计算机网络安全技术与实训第章.doc
《计算机网络安全技术与实训第章.doc》由会员分享,可在线阅读,更多相关《计算机网络安全技术与实训第章.doc(40页珍藏版)》请在咨信网上搜索。
1、个人收集整理 勿做商业用途第6章 防火墙技术学习目标1。 理解防火墙基本概念和防火墙工作原理2. 掌握防火墙的体系结构和基于防火墙的安全网络结构3. 学会防火墙产品的购买方案选择4。 学会配置防火墙本章要点l 防火墙的概念、类型、目的与作用l 防火墙的设计与创建l 基于防火墙的安全网络结构l 硬件防火墙配置与管理l 个人防火墙的配置6.1 防火墙的基本概念6。1。1 网络防火墙基本概念什么是防火墙?建筑在山林中的房子大部分是土木结构,防火性能较差。为了防止林中的山火把房子烧毁,每座房子在其周围用石头砌一座墙作为隔离带,这就是本意上的防火墙。防火墙的原意是指在容易发生火灾的区域与拟保护的区域之间
2、设置的一堵墙,将火灾隔离在保护区之外,保证拟保护区内的安全。网络防火墙是指在两个网络之间加强访问控制的一整套装置,即防火墙是构造在一个可信网络(一般指内部网)和不可信网络(一般指外部网)之间的保护装置,强制所有的访问和连接都必须经过这个保护层,并在此进行连接和安全检查.只有合法的数据包才能通过此保护层,从而保护内部网资源免遭非法入侵.下面说明与防火墙有关的概念。(1) 主机:与网络系统相连的计算机系统.(2) 堡垒主机:指一个计算机系统,它对外部网络暴露,同时又是内部网络用户的主要连接点,所以很容易被侵入,因此必须严密保护保垒主机。(3) 双宿主主机:又称双宿主机或双穴主机,是具有两个网络接口
3、的计算机系统。(4) 包:在互联网上进行通信的基本数据单位。(5) 包过滤:设备对进出网络的数据流(包)进行有选择的控制与操作。通常是对从外部网络到内部网络的包进行过滤。用户可设定一系列的规则,指定允许(或拒绝)哪些类型的数据包流入(或流出)内部网络。(6) 参数网络:为了增加一层安全控制,在内部网与外部网之间增加的一个网络,有时也称为中立区(非军事区),即DMZ(Demilitarized Zone)。(7) 代理服务器:代表内部网络用户与外部服务器进行数据交换的计算机(软件)系统,它将已认可的内部用户的请求送达外部服务器,同时将外部网络服务器的响应再回送给用户。6。1。2 网络防火墙的目的
4、与作用构建网络防火墙的主要目的如下所述。(1) 限制访问者进入一个被严格控制的点。(2) 防止进攻者接近防御设备。(3) 限制访问者离开一个被严格控制的点。(4) 检查、筛选、过滤和屏蔽信息流中的有害服务,防止对计算机系统进行蓄意破坏。网络防火墙的主要作用如下所述.(1) 有效地收集和记录互联网上的活动和网络误用情况。(2) 能有效隔离网络中的多个网段,防止一个网段的问题传播到另外网段。(3) 防火墙作为一个安全检查站,能有效地过滤、筛选和屏蔽有害的信息和服务。(4) 防火墙作为一个防止不良现象发生的“警察,能执行和强化网络的安全策略。6。2 防火墙工作原理防火墙按其工作原理来看可分为两大类:
5、包过滤型、代理服务型。也可从所采用的技术上看详细分为6种类型:包过滤型;代理服务器型;电路层网关;混合型;应用层网关;自适应代理技术。6.2。1 包过滤型防火墙包过滤型防火墙(Packet Filter Firewall)中的包过滤器一般安装在路由器上,工作在网络层(IP)。它基于单个包实施网络控制,根据所收到的数据包的源地址、目的地址、TCP/UDP、源端口号及目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数,与用户预定的访问控制表进行比较,决定数据是否符合预先制定的安全策略,决定数据包的转发或丢弃,即实施信息过滤.实际上,它一般允许网络内部的主机直接访问外部网络,而外部网络上的
6、主机对内部网络的访问则要受到限制。在互联网上提供某些特定服务器一般都使用相对固定的端口号。因此路由器在设置包过滤规则时指定:对于某些端口号允许数据包与该端口交换,或者阻断数据包与它们的 连接。这种防火墙的优点是简单、方便、速度快、透明性好,对网络性能影响不大,但缺乏用户日志(Log)和审计信息(Audit),缺乏用户认证(CA)机制,不具备审核管理,且过滤规则的完备性难以得到检验,复杂过滤规则的管理也比较困难.因此,包过滤型防火墙的安全性较差.6.2。2 IP级包过滤型防火墙1。 概述IP级过滤型防火墙(IP Packet Filter)可看做是一个多端口的交换设备,它对每一个到来的报文根据其
7、报头进行过滤,按一组预定义的规则来判断该报文是否可以继续转发,不考虑报文之间的前后关系.这些过滤规则称为Packet Profile.在具体的产品中,过滤规则定义在转发控制表中,报文遵循自上向下的次序依次运用每一条规则,直到遇到与其相匹配的规则为止。对报文可采取的操作有转发(Forwarding)、丢弃(Dropping)、报错(Sending a Failure Response)和备忘(Logging For Exception Tracking)等。根据不同的实现方式,报文过滤可以在进入防火墙时进行,也可以在离开防火墙时进行。不同的IP级防火墙产品采用不同的传输控制表格式。为便于陈述,这
8、里只讨论抽象的过滤规则,并采用表6-1所示格式.表61 格式DirectionTypeSrcPortDestPortAction传输方向协议类型源地址源主机端口宿地址宿主机端口控制操作设网络123。45.0。0/16不愿其他因特网主机访问其站点;但它的一个子网123.45。6。0/24和某大学135。79.0.0/16有合作项目,因此允许该大学访问该子网;然而135。79。99。0/24是黑客天堂,需要禁止,为此在网络防火墙上设置表6-2所示规则。表62 规则一DirectionTypeSrcPortDestPortAction1In*135.79。99.0/24*123.45。0.0/16D
9、eny2Out*123。45。0.0/16*135.79.99。0/24Deny3In135。79.0.0/16*123.45.6。0/24*Allow4Out123.45。6.0/24*135.79.0。0/16Allow5Both*Deny注:指任何任意(如所指的表示为任意的协议类型),其他的类推。注意这些规则之间并不是互斥的,因此要考虑顺序。另外这里建议的规则只用于讨论原理,因此在形式上并非是最佳的。2。 SMTP处理SMTP是一个基于TCP的服务,服务器使用端口25,客户机使用任何大于1023的端口.如果防火墙允许电子邮件穿越网络边界,则可定义表63所示规则.表63 规则二Direct
10、ionTypeSrcPortDestPortAction1InTCP外部1023内部25Allow2OutTCP内部25外部1023Allow3OutTCP内部1023外部25Allow4InTCP外部25内部1023Allow5Both*Deny表63的规则1、规则2允许内部主机接受来自外部的邮件,规则3、规则4允许内部主机向外部发送邮件,规则5禁止使用其他端口的协议数据包通过。3。 HTTP处理HTTP是一个基于TCP的服务,大多数服务器使用端口80,也可使用其他非标准端口,客户机使用任何大于1023的端口。如果防火墙允许WWW穿越网络边界,则可定义表6-4所示规则。表64 规则三Dire
11、ctionTypeSrcPortDestPortAction1InTCP外部1023内部80Allow2OutTCP内部80外部1023Allow3OutTCP内部1023外部80Allow4InTCP外部80内部1023Allow5both*Deny表64的规则1、规则2允许外部主机访问本站点的WWW服务器,规则3、规则4允许内部主机访问外部的WWW服务器。由于服务器可能使用非标准端口,给防火墙允许的配置带来一些麻烦。一般实际使用的IP防火墙都直接对应用协议进行过滤,即管理员可在规则中指明是否允许HTTP通过,而不是只关注80端口。其他如POP、FTP、Telnet、RPC、UDP、ICMP
12、等协议的处理过程也类似,限于篇幅这里不再赘述。6.2.3 代理服务器型防火墙代理服务器型防火墙(Proxy Service Firewall)通过在主机上运行服务程序,直接面对特定的应用层服务,因此也称为应用型防火墙。其核心是运行于防火墙主机上的代理服务进程,该进程代理用户完成TCP/IP功能,实际上是为特定网络应用而连接两个网络的网关.对每种不同的应用(Email、FTP、Telnet、WWW等)都应用一个相应的代理服务.外部网络与内部网络之间要建立连接,首先必须通过代理服务器的中间转换,内部网络只接受代理服务器提出的要求,拒绝外部网络的直接请求。代理服务可以实施用户论证、详细日志、审计跟踪
13、和数据加密等功能和对具体协议及应用的过滤,如阻塞Java或Java Script等。代理服务器有两个部件:一个代理服务器和一个代理客户。代理服务器是一个运行代理服务程序的双宿主主机;而代理客户是普通客户程序(如一个Telnet或FTP客户)的特别版本,它与代理服务器交互而并不与真正地与外部服务器相连.普通客户按照一定的步骤提出服务请求,代理服务器依据一定的安全规则来评测代理客户的网络服务请求,然后决定是受理还是拒绝该请求。如果代理服务器受理该请求,代理服务器就代表客户与真正的服务器相连,并将服务器的相应响应传送给代理客户.更精细的代理服务可以对不同的主机执行不同的安全规则,而不对所有主机执行同
14、一个标准。目前,市场上已经有一些优秀的代理服务软件。SOCKS就是一个可以建立代理的工具,这个软件可以很方便地将现存的客户/服务器应用系统转换成代理方式下的具有相同结构的应用系统。而在TIS FWTK(Trusted Information System Internet Firewall Toolkit)里包括了能满足一般常用的互联网协议的代理服务器(如Telnet、FTP、HTTP、rlogin、X。11),这些代理服务器是为与客户端的用户程序相连而设计的。许多标准的客户与服务器程序,不管它们是商品软件还是免费软件,本身都具有代理功能,或者支持使用像SOCKS这样的系统。这种防火墙能完全控
15、制网络信息的交换,控制会话过程,具有灵活性和安全性,但可能影响网络的性能,对用户不透明,且对每一种服务器都要设计一个代理模块,建立对应的网关层,实现起来比较复杂.6。2。4 其他类型的防火墙1。 电路层网关电路层网关(Circuit Gateway)在网络的传输层上实施访问控制策略,是在内、外网络主机之间建立一个虚拟电路进行通信,相当于在防火墙上直接开了个口子进行传输,不像应用层防火墙那样能严密地控制应用层的信息。2。 混合型防火墙混合型防火墙(Hybrid Firewall)把包过滤和代理服务等功能结合起来,形成新的防火墙结构,所用主机称堡垒主机,负责代理服务。各种类型的防火墙,各有其优缺点
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机网络 安全技术 实训第章
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【a199****6536】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【a199****6536】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。