信息安全技術(shù)與應(yīng)用（高學(xué)勤）課件 4.1 防火墻

第1節(jié)防火墻第4章目

錄01防火墻簡介02防火墻關(guān)鍵技術(shù)03防火墻部署方式及應(yīng)用01防火墻簡介防火墻的概念注：關(guān)于防火墻的內(nèi)容介紹，請參閱第四章/防火墻防護動畫.mp4什么是防火墻？一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)，依照訪問控制策略，允許或限制傳輸?shù)臄?shù)據(jù)通過。防火墻產(chǎn)品定義對經(jīng)過的數(shù)據(jù)流進行解析，并實現(xiàn)訪問控制及安全防護功能的網(wǎng)絡(luò)安全產(chǎn)品。

——GB/T20281-2020對外服務(wù)器DMZ防火墻的功能防火墻的主要功能訪問控制隔離記錄為內(nèi)部網(wǎng)絡(luò)提供雙向保護入的方向上

阻止外部網(wǎng)絡(luò)對本地網(wǎng)絡(luò)的非法訪問和入侵；出的方向上

控制本地網(wǎng)絡(luò)對外部不良網(wǎng)絡(luò)進行訪問或者是未經(jīng)允許的數(shù)據(jù)輸出。出入防火墻Internet不可信區(qū)外網(wǎng)，默認不安全可信區(qū)需要保護區(qū)域防火墻的分類系統(tǒng)自帶（WindowsDefender）360安全衛(wèi)士騰訊電腦管家火絨安全按防火墻的形態(tài)軟件防火墻防火墻的分類按防火墻的形態(tài)硬件防火墻深信服下一代防火墻AF奇安信網(wǎng)神新一代智慧防火墻啟明星辰天清漢馬T系列防火墻天融信NGFW?下一代防火墻360下一代防火墻安恒明御?安全網(wǎng)關(guān)防火墻的分類按技術(shù)實現(xiàn)包過濾防火墻作用在網(wǎng)絡(luò)層，根據(jù)分組包頭源目的地址、源目的端口、協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過。狀態(tài)檢測防火墻狀態(tài)監(jiān)測對每一個包的檢查不僅根據(jù)ACL表，更考慮了數(shù)據(jù)包是否符合會話所處的狀態(tài)，因此提供了對傳輸層的完整的控制能力。應(yīng)用代理防火墻Web應(yīng)用防火墻充當內(nèi)部計算機與外部主機連接的中間者。作用是隱藏內(nèi)部主機的地址和防止外部不正常的連接。Web應(yīng)用防火墻主要用于應(yīng)用層的Web攻擊防護、網(wǎng)頁保護、負載均衡等作用。防火墻的分類按體系結(jié)構(gòu)單宿主機防火墻保護單臺主機雙宿主機防火墻多宿主機防火墻有兩個網(wǎng)絡(luò)接口，一個連接內(nèi)部網(wǎng)絡(luò)，另一個連接外部網(wǎng)絡(luò)可以連接多個網(wǎng)絡(luò)，實現(xiàn)多個網(wǎng)絡(luò)之間的訪問控制按應(yīng)用部署位置分類其他分類方法邊界防火墻個人防火墻混合防火墻按性能分類百兆級防火墻、千兆級防火墻按使用方法分類網(wǎng)絡(luò)層防火墻物理層防火墻鏈路層防火墻02防火墻關(guān)鍵技術(shù)防火墻的關(guān)鍵技術(shù)IP包頭TCP/UDP頭數(shù)據(jù)判斷部分源目標端口操作協(xié)議HostAHostC123允許TCPHostBHostC456阻止UDP數(shù)據(jù)包數(shù)據(jù)包拆數(shù)據(jù)包查詢控制策略根據(jù)策略決定如何處理數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包HostBHostCHostA包過濾技術(shù)根據(jù)數(shù)據(jù)包首部信息決定處理方式。包過濾的判斷信息網(wǎng)絡(luò)層IP地址（源/目的地址）傳輸層端口（源/目的端口）協(xié)議協(xié)議類型狀態(tài)檢測技術(shù)基于連接的狀態(tài)檢測機制，將屬于同一連接的包作為一個整體數(shù)據(jù)流來看待。包過濾的判斷信息IP源/目的地址TCP/UDP源和目的端口包輸入接口TCP通訊的連接狀態(tài)ICMP包類型封裝協(xié)議包輸出接口UDP/ICMP通訊的通信狀態(tài)數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層表示層會話層傳輸層檢測引擎應(yīng)用層動態(tài)狀態(tài)表應(yīng)用層表示層會話層傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層應(yīng)用層表示層會話層傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層

在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層之間對數(shù)據(jù)包進行檢測創(chuàng)建狀態(tài)表用于維護連接上下文防火墻的關(guān)鍵技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation），簡稱NAT。將一個地址域轉(zhuǎn)換成另一個地址域。NAT對終端用戶透明。以下地址為保留（私有）地址10.0.0.0-10.255.255.255172.16.0.0-172.31.255.255192.168.0.0-192.168.255.255防火墻的關(guān)鍵技術(shù)自適應(yīng)代理技術(shù)自適應(yīng)代理技術(shù)(Adaptiveproxy)是應(yīng)用代理技術(shù)的一種，它可以結(jié)合代理類型防火墻的安全性和包過濾防火墻的高速度等優(yōu)點，在毫不損失安全性的基礎(chǔ)之上將代理型防火墻的性能提高10倍以上。特點根據(jù)用戶定義安全規(guī)則動態(tài)“適應(yīng)”傳輸中的分組流量。高安全要求：在應(yīng)用層進行檢查明確會話安全細則：鏈路層數(shù)據(jù)包轉(zhuǎn)發(fā)兼有高安全性和高效率。防火墻的關(guān)鍵技術(shù)03防火墻部署方式及應(yīng)用防火墻的部署方式所有接口都配置IP地址；各接口所在的安全區(qū)域是三層區(qū)域，接口連接的外部用戶屬于不同的子網(wǎng)；報文在三層區(qū)域的接口間進行轉(zhuǎn)發(fā)時，根據(jù)報文的IP地址來查找路由表。10.100.10.110.100.10.0/24PC服務(wù)器內(nèi)部網(wǎng)絡(luò)202.10.0.1PC服務(wù)器外部網(wǎng)絡(luò)202.10.0.0/24路由模式所有接口都不能配置IP地址；防火墻兩端的IP地址同屬一個子網(wǎng)；報文進行轉(zhuǎn)發(fā)時，需要根據(jù)報文的MAC地址來尋找出接口表。10.100.10.0/24PC服務(wù)器內(nèi)部網(wǎng)絡(luò)10.100.10.1Internet透明模式防火墻的部署方式介于路由模式和透明模式既可以配置接口工作在路由模式（接口具有IP地址），又可以配置接口工作在透明模式（接口無IP地址）。10.100.10.0/24PC服務(wù)器內(nèi)部網(wǎng)絡(luò)10.100.10.0/24PC服務(wù)器內(nèi)部網(wǎng)絡(luò)VRRPHUB混合模式注（1）防火墻兩端的IP地址同屬一個子網(wǎng)（2）VRRP：虛擬路由冗余協(xié)議，啟用VRRP的接口需要配置IP地址防火墻的部署方式防火墻內(nèi)部網(wǎng)絡(luò)192.168.1.0/24網(wǎng)關(guān)192.168.1.254Internet可信網(wǎng)絡(luò)外部網(wǎng)絡(luò)202.101.10.0/24網(wǎng)關(guān)：202.101.10.1Internet不可信的網(wǎng)絡(luò)單防火墻（無DMZ）部署方式區(qū)域劃分可信網(wǎng)絡(luò)、不可信網(wǎng)絡(luò)特點結(jié)構(gòu)簡單，易于實施192.168.1.254/24202.101.10.1/24防火墻的部署方式不可信的網(wǎng)絡(luò)Internet路由器可信網(wǎng)絡(luò)Intranet防火墻注：關(guān)于防火墻配置操作步驟，請參閱第四章/配置防火墻規(guī)則實現(xiàn)流量過濾.mp4單防火墻（DMZ）部署方式區(qū)域劃分特點可信網(wǎng)絡(luò)、不可信網(wǎng)絡(luò)、DMZ區(qū)提供對外服務(wù)安全區(qū)域防火墻的部署方式DMZ非軍事化區(qū)(DMZ)不可信的網(wǎng)絡(luò)Internet非軍事化區(qū)(DMZ)可信網(wǎng)絡(luò)防火墻防火墻雙防火墻部署方式優(yōu)點缺點能提供更為安全的系統(tǒng)結(jié)構(gòu)實施復(fù)雜性和費用較高防火墻的部署方式防火墻的應(yīng)用場景某高校網(wǎng)絡(luò)安全拓撲某企業(yè)網(wǎng)絡(luò)安全拓撲防火墻的應(yīng)用場景防火墻的關(guān)鍵技術(shù)包括：包過濾技術(shù)、狀態(tài)檢測技術(shù)、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。常見防火墻的部署方式有：路由模