大连理工大学城市学院网络安全技术期末知识点第六章.docx
《大连理工大学城市学院网络安全技术期末知识点第六章.docx》由会员分享,可在线阅读,更多相关《大连理工大学城市学院网络安全技术期末知识点第六章.docx(15页珍藏版)》请在冰豆网上搜索。
大连理工大学城市学院网络安全技术期末知识点第六章
第六章:
防火墙技术
一.防火墙的发展历程
1.防火墙概述
在信任网络与非信任网络之间,通过预定义的安全策略,对内外网通信强制实施访问控制的安全应用设备。
.防火墙的功能:
实现内部网与internet的隔离;
不同安全级别内部网之间的隔离。
防火墙的功能
(1)防火墙是网络安全的屏障
(2)防火墙可以强化网络安全策略
(3)对网络存取和访问进行监控审计
(4)防止内部信息的外泄
防火墙的基本特性
(1)内部网络和外部网络之间的所有网络数据流都必须经过防火墙
(2)只有符合安全策略的数据流才能通过防火墙
(3)防火墙自身应具有非常强的抗攻击免疫力
常用概念
外部网络(外网):
防火墙之外的网络,一般为Internet,默认为风险区域。
内部网络(内网):
防火墙之内的网络,一般为局域网,默认为安全区域。
非军事化区(DMZ):
为了配置管理方便,内网中需要向外网提供服务的服务器(如WWW、FTP、SMTP、DNS等)往往放在Internet与内部网络之间一个单独的网段,这个网段便是非军事化区。
包过滤,也被称为数据包过滤,是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤规则,检查数据流中的每个数据包,根据数据包的源地址、目标地址以及端口等信息来确定是否允许数据包通过。
代理服务器,是指代表内部网络用户向外部网络中的服务器进行连接请求的程序
DMZ简介
DMZ网络访问控制策略
(1)内网可以访问外网,内网的用户显然需要自由地访问外网。
在这一策略中,防火墙需要进行源地址转换。
(2)内网可以访问DMZ,此策略是为了方便内网用户使用和管理DMZ中的服务器。
(3)外网不能访问内网,很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。
(4)外网可以访问DMZ,DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。
同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
(5)DMZ不能访问内网,很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。
(6)DMZ不能访问外网,此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。
2.防火墙的技术发展
•利用路由器本身对分组的解析,进行分组过滤
•过滤判断依据:
地址、端口号、IP旗标及其它网络特征
•防火墙与路由器合为一体,只有过滤功能
•适用于对安全性要求不高的网络环境
•将过滤功能从路由器中独立出来,并加上审计和告警功能
•针对用户需求,提供模块化的软件包
•软件可通过网络发送,用户可根据需要构造防火墙
•与第一代防火墙相比,安全性提高了,价格降低了
•是批量上市的专用防火墙产品
•包括分组过滤或者借用路由器的分组过滤功能
•装有专用的代理系统,监控所有协议的数据和指令
•保护用户编程空间和用户可配置内核参数的设置
•安全性和速度大为提高。
•防火墙厂商具有操作系统的源代码,并可实现安全内核
•去掉了不必要的系统特性,加固内核,强化安全保护
•在功能上包括了分组过滤、应用网关、电路级网关
•增加了许多附加功能:
加密、鉴别、审计
•透明性好,易于使用
防火墙的种类
分组过滤/包过滤(Packetfiltering):
作用在网络层和传输层,它根据分组包头源地址,目的地址和端口号、协议类型等标志确定是否允许数据包通过。
只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。
状态检查:
状态检测防火墙工作于网络层,与包过滤防火墙相比,状态检测防火墙判断允许还是禁止数据流的依据也是源IP地址,目的IP地址,源端口,目的端口和通讯协议等。
与包过滤防火墙不同的是,状态检测防火墙是基于会话信息做出决策的,而不是包的信息。
应用代理(ApplicationProxy):
也叫应用网关(ApplicationGateway),它作用在应用层,其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
实际中的应用网关通常由专用工作站实现。
防火墙的技术发展
Telnet例子
SMTP例子
包过滤防火墙的特点
实现容易
数据吞吐率较高
易配置
对应用完全透明
对会话内容无法监控,安全性能较低
应用代理防火墙的特点
可以对应用层数据进行处理
对数据包的检测能力比较强
双向通信必须经过应用代理,禁止IP转发
难于配置
处理速度慢
状态包过滤防火墙的特点
可重组会话,记录会话状态
可以对网络数据进行更细粒度的检测
数据吞吐率较高
对会话内容的处理不够
3.防火墙硬件平台的发展
X86平台
开发难度小
投资少,开发周期短
灵活性好,升级方便
处理性能较低
ASIC平台
处理性能很高
开发难度大
投资很大,开发周期很长
灵活性很差,几乎无法升级
NP平台
处理性能较高
开发灵活性高
开发难度大
投资较大,开发周期较长
三种技术路线比较
技术路线
比较项目
通用CPU
ASIC
NP
技术成熟度
成熟
成熟
基本成熟
投资成本
低
很高
较高
开发周期
短
很长
较长
处理性能
低
很高
高
灵活性
好
很差
好
总结
●技术成熟
●开发难度低
●处理性能上不去
●处理性能很高
●开发周期长/投资大
●灵活性差
●处理性能高
●灵活性好
●投资较小/周期较短
4.防火墙硬件平台的发展
防火墙关键技术
访问控制NATVPN
NAT技术
端口映射
VPN
VPN
防火墙评价指标
性能功能可靠性易用性
评价防火墙性能的六个指标
性能指标
定义
重要程度
吞吐量
单位时间内通过防火墙的数据包数量(不丢包)
★★★★★
最大并发连接数
防火墙可同时维护的网络连接数
★★★
背靠背
防火墙对网络数据包的缓存能力
★★
新建连接速率
防火墙建新连接的快慢程度
★★★★
延迟
防火墙处理和转发数据包所需要的时间
★★★★
丢包率
丢包数占发送包总数的比例(吞吐量范围内)
★★★
防火墙的部署
纯路由
纯透明
混合
典型应用
1.防火墙和防火墙规则集只是()的技术体现
A、需求策略
B、安全策略
C、加密策略
D、解密策略
2.包过滤防火墙的特点,以下说法不对的是()
A、速度快B、速度慢
C、性能高D、对应用程序透明
3.以下哪项不是代理防火墙具有的缺点()。
A、禁止IP转发B、难于配置
C、处理速度慢D、安全性能较低
4.以下选项中,那个不是状态检测防火墙的优点()
A、可重组会话,记录会话状态
B、可以对网络数据进行更细粒度的检测
C、数据吞吐率较高
D、对数据包的检测能力比较强
5.防火墙是使用最广泛的网络安全工具,是网络安全的(),用以防止外部网络的未授权访问
A、第一道防线B、第二道防线
C、第三道防线D、第四道防线
6.以下选项中,那个不是DMZ网络访问控制策略()
A、内网可以访问外网。
B、内网可以访问DMZ。
C、DMZ可以访问内网。
D、外网可以访问DMZ。
7.以下选项中,那个不是X86平台的优点()
A、开发难度小。
B、投资少,开发周期短。
C、灵活性好,升级方便。
D、处理性能较高
8.防火墙中NAT功能的主要作用是()
A提供代理服务B防止病毒入侵
C进行入侵检测D隐藏内部网络地址
9.包过滤防火墙对应用层是透明的,增加这种防火墙不需要对应用软件做任何改动。
A应用层B传输层C网络层D数据链路层
10.对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。
对该连接的后续数据包,只要符合状态表,就可以通过。
这种防火墙技术称为()
(A)包过滤技术
(B)状态检测技术
(C)代理服务技术
(D)以上都不正确
1.防火墙基本概念
2.防火墙的功能
3.防火墙的基本特性
4.DMZ网络访问控制策略
5.防火墙的种类及各自的特点
6.防火墙硬件平台的种类
7.防火墙关键技术
8.评价防火墙性能的指标
升级会员 