您好,欢迎访问三七文档
19.1防火墙概述什么是防火墙(Firewall)?防火墙:在两个信任程度不同的网络之间设置的、用于加强访问控制的软硬件保护设施。2一、防火墙的用途9.1防火墙概述1)作为“扼制点”,限制信息的进入或离开;2)防止侵入者接近并破坏你的内部设施;3)监视、记录、审查重要的业务流;4)实施网络地址转换,缓解地址短缺矛盾。建立防火墙必须全面考虑安全策略,否则形同虚设。3二、好的防火墙系统9.1防火墙概述1)内部网络和外部网络之间传输的数据必须通过防火墙;2)只有防火墙系统中安全策略允许的数据可以通过防火墙;3)防火墙本身不受各种攻击的影响。4四、防火墙的局限性9.1、防火墙概述1)防火墙防外不防内如果入侵者已经在防火墙内部,防火墙是无能为力的。内部用户偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理,如主机安全和用户教育、管理、制度等。59.1、防火墙概述2)不能防范绕过防火墙的攻击防火墙能够有效地防止通过它进行传输信息,然而不能防止不通过它而传输的信息。例如,如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。3)防火墙配置复杂,容易出现安全漏洞4)防火墙往往只认机器(IP地址)不认人(用户身份),并且控制粒度较粗。69.1、防火墙概述5)防火墙不能防范病毒防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。6)防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到内部网主机上并被执行而发起攻击时,就会发生数据驱动攻击。特别是随着Java、JavaScript、ActiveX的应用,这一问题更加突出。7防火墙的体系结构1)屏蔽路由器(ScreenedRouter)2)双宿主机网关;DualHomedHostGateway3)屏蔽主机防火墙;ScreenedGateway4)屏蔽子网防火墙。ScreenedSubnet9.3防火墙体系结构81.屏蔽路由器(ScreenedRouter)包过滤路由器:路由+过滤这是最简单的防火墙。缺点:日志没有或很少,难以判断是否被入侵规则表会随着应用变得很复杂单一的部件保护,脆弱9.3防火墙体系结构92.双宿主机网关9.3防火墙体系结构内部网服务器工作站工作站工作站Internet......双重宿主主机10用一台装有两块网卡的计算机作为堡垒主机(Bastionhost),两块网卡分别与内部网和外部网(或屏蔽路由器)相连,每块网卡有各自的IP地址。堡垒主机上运行防火墙软件——代理服务(应用层网关)。。优点:与屏蔽路由器相比,提供日志以备检查缺点:双宿主机易受攻击9.3防火墙体系结构113.屏蔽主机防火墙9.3防火墙体系结构12屏蔽主机体系结构9.3防火墙体系结构13由屏蔽路由器和应用网关组成。两道屏障:网络层的包过滤;应用层代理服务注:与双宿主机网关不同,这里的应用网关只有一块网卡。优点:双重保护,安全性更高。9.3防火墙体系结构14内部网堡垒主机工作站工作站工作站Internet......路由器防火墙154.屏蔽子网体系结构防火墙体系结构组成:一个包含堡垒主机的周边子网、两台屏蔽路由器。16屏蔽子网体系结构9.3防火墙体系结构17内部网服务器工作站工作站工作站Internet......内部路由器防火墙外部路由器堡垒主机周边网18包过滤技术9.4包过滤技术19包过滤技术的原理包过滤技术在路由器上加入IPFiltering功能,这样的路由器就成为ScreeningRouter。Router逐一审查每个数据包以判定它是否与其它包过滤规则相匹配(只检查包头,不理会包内的正文信息)。如果找到一个匹配,且规则允许这包,这个包则根据路由表中的信息前行;且规则允许拒绝此包,这一包则被舍弃;如果无匹配规则,一个用户配置的缺省参数将决定此包是前行还是被舍弃。20组序号动作源IP目的IP源端口目的端口协议类型1允许10.1.1.1***TCP2允许*10.1.1.1201024TCP3禁止*10.1.1.120*TCP一个可靠的包过滤防火墙依赖于规则集的定义,下表列出了几条典型的规则集。第一条规则:主机10.1.1.1任何端口访问任何主机的任何端口,基于TCP协议的数据包都允许通过。第二条规则:任何主机的20端口访问主机10.1.1.1的小于1024的端口,基于TCP协议的数据包允许通过。第三条规则:任何主机的20端口访问主机10.1.1.1任何端口,如果基于TCP协议的数据包都禁止通过。21IPv4包过滤技术版本号Version(4bit)报头长IHL(4bit)服务类型ServiceType(8bit)分组总长度TotalLength(16bit)标识Identification(16bit)标志Flags(3bit)片偏移FragmentOffset(13bit)生存时间TimetoLive(8bit)传输层协议Protocol(8bit)头部校验和HeaderChecksum(16bit)源IP地址SourceAddress(32bit)宿IP地址DestinationAddress(32bit)可选项Option有效负载Payload(0或多个字节)20bytes048161931填充域padding22防火墙产品介绍以色列Checkpoint公司的FireWall-1Cisco公司的PIX个人防火墙:“天网”、“瑞星防火墙”23天网防火墙
本文标题:第6章-防火墙
链接地址:https://www.777doc.com/doc-5307029 .html