键技术

一、包过滤技术

1.包过滤模型

2.包过滤规则的组成

●过滤规则序号FRNO（FilterruleNumber）；

●动作（Action）：

允许（Allow）或禁止（Block）；

●源IP地址SIP（SourceIPaddress）；

●源端口SP（SourcePort）；

●目的IP地址DIP（DestinationIPaddress）；

●目的端口DP（DestinationPort）；

●协议标志PF（ProtocolFlagoption）；

●注释（Comment）

二、应用级代理

1.基本原理

（1）中转内部网络向外部网络的服务请求/响应；

（2）外部网络通过代理访问内部网络，但不能直接访问内部网络

（3）通常与真正的防火墙一起使用

2.代理的优点

（1）代理隐藏了私有客户，而不让它们暴露给外界；

（2）代理能禁止对特定（外部）站点的访问；

（3）代理能对内容进行过滤；

（4）代理能记录日志和报警；

（5）代理可以缓存频繁访问的数据；

（6）可用于平衡内部多个服务器的负载（将外来请求转发到不同服务器上处理）；

3.代理的缺点

（1）可能产生单点错误；

（2）代理一般要求对客户程序进行修改；

（3）每种服务均要有代理；

（4）代理方式不适合某些服务（如H.323要求建立返回通道，象RealAudio这样的流服务无法进行内容过滤）；

（5）不能防护底层协议固有的不安全因素（如XWindows协议本身就有许多不安全操作）；

（6）应用层实现的性能不高，容易形成网络瓶颈；

4.使用代理的原则

（1）与真正的防火墙一起使用；

（2）禁用代理服务器上的路由功能；

（3）保证基本操作系统的安全；

（4）不允许外部主机使用代理服务器进行代理；

（5）将代理服务与其它网络服务置于不同的服务器上；

5.使用SOCKS进行代理

三、地址翻译技术

网络地址翻译NAT（NetworkAddressTranslation）将内部网络中使用的IP地址转换为Internet上的公共IP地址，可用于隐藏内部网络细节：

1.基本原理

防火墙维护一个内部IP地址和外部IP地址间的翻译表，对进出的IP数据包的源地址或目的地址进行改写后再转发

2.翻译模式

（1）静态翻译（端口转发）：

地址翻译表不变；

（2）动态翻译（IP伪装、自动模式或隐藏模式）；

（3）负载平衡翻译：

一个IP地址和端口被翻译为同等配置的多台服务器的IP地址之一；

（4）网络冗余翻译：

把内部客户的负载分布到多个网络连接上；

四、虚拟专用网（VPN）

1.基本原理

虚拟专用网（VirtualPrivateNetwork）是在Internet上扩展局域网到远程网络和远程计算机的有效方式，VPN通过将局域网通信封装到IP数据中（并加密）后再通过Internet传送到远程网络或远程计算机。

2.基本功能

（1）IP封装；

（2）加密的身份验证；

（3）数据有效载荷加密

3.特点

（1）比广域网便宜；

（2）更易建立；

（3）比局域网慢；

（4）不如广域网可靠；

（5）不如单独的局域网或广域网安全

4.VPN中的安全协议

OSI七层模型

安全技术

安全协议

应用层

表示层

应用代理

会话层

传输层

会话层代理

SOCKS

网络层

数据链路层

物理层

包过滤

IPSec

PPTP/L2TP

5.基本类型

（1）基于服务器的VPN

（2）基于防火墙的VPN

（3）基于路由器的VPN

6.VPN的实现

（1）使用真正的防火墙；

（2）保证基本操作系统的安全；

（3）只使用ISP；

（4）使用包过滤拒绝不知道的主机；

（5）使用公钥加密和身份验证；

（6）加密之前进行压缩；

（7）保证远程主机的安全；

（8）选择兼容的IPSec+IKEVPN

五、其他防火墙技术