欢迎来到天天文库
浏览记录
ID:43222231
大小:833.50 KB
页数:40页
时间:2019-10-04
《网络安全9防火墙》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、第十二章防火墙12.1防火墙概述什么是防火墙古代修筑在房屋之间的一道墙,用于防止火势蔓延现在用于控制两个不同安全策略的网络之间互访,执行访问控制策略通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍人们对风险区域的访问。在Internet上超过三分之一的Web网站都是由某种形式的防火墙加以保护,这是对黑客防范最严,安全性较强的一种方式,任何关键性的服务器,都建议放在防火墙之后。防火墙概念防火墙是位于两个或多个网络之间,执行访问控制策略的一个或一组系统,是一类防范措施的总称.一
2、个好的防火墙具备:–内部和外部之间的所有网络数据流必须经过防火墙–只有符合安全政策的数据流才能通过防火墙–防火墙自身应对渗透(peneration)免疫12.1.2防火墙的功能服务控制,确定哪些服务可以被访问方向控制,对于特定的服务,可以确定允许哪个方向能够通过防火墙用户控制,根据用户来控制对服务的访问行为控制,控制一个特定的服务的行为对内部网实现集中的安全管理,强化网络安全策略防止非授权用户进入内部网络方便的监视网络安全并及时报警实现网络地址转换对内部网络进行划分,实现重点网段的隔离审计和记录网络访问防火墙的作用确保一个单位
3、内的网络与因特网的通信符合该单位的安全方针,为管理人员提供下列问题的答案:–谁在使用网络–他们在网络上做什么–他们什么时间使用了网络–他们上网去了何处–谁要上网没有成功防火墙的基本规则防火墙设计策略一种是“一切未被允许的就是禁止的”一种是“一切未被禁止的都是允许的”。第一种的特点是安全性好,但是用户所能使用的服务范围受到严格限制。第二种的特点是可以为用户提供更多的服务,但是在日益增多的网络服务面前,很难为用户提供可靠的安全防护。12.2防火墙技术数据包过滤技术包过滤防火墙以色列的Checkpoint防火墙和Cisco公司的PI
4、X防火墙为代表代理服务代理防火墙(应用层网关防火墙)。以美国NAI公司的Gauntlet防火墙为代表。12.2.1数据包过滤技术TCP协议:IP源地址IP目的地址IP协议字段TCP源端口TCP目的端口TCP标志字段UDP协议:IP源地址IP目的地址IP协议字段UDP源端口UDP目的端口包过滤防火墙第一代:静态包过滤据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、
5、ICMP消息类型等。包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”,即明确允许那些管理员希望通过的数据包,禁止其他的数据包。HTTP数据包的过滤第二代:动态包过滤这种类型的防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测(StatefulInspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更改跟踪每个连接包过滤防火墙的优缺点优点实现简单、费用低、对用户透明、效率高缺点处理数据包的能力有限无法识别应
6、用层协议规则的有效性很难进行测试针对包过滤防火墙的攻击IP地址欺骗,例如,假冒内部的IP地址–对策:在外部接口上禁止内部地址源路由攻击,即由源指定路由–对策:禁止这样的选项小碎片攻击,利用IP分片功能把TCP头部切分到不同的分片中–对策:丢弃分片太小的分片利用复杂协议和管理员的配置失误进入防火墙–例如,利用ftp协议对内部进行探查代理防火墙第一代:代理防火墙也叫应用层网关(ApplicationGateway)防火墙。代理防火墙通过编程来弄清用户应用层的流量,并能在用户层和应用协议层间提供访问控制;而且,还可用来保持一个所有应
7、用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。不允许直接连接,而是强制检查和过滤所有的网络数据包。用户并不直接与真正的服务器通信,而是与代理服务器通信。电路级网关防火墙通用代理服务器,不需要识别在同一个协议栈上运行的不同应用,则不需要设置代理模块自适应代理防火墙自适应代理技术(Adaptiveproxy)是最近在商业应用防火墙中实现的一种革命性的技术。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。组成这种类型防火墙的基本要
8、素有两个:自适应代理服务器(AdaptiveProxyServer)与动态包过滤器(DynamicPacketfilter)。代理防火墙的特点特点所有的连接都通过防火墙,防火墙作为网关在应用层上实现可以监视包的内容可以实现基于用户的鉴别所有的应用需要单独实现可以提供理想的日志
此文档下载收益归作者所有