欢迎来到天天文库
浏览记录
ID:50723603
大小:944.51 KB
页数:40页
时间:2020-03-16
《防火墙与入侵检测(二)防火墙的关键技术.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第二章防火墙的关键技术防火墙的关键技术TCP/IP简介包过滤技术状态检测技术代理技术TCP/IP简介IP协议TCP协议UDP协议ICMP协议IP协议网际协议(InternetProtocl)报文格式如下图所示,详细内容请参见相关文献:04816192431版本号首部长度服务类型总长度标识符标志分片偏移量寿命协议首部校验和源IP地址目的IP地址IP选项填充数据TCP协议传输控制协议(TransmissionControlProtocol)报文格式如下图所示,详细内容请参见相关文献:01234567891011121
2、3141516171819202122232425262728293031源端口目的端口序号确认号数据偏移保留USGACKPSHRSTSYNFIN窗口校验和紧急指针选项填充数据部分UDP协议用户数据报协议(UserDatagramProtocol)报文首部格式如下图所示,详细内容请参见相关文献:字节数2222源端口目的端口长度校验和ICMP协议互联网控制报文协议(InternetControlMessageProtocol)报文格式如下图所示,详细内容请参见相关文献:包过滤技术基本概念过滤对象包过滤技术的优点包过
3、滤技术存在的问题基本概念包过滤技术是最早、最基本的访问控制技术,又称报文过滤技术。其作用是执行边界访问控制功能,即对网络通信数据进行过滤(filtering,亦称筛选)。包过滤技术的工作对象是数据包。对TCP/IP协议族来说,包过滤技术主要对其数据包包头的各个字段进行操作。安全过滤规则是包过滤技术的核心,是组织或机构的整体安全策略中网络安全策略部分的直接体现。包过滤技术必须在操作系统协议栈处理数据包之前拦截数据包,即防火墙模块应该被设置在操作系统协议栈网络层之下,数据链路层之上的位置上。包过滤防火墙将包头各个字段
4、的内容与安全过滤规则进行逐条地比较判断,直至找到一条相符的规则为止。如果没有相符的规则,则执行默认的规则。具体实现包过滤技术的设备通常分为过滤路由器和访问控制服务器两类。包过滤的实现过程如右图所示:应用层表示层会话层传输层网络层防火墙模块数据链路层物理层读取数据包首部信息读取一条过滤规则是否与规则匹配?有否下一条规则?是否转发包?审计记录或告警是否是否否是丢弃包,发送NAK转发数据包结束过滤对象针对IP协议的过滤针对ICMP协议的过滤针对TCP协议的过滤针对UDP协议的过滤针对IP协议的过滤针对IP协议的过滤操作
5、将查看每个IP数据包的包头,将包头数据与规则集相比较,转发规则集允许的数据包,拒绝规则集不允许的数据包。针对IP协议的过滤操作可以设定对源IP地址进行过滤。对于包过滤技术来说,有效的办法是只允许受信任的主机访问网络资源而拒绝一切不可信的主机的访问。针对IP协议的过滤操作也可以设定对目的IP地址进行过滤。这种安全过滤规则的设定多用于保护目的主机或网络。针对IP协议的过滤操作还要注意IP数据包的分片问题。攻击者可以利用分片技术构造特殊的数据包对网络展开攻击。对此应该设定包过滤器要阻止任何分片数据包或者要在防火墙处重组
6、分片数据包的安全策略。后一种策略存在着防火墙资源被大量不完全的数据包片段耗尽的危险,需要精心设置。针对ICMP协议的过滤ICMP协议在完成网络控制与管理操作的同时也会泄漏网络中的一些重要信息,甚至被攻击者利用做攻击用户网络的武器:要设定过滤安全策略,阻止类型8回送请求ICMP协议报文进出用户网络。防止内网拓扑结构信息泄露。很多攻击者会将大量类型8的ICMP协议报文发往用户网络,使得目标主机疲于接收处理这些垃圾数据而不能提供正常的服务,最终造成目标主机的崩溃。攻击者可利用类型5路由重定向ICMP协议报文,采用中间人
7、(maninthemiddle)攻击的办法,伪装成预期的接收者截获或篡改正常的数据包,也可以将数据包导向受其控制的未知网络。攻击者可利用类型3目的不可达ICMP协议报文探知用户网络的敏感信息。针对TCP协议的过滤针对TCP协议的过滤可设定对源或目的端口的过滤,又称端口过滤、协议过滤。只要针对服务使用的知名端口号进行规则的设置,就可以实现对特定服务的控制。另一种针对TCP协议的过滤是对标志位过滤。最常用的就是针对SYN和ACK的过滤。在TCP协议的连接建立过程中,报文头部的一些标志位的变化是需要注意的:当连接发起者
8、发出连接请求时,请求报文SYN位为1而包括ACK位在内的其它标志位为0。该报文携带发起者自行选择的一个通信初始序号。若接收者接受该请求,则返回连接应答报文。该报文的SYN位和ACK位为1。该报文不但携带对发起者通信初始序号的确认(加1),而且携带接收者自行选择的另一个通信初始序号。若接收者拒绝该请求,则返回报文RST位要置1。连接发起者还需要对接收者自行选择的通信初始序号
此文档下载收益归作者所有