第七章防火墙的构造与选择 7.1防火墙概迹 7.2防火墙的基本体系结构 7.3防火墙的选择与实施 7.4主要的防火墙产品
第七章 防火墙的构造与选择 7.1 防火墙概述 7.2 防火墙的基本体系结构 7.3 防火墙的选择与实施 7.4 主要的防火墙产品
7.1防火墙概述 >防火墙( Firewa11)的定义: 防火墙是用来限制被保护的网络与互联网络 之间,或者与其他网络之间相互进行信息存取、传递 操作的部件或部件集。 >防火墙应具备的条件 >内部和外部之间的所有网络数据流必须经过防火墙 只有符合安全策略的数据流才能通过防火墙
7.1 防火墙概述 ➢防火墙(Firewall)的定义: ——防火墙是用来限制被保护的网络与互联网络 之间,或者与其他网络之间相互进行信息存取、传递 操作的部件或部件集。 ➢防火墙应具备的条件: ➢内部和外部之间的所有网络数据流必须经过防火墙 ➢只有符合安全策略的数据流才能通过防火墙
防火墙隔离内部网和 Internet的有效安全机制 nternet Firewall Internal Network
防火墙——隔离内部网和Internet的有效安全机制
防火墙的控制能力 >服务控制:确定哪些服务可以被访问 >方向控制:对于特定的服务,可以确定允许哪个 方向能够通过防火墙 >用户控制:根据用户来控制对服务的访问 行为控制:控制一个特定的服务的行为
➢服务控制:确定哪些服务可以被访问 ➢方向控制:对于特定的服务,可以确定允许哪个 方向能够通过防火墙 ➢用户控制:根据用户来控制对服务的访问 ➢行为控制:控制一个特定的服务的行为 防火墙的控制能力
防火墙的作用 >定义了一个必经之点 挡住未经授权的访问流量 实施保护,以避免各种IP欺骗和路由攻击 防火墙提供了一个监视各种安全事件的位置,所以, 可以在防火墙上实现审计和报警 对于有些 Internet功能来说,防火墙也可以是一个 理想的平台,比如地址转换(NAT), Internet日志, 甚至计费功能
➢定义了一个必经之点 ➢挡住未经授权的访问流量 ➢实施保护,以避免各种IP欺骗和路由攻击 ➢防火墙提供了一个监视各种安全事件的位置,所以, 可以在防火墙上实现审计和报警 ➢对于有些Internet功能来说,防火墙也可以是一个 理想的平台,比如地址转换(NAT),Internet日志, 甚至计费功能 防火墙的作用
防火墙的策略 构筑防火墙之前,需要制定一套有效的安全策略 >网络服务访问策略 种高层次的具体到事件的策略,主要用于定义在网络中 允许或禁止的服务 防火墙设计策略 切未被允许的就是禁止的—安全性好,但是用户 所能使用的服务范围受到严格限制 切未被禁止的都是允许的—可以为用户提供更多 的服务,但是在日益增多的网络服务面前,很难为用户提 供可靠的安全防护
构筑防火墙之前,需要制定一套有效的安全策略 防火墙的策略 ➢网络服务访问策略 一种高层次的具体到事件的策略,主要用于定义在网络中 允许或禁止的服务。 ➢防火墙设计策略 ➢一切未被允许的就是禁止的——安全性好,但是用户 所能使用的服务范围受到严格限制。 ➢一切未被禁止的都是允许的——可以为用户提供更多 的服务,但是在日益增多的网络服务面前,很难为用户提 供可靠的安全防护
防火墙的基本类型 >包过滤型( Packet filter) >代理服务器型( Proxy Service) >复合型防火墙( Hybrid)
➢包过滤型(Packet Filter) ➢代理服务器型(Proxy Service) ➢复合型防火墙(Hybrid) 防火墙的基本类型
包过滤型 >基本思想 对于每个进来的包适用一组规则,然后决定转发或 丢弃该包 >如何过滤 过滤的规则以IP层和运输层的头中的字段为基础 过滤器往往建立一组规则,根据IP包是否匹配规 则中指定的条件来作出决定: >如果匹配到一条规则,则根据此规则决定转发或者丢弃 ≯如果所有规则都不匹配,则根据缺省策略
➢基本思想 对于每个进来的包适用一组规则,然后决定转发或 丢弃该包 包过滤型 ➢如何过滤 ➢过滤的规则以IP层和运输层的头中的字段为基础 ➢过滤器往往建立一组规则,根据IP包是否匹配规 则中指定的条件来作出决定: ➢如果匹配到一条规则,则根据此规则决定转发或者丢弃 ➢如果所有规则都不匹配,则根据缺省策略
包过滤路由器示意图 Security perimeter Private Internet Network Packet- filtering --------- router 网坡旦 链路层 外部网络 内部网
网络层 链路层 外部网络 内部网 络 包过滤路由器示意图
包过滤型 判断依据 >数据包协议类型:TP、UDP、ICM等 源IP、目的IP地址 源端口、目的端口:FTP、 TELNET、HTP等 ≯IP选项:源路由、记录路由等 TCP选项:SYN、ACK、FIN、RST等 >数据包流向:in或out >数据包流经网络接口:eth0、eth1
包过滤型 判断依据: ➢数据包协议类型:TCP、UDP、ICMP等 ➢源IP、目的IP地址 ➢源端口、目的端口:FTP、TELNET、HTTP等 ➢IP选项:源路由、记录路由等 ➢TCP选项:SYN、ACK、FIN、RST等 ➢数据包流向:in或out ➢数据包流经网络接口:eth0、eth1