第7章防火墙技术与应用+

上一页下一页返回本章首页电子商务安全第7章防火墙技术与应用7.1防火墙概述7.2防火墙的体系结构7.3防火墙的类型7.4防火墙的配置7.5防火墙所采用的技术及其作用7.6防火墙的选择与实施上一页下一页返回本章首页电子商务安全防火墙的本义是指古代人们房屋之间修建的墙，为防止火灾的发生和蔓延。防火墙概述上一页下一页返回本章首页电子商务安全IT领域使用的防火墙概念在两个信任程度不同的网络之间设置的、用于加强访问控制的软硬件保护设施。两个安全域之间通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为防火墙=硬件+软件+控制策略上一页下一页返回本章首页电子商务安全防火墙的基本特性（一）内部网络和外部网络之间的所有网络数据流都必须经过防火墙（二）只有符合安全策略的数据流才能通过防火墙（三）防火墙自身应具有非常强的抗攻击免疫力需要防火墙：保障内部网安全保证内部网同外部网的连通上一页下一页返回本章首页电子商务安全网络安全的屏障；强化网络安全策略；对网络存取和访问进行监控审计；防止内部信息的外泄。防火墙的功能上一页下一页返回本章首页电子商务安全防火墙的安全性设计防火墙的缺陷防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失：不能防范不经由防火墙的攻击；不能防止受病毒感染的软件和文件的传输；不能防止数据驱动式攻击。上一页下一页返回本章首页电子商务安全7.2防火墙的体系结构三种系统结构：双目主机结构屏蔽主机结构屏蔽子网结构上一页下一页返回本章首页电子商务安全堡垒主机（BastionHost）：暴露在外部网络的攻击之下，同时又是内部网络用户的主要连接点，安全性配置比较好的计算机。堡垒主机上运行着防火墙软件，可以转发应用程序、提供服务等。几个相关概念DMZ(DemilitarizedZone，非军事区或者停火区)：位于内部网络和外部网络之间的另一层安全网段构成的安全子网，也称为参数子网。双目主机（Dual-homedHost）：装有两块网卡的堡垒主机。上一页下一页返回本章首页电子商务安全双目主机结构内部网络Internt双宿主机防火墙缺点：一旦防火墙被破坏，双目主机就变成了一台没有任何限制的路由器。上一页下一页返回本章首页电子商务安全屏蔽主机结构内部网络Internt分组过滤路由器堡垒主机防火墙缺点：堡垒主机与其他主机在同一个子网，一旦堡垒主机被攻破或被越过，整个内网和堡垒主机之间就再也没有任何阻挡。上一页下一页返回本章首页电子商务安全屏蔽子网结构内部网络Internt堡垒主机外部路由器周边网络内部路由器优点：三层防护，安全性高缺点：要求的设备和软件模块较多，配置贵且复杂上一页下一页返回本章首页电子商务安全根据防火墙对内外往来数据的处理方法，大致分为：包过滤防火墙（PacketFilter）代理防火墙（ProxyService）防火墙的类型上一页下一页返回本章首页电子商务安全数据包过滤技术防火墙为系统提供安全保障的主要技术，通过设备对进出网络的数据流进行有选择的控制和操作。包过滤防火墙工作原理：在网络层对数据包进行选择和过滤。过滤规则以IP包包头信息为基础选择的依据是在系统内设置的过滤逻辑，被称为访问控制表——AccessControlList或规则表。上一页下一页返回本章首页电子商务安全安全网域HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource数据包数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包控制策略数据包过滤依据主要是TCP/IP报头里面的信息，不能对应用层数据进行处理数据TCP报头IP报头分组过滤判断信息包过滤防火墙工作原理图上一页下一页返回本章首页电子商务安全过滤规则设置实例规则方向源地址目的地址动作Aout内部网络202.110.8.0拒绝Bin202.110.8.0内部网络拒绝按地址按服务规则方向源地址源端口目的地址目的端口动作注释Ain外部*E-MAIL25拒绝不信任Bout****允许允许上一页下一页返回本章首页电子商务安全防火墙的安全性设计防火墙基本准则一切未被允许的就是禁止的一切未被禁止的都是允许的允许拒绝允许拒绝上一页下一页返回本章首页电子商务安全状态检测防火墙安全网域HostCHostD数据包数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包数据包实时建立一个所有合法连接的状态表，连接只是在最开始访问的时候去匹配防火墙的规则，以后这个连接的所有访问都是只检查状态表控制策略上一页下一页返回本章首页电子商务安全代理防火墙又称代理服务器，是代表客户处理在服务器连接请求的程序。工作原理：代理防火墙真实服务器外部响应转发请求Internet代理客户应用层代理服务代理服务器应用协议分析请求转发响应Intranet真实的客户端上一页下一页返回本章首页电子商务安全安全网域HostCHostD数据包数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包数据包应用代理可以对数据包的数据区进行分析，并以此判断数据是否允许通过控制策略数据TCP报头IP报头分组过滤判断信息应用代理判断信息代理防火墙原理图上一页下一页返回本章首页电子商务安全应用层网关防火墙应用层运输层外部网络内部网络链路层网络层HTTPFTPTelnetSmtp优点：安全，同时也是内外网的隔离点缺点：速度相对比较慢，不适合对吞吐量要求比较高的场合。上一页下一页返回本章首页电子商务安全电路层网关防火墙又称自适应代理防火墙基本要素：自适应代理服务器和动态包过滤器工作原理：用户将所需要的服务类型、安全级别等信息通过管理界面进行设置，自适应代理可以根据用户的配置信息，决定是使用代理服务从应用层代理请求或是从网络层转发数据包。特点：结合了应用层网关防火墙的安全性和包过滤防火墙的高速度。上一页下一页返回本章首页电子商务安全代理常用工具服务器端CCProxy客户端sockscap上一页下一页返回本章首页电子商务安全两种防火墙技术两种防火墙技术的对比上一页下一页返回本章首页电子商务安全1、双端口或三端口的结构2、透明的访问方式3、灵活的代理系统4、多级的过滤技术……防火墙所采用的技术及其作用上一页下一页返回本章首页电子商务安全网络地址转换/翻译（NAT，NetworkAddressTranslation）是一种用于把内部IP地址转换成临时的、外部的IP地址的技术。NAT的主要作用：隐藏内部网络的真实地址；解决IP地址短缺的问题。5、网络地址转换技术私有地址：10.0.0.0-10.255.255.255172.16.0.0-172.31.255.255192.168.0.0-192.168.255.255上一页下一页返回本章首页电子商务安全静态地址映射：外部地址和内部地址一对一的映射；动态地址映射：支持多对一的映射，即内部的多个机器可以通过一个外部有效地址访问外部网络。PAT（端口地址映射）：把内部地址映射到外部网络的一个IP地址的不同端口上。5、网络地址转换技术上一页下一页返回本章首页电子商务安全Internet202.102.93.54HostA受保护网络HostCHostD192.168.1.21192.168.1.25防火墙101.211.23.4数据IP报头数据IP报头源地址：192.168.1.21目地址：202.102.93.54源地址：101.211.23.2目地址：202.102.93.54101.211.23.1隐藏了内部IP地址公开地址不足的网络可以使用这种方式提供IP复用功能5、网络地址转换技术101.211.23.3101.211.23.2地址池：101.211.23.2101.211.23.3101.211.23.2：1058101.211.23.2：1158上一页下一页返回本章首页电子商务安全传统防火墙：采用数据匹配检查技术；边界防火墙。智能防火墙：采用人工智能识别技术（统计、记忆、概率和决策等）分布式防火墙：一种新的防火墙体系结构,消除网络边界上的通信瓶颈和单一故障点，与拓扑无关，支持移动计算。防火墙发展上一页下一页返回本章首页电子商务安全上一页下一页返回本章首页电子商务安全网络安全产品的系统化“以防火墙为核心的网络安全体系”直接把相关安全产品“做”到防火墙中各个产品相互分离，但是通过某种通信方式形成一个整体防火墙联动技术：防火墙与防病毒产品联动防火墙与IDS联动防火墙与认证系统联动防火墙与日志分析系统联动上一页下一页返回本章首页电子商务安全安全联动HostCHostDHostBHostA受保护网络InternetIDS黑客发起攻击发送通知报文验证报文并采取措施发送响应报文识别出攻击行为阻断连接或者报警等上一页下一页返回本章首页电子商务安全1.个人防火墙：可为个人计算机提供简单的防火墙功能；2.软件防火墙：作为网络防火墙的软件防火墙具有比个人防火墙更强的控制功能和更高的性能。3.一般硬件防火墙：一台嵌入式主机，机箱+CPU+防火墙软件，核心仍然是软件。4.纯硬件防火墙：采用专用芯片来处理防火墙核心策略的一种硬件防火墙，也称为芯片级防火墙；安全与性能同时兼顾，高性能，高并发连接数和吞吐量。防火墙的分类上一页下一页返回本章首页电子商务安全主流防火墙产品天融信——网络卫士东方龙马——OLMNetScreenSonicWallCheckPointCISCOPIX