1、第七讲:几种防火墙介绍,1,简单包过滤/分组过滤防火墙 状态检测包过滤防火墙应用代理防火墙 电路中继防火墙,传输层,网络层,数据链路层,物理层,应用层,数据链路层,物理层,应用层,传输层,网络层,一、状态检测防火墙,对于新建立的应用连接,状态检测型防火墙先检查预先设置的安全规则,允许符合规则的连接通过,并记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。状态检测防火墙保留状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力
2、。,2,过滤规则实例,3,过滤规则配置的两种方式(一),限制策略:接受信任的数据包,拒绝其它所有数据包,4,过滤规则配置的两种方式(二),宽松策略:拒绝不受信任的数据包,接受其它所有数据包,5,针对包过滤防火墙的攻击,IP地址欺骗,例如,假冒内部的IP地址对策:在外部接口上禁止内部地址 小碎片攻击,利用IP分片功能把TCP头部切分到不同的分片中对策:丢弃分片太小的分片 利用规则设置漏洞对策:采用状态检测防火墙 1 192.168.1.9 any any any permit 2 192.168.1.9 any any 80 deny 源路由攻击,即由源指定路由对策:禁止这样的选项,6,源路由攻
3、击,7,1, B, permit 2, C, deny,B, Data,C, Data,B, Data,R3,R1,B,R3,R1,Data,作业1:根据条件编写防火墙规则,内网所有设备之间都能相互访问 内网所有设备,除了61.2.2.4以外,都能访问外网的Web服务 只有61.2.2.5能访问外网的应用A,其它设备都不能访问应用A 内网Web服务和邮件服务能被外网所有设备访问 内网文件服务能被外网的78.10.2.3访问,其它网外设备不能访问 其它访问被禁止,8,内网,外网,作业1:要求,11月6日前通过邮件递交() Word文件,文件名:学号-作业1.doc 按以下格式编写规则:,9,第七
4、讲:几种防火墙介绍,10,简单包过滤/分组过滤防火墙 状态检测包过滤防火墙应用代理防火墙 电路中继防火墙,传输层,网络层,数据链路层,物理层,应用层,数据链路层,物理层,应用层,传输层,网络层,二、应用代理防火墙,也称为应用层网关 特点 所有的内外网之间的连接都通过防火墙,防火墙作为网关 在应用层上实现 可以监视数据包的应用层内容 可以实现基于用户的认证,防止IP欺骗 所有的应用需要单独实现 可以提供理想的日志功能 非常安全,但是开销比较大,11,应用代理防火墙技术介绍,优点: 安全性高 提供应用层的安全,12,缺点: 性能差 伸缩性差 只支持有限的应用 不透明,应用代理防火墙,13,应用代理
5、防火墙实际上并不允许在它连接的网络之间直接通信。相反,它是接受来自内部/外部网络特定用户应用程序的通信,然后建立与外部/内部网络主机单独的连接。 网络内部/外部的用户不直接与外部/内部的服务器通信,所以内部/外部主机不能直接访问外部/内部网络的任何一部分。,D,D,应用代理防火墙工作原理,14,Telnet应用代理,15,远程登录Telnet应用代理的过程:用户首先Telnet到应用代理主机,并输入内部目标主机的名字(域名、IP地址) 应用代理检查用户的源IP地址等,并根据事先设定的访问规则来决定是否转发或拒绝数据 然后进行用户验证 应用代理服务器为用户建立在网关与内部主机之间的Telnet连
6、接 应用代理服务器在两个连接(用户/应用网关,代理服务器/内部主机)之间传送数据 应用网关对本次连接进行日志记录,Telnet“会话”在终端上的显示,Outside-Host telnet fwhost Username:John Smith Password: # Challenge Number “237936“ Challenge Response:723456 Trying 200.43.67.17. Connecting to fwhost Escape character is fwhost telnet proxy (version 1.4) ready: fw-telnetco
7、nnect insidehost SunOS UNIX (insidehost) login:John Smith Password:# Last login:Wednesday Dec 13 11:17:15 Welcome Inside-Host ,16,应用代理防火墙优点,可以检查应用层的协议特征,对数据包的检测能力较强。 在网络连接建立之前可以对用户身份进行认证 所有通过防火墙的信息流可以被记录下来 传输内容的全面检查 支持内部网络的信息隐藏 易于控制和管理,17,应用代理防火墙缺点,配置困难:由于每个应用都要求单独的代理进程,这就要求网管人员能理解每项应用协议的弱点,并能合理的配置安
8、全策略。 配置繁琐,容易出现配置失误,最终影响内网的安全防范能力。 处理速度非常慢,网络性能低 对每种类型的服务都需要一个代理 防火墙对用户不透明,18,三、电路中继防火墙,也叫电路层网关 拓扑结构同应用层网关相同 接收客户端连接请求,代理客户端完成网络连接 在客户和服务器间中转数据 通用性强,19,电路中继防火墙功能,电路中继防火墙可针对每个TCP、UDP会话进行识别和过滤。 在会话的建立过程中,除了检查传统的过滤规则之外,还要求发起会话的客户端向防火墙发送用户名和口令,只有通过验证的用户才被允许建立会话。 会话一旦建立,则报文流可不加检验直接穿透防火墙。电路中继防火墙通过对客户端的用户名和
9、口令进行验证,有效地避免了网络传送过程中源地址被冒充等问题,可有效地防御IP/UDP/TCP欺骗,并可快速定位TCP/UDP的攻击发起者。,20,电路中继防火墙工作协议,21,应用层,传输层,网络层,数据链路层,物理层,物理层,数据链路层,网络层,应用层,传输层,网络层,数据链路层,物理层,外部网络主机,内部网络主机,电路中继防火墙,应用层,传输层,身份验证,电路中继防火墙,22,电路中继技术:Socks,专门设计用于防火墙 在应用层和传输层之间增加了一层 Socks lib和socks server 基于用户的认证方案 正在普及和流行,23,应用层传输层 网络层 数据链路层,client,S
10、ocks server,policy,server,TCP客户的处理过程,客户首先与socks 服务建立一个TCP连接,通常SOCKS端口为1080 然后客户与服务器协商认证方案 然后进行认证过程 认证完成之后 客户发出请求 服务器送回应答 一旦服务器应答指示成功,客户就可以传送数据了,24,四种防火墙的比较,25,案例分析:如何保护网络系统,避免受到入侵攻击?,26,问题,27,防火墙的共同特征包括:A. 数据过滤 B. 访问控制 C. 病毒防御 D. 身份认证 包过滤防火墙主要依据下列哪些因素进行过滤:A. 物理地址 B. IP地址 C. 端口 D. 协议 关于状态检测技术,说法错误的是:A.跟踪流经防火墙的所有通信信息B.对通信连接的状态进行跟踪与分析C.需要配制过滤规则D.工作在协议最底层,所以不能有效监测应用层数据 应用代理技术的特点包括:A. 提供透明的应用层安全 B. 对数据包的检测能力较强C. 性能高 D. 安全性高 电路中继的特点包括:A. 在应用层上实现 B. 通用性强C. 性能高 D. 对用户透明,
