防火墙攻防技术.ppt
- 文档编号:2727507
- 上传时间:2022-11-09
- 格式:PPT
- 页数:116
- 大小:1.15MB
防火墙攻防技术.ppt
《防火墙攻防技术.ppt》由会员分享,可在线阅读,更多相关《防火墙攻防技术.ppt(116页珍藏版)》请在冰豆网上搜索。
信息安全信息安全防火墙技术防火墙技术授课内容授课内容防火墙基本知识防火墙基本知识防火墙技术防火墙技术防火墙种类防火墙种类防火墙体系结构防火墙体系结构防火墙技术回顾与展望防火墙技术回顾与展望如何选择防火墙产品如何选择防火墙产品典型配置案例典型配置案例授课内容授课内容防火墙基本知识防火墙基本知识防火墙技术防火墙技术防火墙种类防火墙种类防火墙体系结构防火墙体系结构防火墙技术回顾与展望防火墙技术回顾与展望如何选择防火墙产品如何选择防火墙产品典型配置案例典型配置案例防火墙基本知识防火墙基本知识防火墙的概念防火墙的概念防火墙的功能模型防火墙的功能模型防火墙的基本安全策略防火墙的基本安全策略防火墙的作用防火墙的作用防火墙的评价防火墙的评价防火墙基本知识防火墙基本知识防火墙的概念防火墙的概念防火墙的功能模型防火墙的功能模型防火墙的基本安全策略防火墙的基本安全策略防火墙的作用防火墙的作用防火墙的评价防火墙的评价防火墙基本知识防火墙基本知识防火墙的概念防火墙的概念防火墙的功能模型防火墙的功能模型防火墙的基本安全策略防火墙的基本安全策略防火墙的作用防火墙的作用防火墙的评价防火墙的评价防火墙的概念防火墙的概念防火墙主要用于保护安全网络免受不安全防火墙主要用于保护安全网络免受不安全网络的侵害。
网络的侵害。
典型情况:
安全网络为企业内部网络,不典型情况:
安全网络为企业内部网络,不安全网络为因特网。
安全网络为因特网。
但防火墙不只是用于企业内部网络与因特但防火墙不只是用于企业内部网络与因特网之间,也可用于网之间,也可用于Intranet各部门网络之间各部门网络之间(内部防火墙)。
例如:
财务部与市场部(内部防火墙)。
例如:
财务部与市场部之间。
之间。
防火墙示意图防火墙示意图Internet1.企业内联网企业内联网2.部门子网部门子网3.分公司网络分公司网络小小结结防火墙是位于两个信任程度不同的网络之防火墙是位于两个信任程度不同的网络之间(如企业内部网络和间(如企业内部网络和Internet之间)的之间)的软件和硬件设备的组合。
通过在防火墙中软件和硬件设备的组合。
通过在防火墙中设置适当的过滤规则(安全策略),就可设置适当的过滤规则(安全策略),就可以使某些服务可以通过防火墙,某些服务以使某些服务可以通过防火墙,某些服务不可以通过防火墙。
以防止对重要信息资不可以通过防火墙。
以防止对重要信息资源的非法存取和访问,达到保护系统安全源的非法存取和访问,达到保护系统安全的目的。
的目的。
防火墙基本知识防火墙基本知识防火墙的概念防火墙的概念防火墙的功能模型防火墙的功能模型防火墙的基本安全策略防火墙的基本安全策略防火墙的作用防火墙的作用防火墙的评价防火墙的评价防火墙的功能模型防火墙的功能模型防火墙基本知识防火墙基本知识防火墙的概念防火墙的概念防火墙的功能模型防火墙的功能模型防火墙的基本安全策略防火墙的基本安全策略防火墙的作用防火墙的作用防火墙的评价防火墙的评价防火墙基本安全策略(防火墙基本安全策略
(1)目前安全策略主要有两种:
目前安全策略主要有两种:
(1)没有被允许就是禁止;)没有被允许就是禁止;
(2)没有被禁止就是允许。
)没有被禁止就是允许。
目前一般采用策略(目前一般采用策略
(1)来设计防火墙)来设计防火墙防火墙基本知识防火墙基本知识防火墙的概念防火墙的概念防火墙的功能模型防火墙的功能模型防火墙的基本安全策略防火墙的基本安全策略防火墙的作用防火墙的作用防火墙的评价防火墙的评价防火墙的作用防火墙的作用防火墙可强迫所有进出信息都通过这个唯防火墙可强迫所有进出信息都通过这个唯一狭窄的检查点,便于集中实施安全策略。
一狭窄的检查点,便于集中实施安全策略。
防火墙可以实行强制的网络安全策略,如:
防火墙可以实行强制的网络安全策略,如:
禁止不安全的协议禁止不安全的协议防火墙可以对网络存取和访问进行监控审防火墙可以对网络存取和访问进行监控审计。
计。
互聯网互聯网互聯网互聯网非法获取内部数据非法获取内部数据非法获取内部数据非法获取内部数据防火墙的作用示意图防火墙的作用示意图防火墙基本知识防火墙基本知识防火墙的概念防火墙的概念防火墙的功能模型防火墙的功能模型防火墙的基本安全策略防火墙的基本安全策略防火墙的作用防火墙的作用防火墙的评价防火墙的评价防火墙的评价防火墙的评价-防火墙可以防范什么防火墙可以防范什么过滤不安全服务和非法用户。
过滤不安全服务和非法用户。
控制对特殊站点的访问。
控制对特殊站点的访问。
提供监视和跟踪的作用。
提供监视和跟踪的作用。
通过安全和审计,通过安全和审计,提供有关通过防火墙的提供有关通过防火墙的传输类型和数量以及有多少次试图闯入防传输类型和数量以及有多少次试图闯入防火墙的企图等等信息。
火墙的企图等等信息。
防火墙的评价防火墙的评价-防火墙不可以防范什么防火墙不可以防范什么防火墙不能防范绕过防火墙的攻击,例如防火墙不能防范绕过防火墙的攻击,例如:
内部提供拨号服务。
内部提供拨号服务。
防火墙不能防范来自内部人员恶意的攻击。
防火墙不能防范来自内部人员恶意的攻击。
防火墙不能阻止被病毒感染的程序或文件防火墙不能阻止被病毒感染的程序或文件的传递的传递。
防火墙不能防止数据驱动式攻击。
例如防火墙不能防止数据驱动式攻击。
例如:
特特洛伊木马。
洛伊木马。
防火墙不是解决所有网络安全问题的万能药方,防火墙不是解决所有网络安全问题的万能药方,只是网络安全政策和策略中的一个组成部分。
只是网络安全政策和策略中的一个组成部分。
防火墙的评价防火墙的评价-防火墙不可以防范什么防火墙不可以防范什么内部提供拨号服务绕过防火墙内部提供拨号服务绕过防火墙授课内容授课内容防火墙基本知识防火墙基本知识防火墙技术防火墙技术防火墙种类防火墙种类防火墙体系结构防火墙体系结构防火墙技术回顾与展望防火墙技术回顾与展望如何选择防火墙产品如何选择防火墙产品典型配置案例典型配置案例授课内容授课内容防火墙基本知识防火墙基本知识防火墙技术防火墙技术防火墙种类防火墙种类防火墙体系结构防火墙体系结构防火墙技术回顾与展望防火墙技术回顾与展望如何选择防火墙产品如何选择防火墙产品典型配置案例典型配置案例防火墙的种类防火墙的种类包过滤包过滤代理服务代理服务状态监视状态监视防火墙的种类防火墙的种类包过滤包过滤代理服务代理服务状态监视状态监视包过滤防火墙(包过滤防火墙
(1)数据包过滤是指在网络中的适当位置对数数据包过滤是指在网络中的适当位置对数据包实施据包实施有选择的有选择的通过。
选择的通过。
选择的依据依据就是就是系统内设置的系统内设置的过滤规则过滤规则或称或称访问控制表访问控制表。
过滤系统可以是一台路由器或是一台主机,过滤系统可以是一台路由器或是一台主机,其中用于过滤数据包的路由器称为其中用于过滤数据包的路由器称为屏蔽路屏蔽路由器由器。
包过滤防火墙(包过滤防火墙
(2)包过滤型防火墙示意图包过滤型防火墙示意图包过滤防火墙(包过滤防火墙(3)数据包过滤一般是检查网络层的数据包过滤一般是检查网络层的IP包头和传输层的包头:
包头和传输层的包头:
IP源地址、源地址、IP目标地址目标地址协议类型(协议类型(TCP包、包、UDP包和包和ICMP包)包)TCP或或UDP包的源端口、目的端口包的源端口、目的端口ICMP消息类型消息类型TCP包头的包头的ACK位位TCP包的序列号、包的序列号、IP校验和等校验和等数据包过滤系统对数据本身一般不做任数据包过滤系统对数据本身一般不做任何事,即它们不做基于内容的决定。
何事,即它们不做基于内容的决定。
检检查查项项IP包的源地址包的源地址IP包的目的地址包的目的地址TCP/UDP源端口源端口IP包包检测包头检测包头检查路由检查路由安全策略:
过滤规则安全策略:
过滤规则路由表路由表包过滤防火墙包过滤防火墙转发转发符合符合不符合不符合丢弃丢弃包过滤防火墙(包过滤防火墙(5)包过滤防火墙(包过滤防火墙(6)优点:
优点:
速度快,吞吐率高速度快,吞吐率高(过滤规则较少时)(过滤规则较少时)对应用程序透明(无帐号口令等对应用程序透明(无帐号口令等)缺点:
缺点:
安全性低安全性低不能过滤传输层以上的信息不能过滤传输层以上的信息不能监控链路状态信息不能监控链路状态信息防火墙的种类防火墙的种类包过滤包过滤代理服务代理服务状态监视状态监视ClientServer代理服务器代理服务器安全策略安全策略访问控制访问控制代理客户机代理客户机请求请求应答应答被转发的被转发的请求请求被转发的被转发的应答应答应用代理防火墙应用代理防火墙双向通信必须经过应用代理,禁止双向通信必须经过应用代理,禁止IPIP直接转发;直接转发;只允许本地安全策略允许的通信信息通过;只允许本地安全策略允许的通信信息通过;代理服务(代理服务
(1)代理服务器示意图代理服务器示意图代理服务(代理服务
(2)代理服务要求有两个部件:
代理服务器和代理服务要求有两个部件:
代理服务器和代理客户。
代理服务器运行在防火墙上,代理客户。
代理服务器运行在防火墙上,代理客户运行在客户机上。
代理客户运行在客户机上。
代理服务器评价来自代理客户的请求并决代理服务器评价来自代理客户的请求并决定请求是否被认可。
如果请求被认可,代定请求是否被认可。
如果请求被认可,代理服务器便代表客户接触真正的服务器并理服务器便代表客户接触真正的服务器并且且转发转发从代理客户到真正的服务器的请求从代理客户到真正的服务器的请求以及真正的服务器到代理客户的响应。
以及真正的服务器到代理客户的响应。
代理服务(代理服务(3)互连的物理介质互连的物理介质应用层应用层表示层表示层会话层会话层传输层传输层应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层网络层网络层数据链路层数据链路层物理层物理层网络层网络层数据链路层数据链路层物理层物理层应用层应用层表示层表示层会话层会话层传输层传输层TELNETHTTPFTP代理服务(代理服务(6)优点:
优点:
安全性高安全性高可以将被保护网络内部的结构屏蔽起来可以将被保护网络内部的结构屏蔽起来可以实施较强的数据流监控、记录。
可以实施较强的数据流监控、记录。
即使一个基于代理服务的防火墙遭到破即使一个基于代理服务的防火墙遭到破坏,外部用户仍不能连接到防火墙后面坏,外部用户仍不能连接到防火墙后面的网络的网络可提供可提供应用层应用层的安全(身份验证等)的安全(身份验证等)即使攻击者盗用了一个合法的即使攻击者盗用了一个合法的IPIP地址,地址,它也通不过严格的身份验证。
它也通不过严格的身份验证。
代理服务(代理服务(7)缺点:
缺点:
灵活灵活性性通用性较差通用性较差,只支持有限的应用。
,只支持有限的应用。
即需要为每一种网络应用专门设计开发代即需要为每一种网络应用专门设计开发代理服务软件及相应的监控、过滤功能。
理服务软件及相应的监控、过滤功能。
不透明(用户每次连接可能要受到不透明(用户每次连接可能要受到“盘问盘问”)代理服务的工作量较大,需要专门的硬件代理服务的工作量较大,需要专门的硬件(工作站)来承担(工作站)来承担防火墙的种类防火墙的种类包过滤包过滤代理服务代理服务状态监视状态监视检检查查项项IP包的源、目的地址、端口包的源、目的地址、端口TCP会话的连接状态会话的连接状态上下文信息上下文信息状态监视(状态监视
(1)可对各层的通信进行主动、实时的监控可对各层的通信进行主动、实时的监控重组会话,对应用进行细粒度检测重组会话,对应用进行细粒度检测特点:
特点:
应用层应用层表示层表示层会话层会话层传输层传输层应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理物理层层网络层网络层数据链路层数据链路层物理层物理层网络层网络层数据链路层数据链路层物理层物理层应用层应用层表示层表示层会话层会话层传输层传输层监测引擎状态监视器示意图状态监视器示意图IP包包检测包头检测包头下一步下一步处理处理安全策略:
过滤规则安全策略:
过滤规则会话连接状态缓存表会话连接状态缓存表状态检测包过滤防火墙状态检测包过滤防火墙符合符合不符合不符合丢弃丢弃状态检测包过滤检测流程状态检测包过滤检测
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 攻防 技术