1 / 60

网络安全概论

普通高等教育“十一五”国家级规划教材 “信息化与信息社会”系列丛书. 网络安全概论. 刘 建伟 2011年 10 月 14 日. 第五章 防火墙原理与设计. 五. 二. 九. 四. 三. 六. 七. 八. 一. 电路级网关. 动态包过滤防火墙. 静态包过滤防火墙. 空气隙防火墙. 应用级网关. 防火墙的类型和结构. 状态检测防火墙. 切换代理. 防火墙概述. 第五章 防火墙原理与设计. 五. 二. 九. 四. 三. 六. 七. 八. 一. 电路级网关. 动态包过滤防火墙. 静态包过滤防火墙. 空气隙防火墙.

kesler
Download Presentation

网络安全概论

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 普通高等教育“十一五”国家级规划教材 “信息化与信息社会”系列丛书 网络安全概论 刘建伟 2011年10月14日

  2. 第五章 防火墙原理与设计 五 二 九 四 三 六 七 八 一 电路级网关 动态包过滤防火墙 静态包过滤防火墙 空气隙防火墙 应用级网关 防火墙的类型和结构 状态检测防火墙 切换代理 防火墙概述

  3. 第五章 防火墙原理与设计 五 二 九 四 三 六 七 八 一 电路级网关 动态包过滤防火墙 静态包过滤防火墙 空气隙防火墙 应用级网关 防火墙的类型和结构 状态检测防火墙 切换代理 防火墙概述

  4. 5.1.1防火墙概述 防火墙 防火墙是由软件和硬件组成的系统,它处于安全的网络和不安全的网络之间,根据由系统管理员设置的访问控制规则,对数据流进行过滤。 防火墙是Internet安全的最基本组成部分,但对于内部攻击以及绕过防火墙的连接却无能为力。

  5. 5.1.2防火墙对数据流的处理方式 1 2 3 将数据流丢弃,不对这些数据包进行任何处理,也不会向发送者发送任何提示信息。 拒绝数据流通过,并向发送者回复一条消息,提示发送者该数据流已被拒绝。 允许数据流通过

  6. 5.1.3 防火墙须满足的要求 3 2 1 只允许经过授权的数据流通过防火墙。 所有进出网络的数据流都必须经过防火墙。 防火墙自身对入侵是免疫的。

  7. 第五章防火墙原理与设计 二 三 一 四 五 六 七 八 九 动态包过滤防火墙 防火墙概述 静态包过滤防火墙 应用级网关 状态检测防火墙 防火墙的类型和结构 切换代理 空气隙防火墙 电路级网关

  8. 5.2.1 防火墙的发展史 1985-1988,Cisco的IOS软件公司 包过滤防火墙 1989-1990,AT&T贝尔实验室 电路级网关防火墙 Purdue University;AT&T贝尔实验室 应用级网关防火墙 1991-1994 动态包过滤防火墙 第四代防火墙 第五代防火墙 第三代防火墙 第二代防火墙 第一代防火墙 • 1996年,内核代理结构 • 1998年,NAI公司,自适应代理

  9. 5.2.2防火墙的类型和设计结构 包过滤防火墙 电路级网关防火墙 应用级网关防火墙 防火墙分类 静态包过滤 动态包过滤 电路级网关 应用级网关 状态检查包过滤 切换代理 空气隙(物理隔离) 防火墙 设计结构

  10. 5.2.3OSI模型与防火墙类型的关系 SMTP 其他 应用级网关 FIP Telnet 应用层 表示层 会话层 电路级网关 TCP、UDP 传输层 TCP/IP 模型 OSI模型 IP 网络层 包过滤 以太网 FDDI X.25 其他 链路层 物理层 防火墙工作于OSI模型的层次越高,能提供的安全保护等级就越高

  11. 5.2.3 OSI模型与防火墙类型的关系(续) 防火墙通常建立在TCP/IP模型基础上,OSI模型与TCP/IP模型之间并不存在一一对应的关系。 IP数据包结构 IP头部数据段 TCP头部数据段

  12. 5.2.4网络地址转换NAT 亚洲国家IP地址资源相对匮乏 NAT可解决地址紧缺的问题 NAT的优点 隐藏内部网络的拓扑结构,提升网络安全性。 静态NAT 在进行网络地址转换时,内部网络地址与外部的Internet IP地址是一一对应的关系。 动态NAT 可用的Internet IP地址限定在一个范围内。

  13. 5.2.4网络地址转换NAT(续) PAT:端口地址转换 在进行网络地址转换时,不仅网络地址发生改变,而且协议端口也会发生改变。 SNAT:源网络地址转换 当内部用户使用专用地址访问Internet时,必须将IP头部中的数据源地址转换成合法的Internet地址。 DNAT:目标网络地址转换 必须将数据包中的目的地址转换成服务器的专用地址,使合法的Internet IP地址与内部网络中服务器的专用地址相对应。

  14. 5.2.5 NAT的分类 静态网络地址转换 根据NAT的实现方式对NAT进行分类 动态网络 地址转换 端口地址 转换

  15. 5.2.5 NAT的分类(续) 静态网络地址转换 动态网络地址转换 端口地址转换 必须维护一个转换表,功能更强大,需要更多资源。 必须维护一个转换表,功能更强大,需要更多资源。 不需要维护地址转换状态表,功能简单,性能较好。 根据数据流进行分类 源地址 目标地址

  16. 5.2.6 实现NAT的路由器配置 内网中的主机通过内部IP地址访问路由器。 外网中的主机通过外部IP地址访问路由器。 内网中的主机通过内部IP地址访问路由器。

  17. 5.2.6 实现NAT的路由器配置(续) 在内部数据包离开内部网络之前,其源地址字段总包含NAT路由器的外部地址 因此,对于所有输出的数据包,NAT路由器用其外部地址替换数据包的源地址。 在外部数据包进入内部网络之前,其目的地址字段总包含NAT路由器的外部地址。 因此,对于所有输入数据包, NAT路由器必须采用最终目标主机的IP地址替换数据包的目的地址。

  18. 5.2.7 NAT转换过程实例

  19. 5.2.7 NAT转换过程实例(续) NAT路由器用自己的地址(即201.26.7.9)替换数据包中的源地址,并利用路由机制,将此数据包发送给Internet上的目标主机。此时,该数据包的源地址为201.26.7.9,而目的地址为210.10.20.20。 假设一台内部主机(地址为192.168.10.1)要向外部主机(地址为210.10.20.20)发送一个数据包。该内部主机将该数据包发送给内部网络,该数据包将到达NAT路由器。此时,该数据包的源地址为192.168.10.1,而目的地址为210.10.20.20。 NAT路由器在转换表中增添一个条目, 内 部 地 址 192.168.10.1 外部地址 210.10.20.20 Internet上的外部路由器处理该数据包,并发回一个响应数据包。此时,该响应数据包的源地址为210.10.20.20,而目的地址为201.26.7.9。 该响应数据包到达NAT路由器。因为响应数据包中的目的地址与NAT路由器的地址匹配,所以NAT路由器查询转换表,以确认此转换表中是否含有外部地址为210.10.20.20的条目。最终,NAT路由器找到了这个条目中含有的内部主机地址为192.168.10.1。 NAT路由器用内部主机地址(即192.168.10.1)替换数据包的目的地址,并将该分组发给该内部主机。

  20. 5.2.8 NAT路由器的工作过程

  21. 5.2.8 NAT路由器的工作过程(续) 新加的 “外部端口” 新加的 “NAT端口” 新加的 “内部端口” 标识某一服务应用程序所使用的端口号。 标识内部主机上的应用程序所使用的端口号。 一个一次递增的数字,由NAT路由器生成。 • 如果有多个内部主机同时与外网的同一台主机通信,需要修改NAT转换表,添加几列新的参数。

  22. 第五章防火墙原理与设计 二 三 一 四 五 六 七 八 九 动态包过滤防火墙 防火墙概述 静态包过滤防火墙 应用级网关 状态检测防火墙 防火墙的类型和结构 切换代理 空气隙防火墙 电路级网关

  23. 5.3.1静态包过滤防火墙 静态包过滤 防火墙 采用过滤模块实现 静态包过滤防火墙 较高的安全性 直接使用路由器 软件过滤 采用过滤模块实现 Text 减少投资 无需购买 专门设备 较高的安全性 检查 数据包 转发? 丢弃? 减少投资

  24. 5.3.2 静态包过滤防火墙的操作 对数据包采用过滤规则,对数据包的IP头和传输字段内容进行检查。 如果没有规则与数据包头信息匹配,则对数据包施加默认规则。 接收每个到达的数据包

  25. 5.3.3工作于网络层的静态包过滤 静态包过滤防火墙是最原始的防火墙,静态数据包过滤发生在网络层上。 应用层 表示层 会话层 传输层 网络层 链路层 物理层 网络接口 网络接口 外部网络 内部网络

  26. 5.3.3工作于网络层的静态包过滤(续) 目的地址 应用或协议 对于静态包过滤防火墙来说,决定接收还是拒绝一个数据包,取决于对数据包中IP头和协议头等特定域的检查和判定。 数据源地址 源端口号 目的端口号

  27. 5.3.4静态包过滤防火墙实例 拒绝来自130.33.0.0的数据包,这是一种保守策略。 拒绝来自外部网络的Telnet服务(端口号为23)的数据包。 拒绝试图访问内网主机193.77.21.9的数据包。 禁止HTTP服务(端口号为80)的数据包输出。

  28. 5.3.5 包过滤器的工作原理 • 访问控制策略 • 网管员预先编写一个访问控制列表 • 明确规定哪些主机或服务可接受,哪些主机或服务不可接受。 • 过滤规则 • 防火墙可根据数据包的 • 源地址 • 目的地址 • 端口号 • 若符合规则,则丢弃数据包 • 过滤位置 • 可以在网络入口处过滤 • 也可在网络出口处过滤 • 在入口和出口同时对数据包进行过滤。

  29. 5.3.6 包过滤器防火墙的配置 • 1 必须用设备提供商可支持的语法重写这些表达式 2 必须用逻辑表达式清楚地表述数据包的类型 3 管理员必须明确企业网络的安全策略

  30. 5.3.7 某大学的防火墙过滤规则设置 以上规则设置部分来自美国计算机应急响应中心的建议书

  31. 5.3.8 某公司的防火墙过滤规则设置 以上规则设置部分来自美国计算机应急响应中心的建议书 某公司的防火墙过滤规则设置

  32. 5.3.9 安全性讨论 仅检查数据的IP头和TCP头,不可能区分真实IP地址和伪造IP地址 无“状态感知” IP地址欺骗 隐信道攻击 包过滤防火墙并无“状态感知”能力。管理员必须为某个会话的两端都配置相应的规则以保护服务器。 黑客用某个已知可信客户机的源地址替代恶意数据包的实际源地址进行攻击,进入受保护的内部网络。 静态包过滤防火墙不检查数据包的净荷部分,黑客有机会将恶意的命令或数据隐藏到数据净荷中。 仅检查数据的IP头和TCP头,不可能区分真实IP地址和伪造IP地址。

  33. 5.3.10静态包过滤防火墙优缺点 优点 成本较低 对网络性能影响较小 安全性较低 缺点 缺少状态感知能力 容易遭受IP欺骗攻击 创建访问控制规则比较困难

  34. 第五章防火墙原理与设计 二 三 一 四 五 七 八 九 六 电路级网关 防火墙概述 应用级网关 静态包过滤防火墙 状态检测防火墙 切换代理 防火墙的类型和结构 空气隙防火墙 动态包过滤防火墙 本章重点

  35. 5.4.1工作于传输层的动态包过滤防火墙 检查的数据包头信息: 源地址 目的地址 应用或协议 源端口号 目的端口号 动态包过滤防火墙: 具有状态感知能力 典型的动态包过滤防火墙工作在网络层 先进的动态包过滤防火墙工作在传输层 应用层 表示层 会话层 传输层 网络层 链路层 物理层 网络接口 网络接口 外部网络 内部网络

  36. 5.4.2动态包过滤防火墙的工作原理 典型的动态包过滤防火墙能够感觉到新建连接与已建连接之间的差别。 动态包过滤防火墙需要对已建连接和规则表进行动态维护,因此是动态的和有状态的。 实现动态包过滤器有两种主要的方式:1、实时地改变普通包过滤器的规则集 2、采用类似电路级网关的方式转发数据包 数据包过滤 与普通包过滤防火墙非常相似。 不同点 对外出数据包进行身份记录,便于下次让具有相同连接的数据包通过。

  37. 5.4.4动态包过滤防火墙优缺点 优 点 缺 点 仅工作于网络层,仅检查IP头和TCP头。 如果连接在建立时没有遵循三步握手协议,就会引入的风险。 采用SMP技术时,对网络性能的影响非常小。 没过滤数据包的净荷部分,仍具有较低的安全性。 动态包过滤防火墙的安全性优于静态包过滤防火墙。 容易遭受IP欺骗攻击 “状态感知”能力使其性能得到了显著提高。 难于创建规则,管理员必须要考虑规则的先后次序。 如果不考虑操作系统成本,成本会很低。

  38. 第五章防火墙原理与设计 二 三 一 四 五 六 七 八 九 动态包过滤防火墙 防火墙概述 静态包过滤防火墙 应用级网关 状态检测防火墙 防火墙的类型和结构 切换代理 空气隙防火墙 电路级网关

  39. 5.5.1电路级网关 电路级网关通常作为代理服务器的一部分在应用代理类型的 防火墙中实现。 电路级网关工作时,IP数据包不会实现端到端的流动。 电路连接可自动完成。 连接服务需要知道确切的目的地址。 来自Internet的请求,作为服务器接收外来请求并转发。 内部主机请求访问Internet,担当代理服务器。 电路级网关又称做线路级网关,当两个主机首次建立TCP连接时,电路级网关在两个主机之间建立一道屏障。

  40. 5.5.2工作于会话层的电路级网关 检查内容: 源地址 目的地址 应用或协议 源端口号 目的端口号 握手信息及序列号 与包过滤的区别: 除了进行基本的包过滤检查外,还要增加对连接建立过程中的握手信息SYN、ACK及序列号合法性的验证。 应用层 表示层 会话层 传输层 网络层 链路层 物理层 网络接口 网络接口 外部网络 内部网络

  41. 5.5.3电路级网关所过滤的内容 源/目的 端口 源/目的 IP地址 应用状态和数据流 净荷 IP头 TCP头 应用级头 数据 电路级网关

  42. 5.5.4电路级网关的工作原理 在转发一个数据包之前,首先将数据包的IP头和TCP头与由管理员定义的规则表相比较 电路级网关在其自身与远程主机之间建立一个新连接,这一切对内网中用户都是完全透明的 如果会话合法,包过滤器就开始逐条扫描规则,直到发现一条与数据包中的有关信息一致。 在转发一个数据包之前,首先将数据包的IP头和TCP头与由管理员定义的规则表相比较。 如果会话合法,包过滤器就开始逐条扫描规则,直到发现一条与数据包中的有关信息一致

  43. 5.5.5SOCKS连接 • SOCKS由David和Michelle Koblas设计并开发 • 是现在已得到广泛应用的电路级网关(SSL) • 事实上,SOCKS是一种网络代理协议 收到请求后向目标主机发出请求 响应后将数据返回 内网主机 与SOCKS服务器 建立通道 将请求 发送给 服务器 内网主机 请求访问 互联网

  44. 5.5.6电路级网关优缺点 优 点 切断了外部网络到防火墙后的服务器直接连接。 性能比包过滤防火墙稍差,但是比应用代理防火墙好。 比静态或动态包过滤防火墙具有更高的安全性。 具有一些固有缺陷,例如,电路级网关不能对数据净荷进行检测,无法抵御应用层攻击等。 仅提供一定程度的安全性。 当增加新的内部程序或资源时,往往需要对许多电路级网关的代码进行修改。 缺 点

  45. 第五章防火墙原理与设计 二 三 一 四 五 六 七 八 九 动态包过滤防火墙 防火墙概述 静态包过滤防火墙 应用级网关 状态检测防火墙 防火墙的类型和结构 切换代理 空气隙防火墙 电路级网关

  46. 5.6.1 包过滤防火墙与应用级网关的区别 • 包过滤防火墙 • 应用级网关

  47. 当各种类型的应用服务通过网关时,必须经过客户机代理和服务器代理的过滤。当各种类型的应用服务通过网关时,必须经过客户机代理和服务器代理的过滤。

  48. 5.6.2应用级网关的工作层次 • 工作特点: • 必针对每个服务运行一个代理。 • 对数据包进行逐个检查和过滤。 • 采用“强应用代理”。 • 在更高层上过滤信息,自动创建必要的包过滤规则。 • 当前最安全的防火墙结构之一。 代理对整个数据包进行检查,因此能在应用层上对数据包进行过滤。 应用代理程序与电路级网关有两个重要区别: 代理是针对应用的。 代理对整个数据包进行检查,因此能在OSI模型的应用层上对数据包进行过滤。 应用层 表示层 会话层 传输层 网络层 链路层 物理层 网络接口 网络接口 外部网络 内部网络

  49. 5.6.3应用级网关优缺点 优 点 具有强大的认证功能。 在已有的安全模型中安全性较高。 具有超强的日志功能。 灵活性很差,对每一种应用都需要设置一个代理。 配置烦琐,增加了管理员的工作量。 规则配置比较简单。 性能不高,有可能成为网络的瓶颈。 缺 点

More Related