防火墻的關(guān)鍵技術(shù)

1、第二講：防火墻關(guān)鍵技術(shù)計算機(jī)科學(xué)與技術(shù)學(xué)院主講人：呂宏武網(wǎng)絡(luò)安全防護(hù)技術(shù)講義1MAIN POINTS包過濾技術(shù)狀態(tài)包過濾技術(shù)NAT網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)代理技術(shù)2.MAIN POINTS 學(xué)習(xí)的目標(biāo)理解包過濾技術(shù)掌握NAT轉(zhuǎn)換的基本原理了解防火墻代理技術(shù)3.1、包過濾技術(shù) 包過濾原理分組交換網(wǎng)絡(luò)，包含信息頭部和數(shù)據(jù)信息兩部分工作在網(wǎng)絡(luò)層和傳輸層根據(jù)首部信息決定處理方式理論上可以對報頭的任意數(shù)據(jù)域進(jìn)行過濾4.1、包過濾技術(shù) IPv4的頭部5.1、包過濾技術(shù) TCP的頭部6.1、包過濾技術(shù) 包過濾的規(guī)則表數(shù)據(jù)包過濾訪問控制列表ACL只有滿足規(guī)則的數(shù)據(jù)包才被轉(zhuǎn)發(fā)7.1、包過濾技術(shù) 包過濾的規(guī)則表還可以包含

2、TCP包的序列號、IP校驗和、網(wǎng)卡名稱等8.1、包過濾技術(shù) 通常被阻止的數(shù)據(jù)包部分內(nèi)網(wǎng)數(shù)據(jù)包9.1、包過濾技術(shù) 包過濾的優(yōu)缺點優(yōu)點是簡單缺點是：過濾依據(jù)的信息有限缺少審計和報警機(jī)制不能對用戶身份驗證規(guī)則數(shù)目受限，規(guī)則表太大時，性能受影響對安全管理人員的要求很高由于缺少上下文關(guān)聯(lián)信息，難以處理動態(tài)端口連接10.1、包過濾技術(shù) 包過濾的優(yōu)缺點EX1僅開通內(nèi)部主機(jī)對外部Web服務(wù)的訪問？11.1、包過濾技術(shù) 包過濾的優(yōu)缺點EX2包過濾防火墻對于TCP ACK隱蔽掃描的處理分析？12.1、包過濾技術(shù) 包過濾的優(yōu)缺點EX2包過濾防火墻對于TCP ACK隱蔽掃描的處理分析？13.2、狀態(tài)包過濾技術(shù) 狀態(tài)包

3、過濾技術(shù)基于連接的狀態(tài)檢測機(jī)制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流來看待過濾規(guī)則表+狀態(tài)表14.2、狀態(tài)包過濾技術(shù)狀態(tài)包過濾技術(shù)基于連接的狀態(tài)檢測機(jī)制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流來看待過濾規(guī)則表+狀態(tài)表15.2、狀態(tài)包過濾技術(shù)狀態(tài)包過濾技術(shù)重新分析EX1OUT | 主機(jī)A地址：* | 服務(wù)器地址：80 | TCP協(xié)議 | 接收并加入狀態(tài)表16.2、狀態(tài)包過濾技術(shù)狀態(tài)包過濾技術(shù)重新分析EX217.2、狀態(tài)包過濾技術(shù)狀態(tài)包過濾技術(shù)也可以保護(hù)更復(fù)雜的情況，如UDPFTP需要兩個連接，控制端口一般為21，而數(shù)據(jù)端口一般為2018.2、狀態(tài)包過濾技術(shù)狀態(tài)包過濾技術(shù)的優(yōu)缺點訪問控制

4、列表管理與維護(hù)困難：規(guī)模、順序難以詳細(xì)了解主機(jī)之間的會話關(guān)系底層難以實現(xiàn)對應(yīng)用層服務(wù)的過濾查詢狀態(tài)表19.2、NAT技術(shù)NAT最初只是為了將私有IP映射到公網(wǎng)IP地址短缺內(nèi)部地址隱藏負(fù)載均衡網(wǎng)絡(luò)地址交疊20.2、NAT技術(shù) 靜態(tài)NAT私有IP：公網(wǎng)IP 1 to 1521.2、NAT技術(shù) 動態(tài)NAT私有IP：公網(wǎng)IP m to n22.2、NAT技術(shù) 動態(tài)NATPAT IP地址+端口號：網(wǎng)絡(luò)套接字映射節(jié)省IP地址隱藏內(nèi)部拓?fù)浣Y(jié)構(gòu)23.2、NAT技術(shù)NAT實現(xiàn)負(fù)載均衡與NAT映射表中相匹配的目的地址會被內(nèi)網(wǎng)集中的一個地址所替代以連接為單位輪詢進(jìn)行由外部發(fā)起到內(nèi)部新連接時才執(zhí)行24.2、NAT技術(shù)

5、NAT實現(xiàn)負(fù)載均衡25.2、NAT技術(shù)NAT處理網(wǎng)絡(luò)地址交疊兩個公司合并方案移植26.2、NAT技術(shù)NAT技術(shù)缺點某些應(yīng)用層協(xié)議無法使用NAT：與端口關(guān)聯(lián)安全問題：靜態(tài)/數(shù)據(jù)包中的相關(guān)地址不能替換對內(nèi)部主機(jī)的引誘和木馬攻擊無抵御能力狀態(tài)表超時問題27.3、代理技術(shù)Proxy基于應(yīng)用層信息處理問題，不再基于數(shù)據(jù)包28.3、代理技術(shù)應(yīng)用層代理針對每一種應(yīng)用編制專門的代理程序HTTP、SMTP、POP3、Telnet29.3、代理技術(shù)應(yīng)用層代理代理服務(wù)程序接受內(nèi)網(wǎng)用戶請求訪問規(guī)則檢查表進(jìn)行核查（允許的請求類型）IF允許，代理服務(wù)程序?qū)⒄埱筠D(zhuǎn)發(fā)給外部真正的服務(wù)程序。當(dāng)會話建立后，代理僅承擔(dān)中轉(zhuǎn)站的任務(wù)

6、。內(nèi)網(wǎng)用戶和外部服務(wù)器之間傳超數(shù)據(jù)，擔(dān)當(dāng)C/S雙重角色；代理服務(wù)包括兩個部分：代理服務(wù)器端程序和代理客戶端程序30.3、代理技術(shù)應(yīng)用層代理無ACK攻擊掃描問題，不是有意義的應(yīng)用請求結(jié)合協(xié)議進(jìn)行檢測如HTTP，檢查是否是正確格式，而不僅僅是80端口如FTP，可以get 不可put31.3、代理技術(shù)應(yīng)用層代理優(yōu)點經(jīng)常訪問的信息可以緩存支持用戶認(rèn)證配置規(guī)則簡單完全控制會話，可提供詳細(xì)日志和安全審計可隱藏內(nèi)部IP代理訪問解決內(nèi)部IP不足32.3、代理技術(shù)應(yīng)用層代理缺點吞吐量瓶頸有限的連接性，提供獨特的Proxy不能支持RPC、TALK等協(xié)議族33.3、代理技術(shù)傳輸層代理SOCKS不再是一種應(yīng)用一種代理SOCKS服務(wù)端、 SOCKS客戶端服務(wù)端實現(xiàn)在應(yīng)用層客戶端實現(xiàn)在應(yīng)用層和傳輸層之間無需