82防火墙技术 8.21防火墙主要技术 822防火墙分类 823防火墙的选择标准和发展方向 ●四南大字画字
8.2 防火墙技术 8.2.1 防火墙主要技术 8.2.2 防火墙分类 8.2.3 防火墙的选择标准和发展方向
821防火墙主要技术 防火墙是一道介于开放的、不安全的公共网与信息、资源汇集的内 部网之间的屏障,由一个或一组系统组成。狭义的防火墙指安装了防火 墙软件的主机或路由器系统,广义的防火墙还包括整个网络的安全策略 和安全行为。防火墙技术包括 包过滤技术 网络地址翻译 应用级代理 第8章网络安全
第8章 网络安全 8.2.1 防火墙主要技术 防火墙是一道介于开放的、不安全的公共网与信息、资源汇集的内 部网之间的屏障,由一个或一组系统组成。狭义的防火墙指安装了防火 墙软件的主机或路由器系统,广义的防火墙还包括整个网络的安全策略 和安全行为。防火墙技术包括: ➢ 包过滤技术 ➢ 网络地址翻译 ➢ 应用级代理
823防火墙主要技术 1.包过滤技术 包过滤技术( Packet Filtering)是在网络层依据系统的过滤规则 对数据包进行选择和过滤,这种规则又称为访问控制表。这种防火墙 通常安装在路由器上,如图8.3所示。 包过规贝 均_当 外部网 内納啊 包过诊网关 图83包过滤技术 这种技术通过检查数据流中的每个数据包的源地址、目标地址、 源端口、目的端口及协议状态或它们的组合来确定是否允许该数据包 通过。 第8章网络安全
第8章 网络安全 8.2.3 防火墙主要技术 1. 包过滤技术 包过滤技术(Packet Filtering)是在网络层依据系统的过滤规则, 对数据包进行选择和过滤,这种规则又称为访问控制表。这种防火墙 通常安装在路由器上,如图8.3所示。 图8.3 包过滤技术 这种技术通过检查数据流中的每个数据包的源地址、目标地址、 源端口、目的端口及协议状态或它们的组合来确定是否允许该数据包 通过
823防火墙主要技术 包过滤技术包括两种基本类型:无状态检查的包过滤和有状态检 查的包过滤,其区别在于后者通过记住防火墙的所有通信状态,并根 据状态信息来过滤整个通信流,而不仅仅是包。 有许多方法可绕过包过滤器进入 Internet,包过滤技术存在以下缺 >TcP只能在第0个分段中被过滤。 特洛伊木马可以使用NAT来使包过滤器失效 许多包过滤器允许1024以上的端口通过。 “纯”包过滤器的防火墙不能完全保证内部网的安全,而必须与 代理服务器和网络地址翻译结合起来才能解决问题 第8章网络安全
第8章 网络安全 8.2.3 防火墙主要技术 包过滤技术包括两种基本类型:无状态检查的包过滤和有状态检 查的包过滤,其区别在于后者通过记住防火墙的所有通信状态,并根 据状态信息来过滤整个通信流,而不仅仅是包。 有许多方法可绕过包过滤器进入Internet ,包过滤技术存在以下缺 陷: ➢ TCP只能在第0个分段中被过滤。 ➢ 特洛伊木马可以使用NAT来使包过滤器失效。 ➢ 许多包过滤器允许1024以上的端口通过。 “纯”包过滤器的防火墙不能完全保证内部网的安全,而必须与 代理服务器和网络地址翻译结合起来才能解决问题
821防火墙主要技术 2.网络地址翻译 网络地址翻译(NAT, Network Address translation)最初的设 计目的是增加在专用网络中可使用的|P地址数,但现在则用于屏蔽内 部主机。 NAT通过将专用网络中的专用P地址转换成在 Internet上使用的 全球唯一的公共地址,实现对黑客有效地隐藏所有TCP/P级的有关 内部主机信息的功能,使外部主机无法探测到它们。 NAT实质上是一个基本代理:一个主机充当代理,代表内部所有 主机发出请求,从而将内部主机的身份从公用网上隐藏起来了。 第8章网络安全
第8章 网络安全 8.2.1 防火墙主要技术 2. 网络地址翻译 网络地址翻译(NAT,Network Address Translation)最初的设 计目的是增加在专用网络中可使用的IP地址数,但现在则用于屏蔽内 部主机。 NAT通过将专用网络中的专用IP地址转换成在Internet上使用的 全球唯一的公共IP地址,实现对黑客有效地隐藏所有TCP/IP级的有关 内部主机信息的功能,使外部主机无法探测到它们。 NAT实质上是一个基本代理:一个主机充当代理,代表内部所有 主机发出请求,从而将内部主机的身份从公用网上隐藏起来了
821防火墙主要技术 按普及程度和可用性顺序,NAT防火墙最基本的翻译模式包括 静态翻译。在这种模式中,一个指定的内部网络源有一个从 改变的固定翻译表 动态翻译。在这种模式中,为了隐藏内部主机的身份或扩展 内部网的地址空间,一个大的 I Internet客户群共享单一一个或 组小的 nternet P地址。 负载平衡翻译。在这种模式中,一个P地址和端口被翻译为 同等配置的多个服务器的一个集中处,这样一个公共地址可以 为许多服务器服务。 网络冗余翻译。在这种模式中,多个 nternet连接被附加在 一个NAT防火墙上,从而防火墙根据负载和可用性对这些连接 进行选择和使用。 第8章网络安全
第8章 网络安全 8.2.1 防火墙主要技术 按普及程度和可用性顺序,NAT防火墙最基本的翻译模式包括: ➢ 静态翻译。在这种模式中,一个指定的内部网络源有一个从 改变的固定翻译表。 ➢ 动态翻译。在这种模式中,为了隐藏内部主机的身份或扩展 内部网的地址空间,一个大的Internet客户群共享单一一个或一 组小的Internet IP地址。 ➢ 负载平衡翻译。在这种模式中,一个IP地址和端口被翻译为 同等配置的多个服务器的一个集中处,这样一个公共地址可以 为许多服务器服务。 ➢ 网络冗余翻译。在这种模式中,多个Internet连接被附加在 一个NAT防火墙上,从而防火墙根据负载和可用性对这些连接 进行选择和使用
821防火墙主要技术 3.应用级代理 代理现在主要用于防火墙。代理服务器通过侦听网络内部客户的 服务请求,检查并验证其合法性,若合法,它将作为一台客户机一样向 真正的服务器发出请求并取回所需信息,最后再转发给客户。代理的工 作流程如图8.4所示。 内部 外 接口 接口 客户 公共服务 请求页检查URL 请求页 时间 返回页 过滤内容 返回页 图84一个服务代理 第8章网络安全
第8章 网络安全 8.2.1 防火墙主要技术 3. 应用级代理 代理现在主要用于防火墙。代理服务器通过侦听网络内部客户的 服务请求,检查并验证其合法性,若合法,它将作为一台客户机一样向 真正的服务器发出请求并取回所需信息,最后再转发给客户。代理的工 作流程如图8.4所示。 图8.4 一个服务代理
823防火墙主要技术 应用代理技术的优缺点: 代理隐藏了私有客户,不让它们暴露给外界。但客户必 须使用代理才能工作,且不能被设置为网络透明工作。 代理能阻断危险的URL,但阻断URL也容易被消除。 代理能在危险的内容传送给客户之前过滤掉它们,但代 理无法保护操作系统。 代理能检查返回内容的一致性。但大多数一致性检查都 是在发现有被利用的弱点后才有效。 代理能消除在网络之间的传输层路由。但阻断路由功能 通常使用得不充分 代理提供了单点的访问、控制和日志记录功能。 》代理服务器有消除冗余访问,平衡内部多个服务器负载 的性能优化功能,但易形成服务瓶颈。 第8章网络安全
第8章 网络安全 8.2.3 防火墙主要技术 应用代理技术的优缺点: ➢ 代理隐藏了私有客户,不让它们暴露给外界。但客户必 须使用代理才能工作,且不能被设置为网络透明工作。 ➢ 代理能阻断危险的URL,但阻断URL也容易被消除。 ➢ 代理能在危险的内容传送给客户之前过滤掉它们,但代 理无法保护操作系统。 ➢ 代理能检查返回内容的一致性。但大多数一致性检查都 是在发现有被利用的弱点后才有效。 ➢ 代理能消除在网络之间的传输层路由。但阻断路由功能 通常使用得不充分 ➢ 代理提供了单点的访问、控制和日志记录功能。 ➢ 代理服务器有消除冗余访问,平衡内部多个服务器负载 的性能优化功能,但易形成服务瓶颈
822防火墙分类 1.按技术分类 根据防火墙采用的技术,防火墙分为包过滤型、代理型和监测型。 包过滤型 防火墙通过读取数据包中的地址信息来判断这些“包”是否来自 可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将 这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规 包过滤技术的优点是简单实用,实现成本。其缺点只能根据数据 包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的 恶意入侵。 第8章网络安全
第8章 网络安全 8.2.2 防火墙分类 1. 按技术分类 根据防火墙采用的技术,防火墙分为包过滤型、代理型和监测型。 ➢ 包过滤型 防火墙通过读取数据包中的地址信息来判断这些“包”是否来自 可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将 这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规 则。 包过滤技术的优点是简单实用,实现成本。其缺点只能根据数据 包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的 恶意入侵
822防火墙分类 代理型 代理型防火墙也称为代理服务器。从结构上看,代理服务器由代 理的服务器部分和代理的客户机部分组成。从客户机来看,代理服务 器相当于一台真正的服务器,而从服务器来看,代理服务器又是 真正的客户机。壁垒主机即一台软件上配置代理服务程序的计算机, 也可以作为代理服务器。 代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和 扫描,对付基于应用层的入侵和病毒都十分有效。其缺点是对系统的 整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的 所有应用类型逐一进行设置,大大增加了系统管理的复杂性 第8章网络安全
第8章 网络安全 8.2.2 防火墙分类 ➢ 代理型 代理型防火墙也称为代理服务器。从结构上看,代理服务器由代 理的服务器部分和代理的客户机部分组成。从客户机来看,代理服务 器相当于一台真正的服务器,而从服务器来看,代理服务器又是一台 真正的客户机。壁垒主机即一台软件上配置代理服务程序的计算机, 也可以作为代理服务器。 代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和 扫描,对付基于应用层的入侵和病毒都十分有效。其缺点是对系统的 整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的 所有应用类型逐一进行设置,大大增加了系统管理的复杂性