网络安全理论与实践教案设计第3章防火墙docx.docx
《网络安全理论与实践教案设计第3章防火墙docx.docx》由会员分享,可在线阅读,更多相关《网络安全理论与实践教案设计第3章防火墙docx.docx(22页珍藏版)》请在冰豆网上搜索。
网络安全理论与实践教案设计第3章防火墙docx
金陵科技学院教案【教学单元首页】
第1次课授课学时4教案完成时间:
201&2
早、R
第3讲防火墙技术
主要内容
防火墙概述防火墙的类型和结构静态包过滤防火墙动态包过滤防火墙电路级网关应用级网关状态检测防火墙切换代理空气隙防火墙
目的与要求
掌握防火墙基本知识;了解防火墙体系结构,包插包过滤型、双宿主主机型、屏蔽子网型等;理解防火墙的关键技术,如包过滤、堡垒主机、NAT技术等;了解防火墙的相关安全标准;理解分布式防火墙产生的由来、发展历程以及关键技术。
重点与难点
重点:
掌握防火墙基本知识;理解防火墙的关键技术,如包过滤、堡垒主机、NAT技术等;理解分布式防火墙产生的由來、发展历程以及关键技术。
难点:
理解防火墙的关键技术,如包过滤、堡垒主机、NAT技术等;
教学方法与手段
课堂教学,多媒体课件与板书相结合
授课内容
•防火墙概述
•防火墙是由软件和硬件组成的系统,它处于安全的网络和不安全的网络之间,根据由系统管理员设置的访问控制规则,对数据流进行过滤。
•在逻辑上,防火墙是一个分离器、限制器、分析器,能有效地监控内部网与Internet之间的任何活动,保证内部网络的安全。
•防火墙对数据流的处理方式:
防火墙是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、丢弃)出入网络的信息流,且本身具有较强的抗攻击能力。
•允许数据流通过。
•拒绝数据流通过,并向发送者回复一条消息,提示发送者该数据流已被拒绝。
•将数据流丢弃,不对这些数据包进行任何处理,也不会向发送者发送任何提示信息。
•防火墙须满足的要求
防火墙是Internet安全的最基本组成部分,但对于内部攻击以及绕过防火墙的连接却无能为力。
防火墙不是一台普通的主机,它自身的安全性要比普通主机更高。
那些与防火墙功能实现不相关但又可能带来安全威胁的网络服务和应用程序,都应当剥离出去。
•前提:
所有进出网络的数据流都必须经过防火墙
•基本功能:
只允许经过授权的数据流通过防火墙。
•先决条件:
防火墙自身对入侵是免疫的。
•防火墙示意与组成
内部过滤器
外部过滤器
Gateway
内部网络
网关
外部网络
•过滤器:
阻断数据传输
•外部过滤器:
保护网关免受侵害
•内部过滤器:
防备因网关被攻击而造成的伤害
•网关:
提供中继服务的一台或多台机器
•堡垒主机:
暴露在外面的网关主机
•DMZ:
网关所在的网络称为“非军事区”
堡垒主机在防火墙体系结构中起着至关重要的作用,它专门用来击退攻击行为。
网
络防御的第一步,是寻找堡垒主机的最佳位置,
堡垒主机为内网和外网Z间的所有通道提供一个阻塞点。
没有堡垒主机,就不能连接外网,同样,外网也不能访问内网。
如果通过堡垒主机来集中网络权限,就可以轻松地配置软件來保护网络。
•防火墙本质:
一种能够限制网络访问的设备或软件
•防火墙的类型和设计结构:
防火墙分类:
包过滤防火墙,电路级网关防火,墙应用级网关防火墙。
防火墙设计结构:
静态包过滤,动态包过滤,电路级网关
•OSI模型与防火墙类型的关系
防火墙工作于OST模型的层次越高,能提供的安全保护等级就越高。
应用级网关1
应用层
表不层
电路级网关1
知层
传输层
—包过滤11
网络层
'链路层
物理层
FIPIIclnetSMTP其他
•网络地址转换NAT
NAT的优点:
隐藏内部网络的拓扑结构,提升网络安全性,解决地址紧缺的问题。
NAT的分类:
•根据"AT的实现方式对NAT进行分类:
静态NAT,动态AT,端口地址转换
动态7AT:
可用的InternetIP地址限定在一个范围内。
静态NAT:
在进行网络地址转换时,内部网络地址与外部的InternetTP地址是一一对应的关系。
•根据数据流进行分类:
源7AT,目标NAT
源MAT:
当内部用户使用专用地址访问Internet吋,必须将IP头部中的数据源地址转换成合法的Internet地址。
冃标必须将数据包中的目的地址转换成服务器的专用地址,使合法的InternetIP地址与内部网络(防火墙后而)中服务器的专用地址相对应。
NAT转换过程
含内部1P」MI:
的内部网络
源地址19216&10」:
源地址201.267.9
NAE*由器
在外部数据包进入内部网络之前,其H的地址字段应包含NAT路由器的外部地址。
因此,对于所有输入数据包,NAT路由器必须采用最终冃标主机的IP地址替换数据包的目的地址。
在内部数据包离开内部网络之前,其源地址字段应包含NAT路由器的外部地址因此,对于所有输出的数据包,TAT路由器用其外部地址替换数据包的源地址。
NAT转换过程实例1:
对于输出数据包,NAT的工作很简单:
NAT路由器只需用NAT的外部地址来替换数据包中的源地址(内部主机地址)
对于输入数据包,NAT如何知道该将数据包发给内网中的哪一台主机呢?
NAT路市器需要维护一个转换表,该表将内部主机的地址映射到外部目标主机的地址。
一旦某个内部主机发送一个数据包给外部主机,NAT路由器在此转换表中增加一个条目。
一旦从外部主机返冋了一个响应,NAT路由器便查询转换表,决定将此响应数据包发给内网中的哪台主机。
转换表
内部地址外部地址
192.168.10.1210.10.20.20
192.168.10.1
192.168.10.1
20126.7.9
210.10.2Q20
源地址:
201.267.9冃的地址:
210.10.2020
源地址:
192168.1()」冃的地址:
210.10.20.20
转换表
内部地址
外部地址
192168.10.1
210.1020.20
1
1•••
•••
210.10.2020
192.16&10」
192.168.10.1
20126.79
源地址:
21Q10.20.20冃的地址:
192.1®」0.1
源地址:
210.10.2Q20
目的地址:
210.26.7.9
KAT路由器用内部主机地址(即192.168.10.1)替换数据包的目的地址.并将该分组发给该内部主机。
该响应数据包到达NAT路由器。
因为响应数据包中的目的地址£NAT路由器的地址匹配,所liNAT路由器查询转换表,以确》此转换表中是否含有外部地址关210.10.20.20的条目•最终,NA1路由器找到了这个条目中含有0<内部主机地址为192.168.10.1o
Internet上的外部路由器处理该数据包,并发回一个响应数据包。
此时,该响应数据包的源地址为210.10.20.20,而目的地址为20L26.7.9。
NAT转换过程实例2:
如果有多个内部主机同时与外网的同一台主机通信,NAT路由器如何确定应该将响应包发给哪一台内部主机呢?
一一需要修改NAT转换表,添加几列新的参数。
内部地址
内部端口
外部地址
外部端口
NA備口
I传输协议
192.168.10.1
300
210.10.20.20
80
14000
TCP
192.16&10.1
301
210.10.20.20
21
14001
TCP
192.16&10.2
26601
210.10.20.20
80
14002
TCP
192.168.10.3
1275
207.21.1.5
80
14003
TCP
•防火墙的体系结构
•双宿主主机体系结构
双重宿主主机体系结构是围绕具有双重殆主的主机计算机而构筑的,该计算机至少有两个网络接口,其屮一些接口连接到一段网络,另一些接口连接另一网段,这样的主机可以充当与这些接口相连的网络Z间的路由器,它能够从一个网络到另一个网络发送IP数据包。
•屏蔽主机体系结构
屏蔽主机体系结构如图所示,防火墙没有使用路由器,但能提供来自于多个网络相连的主机的服务,而屏蔽主机体系结构使用一个单独的路由器,提供来自仅仅与内部的网络相连的主机的服务。
在这种体系结构川,主要的安全由数据包过滤提供。
在这种体系结构中,主要的安全由数据包过滤提供(例如,数据包过滤用于防止人们绕过代理服务器直接相连)0数据包过滤也允许堡垒主机开放可允许的连接(什么是可允许,将由用户站点的安全策略决定)到外部世界。
在屏蔽的路由器中,数据包过滤配置可以按下列之一执行:
•允许其他的内部主机为了某些服务与因特网上的主机连接,即允许那些已经由数据包过滤的服务。
•不允许来自内部主机的所有连接(强迫那些主机经由堡垒主机使用代理服务)。
用户可以针对不同的服务混合使用这些手段,某些服务可以被允许直接经由数据包过滤,而其他服务可以被允许仅仅间接地经过代理。
这完全取决于用户实行的安全策略。
•屏蔽子网体系结构
屏蔽子网体系结构(如图11-5所示)添加额外的安全层到屏蔽主机体系结构,即通过添加周边网络,更进一步地把内部网络和外部网络(通常是Internet)隔离开。
下面将对上面提到的儿个名词进行说明,具体如下。
1.内部路由器
2.外部路由器
3.周边网络(DMZ)
•防火墙体系结构的组合形式
在构造防火墙体系时,一般很少使用单一的技术,通常都是多种解决方案的组合。
这种组合主要取决于网管中心向用户提供什么服务,以及网管屮心能接受什么等级的风险。
还要看投资经费、技术人员的水平和吋间等问题。
一般包括以下几种形式:
使用多个堡垒主机。
合并内部路市器和外部路市器。
合并堡垒主机和外部路由器。
合并堡垒主机和内部路由器。
使用多个内部路由器。
使用多个外部路rh器。
使用多个周边网络。
使用双宿主主机与屏蔽子网。
・防火墙的技术
•静态包过滤防火墙
静态包过滤防火墙实现三个功能:
/接收每个到达的数据包。
/对数据包采用过滤规则,对数据包的IP头和传输字段内容进行检查。
/如果没有规则与数据包头信息匹配,则対数据包施加默认规则。
默认规则:
1•容易使用;2.安全第一。
/容易使用:
"允许一切”,没有明确拒绝则通过
/安全第一:
“拒绝一切”,没有明确通过则拒绝
静态包过滤防火墙是最原始的防火墙,静态数据包过滤发生在网络层上。
対于静态包过滤防火墙來说,决定接收还是拒绝一个数据包,収决于対数据包中TP头和协议头等特定域的检查和判定。
静态包过滤防火墙实例
包过鴻器
拒绝规则
Interface
SourceIP
Sourceport
DestinationIP
Destmatnonport
1
13033.0.0
■
•
1
•
■
23
1
拿
193.77.219
♦
2
■
•
■
SO
内部网络
Internet
接门1
接门2
静拒绝来自130.33.0.0的数据包,这是一种保守策略。
♦拒绝来自外部网络的Telnet服务(端口号为23)的数据包。
*拒绝试图访问内网主机193.77.21.9的数据包。
♦禁止HTTP服务(端口号为80)的数据包输出。
.丿
包过滤器的工作原理:
/过滤内容:
源地址、目的地址、源端口、目的端口、应用或协议
/若符合规则,则丢弃数据包.如果包过滤器没有发现一个规则与该数据包匹配,那么它将对其施加一个默认规则。
/过滤位置:
可以在网络入口处过滤,也可在网络出口处过滤,在入口和出口同时对数据包进行过滤。
/访问控制策略:
网管员预先编写一个访问控制列表,明确规定哪些主机或服务可接受,哪些主机或服务不可接受。
访问控制列表(访问控制规则库)
防火墙按照一定的次序描述规则库,直接到包过滤器发现一个特定域满足包过滤规则的特定要求时,才对数据包做出“接收”或“丢弃”的判决。
包过滤器防火墙的配置
1.管理员必须明确企业网络的安全策略
2.必须用逻辑表达式清楚地表述数据包的类型
3.必须用设备提供簡可支持的语法重写这些表达式
静态包过滤防火墙优缺点
/优点:
对网络性能影响较小,成本较低。
/缺点:
安全性较低,缺少状态感知能力,容易遭受IP欺骗攻击,创建访问控制规则比较困难。
•动态包过滤防火墙
具有状态感知能力
典型的动态包过滤防火墙工作在网络层
先进的动态包过滤防火墙工作在传输层
•动态包过滤防火墙的工作原理:
/工作在传输层
/过滤内容:
源地址、目的地址、源端口、目的端口、应用或协议
数据包过滤与普通包过滤防火墙非常相似。
不同点:
对外出数据包进行身份记录,便于下次让具有相同连接的数据包通过。
动态包过滤防火墙碍要对已建连接和规则表进行动态维护,因此是动态的和有状态
的。
典型的动态包过滤防火墙能够感觉到新建连接与已建连接Z间的差别。
•动态包过滤防火墙优缺点
优点:
采用SMP技术时,对网络性能的影响非常小,安全性优于静态包过滤防火墙。
“状态感知”能力使其性能得到了显著提高。
如果不考虑操作系统成本,成本会很低。
缺点:
仅工作于网络层,仅检查IP头和TCP头。
没过滤数据包的净荷部分,仍具有较低的安全性。
容易遭受IP欺骗攻击。
难于创建规则,管理员必须要考虑规则的先后次序。
难于创建规则,管理员必须要考虑规则的先后次序。
•电路级网关
电路级网关通常作为代理服务器的一部分在应用代理类型的
电路级网关又称做线路级网关,当两个主机首次建立TCP连接时,电路级网关在两个主机之间建立一道屏障來自Internet的请求,作为服务器接收外來请求并转发。
内部主机请求访问Internet,担当代理服务器。
电路级网关工作时,IP数据包不会实现端到端的流动。
工作于会话层
与包过滤的区別:
除了进行基本的包过滤检查外,还要增加对连接建立过程屮的握手信息SYN、ACK及序列号合法性的验证。
检查内容:
源地址、目的地址、应用或协议、源端口号、目的端口号、握手信息及序列号。
电路级网关所过滤的内容:
K|谐I鯛状态和换流I净荷
IP头TCP头应用级头数据
电路级网关
电路级网关的工作原理:
在转发一个数据包之前,首先将数据包的IP头和TCP头与rti管理员定义的规则表相比较。
如果会话合法,包过滤器就开始逐条扫描规则,直到发现一条与数据包屮的有关信息一致。
电路级网关在其自身与远程主机Z间建立一个新连接,这一•切对内网屮用户都是完全透明的。
SOCKS连接
SOCKS由David和MichelleKoblas设计并开发是现在已得到广泛应用的电路级网关(SSL)事实上,SOCKS是一种网络代理协议
(内网主机、
彳与SOCKS'
将请求
「响应后将数[
请求访问
服务器
发送给
向目标主命
据返回
互联网
建立通道
服务器
发岀请求7
内网主机
优点:
性能比包过滤防火墙稍差,但是比应用代理防火墙好。
切断了外部网络到防火墙后的服务器直接连接。
比静态或动态包过滤防火墙具有更高的安全性。
缺点:
具有一些固有缺陷,例如,电路级网关不能对数据净荷进行检测,无法抵御应用层攻击等。
仅提供一定程度的安全性。
当增加新的内部程序或资源时,往往需要对许多电路级网关的代码进行修改。
•应用级网关
只能过滤特定服务的数据流
必须为特定的应用服务编写特定的代理程序,被称为“服务代理”,在网关内部分别扮演客户机代理和服务器代理的角色。
客户机
当各种类型的应用服务通过网关时,必须经过客户机代理和服务器代理的过滤。
应用级网关的工作层次
必针对每个服务运行一个代理。
对数据包进行逐个检查和过滤。
采用“强应用代理”。
当前最安全的防火墙结构之一。
代理对整个数据包进行检查,因此能在应用层上对数据包进行过滤。
应用代理程序与电路级网关有两个重要区别:
代理是针对应用的。
代理对整个数据包进行检查,因此能在0SI模型的应用层上对数据包进行过滤。
提高了应用级网关的安全等级。
不是对用户的整个数据包进行复制,而是在防火墙内部创建一个全新的空数据包。
将那些可接收的命令或数据,从防火墙外部的原始数据包屮复制到防火墙内新建的数据包中,然后将此新数据包发送给防火墙后面受保护的服务器。
能够降低种类隐通道攻击带來的风险。
优点:
在已有的安全模型中安全性较高(最高层,检查整个数据包)。
具有强大的认证功能。
具有超强的日志功能。
规则配置比较简单(自动创建包过滤规则)。
缺点:
灵活性很差,对侮一种应用都需要设置一个代理。
配置烦琐,增加了管理员的工作塑。
性能不高,有可能成为网络的瓶颈。
•状态检测防火墙
应用状态:
能够理解并学习各种协议和应用,以支持各种最新的应用;能从应用程序中收集状态信息并存入状态表中,以供其他应用或协议做检测策略。
操作信息:
状态监测技术采用强大的面向对象的方法。
通信信息:
防火墙的检测模块位于操作系统的内核,在网络层之下,能在数据包到达网关操作系统之前对它们进行分析。
通信状态:
状态检测防火墙在状态表中保存以前的通信信息,记录从受保护网络发出的数据包的状态信息。
优点:
具备动态包过滤所有优点,同时具有更高的安全性。
没有打破客户/服务器模型。
提供集成的动态包过滤功能。
运行速度更快。
缺点:
采用单线程进程,对防火墙性能产生很大影响。
没有打破客户/服务器结构,会产生不可接受的安全风险
不能满足对高并发连接数量的要求。
仅能提供较低水平的安全性。
•切换代理
切换代理首先起电路级代理的作用,以验证RFC建议的三步握手。
再切换到动态包过滤的工作模式下。
优点:
与传统电路级网关相比,对网络性能造成影响要小。
由于对三步握手进行了验证,降低了IP欺骗的风险。
缺点:
它不是一个电路级网关。
它仍然具有动态包过滤器遗留的许多缺陷。
由于没检查数据包的净荷部分,因此具有较低的安全性。
难于创建规则(受先后次序的影响)。
其安全性不及传统的电路级网关。
•空气隙防火墙
外部客户机与防火墙之间的连接数据被写入一个具有SCSI接口的高速硬盘。
■|・“匕亦1Ic[■空检机]
内部的连接再从该SCSI硬盘中读取数据。
防火墙切断了客户机到服务器的直接连接,并且对硬盘数据的读/写操作都是独立进行的。
优点:
切断了与防火墙后面服务器的直接连接,消除了隐信道攻击的风险。
采用强应用代理对协议头长度进行检测,因此能够消除缓冲器溢出攻击。
与应用级网关结合使用,空气隙防火墙能提供很高的安全性。
缺点:
降低网络的性能。
不支持交互式访问。
适用范围窄。
系统配置复杂。
结构复杂,实施费用高。
带来瓶颈问题。
金陵科技学院教案【末页】
本单元知识点归纳
基本要求:
常握防火墙基本知识;了解防火墙体系结构,包括包过滤型、双宿主主机型、屏蔽子网型等;理解防火墙的关键技术,如包过滤、堡垒主机、NAT技术等;了解防火墙的相关安全标准;理解分布式防火墙产生的由来、发展历程以及关键技术。
重点:
掌握防火墙基本知识;理解防火墙的关键技术,如包过滤、堡垒主机、NAT技术等;理解分布式防火墙产生的由来、发展历程以及关键技术。
难点:
理解防火墙的关键技术,如包过滤、堡垒主机、NAT技术等;
思考题或作业题
作业题:
Q1.什么是防火墙的非军事区(DMZ)?
它的作用是什么?
系统中提到的NAT的几种实现方式,试给LBM-N的NAT转换算法。
Q2.简述静态包过滤防火墙的工作原理,并分析其优缺点。
动态包过滤防火墙与静态包过滤防火墙的主要区别是什么?
Q3.分组过滤的3大操作是什么?
Q4.电路级网关与包过滤防火墙有何不同?
简述电路级网关的优缺点。
Q5.电路级网关与应用级网关有何不同?
简述应用级网关的优缺点。
Q6.软件防火墙与硬件防火墙之间的区别是什么?
小论文:
Q1请阐述你所理解的防火墙的局限性。
(1000字+)
本单元教学情况小结
备注
完成章节课后题,预习下一章