信息安全综合实验：防火墙ppt-PowerPointP

信息安全综合实验陈伟Email:chenwei@njupt.edu.cnTel:135840086222实验二防火墙实验•防火墙的原理•防火墙的分类•常用防火墙•实验内容3网络安全保护急需解决的问题黑客网络攻击病毒，蠕虫禁止内容访问恶意网页/邮件Internet策略控制网络攻击防御内容级攻击防御数据安全加密黑客4防火墙的基本概念•所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，实际上是一种隔离技术。•防火墙是位于两个(或多个)网络间，实施网络之间访问控制的一组组件集合。•防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。•防火墙必须只允许授权的数据通过，而且防火墙本身也必须能够免于渗透。5防火墙的功能•允许网络管理员定义一个中心点来防止非法用户进入内部网络。•可以很方便地监视网络的安全性，并报警。•可以作为部署NAT（NetworkAddressTranslation，网络地址变换）的地点–利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。•是审计和记录Internet使用费用的一个最佳地点。6防火墙的基本特性•内部网络和外部网络之间的所有网络数据流都必须经过防火墙•只有符合安全策略的数据流才能通过防火墙•防火墙自身应具有非常强的抗攻击免疫力7实验二防火墙实验•防火墙的原理•防火墙的分类•常用防火墙•实验内容8防火墙的分类•包过滤防火墙–以色列的Checkpoint防火墙–Cisco公司的PIX防火墙•代理防火墙（应用层网关防火墙）–美国NAI公司的Gauntlet防火墙9包过滤防火墙•第一代：静态包过滤–根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。–过滤规则基于数据包的报头信息进行制订。包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。–包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”，即明确允许那些管理员希望通过的数据包，禁止其他的数据包。10包过滤防火墙•第二代：动态包过滤–采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。–这种技术后来发展成为所谓包状态监测（StatefulInspection）技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪–根据需要可动态地在过滤规则中增加或更新。11只对网络级数据包做保护是不够的防火墙只检查包头–让带有攻击和禁止内容的“合法”数据包通过应用层内容过滤1.重新组装数据包FourscoreandsevenyearsagoourforefathersbroughtforthuponthisBANNEDWORDSanewliberty,anddedicatedtothepropositionthatall…URL过滤仅查找URL黑名单，遗漏了深入在内容里被禁止的词汇BADCONTENTBANNEDWORDSNASTYTHINGSNASTIERTHINGS不接受的内容攻击特征2.对比不允许内容和攻击列表网络层内容(数据包)基于数据包的病毒扫描可能觉察不到横跨在多个数据包里的攻击12代理防火墙•第一代：代理防火墙–代理防火墙也叫应用层网关（ApplicationGateway）防火墙。这种防火墙通过一种代理（Proxy）技术参与到一个TCP连接的全过程。–从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。–这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。13代理防火墙的优缺点•代理类型防火墙的最突出的优点就是安全。–通过专门为特定的服务如Http编写的安全化的应用程序进行处理，然后由防火墙本身提交请求和应答–没有给内外网络的计算机以任何直接会话的机会•代理防火墙的最大缺点就是速度相对比较慢–比如要求达到75-100Mbps时，代理防火墙就会成为内外网络之间的瓶颈14代理防火墙•第二代：自适应代理防火墙–自适应代理技术（Adaptiveproxy）是最近在商业应用防火墙中实现的一种革命性的技术。–它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点–组成这种类型防火墙的基本要素有两个：自适应代理服务器（AdaptiveProxyServer）与动态包过滤器（DynamicPacketfilter）。•在自适应代理与动态包过滤器之间存在一个控制通道。–自适应代理就可以根据用户的配置信息，决定是使用代理服务从应用层代理请求还是从网络层转发包。–如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。15两种防火墙技术的对比•包过滤防火墙–优点价格较低,性能开销小，处理速度较快–缺点定义复杂，容易出现因配置不当带来问题,允许数据包直接通过，容易造成数据驱动式攻击的潜在危险•代理防火墙–能够透彻地理解相关服务的命令–对来往的数据包进行安全化处理速度较慢，不太适用于高速网（ATM或千兆位以太网等）之间的应用20实验二防火墙实验•防火墙的原理•防火墙的分类•常用防火墙•实验内容21常见防火墙•个人防火墙•小型企业防火墙•大型企业防火墙•开源防火墙（Opensource）22防火墙的几个技术指标•防火墙吞吐量•防火墙会话数•防火墙策略•什么是内容过滤•什么是DMZ•什么是NAT23吞吐量•吞吐量，指防火墙的每秒通信量，主要由防火墙内网卡，及程序算法的效率决定，尤其是程序算法，会使防火墙系统进行大量运算，通信量大打折扣。因此，大多数防火墙虽号称100M防火墙，由于其算法依靠软件实现，通信量远远没有达到100M,实际只有10M-20M。纯硬件防火墙，由于采用硬件进行运算，因此吞吐量可以达到线性，90-95M,是真正的100M防火墙。24会话数•会话数，是指防火墙可以同时允许终端访问的最大数量，由于该网络出口必须通过防火墙，因此会话数代表了加有该防火墙的网络可以允许多少个外部的访问。25防火墙策略数•黑客攻击采用算法进行程序设计，分为多种攻击方式，防火墙之所以防范黑客，原理是根据黑客的算法，设计出相应的防范规则加入防火墙•预先在防火墙内设定的黑客判别规则称为防火墙策略，防火墙策略越多，性能越好•但由于策略越多将导致防火墙运算加大，因此通信量将大幅降低，防火墙策略/防火墙通信量，是相互矛盾的。只用纯硬件防火墙才可以解决以上问题。26内容过滤、DMZ、NAT•内容过滤，是指对经过防火墙的信息进行监测，可以按照用户需求，禁止带有色情，反动或任何用户希望禁止的信息浏览或被浏览。•DMZ(非军事区)=Untrust（非信任区），与军事区和信任区相对应。非信任区，作用是把WEB,e-mail,等允许外部访问的服务器单独接在该区端口，使整个需要保护的内部网络接在信任区端口后，不允许任何访问，实现内外网分离，达到用户需求。•NAT,地址转换，有了NAT,防火墙可以作为代理服务器，使整个内部网络所用用户可以通过一条线路，一个帐号，同时访问互联网。27NAT原理192.168.0.1防火墙159.226.41.109外部地址159.226.41.99内部用户192.168.0.2内部ip内部端口外部ip外部端口NAT端口192.168.0.26012159.226.41.1092360001192.168.0.2:6012NAT192.168.0.2:6012159.226.41.109:60001159.226.41.109:6000129SonicWall功能比较功能TZ17020403060接口数746防火墙吞吐量90M200M300M3DES吞吐量30M50M75M并发会话数600032000120K策略数VPN通道数10501000反病毒蠕虫XXX内容过滤VVV入侵检测VVV用户认证无无无30WatchGuard功能比较功能V10V60V100X500X700X1000接口数746333防火墙吞吐量90M200M300M100M150M225M3DES吞吐量30M50M75M20M40M75M并发会话数600032000120K策略数VPN通道数105010000100500反病毒蠕虫XXXVVV内容过滤VVVVVV入侵检测VVVVVV用户认证无无无无无无31NetScreen的功能比较功能5XP50204接口数防火墙吞吐量10M170M400M3DES吞吐量1M50M200M并发会话数20008000128K策略数10040004000VPN通道数1010001000反病毒蠕虫XXX内容过滤VVV入侵检测VVV用户认证有限制无无32Cisco的功能比较功能PIX501PIX515EPIX535接口数防火墙吞吐量10M188M1Gbps3DES吞吐量3M63M100M并发会话数3500125K500K策略数VPN通道数520002000反病毒蠕虫XXX内容过滤VVV入侵检测VVV用户认证10用户无无33•内部地址–不允许外部访问传统的防火墙配置•非军事区DMZ–内/外部可以访问–有外部IP,转发•防火墙firewall•外部地址–内部可以访问DMZ内部用户恶意用户34一种新型的防火墙设置•虚拟DMZ–外部可以访问–内部IP•单一映象–外部可以访问–内部IP•优点–屏蔽了DMZ的结构–内部IP–可扩展性,Cluster的结构接受请求路径选择表80-10.11.11.2:8021-10.11.11.5.21选定10.11.11.210.11.11.235包过滤示例堡垒主机内部网外部网络在上图所示配置中，内部网地址为：192.168.0.0/24，堡垒主机内网卡eth1地址为：192.168.0.1，外网卡eth0地址为：10.11.12.13DNS地址为：10.11.15.4要求允许内部网所有主机能访问外网、FTP服务，外部网不能访问内部主机36包过滤示例(续)匹配那些有RSTorACKbits设置的TCP包Setinternal=192.168.0.0/24Denyipfrom$internaltoanyinviaeth0Denyipfromnot$internaltoanyinviaeth1Allowudpfrom$internaltoanydnsAllowudpfromanydnsto$internalAllowtcpfromanytoanyestablishedAllowtcpfrom$internaltoany防火墙•Ipfilter(FreeBSD、OpenBSD、Solaris，…)•Ipfw(FreeBSD)•Ipchains(Linux2.0.x/2.2.x)•Iptables(Linux2.4.x)44实验二防火墙实验•防火墙的原理•防火墙的分类•常用防火墙•实验内容45实验目的•通过实验深入理解防火墙的功能和工作原理。•掌握防火墙包过滤策略的设计方法。•了解常用几种防火墙的设置方法和使用方法–天网防火墙个人版、–瑞星（或飞塔）百兆防火墙、–Linux系统中iptables防火墙。46实验内容•下载使用天网个人版防火墙–可以去校园网F