網絡安全員培訓-防火墻技術精要-推薦課件_第1頁
網絡安全員培訓-防火墻技術精要-推薦課件_第2頁
網絡安全員培訓-防火墻技術精要-推薦課件_第3頁
網絡安全員培訓-防火墻技術精要-推薦課件_第4頁
網絡安全員培訓-防火墻技術精要-推薦課件_第5頁
已閱讀5頁,還剩107頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

第六章防火墻技術

第六章防火墻技術什么是防火墻古代人們在房屋之間修建的一道防止火災發(fā)生時火勢蔓延的磚墻

防火墻作為安全防護體系中的一個重要組成部分,一般配置于網關的位置,主要防范圍網絡層的威脅(掃描攻擊、漏洞溢出攻擊、拒絕服務攻擊等)。什么是防火墻古代人們在房屋之間修建的一道防止火災發(fā)生時火勢蔓什么是防火墻防火墻的定義隔離內部網絡與外界網絡的一道安全防御系統(tǒng)網絡安全最主要和最基本的基礎設施不會妨礙人們對風險區(qū)域的訪問內部網絡Internet什么是防火墻防火墻的定義內部網絡Internet什么是防火墻什么是防火墻防火墻的基本概念數(shù)據(jù)包過濾:檢查IP數(shù)據(jù)包決定允許和拒絕。代理服務器:負責數(shù)據(jù)的轉發(fā)。狀態(tài)檢測:根據(jù)事先確定合法過程模式,判斷非法與合法。DMZ區(qū):隔離區(qū)或非軍事區(qū)。

隧道路由器:通過加密實現(xiàn)安全通過非安全網絡。虛擬專用網:使用隧道路由器連接的網絡。IP地址欺騙/DNS欺騙防火墻的基本概念數(shù)據(jù)包過濾:檢查IP數(shù)據(jù)包決定允許和拒絕。防火墻的主要作用1、過濾進出網絡的數(shù)據(jù)包2、管理進出網絡的訪問行為3、封堵某些禁止的訪問行為4、記錄通過防火墻的信息內容和活動5、對網絡攻擊進行檢測和告警防火墻的主要作用1、過濾進出網絡的數(shù)據(jù)包防火墻的局限性1、不能防范不經過防火墻的攻擊2、不能解決來自內部網絡的攻擊和安全問題3、不能防止策略配置不當或錯誤配置引起的安全威脅4、不能防止可接觸的人為或自然的破壞5、不能防止利用標準網絡協(xié)議設計缺陷的攻擊6、不能防止利用服務器漏洞進行的攻擊7、不能防止受病毒感染的文件的傳輸8、不能防止數(shù)據(jù)驅動式攻擊9、不能防止內部的泄密行為10、不能防止本身的安全漏洞和威脅防火墻的局限性1、不能防范不經過防火墻的攻擊主機A主機B人力資源網絡研發(fā)網絡使用ACL阻止某指定網絡訪問另一指定網絡

基于路由器的防火墻其實防火墻的完成主要是靠訪問控制列表(ACL)的控制策略。那么什么是訪問控制列表呢?主機A主機B人力資源網絡研發(fā)網絡使用ACL阻止某指定網絡訪問基于路由器的防火墻特點:

利用路由器本身對分組的解析,以訪問控制表方式實現(xiàn)對分組的過濾

過濾依據(jù):IP地址,端口號,ICMP報文類型等

只有分組過濾的功能,路由器與防火墻一體(安全要求較低環(huán)境)缺陷:

路由器本身具有安全漏洞

配置復雜

偽造IP欺騙防火墻

降低路由器的性能基于路由器的防火墻特點:用戶化的防火墻特點:

過濾功能獨立,并加上審計和告警的功能

根據(jù)用戶需求,提供模塊化設計軟件可通過網絡發(fā)送,用戶可以自己手動構造防火墻缺陷:配置和維護復雜用戶技術要求高全軟件實現(xiàn),安全性和處理速度有局限

實踐表明,使用中出現(xiàn)差錯的情況很多用戶化的防火墻特點:通用操作系統(tǒng)的防火墻特點:批量上市的防火墻專用產品包括分組過濾或者借用路由器的分組過濾功能有專用的代理系統(tǒng),監(jiān)控所有協(xié)議的數(shù)據(jù)和指令保護用戶編程空間和用戶可配置內核參數(shù)的設置安全性和速度大為提高缺陷:

因操作系統(tǒng)緣故,安全性和保密性無從保護通用操作系統(tǒng)的廠商不會對操作系統(tǒng)的安全負責即要防止外部攻擊,還要防止通用操作系統(tǒng)廠商的攻擊安全支持需要操作系統(tǒng)廠商和防火墻廠商同時提供通用操作系統(tǒng)的防火墻特點:安全操作系統(tǒng)的防火墻特點:

防火墻廠商具有操作系統(tǒng)源碼,可實現(xiàn)安全內核

可以從內核來定制操作系統(tǒng)并實現(xiàn)加固

對每個服務器和子系統(tǒng)都作了安全處理

有分組過濾,應用網關,電路級網關,加密和鑒別功能透明性好,易于使用安全操作系統(tǒng)的防火墻特點:包過濾型防火墻根據(jù)定義好的過濾規(guī)則審查每個數(shù)據(jù)包,以便確定其是否與某一條包過濾規(guī)則匹配過濾規(guī)則是根據(jù)數(shù)據(jù)包的報頭信息進行定義的“沒有明確允許的都被禁止”7應用層6表示層3網絡層防火墻檢查模塊4傳輸層5會話層2數(shù)據(jù)鏈路層1物理層IPTCPSessionApplicationData與過濾規(guī)則匹配嗎審計/報警還有另外的規(guī)則嗎轉發(fā)包嗎發(fā)送NACK丟棄包結束包過濾型防火墻根據(jù)定義好的過濾規(guī)則審查每個數(shù)據(jù)包,以便確定通過分析IP數(shù)據(jù)包包頭信息,進行判斷(這里IP所承載的上層協(xié)議為TCP)IP報頭TCP報頭數(shù)據(jù)源地址目的地址源端口目的端口訪問控制列表利用這4個或更多元素定義的規(guī)則訪問控制列表的工作原理通過分析IP數(shù)據(jù)包包頭信息,進行判斷(這里IP所承載的上層協(xié)匹配下一步拒絕允許允許允許到達訪問控制組接口的數(shù)據(jù)包匹配第一步目的接口隱含的拒絕丟棄YYYYYYNNN匹配下一步拒絕拒絕拒絕防火墻對訪問控制列表的處理過程匹配拒絕允許允許允許到達訪問控制組接口的數(shù)據(jù)包匹配目的接口隱進入數(shù)據(jù)包源地址匹配嗎?有更多條目嗎?應用條件拒絕允許是是否是否Icmp消息轉發(fā)數(shù)據(jù)包接口上有訪問控制列表嗎?列表中的下一個條目否訪問控制列表的入與出進入數(shù)據(jù)包源地址有更多應用條件拒絕允許是是否是否Icmp消息外出數(shù)據(jù)包查找路由表接口上有訪問控制列表嗎?源地址匹配嗎?拒絕允許列表中的下一個條目是是轉發(fā)數(shù)據(jù)包Icmp消息否否否

有更多條目嗎?應用條件是訪問控制列表的入與出外出數(shù)據(jù)包查找路由表接口上有訪問源地址匹配嗎?拒絕允許列表中標準訪問控制列表3-1標準訪問控制列表根據(jù)數(shù)據(jù)包的源IP地址來允許或拒絕數(shù)據(jù)包訪問控制列表號從1到99標準訪問控制列表3-1標準訪問控制列表標準訪問控制列表3-2標準訪問控制列表只使用源地址進行過濾,表明是允許還是拒絕從/24來的數(shù)據(jù)包可以通過!從/24來的數(shù)據(jù)包不能通過!路由器標準訪問控制列表3-2標準訪問控制列表只使用源地址進行過濾,如果在訪問控制列表中有的話應用條件拒絕允許更多條目?列表中的下一個條目否

有訪問控制列表嗎?源地址不匹配是匹配是否Icmp消息轉發(fā)數(shù)據(jù)包標準訪問控制列表3-3如果在訪問控制列表中有的話應用條件拒絕允許更多條目?列表中的標準訪問控制列表的配置第一步,使用access-list命令創(chuàng)建訪問控制列表第二步,使用ipaccess-group命令把訪問控制列表應用到某接口Router(config)#access-listaccess-list-number{permit|deny}source[

source-wildcard][log]Router(config-if)#ipaccess-groupaccess-list-number

{in|out}標準訪問控制列表的配置第一步,使用access-list命令標準ACL應用:允許特定源的流量2-1Non-E0E1S03標準ACL應用:允許特定源的流量2-11標準ACL應用:允許特定源的流量2-2第一步,創(chuàng)建允許來自的流量的ACL第二步,應用到接口E0和E1的出方向上Router(config)#access-list1permit55Router(config)#interfacefastethernet0/0Router(config-if)#ipaccess-group1outRouter(config)#interfacefastethernet0/1Router(config-if)#ipaccess-group1out標準ACL應用:允許特定源的流量2-2第一步,創(chuàng)建允許來自1標準ACL應用:拒絕特定主機的通信流量第一步,創(chuàng)建拒絕來自3的流量的ACL第二步,應用到接口E0的出方向Router(config)#access-list1denyhost3Router(config)#access-list1permit55Router(config)#interfacefastethernet0/0Router(config-if)#ipaccess-group1outany標準ACL應用:拒絕特定主機的通信流量第一步,創(chuàng)建拒絕來自1標準ACL應用:拒絕特定子網的流量第一步,創(chuàng)建拒絕來自子網的流量的ACL第二步,應用到接口E0的出方向Router(config)#access-list1deny55Router(config)#access—list1permitanyRouter(config)#interfacefastethernet0/0Router(config-if)#ipaccess-group1out55標準ACL應用:拒絕特定子網的流量第一步,創(chuàng)建拒絕來自子網1擴展訪問控制列表4-1擴展訪問控制列表基于源和目的地址、傳輸層協(xié)議和應用端口號進行過濾每個條件都必須匹配,才會施加允許或拒絕條件使用擴展ACL可以實現(xiàn)更加精確的流量控制訪問控制列表號從100到199擴展訪問控制列表4-1擴展訪問控制列表擴展訪問控制列表4-2擴展訪問控制列表使用更多的信息描述數(shù)據(jù)包,表明是允許還是拒絕從/24來的,到3的,使用TCP協(xié)議,利用HTTP訪問的數(shù)據(jù)包可以通過!路由器擴展訪問控制列表4-2擴展訪問控制列表使用更多的信息描述數(shù)據(jù)

有訪問控制列表嗎?源地址目的地址協(xié)議協(xié)議任選項應用條件拒絕允許更多條目?列表中的下一個條目不匹配否是匹配匹配匹配匹配是否Icmp消息轉發(fā)數(shù)據(jù)包如果在訪問控制列表中有的話擴展訪問控制列表4-3不匹配不匹配不匹配有訪問控制列表嗎?源地址目的地址協(xié)議協(xié)議任選項應用條件拒端口號關鍵字描述TCP/UDP20FTP-DATA(文件傳輸協(xié)議)FTP(數(shù)據(jù))TCP21FTP(文件傳輸協(xié)議)FTPTCP23TELNET終端連接TCP25SMTP簡單郵件傳輸協(xié)議TCP42NAMESERVER主機名字服務器UDP53DOMAIN域名服務器(DNS)TCP/UDP69TFTP普通文件傳輸協(xié)議(TFTP)UDP80WWW萬維網TCP擴展訪問控制列表4-4端口號關鍵字描述TCP/UDP20FTP-DATA(文件傳輸擴展訪問控制列表的配置3-1第一步,使用access-list命令創(chuàng)建擴展訪問控制列表Router(config)#access-listaccess-list-number{permit|deny}protocol

[sourcesource-wildcarddestinationdestination-wildcard][operatorport][established][log]擴展訪問控制列表的配置3-1第一步,使用access-lis擴展訪問控制列表操作符的含義操作符及語法意義eqportnumber等于端口號portnumbergtportnumber大于端口號portnumberltportnumber小于端口號portnumberneqportnumber不等于端口號portnumber擴展訪問控制列表的配置3-2擴展訪問控制列表操作符的含義操作符及語法意義eqport擴展訪問控制列表的配置3-3第二步,使用ipaccess-group命令將擴展訪問控制列表應用到某接口Router(config-if)#ipaccess-groupaccess-list-number{in|out}擴展訪問控制列表的配置3-3第二步,使用ipaccess-擴展ACL應用:拒絕ftp流量通過E0第一步,創(chuàng)建拒絕來自、去往、ftp流量的ACL第二步,應用到接口E0的出方向Router(config)#access-list101denytcp5555eq21Router(config)#access-list101permitipanyanyRouter(config)#interfacefastthernet0/0Router(config-if)#ipaccess-group101out擴展ACL應用:拒絕ftp流量通過E0第一步,創(chuàng)建拒絕來自1擴展ACL應用:拒絕telnet流量通過E0第一步,創(chuàng)建拒絕來自、去往、telnet流量的ACL第二步,應用到接口E0的出方向上Router(config)#access-list101denytcp5555eq23Router(config)#access-list101permitipanyanyRouter(config)#interfacefastethernet0/0Router(config-if)#ipaccess-group101out擴展ACL應用:拒絕telnet流量通過E0第一步,創(chuàng)建拒命名的訪問控制列表2-1標準ACL和擴展ACL中可以使用一個字母數(shù)字組合的字符串(名字)代替來表示ACL的表號命名IP訪問列表允許從指定的訪問列表刪除單個條目如果添加一個條目到列表中,那么該條目被添加到列表末尾不能以同一個名字命名多個ACL在命名的訪問控制列表下,permit和deny命令的語法格式與前述有所不同命名的訪問控制列表2-1標準ACL和擴展ACL中可以使用一個命名的訪問控制列表2-2第一步,創(chuàng)建名為cisco的命名訪問控制列表第二步,指定一個或多個permit及deny條件第三步,應用到接口E0的出方向Router(config)#interfacefastethernet0/0Router(config-if)#ipaccess-groupciscooutRouter(config)#ipaccess-listextendedciscoRouter(config-ext-nacl)#denytcp5555eq23Router(config-ext-nacl)#permitipanyany命名的訪問控制列表2-2第一步,創(chuàng)建名為cisco的命名訪問查看訪問控制列表2-1Router#showipinterfacefastethernet0/0FastEthernet0/0isup,lineprotocolisupInternetaddressis/24Broadcastaddressis55AddressdeterminedbysetupcommandMTUis1500bytesHelperaddressisnotsetDirectedbroadcastforwardingisdisabledOutgoingaccesslistisciscoInboundaccesslistisnotsetProxyARPisenabledLocalProxyARPisdisabledSecuritylevelisdefaultSplithorizonisenabledICMPredirectsarealwayssentICMPunreachablesarealwayssentICMPmaskrepliesareneversentIPfastswitchingisenabledIPfastswitchingonthesameinterfaceisdisabled……查看訪問控制列表2-1Router#showipinte查看訪問控制列表2-2Router#showaccess-listExtendedIPaccesslistcisco10denytcp5555eqtelnet20permitipanyany查看訪問控制列表2-2Router#showaccess-代理型防火墻代理技術也稱為應用層網關技術,針對每一個特定應用都有一個程序。代理技術是在應用層實現(xiàn)防火墻的功能。代理服務器位于客戶機與服務器之間,完全阻擋二者間的數(shù)據(jù)流??梢葬槍脤舆M行偵測和掃描,對付基于應用層的侵入和病毒十分有效

應用層

表示層

會話層

傳輸層

網絡層

鏈路層

物理層

應用層

表示層

會話層

傳輸層

網絡層

鏈路層

物理層

應用層

表示層

會話層

傳輸層

網絡層

鏈路層

物理層

應用層

表示層

會話層

傳輸層

網絡層

鏈路層

物理層

代理型防火墻代理技術也稱為應用層網關技術,針對每一個特定應狀態(tài)檢測型防火墻狀態(tài)檢測型防火墻檢測每一個有效連接的狀態(tài),并根據(jù)這些信息決定網絡數(shù)據(jù)包是否能夠通過防火墻應用層表示層

會話層

傳輸層

網絡層

鏈路層

物理層

應用層表示層會話層傳輸層

網絡層

鏈路層

物理層

應用層

表示層

會話層

傳輸層

網絡層

鏈路層

物理層

應用層

表示層

會話層

傳輸層

網絡層

鏈路層

物理層

連接狀態(tài)表狀態(tài)檢測型防火墻狀態(tài)檢測型防火墻檢測每一個有效連接的狀態(tài),并防火墻三種類型的比較包過濾型代理型狀態(tài)檢測型優(yōu)點速度快防火墻是透明的,用戶端不需要進行設置針對應用層數(shù)據(jù)進行過濾,增強了可控性日志功能加強了對不安全因素的追蹤與排查屏蔽了內網細節(jié)減少了傳統(tǒng)的包過濾防火墻的大量開放端口等一些安全問題降低了管理員配置訪問規(guī)則的難度缺點無法過濾審核數(shù)據(jù)包的內容無法詳細記錄細致的日志速度較慢新的網絡協(xié)議和應用都需要一套代理程序無法過濾審核數(shù)據(jù)包的內容無法詳細記錄細致的日志防火墻三種類型的比較包過濾型代理型狀態(tài)檢測型優(yōu)點速度快針對應網絡地址轉換概述2-1地址轉換的提出背景合法的IP地址資源日益短缺一個局域網內部有很多臺主機,但不是每臺主機都有合法的IP地址,為了使所有內部主機都可以連接因特網,需要使用地址轉換地址轉換技術可以有效地隱藏內部局域網中的主機,具有一定的網絡安全保護作用地址轉換可以在局域網內部提供給外部FTP、WWW、Telnet服務網絡地址轉換概述2-1地址轉換的提出背景網絡地址轉換概述2-2NAT的原理改變IP包頭,使目的地址、源地址或兩個地址在包頭中被不同地址替換NAT的3種實現(xiàn)方式靜態(tài)轉換動態(tài)轉換端口多路復用網絡地址轉換概述2-2NAT的原理NAT的術語2-2外部主機B外部主機CinternetNAT主機A1234SA=DA=1內部局部地址外部局部地址主機A發(fā)出的包SA=DA=經過路由器轉換的包2內部全局地址外部全局地址經過路由器轉換的包SA=DA=4外部局部地址內部局部地址SA=DA=外部主機B返回的包3外部全局地址內部全局地址NAT的術語2-interNAT的優(yōu)缺點NAT的優(yōu)點節(jié)省公有合法IP地址處理地址交叉增強靈活性安全性NAT的缺點延遲增大配置和維護的復雜性不支持某些應用NAT的優(yōu)缺點NAT的優(yōu)點什么是VPNVPN(VirtualPrivateNetwork)在公用網絡中,按照相同的策略和安全規(guī)則,建立的私有網絡連接Internet北京總部廣州分公司虛擬專用網絡什么是VPNVPN(VirtualPrivateNetwVPN的結構和分類總部分支機構遠程辦公室家庭辦公PSTN安裝了VPN客戶端軟件的移動用戶Internet遠程訪問的VPN(安裝了VPN客戶)內部網VPN(站點到站點的VPN)外聯(lián)網VPN(提供給合伙人使用)VPN的結構和分類總部分支機構遠程辦公室家庭辦公PSTN安裝遠程訪問的VPN總部家庭辦公PSTN安裝了VPN客戶端軟件的移動用戶Internet移動用戶或遠程小辦公室通過Internet訪問網絡中心連接單一的網絡設備客戶通常需要安裝VPN客戶端軟件遠程訪問的VPN總部家庭辦公PSTN安裝了VPN客戶Inte站點到站點的VPN公司總部和其分支機構、辦公室之間建立的VPN替代了傳統(tǒng)的專線或分組交換WAN連接它們形成了一個企業(yè)的內部互聯(lián)網絡總部分支機構遠程辦公室Internet站點到站點的VPN公司總部和其分支機構、辦公室之間建立的VPVPN的工作原理VPN=加密+隧道明文明文訪問控制報文加密報文認證IP封裝IP解封報文認證報文解密訪問控制IP隧道公共IP網絡VPN的工作原理VPN=加密+隧道明文明文訪問控制報文加密報VPN的關鍵技術安全隧道技術信息加密技術用戶認證技術訪問控制技術VPN的關鍵技術安全隧道技術防火墻應具備的基本功能支持“除非明確允許,否則就禁止”的設計策略,即使這種策略不是最初使用的策略本身支持安全策略策略改變,可增加新的服務有或可以安裝先進的認證手段可運行過濾技術允許和禁止服務可以使用服務代理界面友好,易于編程的IP過濾語言,并可進行IP過濾防火墻應具備的基本功能支持“除非明確允許,否則就禁止”的設計防火墻選購的標準成本自身的安全性穩(wěn)定性功能靈活多樣性安裝與管理的簡易性配置方便性抗攻擊可身份驗證可擴展,可升級防火墻選購的標準成本防火墻技術展望包過濾技術發(fā)展趨勢

用戶認證技術:AAA系統(tǒng)運用于防火墻

多級過濾技術:包、應用、狀態(tài)

病毒防護技術:病毒庫

入侵防御技術:網絡行為特征

web過濾技術:過濾http請求與響應

SMTP過濾技術

反拉圾郵件

NetFlow技術防火墻技術展望包過濾技術發(fā)展趨勢

用戶認證技術:AAA系統(tǒng)運防火墻技術展望體系結構

硬件架構

軟件架松系統(tǒng)管理

集中管理,分布式,分層式

審計、自動日志分析功能

網絡安全產品的系統(tǒng)化防火墻技術展望體系結構

硬件架構

軟件架松5.一個平凡而普通的人,時時都會感到被生活的波濤巨浪所淹沒。你會被淹沒嗎?除非你甘心就此而沉淪!!17.成功與失敗的分水嶺,可以用這五個字來表達----我沒有時間。13.與其說是別人讓你痛苦,不如說是自己的修養(yǎng)不夠。1.當我的巴特農神廟建立起來的時候,我從這遙遠的地方也能感受到他的輝煌。14.真正的堅強是當所有的人都希望你崩潰的時候,你還可以振作。13.有志者事竟成。4.靠山山會倒,靠水水會流,靠自己永遠不倒。7.沒有哪種教育能及得上逆境。3.相見時難別亦難,東風無力百花殘!8.一個能從別人的觀念來看事情,能了解別人心靈活動的人,永遠不必為自己的前途擔心。9.也許我的點評有點苛刻,但是說的都是真話。8.當你用煩惱心來面對事物時,你會覺得一切都是業(yè)障,世界也會變得丑陋可恨。8.溫暖是飄飄灑灑的春雨;溫暖是寫在臉上的笑影;溫暖是義無反顧的響應;溫暖是一絲不茍的配合。8.一個人除非自己有信心,否則帶給別人信心。2.很多時候,生活不會是一副完美的樣子,能完美的不是人生,想完美的是人心。但平凡的人有平凡的心,擁有平凡的渴望和平凡的心情,用平凡淡然拼湊永恒的日子。真實而簡單的活著,才是最真,最美,最快樂的事情。5、擁有夢想只是一種智力,實現(xiàn)夢想才是一種能力。6.窮則思變,差則思勤!沒有比人更高的山沒有比腳更長的路。4.信念的力量在于即使身處逆境,亦能幫助你鼓起前進的船帆;信念的魅力在于即使遇到險運,亦能召喚你鼓起生活的勇氣;信念的偉大在于即使遭遇不幸,亦能促使你保持崇高的心靈。5、擁有夢想只是一種智力,實現(xiàn)夢想才是一種能力。2.高峰只對攀登它而不是仰望它的人來說才有真正意義。17.我相信我沒偷過半小時的懶。3.你改變不了明天,但如果你過于憂慮明天,你將會毀了今天。5.一個平凡而普通的人,時時都會感到被生活的波濤巨浪所淹沒56第六章防火墻技術

第六章防火墻技術什么是防火墻古代人們在房屋之間修建的一道防止火災發(fā)生時火勢蔓延的磚墻

防火墻作為安全防護體系中的一個重要組成部分,一般配置于網關的位置,主要防范圍網絡層的威脅(掃描攻擊、漏洞溢出攻擊、拒絕服務攻擊等)。什么是防火墻古代人們在房屋之間修建的一道防止火災發(fā)生時火勢蔓什么是防火墻防火墻的定義隔離內部網絡與外界網絡的一道安全防御系統(tǒng)網絡安全最主要和最基本的基礎設施不會妨礙人們對風險區(qū)域的訪問內部網絡Internet什么是防火墻防火墻的定義內部網絡Internet什么是防火墻什么是防火墻防火墻的基本概念數(shù)據(jù)包過濾:檢查IP數(shù)據(jù)包決定允許和拒絕。代理服務器:負責數(shù)據(jù)的轉發(fā)。狀態(tài)檢測:根據(jù)事先確定合法過程模式,判斷非法與合法。DMZ區(qū):隔離區(qū)或非軍事區(qū)。

隧道路由器:通過加密實現(xiàn)安全通過非安全網絡。虛擬專用網:使用隧道路由器連接的網絡。IP地址欺騙/DNS欺騙防火墻的基本概念數(shù)據(jù)包過濾:檢查IP數(shù)據(jù)包決定允許和拒絕。防火墻的主要作用1、過濾進出網絡的數(shù)據(jù)包2、管理進出網絡的訪問行為3、封堵某些禁止的訪問行為4、記錄通過防火墻的信息內容和活動5、對網絡攻擊進行檢測和告警防火墻的主要作用1、過濾進出網絡的數(shù)據(jù)包防火墻的局限性1、不能防范不經過防火墻的攻擊2、不能解決來自內部網絡的攻擊和安全問題3、不能防止策略配置不當或錯誤配置引起的安全威脅4、不能防止可接觸的人為或自然的破壞5、不能防止利用標準網絡協(xié)議設計缺陷的攻擊6、不能防止利用服務器漏洞進行的攻擊7、不能防止受病毒感染的文件的傳輸8、不能防止數(shù)據(jù)驅動式攻擊9、不能防止內部的泄密行為10、不能防止本身的安全漏洞和威脅防火墻的局限性1、不能防范不經過防火墻的攻擊主機A主機B人力資源網絡研發(fā)網絡使用ACL阻止某指定網絡訪問另一指定網絡

基于路由器的防火墻其實防火墻的完成主要是靠訪問控制列表(ACL)的控制策略。那么什么是訪問控制列表呢?主機A主機B人力資源網絡研發(fā)網絡使用ACL阻止某指定網絡訪問基于路由器的防火墻特點:

利用路由器本身對分組的解析,以訪問控制表方式實現(xiàn)對分組的過濾

過濾依據(jù):IP地址,端口號,ICMP報文類型等

只有分組過濾的功能,路由器與防火墻一體(安全要求較低環(huán)境)缺陷:

路由器本身具有安全漏洞

配置復雜

偽造IP欺騙防火墻

降低路由器的性能基于路由器的防火墻特點:用戶化的防火墻特點:

過濾功能獨立,并加上審計和告警的功能

根據(jù)用戶需求,提供模塊化設計軟件可通過網絡發(fā)送,用戶可以自己手動構造防火墻缺陷:配置和維護復雜用戶技術要求高全軟件實現(xiàn),安全性和處理速度有局限

實踐表明,使用中出現(xiàn)差錯的情況很多用戶化的防火墻特點:通用操作系統(tǒng)的防火墻特點:批量上市的防火墻專用產品包括分組過濾或者借用路由器的分組過濾功能有專用的代理系統(tǒng),監(jiān)控所有協(xié)議的數(shù)據(jù)和指令保護用戶編程空間和用戶可配置內核參數(shù)的設置安全性和速度大為提高缺陷:

因操作系統(tǒng)緣故,安全性和保密性無從保護通用操作系統(tǒng)的廠商不會對操作系統(tǒng)的安全負責即要防止外部攻擊,還要防止通用操作系統(tǒng)廠商的攻擊安全支持需要操作系統(tǒng)廠商和防火墻廠商同時提供通用操作系統(tǒng)的防火墻特點:安全操作系統(tǒng)的防火墻特點:

防火墻廠商具有操作系統(tǒng)源碼,可實現(xiàn)安全內核

可以從內核來定制操作系統(tǒng)并實現(xiàn)加固

對每個服務器和子系統(tǒng)都作了安全處理

有分組過濾,應用網關,電路級網關,加密和鑒別功能透明性好,易于使用安全操作系統(tǒng)的防火墻特點:包過濾型防火墻根據(jù)定義好的過濾規(guī)則審查每個數(shù)據(jù)包,以便確定其是否與某一條包過濾規(guī)則匹配過濾規(guī)則是根據(jù)數(shù)據(jù)包的報頭信息進行定義的“沒有明確允許的都被禁止”7應用層6表示層3網絡層防火墻檢查模塊4傳輸層5會話層2數(shù)據(jù)鏈路層1物理層IPTCPSessionApplicationData與過濾規(guī)則匹配嗎審計/報警還有另外的規(guī)則嗎轉發(fā)包嗎發(fā)送NACK丟棄包結束包過濾型防火墻根據(jù)定義好的過濾規(guī)則審查每個數(shù)據(jù)包,以便確定通過分析IP數(shù)據(jù)包包頭信息,進行判斷(這里IP所承載的上層協(xié)議為TCP)IP報頭TCP報頭數(shù)據(jù)源地址目的地址源端口目的端口訪問控制列表利用這4個或更多元素定義的規(guī)則訪問控制列表的工作原理通過分析IP數(shù)據(jù)包包頭信息,進行判斷(這里IP所承載的上層協(xié)匹配下一步拒絕允許允許允許到達訪問控制組接口的數(shù)據(jù)包匹配第一步目的接口隱含的拒絕丟棄YYYYYYNNN匹配下一步拒絕拒絕拒絕防火墻對訪問控制列表的處理過程匹配拒絕允許允許允許到達訪問控制組接口的數(shù)據(jù)包匹配目的接口隱進入數(shù)據(jù)包源地址匹配嗎?有更多條目嗎?應用條件拒絕允許是是否是否Icmp消息轉發(fā)數(shù)據(jù)包接口上有訪問控制列表嗎?列表中的下一個條目否訪問控制列表的入與出進入數(shù)據(jù)包源地址有更多應用條件拒絕允許是是否是否Icmp消息外出數(shù)據(jù)包查找路由表接口上有訪問控制列表嗎?源地址匹配嗎?拒絕允許列表中的下一個條目是是轉發(fā)數(shù)據(jù)包Icmp消息否否否

有更多條目嗎?應用條件是訪問控制列表的入與出外出數(shù)據(jù)包查找路由表接口上有訪問源地址匹配嗎?拒絕允許列表中標準訪問控制列表3-1標準訪問控制列表根據(jù)數(shù)據(jù)包的源IP地址來允許或拒絕數(shù)據(jù)包訪問控制列表號從1到99標準訪問控制列表3-1標準訪問控制列表標準訪問控制列表3-2標準訪問控制列表只使用源地址進行過濾,表明是允許還是拒絕從/24來的數(shù)據(jù)包可以通過!從/24來的數(shù)據(jù)包不能通過!路由器標準訪問控制列表3-2標準訪問控制列表只使用源地址進行過濾,如果在訪問控制列表中有的話應用條件拒絕允許更多條目?列表中的下一個條目否

有訪問控制列表嗎?源地址不匹配是匹配是否Icmp消息轉發(fā)數(shù)據(jù)包標準訪問控制列表3-3如果在訪問控制列表中有的話應用條件拒絕允許更多條目?列表中的標準訪問控制列表的配置第一步,使用access-list命令創(chuàng)建訪問控制列表第二步,使用ipaccess-group命令把訪問控制列表應用到某接口Router(config)#access-listaccess-list-number{permit|deny}source[

source-wildcard][log]Router(config-if)#ipaccess-groupaccess-list-number

{in|out}標準訪問控制列表的配置第一步,使用access-list命令標準ACL應用:允許特定源的流量2-1Non-E0E1S03標準ACL應用:允許特定源的流量2-11標準ACL應用:允許特定源的流量2-2第一步,創(chuàng)建允許來自的流量的ACL第二步,應用到接口E0和E1的出方向上Router(config)#access-list1permit55Router(config)#interfacefastethernet0/0Router(config-if)#ipaccess-group1outRouter(config)#interfacefastethernet0/1Router(config-if)#ipaccess-group1out標準ACL應用:允許特定源的流量2-2第一步,創(chuàng)建允許來自1標準ACL應用:拒絕特定主機的通信流量第一步,創(chuàng)建拒絕來自3的流量的ACL第二步,應用到接口E0的出方向Router(config)#access-list1denyhost3Router(config)#access-list1permit55Router(config)#interfacefastethernet0/0Router(config-if)#ipaccess-group1outany標準ACL應用:拒絕特定主機的通信流量第一步,創(chuàng)建拒絕來自1標準ACL應用:拒絕特定子網的流量第一步,創(chuàng)建拒絕來自子網的流量的ACL第二步,應用到接口E0的出方向Router(config)#access-list1deny55Router(config)#access—list1permitanyRouter(config)#interfacefastethernet0/0Router(config-if)#ipaccess-group1out55標準ACL應用:拒絕特定子網的流量第一步,創(chuàng)建拒絕來自子網1擴展訪問控制列表4-1擴展訪問控制列表基于源和目的地址、傳輸層協(xié)議和應用端口號進行過濾每個條件都必須匹配,才會施加允許或拒絕條件使用擴展ACL可以實現(xiàn)更加精確的流量控制訪問控制列表號從100到199擴展訪問控制列表4-1擴展訪問控制列表擴展訪問控制列表4-2擴展訪問控制列表使用更多的信息描述數(shù)據(jù)包,表明是允許還是拒絕從/24來的,到3的,使用TCP協(xié)議,利用HTTP訪問的數(shù)據(jù)包可以通過!路由器擴展訪問控制列表4-2擴展訪問控制列表使用更多的信息描述數(shù)據(jù)

有訪問控制列表嗎?源地址目的地址協(xié)議協(xié)議任選項應用條件拒絕允許更多條目?列表中的下一個條目不匹配否是匹配匹配匹配匹配是否Icmp消息轉發(fā)數(shù)據(jù)包如果在訪問控制列表中有的話擴展訪問控制列表4-3不匹配不匹配不匹配有訪問控制列表嗎?源地址目的地址協(xié)議協(xié)議任選項應用條件拒端口號關鍵字描述TCP/UDP20FTP-DATA(文件傳輸協(xié)議)FTP(數(shù)據(jù))TCP21FTP(文件傳輸協(xié)議)FTPTCP23TELNET終端連接TCP25SMTP簡單郵件傳輸協(xié)議TCP42NAMESERVER主機名字服務器UDP53DOMAIN域名服務器(DNS)TCP/UDP69TFTP普通文件傳輸協(xié)議(TFTP)UDP80WWW萬維網TCP擴展訪問控制列表4-4端口號關鍵字描述TCP/UDP20FTP-DATA(文件傳輸擴展訪問控制列表的配置3-1第一步,使用access-list命令創(chuàng)建擴展訪問控制列表Router(config)#access-listaccess-list-number{permit|deny}protocol

[sourcesource-wildcarddestinationdestination-wildcard][operatorport][established][log]擴展訪問控制列表的配置3-1第一步,使用access-lis擴展訪問控制列表操作符的含義操作符及語法意義eqportnumber等于端口號portnumbergtportnumber大于端口號portnumberltportnumber小于端口號portnumberneqportnumber不等于端口號portnumber擴展訪問控制列表的配置3-2擴展訪問控制列表操作符的含義操作符及語法意義eqport擴展訪問控制列表的配置3-3第二步,使用ipaccess-group命令將擴展訪問控制列表應用到某接口Router(config-if)#ipaccess-groupaccess-list-number{in|out}擴展訪問控制列表的配置3-3第二步,使用ipaccess-擴展ACL應用:拒絕ftp流量通過E0第一步,創(chuàng)建拒絕來自、去往、ftp流量的ACL第二步,應用到接口E0的出方向Router(config)#access-list101denytcp5555eq21Router(config)#access-list101permitipanyanyRouter(config)#interfacefastthernet0/0Router(config-if)#ipaccess-group101out擴展ACL應用:拒絕ftp流量通過E0第一步,創(chuàng)建拒絕來自1擴展ACL應用:拒絕telnet流量通過E0第一步,創(chuàng)建拒絕來自、去往、telnet流量的ACL第二步,應用到接口E0的出方向上Router(config)#access-list101denytcp5555eq23Router(config)#access-list101permitipanyanyRouter(config)#interfacefastethernet0/0Router(config-if)#ipaccess-group101out擴展ACL應用:拒絕telnet流量通過E0第一步,創(chuàng)建拒命名的訪問控制列表2-1標準ACL和擴展ACL中可以使用一個字母數(shù)字組合的字符串(名字)代替來表示ACL的表號命名IP訪問列表允許從指定的訪問列表刪除單個條目如果添加一個條目到列表中,那么該條目被添加到列表末尾不能以同一個名字命名多個ACL在命名的訪問控制列表下,permit和deny命令的語法格式與前述有所不同命名的訪問控制列表2-1標準ACL和擴展ACL中可以使用一個命名的訪問控制列表2-2第一步,創(chuàng)建名為cisco的命名訪問控制列表第二步,指定一個或多個permit及deny條件第三步,應用到接口E0的出方向Router(config)#interfacefastethernet0/0Router(config-if)#ipaccess-groupciscooutRouter(config)#ipaccess-listextendedciscoRouter(config-ext-nacl)#denytcp5555eq23Router(config-ext-nacl)#permitipanyany命名的訪問控制列表2-2第一步,創(chuàng)建名為cisco的命名訪問查看訪問控制列表2-1Router#showipinterfacefastethernet0/0FastEthernet0/0isup,lineprotocolisupInternetaddressis/24Broadcastaddressis55AddressdeterminedbysetupcommandMTUis1500bytesHelperaddressisnotsetDirectedbroadcastforwardingisdisabledOutgoingaccesslistisciscoInboundaccesslistisnotsetProxyARPisenabledLocalProxyARPisdisabledSecuritylevelisdefaultSplithorizonisenabledICMPredirectsarealwayssentICMPunreachablesarealwayssentICMPmaskrepliesareneversentIPfastswitchingisenabledIPfastswitchingonthesameinterfaceisdisabled……查看訪問控制列表2-1Router#showipinte查看訪問控制列表2-2Router#showaccess-listExtendedIPaccesslistcisco10denytcp5555eqtelnet20permitipanyany查看訪問控制列表2-2Router#showaccess-代理型防火墻代理技術也稱為應用層網關技術,針對每一個特定應用都有一個程序。代理技術是在應用層實現(xiàn)防火墻的功能。代理服務器位于客戶機與服務器之間,完全阻擋二者間的數(shù)據(jù)流。可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒十分有效

應用層

表示層

會話層

傳輸層

網絡層

鏈路層

物理層

應用層

表示層

會話層

傳輸層

網絡層

鏈路層

物理層

應用層

表示層

會話層

傳輸層

網絡層

鏈路層

物理層

應用層

表示層

會話層

傳輸層

網絡層

鏈路層

物理層

代理型防火墻代理技術也稱為應用層網關技術,針對每一個特定應狀態(tài)檢測型防火墻狀態(tài)檢測型防火墻檢測每一個有效連接的狀態(tài),并根據(jù)這些信息決定網絡數(shù)據(jù)包是否能夠通過防火墻應用層表示層

會話層

傳輸層

網絡層

鏈路層

物理層

應用層表示層會話層傳輸層

網絡層

鏈路層

物理層

應用層

表示層

會話層

傳輸層

網絡層

鏈路層

物理層

應用層

表示層

會話層

傳輸層

網絡層

鏈路層

物理層

連接狀態(tài)表狀態(tài)檢測型防火墻狀態(tài)檢測型防火墻檢測每一個有效連接的狀態(tài),并防火墻三種類型的比較包過濾型代理型狀態(tài)檢測型優(yōu)點速度快防火墻是透明的,用戶端不需要進行設置針對應用層數(shù)據(jù)進行過濾,增強了可控性日志功能加強了對不安全因素的追蹤與排查屏蔽了內網細節(jié)減少了傳統(tǒng)的包過濾防火墻的大量開放端口等一些安全問題降低了管理員配置訪問規(guī)則的難度缺點無法過濾審核數(shù)據(jù)包的內容無法詳細記錄細致的日志速度較慢新的網絡協(xié)議和應用都需要一套代理程序無法過濾審核數(shù)據(jù)包的內容無法詳細記錄細致的日志防火墻三種類型的比較包過濾型代理型狀態(tài)檢測型優(yōu)點速度快針對應網絡地址轉換概述2-1地址轉換的提出背景合法的IP地址資源日益短缺一個局域網內部有很多臺主機,但不是每臺主機都有合法的IP地址,為了使所有內部主機都可以連接因特網,需要使用地址轉換地址轉換技術可以有效地隱藏內部局域網中的主機,具有一定的網絡安全保護作用地址轉換可以在局域網內部提供給外部FTP、WWW、Telnet服務網絡地址轉換概述2-1地址轉換的提出背景網絡地址轉換概述2-2NAT的原理改變IP包頭,使目的地址、源地址或兩個地址在包頭中被不同地址替換NAT的3種實現(xiàn)方式靜態(tài)轉換動態(tài)轉換端口多路復用網絡地址轉換概述2-2NAT的原理NAT的術語2-2外部主機B外部主機CinternetNAT主機A1234SA=DA=1內部局部地址外部局部地址主機A發(fā)出的包SA=DA=經過路由器轉換的包2內部全局地址外部全局地址經過路由器轉換的包SA=DA=4外部局部地址內部局部地址SA=DA=外部主機B返回的包3外部全局地址內部

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論