当前位置:文档之家› 第五章防火墙技术

第五章防火墙技术

只能允许经过本地安全策略授权的通信信息 通过;
防火墙本身不能影响网络信息的流通。
2020/4/9
电子科技大学成都学院
4
防火墙的功能主要表现在如下四个方面:
(1)防火墙是网络安全的屏障 (2)防火墙可以强化网络安全策略 (3)对网络存取和访问进行监控审计 (4)防止内部信息的外泄
由于防火墙所处的优越位置,在实际应用中往往加 入其他功能,如NAT(网络地址转换)、路由管理、 VPN等。
电子科技大学成都学院
10
包过滤设备(不管是路由器还是防火墙)配置有一系列的 数据包过滤规则,定义了什么包可以通过防火墙,什 么包必须丢弃,这些规则常称为数据包过滤访问扩展 列表(ACL)。
各个厂商的防火墙产品都有自己的语法用于创建规则。 一些常用的包过滤规则使用与厂商无关但可理解的定 义语言,如表5-1所示。
网络安全与病毒防范 第五章 防火墙技术
5.1 防火墙的基本概念 5.2 防火墙的主要技术 5.3 防火墙的体系结构 5.4 防火墙的局限性及发展
2020/4/9
电子科技大学成都学院
2
5.1 防火墙的基本概念
防火墙是一种高级访问控制设备,是在被保护 网和外网之间执行访问控制策略的一种或一系 列部件的组合,是不同网络安全域间通信流的 通道,能根据企业有关安全策略控制进出网络 的访问行为。
2020/4/9
电子科技大学成都学院
5
从总体上来看,防火墙应具有以下五个基本功 能:
过滤进、出网络的数据; 管理进、出网络的访问行为; 封堵某些禁止的业务; 记录通过防火墙的信息内容和活动; 对网络攻击进行检测和告警。
2020/4/9
电子科技大学成都学院
6
5.2 防火墙技术
常见的防火墙技术有三种:
跟传统包过滤只有一张过滤规则表不同,状态包过滤 同时维护过滤规则表和状态表。过滤规则表是静态的, 而状态表中保留着当前活动的合法连接,它的内容是 动态变化的,随着数据包来回经过设备而实时更新。 当新的连接通过验证,在状态表中则添加该连接条目, 而当一条连接完成它的通信任务后,状态表中的该条 目将自动删除。
启动程序协议(Bootp) 动态主机配置协议(DHCP) 简易文件传输协议(TFTP) 微软网络基本输入输出系统(NetBIOS) 公共互联网文件系统(CIFS) 远程行式打印机(LPR) 网络文件系统(NFS)
2020/4/9
电子科技大学成都学院
13
优点
包过滤防火墙的优点在于处理效率上,安全性体现 在根据过滤规则对TCP、UDP数据包进行检测。
(3)有效载荷很小的数据包。这类数据包很可能是为 抵御过滤规则而设计的数据包,其目的是将TCP包首 部分封装成两个或多个IP包送出,比如将起始端口和 目标端口分别放在两个不同的TCP包中,使防火墙的 过滤规则对这类数据包失效,这种方法称为TCP碎片 攻击。
2020/4/9
电子科技大学成都学院
12
除了阻止从外部网送来的恶意数据包外,过滤规则还 应阻止某些类型的ቤተ መጻሕፍቲ ባይዱ部网数据包进入外部网,特别是 用于建立局域网和提供内部网通信服务的各种协议数 据包,包括:
2020/4/9
电子科技大学成都学院
9
控制策略
分组过滤原理
查找对应的 控制策略
根据策略决定如 何处理该数据包
拆开数据包
数据包 数据包
安全网域 Host C Host D
数 据 包 数据包
IP报头 TCP报头 分组过滤判断信息
数据
过滤依据主要是TCP/IP报头里面的 信息,不能对应用层数据进行处理
2020/4/9
2020/4/9
电子科技大学成都学院
11
一般地,应该阻止如下几种IP包进入内部网:
(1)源地址是内部地址的外来数据包。这类数据包很 可能是为实行IP地址诈骗攻击而设计的,其目的是装 扮成内部主机混过防火墙的检查进入内部网。
(2)指定中转路由器的数据包。这类数据包很可能是 为绕过防火墙而设计的数据包。
例1:包过滤防火墙不能很好的处理动态端口 连接的情况。不能根据每一连接的情况,开放 实际使用的端口。
例2:包过滤防火墙对于TCP ACK隐蔽扫描无 能为力。
2020/4/9
电子科技大学成都学院
15
2.状态包过滤技术
状态包过滤(Stateful Packet Filter)是一种基于连接的 状态检测机制,将属于同一连接的所有包作为一个整 体的数据流看待,对接收到的数据包进行分析,判断 其是否属于当前合法连接,从而进行动态的过滤。
1、包(分组)过滤技术 2、代理技术 3、状态检测技术
2020/4/9
电子科技大学成都学院
7
1.包(分组)过滤技术
包过滤技术指在网络中适当的位置对数据包 有选择的通过,选择的依据是系统内设置的 过滤规则,只有满足过滤规则的数据包才被 转发到相应的网络接口,其余数据包则从数 据流中删除。
包过滤防火墙一般位于内部网络和外部网络 的边界上,是内外网络通信的唯一出入点, 所有进出内部网络的流量首先都要经过包过 滤防火墙的审查。
2020/4/9
电子科技大学成都学院
8
包过滤防火墙作用在网络层和传输层,它根据通过防 火墙的每个数据包的首部信息确定是否允许数据包通 过。只有满足过滤逻辑的数据包才被转发到相应的目 的地出口端,其余数据包则被从数据流中丢弃。
过滤依据特性:
IP源地址 IP目标地址 协议类型(TCP包、UDP包和ICMP包) TCP或UDP包的目的端口 TCP或UDP包的源端口 ICMP消息类型 TCP包头的ACK位 TCP包的序列号、IP校验和等
缺点
制定包过滤路由器的安全规则非常复杂,且不易配 置和维护,有时为了允许正常情况下被阻塞的访问 服务而需要制定规则的例外情形,这使得过滤规则 复杂到难以管理的地步。
包过滤防火墙不能很好的处理动态端口连接的情况。不能 根据每一连接的情况,开放实际使用的端口。
2020/4/9
电子科技大学成都学院
14
防火墙是设置在可信网络(Trusted Network)和不 可信任的外界之间的一道屏障,可以实施比较 广泛的安全策略来控制信息流进入可信网络, 防止不可预料的潜在的入侵破坏;另一方面能 够限制可信网络中的用户对外部网络的非授权 访问。
2020/4/9
电子科技大学成都学院
3
防火墙都必须具有以下三种基本性质: 进出网络的双向通信信息必须通过防火墙;
相关主题