lesson5 防火牆
u 防火牆可在鏈路層、網路層、應用層上實現隔離。可以基於物理的,基於邏輯的(防火牆可以用於內部網路不通的安全域之間)。
防火牆是被動防禦裝置。預先設定策略。
u 防火牆的功能:網路安全的屏障;過濾不安全的服務(內部提供的不安全符合和內部訪問外部的不安全服務);隔斷特定的網路攻擊(聯動技術,防火牆與其他網路安全裝置(如ids)一起生效,使有些主動性);部署
nat機制;監視網路安全和預警。
nat作用:隱藏內部拓撲結構;節省
ip位址;減少路由表項。防火牆是部署
nat的較好地點。
u 防火牆的分類 1
、個人防火牆
:安裝在作業系統上,主要作用於本機與其他主機間。不是網路與網路之間。也屬於軟體防火牆。 2
、軟體防火牆:比個人防火牆有更強的功能。網路防火牆。如
check point
公司的firewall-1. 3
、一般硬體防火牆:採用
pc架構(修改核心,嵌入式主機),
功能較全,
效能一般。
測試防火牆
,評測網基本引數
4、純硬體防火牆:有專用的晶元,如
asci
晶元,np
技術(國內),處理防火牆的核心策略。高效能,有很高的併發連線數和吞吐量。 5
、分布式防火牆:新體系結構。
u 防火牆的侷限性:降低了網路服務的開放性和靈活性;削弱網路功能(在防火牆上附件各種資訊服務(軟體)的**增大了網路管理開銷,減慢了資訊傳輸速率);對繞過防火牆的攻擊,不能產生遮蔽;
防火牆防外不防內
,不能解決來自內部網路的攻擊;
u 防火牆體系結構(決定防火牆功能、效能和使用範圍)提供不同級別的安全,費用各不相同。 1
、分組過濾路由:可由路由器實現或主機實現;允許內部主機和
internet
直接通訊。在分組過濾路由器上安裝基於ip層的報文過濾軟體。
危險性分布:路由器、被保護網路的所有主機、允許訪問的各種服務型別
優:簡單易安裝;缺:在單機上實現,是網路的瓶頸,沒有使用者認證,無日誌(無法區別使用相同
ip位址的不同使用者) 2
、雙宿主機
不使用分組過濾規則,內
-外,需要**(雙宿主機)的認證,具有雙網絡卡,放於被保護網路和
internet
之間,完全阻斷內-外ip
通訊,內
-外通訊通關過應用層資料共享或應用層
**服務
完成。**服務更便於使用者使用和管理。
堡壘主機上有防火牆軟體有利於整體效能安全性的提高。
優:可身份認證、維護系統日誌,安全審計;缺:仍然是網路的瓶頸,不適用於高靈活性要求的場合。 3
、遮蔽主機
靈活易實現更安全。
分組過濾路由器
+堡壘主機
構成。分組過濾路由器安裝在外部網路,執行著閘道器軟體的堡壘主機安裝在內部網路。通過設計過濾規則,使所有來自外部internet
的通訊只能到達內部的堡壘主機,不能與內網的其他主機直接通訊。內部其他主機到外
internet
的通訊要先到達堡壘主機,由堡壘主機**後發出。
實現了網路層安全(包過濾)和應用層安全(堡壘主機上**軟體實現**服務)。
關鍵:過濾路由器的配置,應嚴格保護過濾路由器的路由表(否則堡壘主要可能被繞過)。
icmp
重定向可以改變路由路徑使路徑最優,可能被黑客利用重定向發往他所掌控的主機。 4
、遮蔽子網
外部路由器
+堡壘主機
+內部路由器,內
-外之間建立被隔離的子網,
dmz,堡壘主機、各種伺服器,成為專門提供服務的場所。一般實現:兩個分組過濾路由器放在子網兩端,內-
外網均可訪問被遮蔽的子網
dmz,但禁止內
-外穿過遮蔽子網進行通訊。
lesson6 防火牆實現技術
u 資料報過濾
在網路層過濾資料報,與應用層無關(不能控制傳輸資料的內容)。
依據系統內部設定的
acl列表對資料流中每個資料報的包頭中的資料(
檢查ip
源,ip
目的,協議型別,
tcp/udp
源埠/
目的埠,
icmp
訊息型別,
tcp報頭的
ack位
)或組合進行檢查。 ,
不能區分應用傳輸中的主動方和被動方;可能被竊聽或假冒;規則列表acl
建立困難。難於測試規則的正確性,有時要使用專門儀器測試。正確排列acl
中過濾規則很重要。
通常在acl
表最後一條是「禁止所有」
,實現除非明文允許進入的才進入。
u **服務
工作在應用層。先整合成應用層資料。如關鍵字過濾,url
過濾。運用於堡壘主機上的應用,堡壘主機上也設有過濾規則。如
www**,
**。
優:完全阻斷內
-外直接連線,隱藏內部拓撲結構;工作在
client
與server
之間,可完全控制相互之間的會話,可進行使用者認證,審計,詳細日誌。
缺:不同的服務必須有單獨的應用層**,需要一
一設計,增大了管理複雜性。某些**需要支援**的客戶端和服務端軟體,增加了使用者負擔。工作在高層的第七層,處理效率比較低。
該技術主要用於整個區域網與internet連線(乙個組織。學校);進行與應用層相關的郵件過濾,url過濾等。
u 狀態檢測
工作在資料鏈路層和網路層之間,可以檢查
osi 所有7
層的資訊。
(狀態)檢測引擎:根據規則表,是否符合會話所處狀態。可抽取
osi模型有用的
7層資訊,並可動態儲存這些資訊為以後安全策略的制定做參考。
動態狀態表:相對於靜態狀態表,對外出資料報身份做標記,允許相同的連線進入。
狀態檢測的流程圖(略)
狀態檢測優:高安全性,高效性(對連線的後續資料奧直接進行狀態檢查,而不是先進行很長的
acl規則檢查),應用範圍廣(支援無連線的
udp,
rpc等)
缺:對ddos
攻擊,病毒傳播無能為力。
u 網路位址轉換
nat本身並不是一種有安全保證的方案,在包的最外層改變ip位址。故通常把nat整合在防火牆中。
nat是基於網路層的應用。nat分類。
1:1,不需要維護位址轉換狀態表。
以解決動態網路轉換時,外部合法
ip不夠分配的情況。
還是首先進行nat轉換,當不夠時,在使用原來的ip +埠資訊轉換。
pat大約可以支援64500個連線。65536-1024=64512
目標nat:修改資料報中ip頭部中目的ip(多發生在防火牆之後的伺服器上)
網路安全 硬體防火牆ASA
狀態防火牆 英語 stateful firewall 一種能夠提供狀態資料報檢查 stateful packet inspection,縮寫為spi 或狀態檢視 stateful inspection 功能的防火牆,能夠持續追蹤穿過這個防火牆的各種網路連線 例如tcp與udp連線 的狀態。這種防火牆...
網路安全 防火牆系統
支援透明 路由和混合三種工作模式。支援基於物件的網路訪問控制,包括網路層 應zz用層等多層次的訪問控制 支援url 指令碼 關鍵字 郵件等多種形式的內容過濾。支援多種網路位址轉換 nat 方式。支援多種認證方式,如本地認證 證書認證 radius認證 tacacs securld ldap 域認證等...
網路安全硬體 防火牆AF
傳統防火牆 防火牆系統能工作在osi 7層模型的5個層次上,能從越多的層來處理資訊,意味著在過濾處理中就跟精細 路由模式 可以看成 防火牆 路由器 網橋模式 可以看成 防火牆 交換機 當內網需要邊界路由器做nat,那就選用網橋模式,在防火牆之外再加乙個路由器 如果不需要邊界路由器,就選用防火牆啟用路...