防火墙技术包过滤防火墙.ppt

《防火墙技术包过滤防火墙.ppt》由会员分享，可在线阅读，更多相关《防火墙技术包过滤防火墙.ppt（35页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、关于防火墙技术包过滤防火墙现在学习的是第1页，共35页2TCP/IP与防火墙协议目的物理地址目的物理地址源物理地址源物理地址类型数据数据链路层网络层传输层现在学习的是第2页，共35页3TCP/IP与防火墙协议防火墙现在学习的是第3页，共35页4TCP/IP与防火墙IP地址通过TCP/IP协议形成的互联网是一个虚拟的网络，它隐藏了底层各种物理网络的细节。一个逻辑的、通用的、虚拟的TCP/IP互联网尽管各底层网络可能不一样，但在网络层（及以上层）是一致的。在这个一致的TCP/IP互联网上实现源端和目的端间的数据通信，需要有一个统一的、逻辑的通信端点标识方案，TCP/IP在网络层上使用IP地址编址方

2、案。IP地址是以TCP/IP协议进行数据通信的双方必须的、符合标准格式的节点（主机或路由器等）地址标识符，同一网络上联网的节点IP地址不能重复（冲突）。在互联网上进行数据通信，每个节点必须拥有全球认可的、统一管理的、唯一的IP地址。（内部网络不受此限制，只要它的设备不直接与互联网通信；而通过代理服务器或地址转换设备可以间接与互联网通信。）每个具体的PC、服务器、路由器的各通信端口（如网卡）均需赋予IP地址；一个物理通信端口可以赋予多个IP地址，每个IP地址成为一个通信节点（连接点）现在学习的是第4页，共35页5TCP/IP与防火墙端口端口（Port）传输层提供应用程序与网络之间的各接口点称为端

3、口，它是个预定义的内部地址（编号），以16位字标识，提供从应用程序到传输层或从传输层到应用程序之间的一条通路，如：80端口。在TCP/IP系统中，应用程序根据端口号通过TCP或UDP软件将数据送往目的主机或从源主机接收数据。源主机和目的主机上的应用程序间要进行传输层及以上的通信，必须将该应用程序绑定在某个端口上。因此，通信除了需要IP地址外，还需要源和目的端口。这样，通信根据网络层（IP层）的IP地址指明了源、目的主机，而根据传输层（TCP或UDP）的端口指明主机上各应用程序。端口的分配有2种方式：静态端口（统一管理的静态指定和应用程序的静态指定）和动态端口（操作系统的动态绑定）。现在学习的是

4、第5页，共35页6TCP/IP与防火墙端口知名（Well-known）端口应用程序在使用端口时不能重复（冲突）。通常，端口0255保留归系统使用；2561023是通用服务端口；1024以上用户程序可使用。应用程序在通信时需要知道对方的端口号。典型的情况，在C/S模型下，Client（应用程序）向Server（服务程序）请求服务时，Client需要知道Server的服务端口。通用的服务使用所谓“知名”端口号，如：FTP21，Telnet23，SMTP25，DNS53，TFTP69，Gopher70，Finger79，HTTP80，POP3110，NNTP119，SNMP161，BGP179等。现

5、在学习的是第6页，共35页7TCP/IP与防火墙端口端口应用例数据链路层网络层TCP21,22,23,80UDP9,11,161FTPTCP 21WebTCP 80SNMPUDP 161计算机A至计算机B，TCP端口21计算机B至计算机B，TCP端口80TCP：2340TCP：2349现在学习的是第7页，共35页8 10 permitted tcp 10.1.1.5(1828)137.45.126.5(25)11 permitted tcp 10.1.1.5(2310)137.45.62.121(80)12 permitted tcp 10.1.1.9(1828)137.45.12.15(44

6、5)13 permitted tcp 10.1.1.9(8428)137.45.90.110(445)14 permitted tcp 10.1.1.9(1240)137.45.62.121(80)15 permitted tcp 10.1.1.5(2311)137.45.62.121(80)16 permitted tcp 10.1.1.5(2312)137.45.62.121(80)17 permitted tcp 10.1.1.5(2121)137.45.98.9(80)18 permitted tcp 10.1.1.20(1840)137.45.126.5(25)19 permitte

7、d tcp 10.1.1.20(2311)137.45.62.2(80)20 permitted udp 10.1.1.5(1833)137.45.126.5(161)21 permitted tcp 10.1.1.5(3210)137.45.62.121(80)22 permitted tcp 10.1.1.9(2003)137.45.90.34(445)23 permitted tcp 10.1.1.210(6500)137.45.190.10(21)24 permitted tcp 10.1.1.200(5328)137.45.90.110(445)25 permitted tcp 10

8、.1.1.200(4433)137.45.12.15(445)26 permitted tcp 10.1.1.10(2433)137.45.1.2(80)27 permitted tcp 10.1.1.10(2433)137.45.126.5(25)28 permitted tcp 10.1.1.10(6783)137.45.1.2(80)29 permitted tcp 137.45.9.8(2439)10.1.1.50(80)30 permitted tcp 137.45.9.8(4139)10.1.1.50(80)31 permitted tcp 137.45.9.88(5577)10.

9、1.1.50(80)32 permitted tcp 137.45.209.44(5432)10.1.1.50(80)TCP/IP与防火墙防火墙日志现在学习的是第8页，共35页9第五讲：防火墙知识TCP/IP与防火墙与防火墙防火墙的发展历程防火墙的发展历程简单包过滤防火墙简单包过滤防火墙现在学习的是第9页，共35页102000基于实现方式基于技术手段防火墙的发展历程现在学习的是第10页，共35页11由于多数路由器中本身就包含有分组过滤功能，故网络访问控制可通过路由控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代：基于路由器的防火墙现在学习的是第11页，共35页12基于路由

10、器的防火墙特点：利用路由器本身对数据包的解析，以访问控制表方式控制数据包的过滤；过滤判决的依据可以是：IP地址、端口号、以及其它网络特征；只有数据包过滤功能，配置简单。现在学习的是第12页，共35页13基于路由器的防火墙工作原理：检查数据链路层的物理地址检查网络层的IP地址10.10.8.0网段10.10.9.0网段现在学习的是第13页，共35页14基于路由器的防火墙缺点：本身具有安全漏洞；过滤规则的设置存在安全隐患；最大的隐患是：攻击者可以“假冒”地址进行攻击；本质性缺陷是：会大大降低路由器的性能。代表产品：Cisco路由器现在学习的是第14页，共35页15第二代：防火墙工具套件用户化的防火

11、墙，将过滤功能从路由器中独立出来，并加上审计和告警功能。针对用户需求，提供模块化的软件包，是纯软件产品。现在学习的是第15页，共35页16防火墙工具套件特点：特点：将过滤功能从路由器中独立出来，并加上审计和告警功能；将过滤功能从路由器中独立出来，并加上审计和告警功能；提供模块化的软件包；提供模块化的软件包；用户可以自己动手构造防火墙（用户可以自己动手构造防火墙（iptable）；）；与第一代防火墙相比，安全性提高了，价格降低了。与第一代防火墙相比，安全性提高了，价格降低了。现在学习的是第16页，共35页17防火墙工具套件缺点：缺点：配置和维护过程复杂、费时；对用户的技术要求高；全软件实现，安全

12、性和处理速度均有限制。代表产品：iptable、TIS FWTK、AXNET Raptor、SecureZone现在学习的是第17页，共35页18第三代：通用操作系统防火墙建立在通用操作系统上的防火墙，近年来在市场上广泛使用的就是这一代产品。包括分组过滤和代理功能。有以纯软件实现的，也有以硬件方式实现的。现在学习的是第18页，共35页19通用操作系统防火墙特点：特点：是批量生产的专用防火墙；具备数据包过滤功能；具备专用的代理系统；安全性和速度大大提高。现在学习的是第19页，共35页20通用操作系统防火墙缺点：缺点：由于大多数防火墙厂商并非通用操作系统的厂商，通用操作系统厂商不会对操作系统的安全

13、性负责；该类防火墙既要防止外部网络的攻击，还要防止来自针对操作系统的攻击；用户必须依赖防火墙厂商和操作系统厂商两方面的安全支持。现在学习的是第20页，共35页21通用操作系统防火墙代表产品：代表产品：Check Point fireWall-1CA Etrust FireWallMicrosoft Proxy Server天融信网络卫士东大阿派NetEyes联想网御.现在学习的是第21页，共35页22第四代：安全操作系统防火墙具有安全操作系统的防火墙本身就是一个操作系统，因而在安全性上得到提高。现在学习的是第22页，共35页23安全操作系统防火墙特点：特点：防火墙厂商具有操作系统的源代码，并可

14、实现安全内核；对安全内核实现加固处理：去掉不必要的系统特性，强化安全保护；在功能上包括了数据包过滤、应用网关、电路级网关，具有加密与鉴别功能；透明性好，易于使用；取消危险的系统调用；限制命令的执行权限；采用随机连接序号；采用多个安全内核；现在学习的是第23页，共35页24安全操作系统防火墙代表产品：代表产品：Cisco PIXNetScreen现在学习的是第24页，共35页25第五讲：防火墙知识TCP/IP与防火墙与防火墙防火墙的发展历程防火墙的发展历程简单包过滤防火墙简单包过滤防火墙现在学习的是第25页，共35页26防火墙技术分类简单包过滤简单包过滤/分组过滤防火墙分组过滤防火墙状态检测包过

15、滤防火墙状态检测包过滤防火墙应用代理防火墙应用代理防火墙电路中继防火墙电路中继防火墙应用层传输层网络层数据链路层传输层网络层应用层传输层网络层现在学习的是第26页，共35页27简单包过滤/分组过滤防火墙原理作用在网络层和传输层，它根据数据包的包头源地址、目的地址和源端口号、目的端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。现在学习的是第27页，共35页28包过滤防火墙设计目标与能力防火墙的基本设计目标防火墙的基本设计目标首先能够区分“内部”与“外部”网络。所有通过“内部”和“外部”的网络流量都要经过防火墙通过设

16、置安全策略，来保证只有经过授权的数据才可以通过防火墙防火墙本身具备较高的性能与安全防火墙的控制能力防火墙的控制能力设备控制，确定哪些设备可以被访问服务/应用控制，确定哪些服务/应用可以被访问方向控制，对于特定的服务，可以确定允许哪个方向能够通过防火墙用户控制，根据用户来控制对服务的访问现在学习的是第28页，共35页29如何过滤？对于每个进来的数据包，适用一组规则，然后决定转发或者丢弃该包过滤的规则以网络层和传输层为基础，包括源和目标IP地址、协议类型、源和目标端口号过滤器往往建立一组规则，根据IP数据包是否匹配规则中指定的条件来作出决定如果匹配到一条规则，则根据此规则决定转发或者丢弃如果所有规

17、则都不匹配，则根据缺省策略现在学习的是第29页，共35页30过滤依据协议类型：协议类型：TCP、UDP、ICMP等源源IP地址、目的地址、目的IP地址地址源端口、目的端口：源端口、目的端口：FTP(21)、HTTP(80)等数据包流向：数据包流向：in或outIP选项：选项：源路由选项等TCP选项：选项：SYN、ACK、FIN、RST等数据包流经网络接口：数据包流经网络接口：eth0、eth1等现在学习的是第30页，共35页31包过滤防火墙工作协议物理层物理层数据链路层数据链路层网络层网络层外部网络主机内部网络主机包过滤型防火墙IPTCP传输层传输层现在学习的是第31页，共35页32过滤规则设

18、置方向方向类型类型源地址源地址目的地址目的地址源端口源端口目的端口目的端口动作动作insidetcp*123.4.5.6any21permitinsidetcp*123.4.6.7any80permitinsideudp129.6.1.2123.4.5.8any161permit*deny现在学习的是第32页，共35页33优点n不用改动客户机和主机上的应用程序 n创建一个可以有效监控数据包的单独控制点n性能和效率较高n实现简单，易于配置n支持网络内部隐藏，免遭网络扫描的威胁现在学习的是第33页，共35页34缺点难防IP地址欺骗不能提供有效用户认证设计和配置一个真正安全的过滤规则比较困难不能过滤所有的协议对网络性能有一定影响现在学习的是第34页，共35页感谢大家观看感谢大家观看现在学习的是第35页，共35页