网络安全-20：防火墙.ppt

Chapter20

防火墙;简介;什么是防火墙?;防火墙的设计目标;防火墙的局限性;一、防火墙概述;一、防火墙概述;防火墙的分类;Date;Date;Date;效劳访问政策是整个机构信息平安政策的延伸，既要可靠又要切合实际。

一个典型的政策可以不允许从Internet访问网点，但要允许从网点访问Internet。

另一个典型政策是允许从Internet进行某些访问，但是或许只许可访问经过选择的系统，如Web效劳器和电子邮件效劳器。;允许;防火墙的体系结构;1.屏蔽路由器〔ScreenedRouter〕;2.双宿主机网关;用一台装有两块网卡的计算机作为堡垒主机〔Bastionhost〕，两块网卡分别与内部网和外部网〔或屏蔽路由器〕相连，每块网卡有各自的IP地址。堡垒主机上运行防火墙软件——代理效劳〔应用层网关〕。在建立双宿主机时，应关闭操作系统的路由功能〔IP转发〕，否那么两块网卡间的通信会绕过代理效劳器软件。

优点：与屏蔽路由器相比，提供日志以备检查

缺点：双宿主机易受攻击;3.屏蔽主机防火墙;屏蔽主机体系结构;由屏蔽路由器和应用网关组成。

两道屏障：网络层的包过滤；应用层代理效劳

注：与双宿主机网关不同，这里的应用网关只有一块网卡。

优点：双重保护，平安性更高。

实施策略：针对不同的效劳，选择其中的一种或两种保护措施。;4.屏蔽子网体系结构;屏蔽子网体系结构;屏蔽子网防火墙中，添加周边网络进一步地把内部网络与Internet隔离开。

通过在周边网络上隔离堡垒主机，能减少在堡垒主机上侵入的影响。

要想侵入用这种类型的体系结构构筑的内部网络，侵袭者必须通过外部路由器，堡垒主机，内部路由器三道关口。

1〕周边网络：非军事化区、停火区〔DMZ〕

周边网络是另一个平安层,是在外部网络与内部网络之间的附加的网络。;周边网络的作用

对于周边网络，如果某人侵入周边网上的堡垒主机，他仅能探听到周边网上的通信。因为所有周边网上的通信来自或者通往堡垒主机或Internet。

因为没有严格的内部通信(即在两台内部主机之间的通信，这通常是敏感的或者专有的)能越过周边网。所以，如果堡垒主机被损害，内部的通信仍将是平安的。;2〕??垒主机

接受来自外界连接的主要入口：

1对于进来的电子邮件〔SMTP〕会话，传送电子邮件到站点；

2对于进来的FTP连接，转接到站点的匿名FTP效劳器；

3对于进来的域名效劳〔DNS〕站点查询等。;出站效劳按如下任一方法处理：

1.在外部和内部的路由器上设置数据包过滤来允许内部的客户端直接访问外部的效劳器。

2.设置代理效劳器在堡垒主机上运行〔如果用户的防火墙使用代理软件〕来允许内部的客户端间接地访问外部的效劳器。用户也可以设置数据包过滤来允许内部的客户端在堡垒主机上同代理效劳器交谈。但是禁止内部的客户端与外部世界之间直接通信(如拨号上网)。;3〕内部路由器

内部路由器〔阻塞路由器〕：保护内部的网络使之免受Internet和周边子网的侵犯。

内部路由器为用户的防火墙执行大局部的数据包过滤工作。它允许从内部网到Internet的有选择的出站效劳。这些效劳是用户使用数据包过滤而不是通过代理效劳提供。

内部路由器所允许的在周边网和内部网之间效劳可不同于内部路由器所允许的在外部和内部网之间的效劳。

限制堡垒主机与内部网之间的通信可减少堡垒机被攻破时对内部网的危害。;4〕外部路由器

在理论上，外部路由器保护周边网和内部网使之免受来自Internet的侵犯。实际上，外部路由器倾向于允许几乎任何东西从周边网出站，并且它们通常只执行非常少的数据包过滤。

外部路由器平安任务之一是：阻止从Internet上伪造源地址进来的任何数据包。;内部防火墙问题;复合型防火墙;包过滤技术;包过滤技术的原理;IPv4;ICMP报文;TCP头部;UDP头部;包过滤的依据;依赖于效劳的过滤;独立于效劳的过滤;2〕源路由攻击

攻击者为信息包指定一个穿越Internet的路由，这类攻击企图绕过平安措施，并使信息包沿一条意外(疏漏)的路径到达目的地。可以通过舍弃所有包含这类源路由选项的信息包方式，来挫败这类攻击。

3〕残片攻击

入侵者利用IP分段特性生成一个极小的片断并将TCP报头信息肢解成一个别离的信息包片断，使数据包绕过用户定义的过滤规那么。黑客希望过滤路由器只检查第一分段，而允许其它分段通过。通过舍弃所有协议类型为TCP、IP报头中FragmentOffset=1的数据包，即可挫败残片的攻击。;推荐的过滤规那么;包过滤路由器的优点;包过滤路由器的局限性;代理效劳技术;代理效劳技术;应用层网关;应用层上的过滤;应用层网关;电路层网关(CircuitGateway);