Internet防火墙技术基础.docx

1、Internet防火墙技术基础Internet防火墙技术基础第一节 防火墙技术简介 3一、防火墙基本概念 31.什么是防火墙 32.防火墙的优点 33.防火墙的缺点 3二、防火墙基本原理 31.OSI网络安全体系结构 32.防火墙模型 33.防火墙的类型 44.防火墙安全策略 4第二节 防火墙体系结构 5一、包过滤器 51.工作原理 52.过滤规则 53.优点 54.缺点 55.应用场合 5二、双宿主机 61.工作原理 62.特点 63.双宿网关防火墙 64.实例 6三、屏蔽主机 61.工作原理 62.特点 7四、屏蔽子网 71.工作原理 72.特点 73.各种变形 7五、堡垒主机 81.基本

2、思想 82.设计原则 83.结构形式 8第三节 防火墙关键技术 8一、包过滤技术 81.包过滤模型 82.包过滤规则的组成 8二、应用级代理 91.基本原理 92.代理的优点 93.代理的缺点 94.使用代理的原则 95.使用SOCKS进行代理 10三、地址翻译技术 101.基本原理 102.翻译模式 10四、虚拟专用网（VPN） 101.基本原理 102.基本功能 103.特点 104.VPN中的安全协议 105.基本类型 116.VPN的实现 11五、其他防火墙技术 11第一节 防火墙技术简介一、防火墙基本概念1.什么是防火墙一个独立的进程或一组紧密结合的进程，运行于路由器或服务器上，通过

3、控制经过防火墙的网络应用程序的通信流量，加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络设备不被破坏，防止内部网络数据被窃取。2.防火墙的优点 （1） 集中化的网络安全管理；（2） 保护网络中脆弱的服务；（3） 在防火墙上可以方便地监视网络的安全性，并产生报警和日志；（4） 在防火墙上可进行网络地址转换NAT（Network Address Translation）；（5） 可增强网络的保密性；（6） 是审计和记录网络流量的最佳场所；（7） 可作为部署WWW服务器和FTP服务器的理想场所3.防火墙的缺点（1） 必须限制有用（但安全性较差）的网络服务；（2） 无法防范内部网络

4、用户的攻击；（3） 无法防范绕过防火墙的攻击；（4） 不能防止病毒的传播；（5） 无法防范数据驱动型攻击；二、防火墙基本原理1.OSI网络安全体系结构物理层数据联路层网络层传输层会话层表示层应用层对等实体鉴别访问控制连接保密选择字段保密报文流安全数据完整性数据源鉴别禁止否认服务2.防火墙模型3.防火墙的类型（1） 双宿主机；（2） 屏蔽主机；（3） 屏蔽子网4.防火墙安全策略未被允许就是被禁止；未被禁止就是被允许；（1） 用户帐号策略；（2） 用户权限策略；（3） 信任关系策略；（4） 包过滤策略；（5） 认证策略；（6） 签名策略；（7） 数据加密策略；（8） 密钥分配策略；（9） 审计策略

5、第二节 防火墙体系结构一、包过滤器1.工作原理以所收到的IP数据包的源地址、目的地址、封装协议类型（TCP、UDP、ICMP等）、源端口号、目标端口号及ICMP报文类型等信息为依据，由预先设置好的过滤规则决定是否允许（或拒绝）该IP数据包通过。2.过滤规则（1） 过滤规则的组成： 过滤规则序号FRNO（Filter rule Number）； 动作（Action）：允许（Allow）或禁止（Block）； 源IP地址SIP（Source IP address）； 源端口SP（Source Port）； 目的IP地址DIP（Destination IP address）； 目的端口DP（Dest

6、ination Port）； 协议标志PF（Protocol Flag option）； 注释（Comment）（1） 过滤规则的制定：3.优点（1） 一台包过滤器就可保护整个网络；（2） 处理速度快；（3） 对用户透明；（4） 可集成到路由器中，实现方便；4.缺点（1） 过滤规则定义较复杂，不利于维护和测试；（2） 只能防范一种IP欺骗（外部主机伪装内部主机的IP）；（3） 不能防范数据驱动式攻击（如通过E-mail）；（4） 不支持有效的用户验证；（5） 不能提供有效的日志；（6） 过滤器数量较大时会影响路由器的吞吐量；（7） 无法对网上信息提供全面的控制5.应用场合（1） 机构是非集中化

7、管理；（2） 机构没有强大的集中安全策略；（3） 网络中主机较少；（4） 主要依靠主机安全来防止入侵；（5） 无法使用DHCP动态分配IP地址二、双宿主机1.工作原理使用带有两个网络接口的主机（Dual-Homed Host）代替路由器执行安全控制功能，同时完成路由寻径工作：2.特点（1） 使用用户帐号控制对内部网络的访问；（2） 对双宿主机的性能要求较高；（3） 双宿主机必须具有路由寻径功能；（4） 用户帐号提供了相对容易的入侵通道；（5） 用户帐号较多时不易管理；3.双宿网关防火墙4.实例三、屏蔽主机1.工作原理屏蔽主机防火墙强迫所有外部主机与一个堡垒主机相连接，而不让它们直接与其它内部主

8、机相连： 堡垒主机上运行代理服务器，任何外部主机对内部主机的访问都必须经过堡垒主机上的代理服务器，都只能与堡垒主机建立连接2.特点（1） 过滤路由器和堡垒主机为内部网提供了双重保护：网络层安全（包过滤）和应用层安全（代理服务）；（2） 过滤路由器的路由表必须受到严格保护；（3） 堡垒主机易受攻击四、屏蔽子网1.工作原理在内部网络和外部网络间增加一个隔离子网，使内部网络和外部网络不能直接通信，系统中使用了两个包过滤路由器和一个堡垒主机： 外部路由器用于防范外部攻击（只允许通过堡垒主机上的代理服务器访问内部网），并管理Internet到DMZ的访问； 外部路由器可保护DMZ中的主机； 外部路由器可

9、防止部分IP欺骗； 内部路由器保护内部网不受来自Internet和DMZ的攻击； 内部路由器管理内部主机对外部网的访问，外出数据也必须经过堡垒主机上的代理服务器2.特点（1） 系统安全性高：内部网与外部网间有两层阻隔，隔离子网可隔离堡垒主机与内部网（减轻堡垒主机被入侵后对内部网的冲击）；可防源地址欺骗和源路由攻击；（2） 管理方便；（3） 对堡垒主机的安全性要求较高；3.各种变形（1） 合并外部路由器和堡垒主机；（2） 合并外部路由器和内部路由器；（3） 使用多台外部路由器；五、堡垒主机1.基本思想是一种被强化的可以防御攻击的计算机，被暴露于Internet之上，作为进入内部网络的一个检查点，

10、以达到把整个网络的安全问题集中在某个主机上解决而不考虑其它主机的目的2.设计原则（1） 最简化原则：堡垒主机上设置的服务尽可能地少，对不得不设置的服务应给予尽可能低的权限；（2） 预防原则：应对最坏情况作好准备，以便堡垒主机被入侵时能及时探测到并加以修复，将损失减到最小3.结构形式（1） 无路由双宿主机：注意关闭其路由功能；（2） 牺牲主机：无任何保护，也不与内部网相连，用于向外提供信息；（3） 内部堡垒主机：专门向内部主机提供网络服务地服务器第三节 防火墙关键技术一、包过滤技术1.包过滤模型2.包过滤规则的组成 过滤规则序号FRNO（Filter rule Number）； 动作（Actio

11、n）：允许（Allow）或禁止（Block）； 源IP地址SIP（Source IP address）； 源端口SP（Source Port）； 目的IP地址DIP（Destination IP address）； 目的端口DP（Destination Port）； 协议标志PF（Protocol Flag option）； 注释（Comment）二、应用级代理1.基本原理（1） 中转内部网络向外部网络的服务请求/响应；（2） 外部网络通过代理访问内部网络，但不能直接访问内部网络（3） 通常与真正的防火墙一起使用2.代理的优点（1） 代理隐藏了私有客户，而不让它们暴露给外界；（2） 代理能禁止

12、对特定（外部）站点的访问；（3） 代理能对内容进行过滤；（4） 代理能记录日志和报警；（5） 代理可以缓存频繁访问的数据；（6） 可用于平衡内部多个服务器的负载（将外来请求转发到不同服务器上处理）；3.代理的缺点（1） 可能产生单点错误；（2） 代理一般要求对客户程序进行修改；（3） 每种服务均要有代理；（4） 代理方式不适合某些服务（如H.323要求建立返回通道，象RealAudio这样的流服务无法进行内容过滤）；（5） 不能防护底层协议固有的不安全因素（如X Windows协议本身就有许多不安全操作）；（6） 应用层实现的性能不高，容易形成网络瓶颈；4.使用代理的原则（1） 与真正的防火墙

13、一起使用；（2） 禁用代理服务器上的路由功能；（3） 保证基本操作系统的安全；（4） 不允许外部主机使用代理服务器进行代理；（5） 将代理服务与其它网络服务置于不同的服务器上；5.使用SOCKS进行代理三、地址翻译技术网络地址翻译NAT（Network Address Translation）将内部网络中使用的IP地址转换为Internet上的公共IP地址，可用于隐藏内部网络细节：1.基本原理防火墙维护一个内部IP地址和外部IP地址间的翻译表，对进出的IP数据包的源地址或目的地址进行改写后再转发2.翻译模式（1） 静态翻译（端口转发）：地址翻译表不变；（2） 动态翻译（IP伪装、自动模式或隐藏

14、模式）；（3） 负载平衡翻译：一个IP地址和端口被翻译为同等配置的多台服务器的IP地址之一；（4） 网络冗余翻译：把内部客户的负载分布到多个网络连接上；四、虚拟专用网（VPN）1.基本原理虚拟专用网（Virtual Private Network）是在Internet上扩展局域网到远程网络和远程计算机的有效方式，VPN通过将局域网通信封装到IP数据中（并加密）后再通过Internet传送到远程网络或远程计算机。2.基本功能（1） IP封装；（2） 加密的身份验证；（3） 数据有效载荷加密3.特点（1） 比广域网便宜；（2） 更易建立；（3） 比局域网慢；（4） 不如广域网可靠；（5） 不如单独的局域网或广域网安全4.VPN中的安全协议OSI七层模型安全技术安全协议应用层表示层应用代理会话层传输层会话层代理SOCKS网络层数据链路层物理层包过滤IPSecPPTP/L2TP5.基本类型（1） 基于服务器的VPN（2） 基于防火墙的VPN（3） 基于路由器的VPN6.VPN的实现（1） 使用真正的防火墙；（2） 保证基本操作系统的安全；（3） 只使用ISP；（4） 使用包过滤拒绝不知道的主机；（5） 使用公钥加密和身份验证；（6） 加密之前进行压缩；（7） 保证远程主机的安全；（8） 选择兼容的IPSec+IKE VPN五、其他防火墙技术