1、回顾与复习 导入新内容,回顾与复习: 传统的防火墙技术:静态包过滤技术。 新兴的防火墙技术:电路级网关技术、应用网关技术和动态包过滤技术。 引出新内容: 仅仅靠我们一述所讲的其中一种技术来构建防火墙就就能达到防范网络安全的目的吗? 远非如此,要想更好更安全的防范外来攻击,必须根据内网实际需求构建防火墙体系,那么防火墙体系结构有哪几种,分别如何构建? 补充教学内容:防火墙的体系结构,补充教学内容:防火墙的体系结构,重 点: 1:屏蔽主机体系结构 重 点: 2:双宿主机防火墙 重难点: 3:被屏蔽主机防火墙 重难点: 4:被屏蔽子网防火墙 难 点: 5:分布式防火墙体系结构6:防火墙的分类7:防火
2、墙的性能及选购8:防火墙技术的敝端9:防火墙技术的发展趋势 10:实训,建立防火墙体系结构的必要性:随着Internet网络用户的增多,网络的安全也受到更多的威胁,仅仅依靠某一种特定的防火墙技术,已不能满足网络安全性的需要。 由于对更高安全性的要求,常把基于包过滤的方法与基于应用代理的方法结合起来,形成复合型防火墙产品即集成多种防火墙技术于一体的防火墙体系结构。 防火墙的体系结构的种类:屏蔽主机体系结构、双重宿主主机体系结构、屏蔽主机体系结构、屏蔽子网体系结构。,防火墙的体系结构概述,1、屏蔽主机体系结构(主机过滤体系结构),在主机过 滤体系结构 中提供安全 保护的主机 仅仅与内部 网相连。
3、主机过滤 结构还有一 台单独的路 由器(过滤 路由器)。 在这种体 系结构中, 主要的安全 由数据包过 滤提供,其 结构如右图 所示。,屏蔽主机体系结构(主机过滤体系结构),在屏蔽主机防火墙结构中,分组过滤路由器或防火墙与Internet相连,对数据包进行过滤。 同时一个堡垒机安装在内部网络,通过在分组过滤路由器或防火墙上过滤规则的设置,使堡垒机成为Internet上其它节点所能到达的唯一节点,这确保了内部网络不受未授权外部用户的攻击。,筛选路由器,筛选路由器的另一个术语就是包过滤路由器。 筛选路由器的位置:它至少有一个接口是连向公网的,如Internet。它对进出内部网络的所有信息进行分析,
4、并按照一定的安全策略信息过滤规则对进出内部网络的信息进行限制,允许授权信息通过,拒绝非授权信息通过。信息过滤规则是以其所收到的数据包头信息为基础的。 采用这种技术的防火墙优点在于速度快、实现方便,但安全性能差,且由于不同操作系统环境下TCP和UDP端口号所代表的应用服务协议类型有所不同,故兼容性差。,堡垒主机(Bastion host)的配置,堡垒主机的基本配置:堡垒主机是一种配置了安全防范措施的网络上的计算机,堡垒主机为网络之间的通信提供了一个阻塞点。可以配置成过滤型、代理型或混合型。 堡垒主机的网卡配置:多数情况下,一个堡垒主机使用两块网卡,每个网卡连接不同的网络。一块网卡连接你公司的内部
5、网络用来管理、控制和保护,而另一块连接另一个网络,通常是公网也就是Internet。 堡垒主机的网关服务配置:网关服务是一个进程来提供对从公网到私有网络的特殊协议路由,反之亦然。在一个应用级的网关里,你想使用的每一个应用程协议都需要一个进程。因此,你想通过一台堡垒主机来路由Email,Web和FTP服务时,你必须为每一个服务都提供一个守护进程。,保垒主机的优缺点,堡垒主机的优点:是一种被强化的可以防御进攻的计算机,被暴露于因特网之上,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其它主机的安全的目的。 堡垒主机的缺点:堡垒主机是网络中最容易
6、受到侵害的主机。所以堡垒主机也必须是自身保护最完善的主机。,堡垒主机的功能,内部网服务的主要功能有: 它接收外来的电子邮件再分发给相应的站点; 它接收外来的FTP,并连到内部网的匿名FTP服务器; 它接收外来的有关内部网站点的域名服务。 向外的服务功能可用以下方法来实施: 在内、外部路由器上建立包过滤,以便内部网的用户可直接操作外部服务器; 在主机上建立代理服务,在内部网的用户与外部的服务器之间建立间接的连接。,2、双宿主主机体系结构,双宿主主机(Dual-homed Host):双宿主主机是有两个网络接口的计算机系统,一个接口接内部网,一个接口接外部网。 双宿主主机体系结构:是围绕具有双宿主
7、的主体计算机而构筑的。该计算机至少有两个网络接口,这样的主机可以充当与这些接口相连的网络之间的路由器,并能够从一个网络到另一个网络发送IP数据包。 通信机制:防火墙内部的网络系统能与双宿主主机通信,同时防火墙外部的网络系统(在因特网上)也能与双宿主主机通信。通过双宿主主机,防火墙内外的计算机便可进行通信了,但是这些系统不能直接互相通信,它们之间的IP通信被完全阻止。 双宿主主机体系结构的结构如下:,双宿主主机的应用特点,简单 安全性不高 易于攻破,3、屏蔽主机体系结构,过滤路由器的设置 堡垒主机的设置 对堡垒主机的要求,屏蔽主机的应用特点,4、屏蔽子网体系结构,4、屏蔽子网体系结构,屏蔽子网体
8、系结构,屏蔽子网防火墙,屏蔽子网防火墙的结构: 堡垒主机放在一个子网内,形成非军事化区,两个分组过滤路由器放在这一子网的两端,使这一子网与Internet及内部网络分离。 在屏蔽子网防火墙体系结构中,堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。 屏蔽子网防火墙的结构特点: 子网过滤体系结构添加了额外的安全层到主机过滤体系结构中,即通过添加参数网络,更进一步地把内部网络与因特网隔离开。 两个过滤路由器,每一个都连接到参数网,一个位于参数网与内部的网络之间,另一个位于参数网与外部网络之间。,非军事化区域(demilitarized zone ) (也叫停火区、参数网络或服务网络),DM
9、Z的概念:是一个小型网络,存在于公司的内部网络和外部网络之间。这个网络由筛选路由器建立,有时是一个阻塞路由器。 DMZ的作用:是在内外网之间另加的一层安全保护网络层,用来作为一个额外的缓冲区以进一步隔离外网和内网,可以实现避免内外网用户的直接接触。 。 DMZ的防范过程:如果入侵者仅仅侵入到参数网络的堡垒主机,他只能偷看到这层网络(参数网络)的信息流而看不到内网的信息,而这层网络的信息流仅从参数网络往来于外部网或者从参数网络往来于堡垒主机。因为没有纯粹的内部信息流(内部主机间互传的重要和敏感的信息)在参数网络中流动,所以即使堡垒主机受到损害也不会让入侵者破坏内部网的信息流。 DMZ技术的缺点:
10、存在于DMZ区域的任何服务器都不会得到防火墙的安全保护。,内部路由器(也叫阻塞路由器),内部路由器的主要功能:是保护内部网免受来自外部网与参数网络的侵扰,内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网络到Internet的有选择的出站服务。这些服务使用户的站点能使用数据包过滤而不是代理服务 。 内部路由器完成的工作:完成防火墙的大部分包过滤工作,它允许某些站点的包过滤系统认为符合安全规则的服务在内外部网之间互传。根据各站点的需要和安全规则,可允许的服务是以下这些外向服务中的若干种,如:Telnet、FTP、WAIS、Archie、Gopher或者其它服务。 内部路由器可以设
11、定:使参数网络上的堡垒主机与内部网之间传递的各种服务和内部网与外部网之间传递的各种服务不完全相同,即内部路由器所允许的在堡垒主机(在外围网上)和用户内部网之间的服务,可以不同于内部路由器所允许的在Internet和用户内部网之间的服务。,外部路由器,外部路由器的功能: 既可保护参数网络又保护内部网。实际上,在外部路由器上仅做一小部分包过滤,它几乎让所有参数网络的外向请求通过,而外部路由器与内部路由器的包过滤规则是基本上相同的。 外部路由器的包过滤主要是对参数网络上的主机提供保护。然而,一般情况下,因为参数网络上主机的安全主要通过主机安全机制加以保障,所以由外部路由器提供的很多保护并非必要。 外
12、部路由器真正有效的任务就是阻断来自外部网上伪造源地址进来的任何数据包。这些数据包自称是来自内部网,而其实它是来自外部网。,引入DMZ的概念 安全性高:黑客入侵必须突破两个防火墙,屏蔽子网体系结构的保护特点,5. 分布式防火墙体系结构,分布式防火墙技术产生的原因: 边界防火墙(Perimeter Firewall) :因为传统的防火墙设置在网络边界,位于内、外部互联网之间,所以称为“边界防火墙”。 边界防火墙的不足:随着人们对网络安全防护要求的提高,边界防火墙明显感觉到力不从心,因为给网络带来安全威胁的不仅是外部网络,更多的是来自内部网络。因此边界防火墙无法对内部网络实现有效地保护,除非对每一台
13、主机都安装防火墙,这是不可能的。 由此,产生了一种新型的防火墙技术分布式防火墙Distributed Firewalls)技术。,5. 分布式防火墙体系结构,分布式防火墙的构成: 网络防火墙(Network Firewall) 主机防火墙(Host Firewall) 中心管理(Central Managerment),5. 分布式防火墙体系结构,网络防火墙(Network Firewall) 这一部分有的公司采用的是纯软件方式,而有的可以提供相应的硬件支持。 它是用于内部网与外部网之间,以及内部网各子网之间的防护。 与传统边界防火墙相比,它多了一种用于对内部子网之间的安全防护层,这样整个网络
14、的安全防护体系就显得更加全面,更加可靠。 在功能上与传统的边界式防火墙类似 。,5. 分布式防火墙体系结构,主机防火墙(Host Firewall) 主机防火墙是传统边界式防火墙所不具有的,是对传统边界式防火墙在安全体系方面的一个完善。 主机防火墙有纯软件和硬件两种产品,是用于对网络中的服务器和桌面机进行防护。 主机防火墙是作用在同一内部子网之间的工作站与服务器之间,以确保内部网络服务器的安全。 主机防火墙使防火墙的作用不仅是用于内部与外部网之间的防护,还可应用于内部网各子网之间、同一内部子网工作站与服务器之间。 主机防火墙确保了应用层的安全防护,比起网络层更加彻底。,5. 分布式防火墙体系结
15、构,中心管理(Central Managerment) 中心管理是一个防火墙服务器管理软件,负责总体安全策略的策划、管理、分发及日志的汇总。 中心管理是新的防火墙的管理功能,也是以前传统边界防火墙所不具有的。 中心管理使防火墙可以进行智能化管理,提高了防火墙的安全防护灵活性,具备可管理性。,5. 分布式防火墙体系结构,分布式防火墙技术的优点: 分布式防火墙负责对网络边界、各子网和网络内部各节点之间的安全防护,所以“分布式防火墙“是一个完整的系统,而不是单一的产品。 它可以很好地解决边界防火墙以上的不足,当然不是为每对路主机安装防火墙,而是把防火墙的安全防护系统延伸到网络中各对台主机。一方面有效
16、地保证了用户的投资不会很高,另一方面给网络所带来的安全防护是非常全面的。,注:强化操作系统,防火墙要求尽可能只配置必需的少量的服务。为了加强操作系统的稳固性,防火墙安装程序要禁止或删除所有不需要的服务。 多数的防火墙产品,包括Axent Raptor(),CheckPoint()和Network Associates Gauntlet ()都可以在目前较流行的操作系统上运行。如Axent Raptor防火墙就可以安装在Windows NT Server4.0,Solaris及HP-UX操作系统上。 从理论上来讲,让操作系统只提供最基本的功能,利用系统BUG来攻击的方法非常困难。 当你加强你的系
17、统时,还要考虑到除了TCP/IP协议外不要把任何协议绑定到你的外部网卡上。,小型网络的安全解决方案,典型的网络安全解决方案,双机热备份安全解决方案,6、防火墙的分类,根据软、硬件形式分类: 软件防火墙 硬件防火墙 芯片级防火墙,6、防火墙的分类,根据防火墙技术分类: “包过滤型” “应用代理型” 包状态监视型 复合型防火墙,6、防火墙的分类,根据防火墙结构分类: 单一主机防火墙 路由器集成式防火墙 分布式防火墙,6、防火墙的分类,根据防火墙的应用部署位置分类: 边界防火墙 个人防火墙 混合防火墙,6、防火墙的分类,根据防火墙性能分类: 百兆级防火墙 千兆级防火墙,7、防火墙的性能及选购,防火墙
18、的性能: 防火墙的管理难易程度 防火墙自身的安全性 NCSC(国家计算机安全中心:是美国国家安全机构(NSA)内的一个政府组织 )的认证标准 能弥补操作系统的不足 能为使用者提供不同平台的选择 能向使用者提供完善的售后服务 选择防火墙必须考虑的基本原则: 可操作性。 允许希望通过或拒绝的业务类型与个人的需求距离 监测和控制的级别性。 费用问题。,8、 防火墙技术的敝端,防火墙不能防范不经由防火墙的攻击。 防火墙目前还不能防止感染了病毒的软件或文件的传输。 防火墙不能防止数据驱动式攻击:数据驱动攻击是通过向某个程序发送数据,以产生非预期结果的攻击,通常为攻击者给出访问目标系统的权限,数据驱动攻击
19、分为缓冲区溢出攻击、格式化字符串攻击、输入验证攻击、同步漏洞攻击、信任漏洞攻击等。 防火墙还存在着安装、管理、配置复杂的缺点,在高流量的网络中,防火墙还容易成为网络的瓶颈。,9、防火墙技术发展趋势,随着新的网络攻击的出现,防火墙技术也有一些新 的发展趋势。主要体现在以下三方面: 加强过滤规则:认证技术、多级过滤技术、病毒防护功能在包过滤技术中的应用。 提高带宽:ASIC(Application Specific Intergrated Circuits)即专用集成电路技术及基于的网络处理器技术在防火墙体系结构中的应用,以提高数据处理速率。 加强管理:网络安全产品的系统化加强了集中式管理技术、审
20、计和自动日志分析技术在防火墙管理系统的应用。,10、实训,1、参考教材7.3节实验步骤,上网下载防火墙软件,练习防火墙软件的应用。 金山网镖防火墙的实用 网络卫士防火墙的应用 天融信防火墙的应用 天马防火墙的应用 瑞星防火墙的应用 2、练习代理服务器CCproxy的安装及应用。,回顾与总结,强调重难点 提出新问题,引出新内容,回顾与总结,强调重难点: 重点掌握:防火墙的体系结构:屏蔽主机体系结构,双宿主机防火墙,被屏蔽主机防火墙,被屏蔽子网防火墙,分布式防火 墙体系结构。 了解:防火墙的分类,防火墙的性能及选购,防火墙技术的敝端,防火墙技术的发展趋势 。 实践:实训内容,上机详解。 提出新问题,引出新内容:我们构建防火墙体系结构的目的就是阻止黑客的入侵与防范,保障网络的安全,那么常见的黑客技术有那些?这些黑客技术的工作原理是什么? 请听下节分讲:第六章 黑客入侵与防范,学习资料网站提供,http:/ 作业布置,创新思考: 1、你能否自己设计一种不同于上述五种的防火墙体系结构? 2、在上机实践中,你下载安装的哪种防火墙产品,在使用中感觉有什么不足之处?你认为如何改进才能更好了满足用户的要求? 作业布置: 1、教材作业:P140习题第2题、第5题及第6题。 2、补充作业:,比较屏蔽主机防火墙体系结构、双宿主机防火墙、屏蔽子网防火墙体系结构、分布式防火墙体系结构的工作原理及优缺点。,
