防火墙技术浅析

山东大学机电系Page2主要内容一、防火墙基本概念二、基本功能与原理三、防火墙技术与类型Page3主要内容一、防火墙基本概念二、基本功能与原理三、防火墙技术与类型Page4两个安全域之间通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为一种高级访问控制设备，置于不同网络安全域之间，它通过相关的安全策略来控制（允许、拒绝、监视、记录）进出网络的访问行为。Page5Internet通过部署防火墙，可以实现比交换机、路由器更为强大、有效的访问控制功能；大大提高抗攻击的能力。禁止访问禁止访问Page6防火墙基本概念目前，各组织机构都是通过便利的公共网络与客户、合作伙伴进行信息交换的，但是，一些敏感的数据有可能泄露给第三方，特别是连上因特网的网络将面临黑客的攻击和入侵。为了应对网络威胁，连网的机构或公司将自己的网络与公共的不可信任的网络进行隔离，其方法是根据网络的安全信任程度和需要保护的对象，人为地划分若干安全区域Page7防火墙基本概念在安全区域划分的基础上，通过一种网络安全设备，控制安全区域间的通信，就能实现隔离有害通信的作用，进而可以阻断网络攻击。这种安全设备的功能类似于防火使用的墙，因而人们就把这种安全设备俗称为“防火墙”，它一般安装在不同的安全区域边界处，用于网络通信安全控制，由专用硬件或软件系统组成。Page8主要内容一、防火墙基本概念二、基本功能与原理三、防火墙技术与类型Page9基本功能扩展功能地址转换访问控制VLAN支持带宽管理（QoS）入侵检测和攻击防御用户认证IP/MAC绑定动态IP环境支持数据库长连接应用支持路由支持ADSL拨号功能SNMP网管支持日志审计高可用性防病毒VPNIPSECVPNPPTP/L2TP防火墙的功能Page10Internet202.102.93.54HostA受保护网络HostCHostD192.168.1.21192.168.1.25防火墙Eth2：192.168.1.23Eth0：101.211.23.1数据IP报头数据IP报头源地址：192.168.1.21目地址：202.102.93.54源地址：101.211.23.1目地址：202.102.93.54101.211.23.2隐藏了内部网络的结构内部网络可以使用私有IP地址公开地址不足的网络可以使用这种方式提供IP复用功能地址转换(NAT)Page11时间控制策略HostCHostD在防火墙上制定基于时间的访问控制策略上班时间不允许访问Internet上班时间可以访问公司的网络InternetPage12InternetHostA199.168.1.2HostB199.168.1.3HostC199.168.1.4HostD199.168.1.500-50-04-BB-71-A600-50-04-BB-71-BCBIND199.168.1.2To00-50-04-BB-71-A6BIND199.168.1.4To00-50-04-BB-71-BCIP与MAC地址绑定后，不允许HostB假冒HostA的IP地址上网防火墙允许HostA上网IP与MAC（用户）的绑定199.168.1.2Page13主要内容一、防火墙基本概念二、基本功能与原理三、防火墙技术与类型Page14一、包过滤包过滤是在IP层实现的防火墙技术。包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过。此外，还有一种可以分析包中数据区内容的智能型包过滤器。基于包过滤技术的防火墙，简称包过滤型防火墙，英文表示就是PacketFilter，其工作机制如图所示。Page15禁止允许根据安全规则(源IP地址、目标IP、端口号、协议类型)对网络通信进行过滤控制允许输出的网络通信流输入的网络通信流1物理层2数据链路层3网络层(IP)4传输层(TCP)5应用层Page16应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击TCP开始攻击IP应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击只检查报头101001001001010010000011100111101111011001001001010010000011100111101111011包过滤防火墙的工作原理1.简单包过滤防火墙不检查数据区2.简单包过滤防火墙不建立连接状态表3.前后报文无关4.应用层控制很弱Page17包过滤防火墙技术的优点是低负载、高通过率、对用户透明；但是包过滤技术的弱点是不能在用户级别进行过滤，如不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设置成一个合法主机的IP地址，就可以轻易通过包过滤器。Page18二、应用服务代理应用服务代理防火墙扮演着受保护网络的内部网主机和外部网络主机的网络通信连接“中间人”的角色，代理防火墙代替受保护网络的主机向外部网络发送服务请求，并将外部服务请求响应的结果返回给受保护网络的主机，如图所示。Page19应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击TCP开始攻击IP应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击只检查数据101001001001010010000011100111101111011001001001010010000011100111101111011应用代理防火墙的工作原理1.不检查IP、TCP报头2.不建立连接状态表3.网络层保护比较弱Page20代理服务器通常由一组按应用分类的代理服务程序和身份验证服务程序构成。每个代理服务程序应用到一个指定的网络端口，代理客户程序通过该端口获得相应的代理服务。受保护内部用户对外部网络访问时，首先需要通过代理服务器的认可，才能向外提出请求，而外网的用户只能看到代理服务器，从而隐藏了受保护网的内部结构及用户的计算机信息。因而，代理服务器可以提高网络系统的安全性。Page21