防火墙技术-核心技术介绍

第九讲：防火墙核心技术11.网络地址转换技术（NAT）2.虚拟专用网技术（VPN：VirtualPrivateNetwork）3.DMZ：DemilitarizedZone，非军事区或者隔离区4.防火墙其它技术改进2方向类型源地址目的地址源端口目的端口动作Outsidetcp**any80permit****anyanydeny方向类型源地址目的地址源端口目的端口动作Insidetcp*123.4.5.7any80permit****anyanydenyDMZ（DemilitarizedZone，非军事区或者隔离区）3DMZ是为了解决安装防火墙后外部网络不能访问内部网络服务器或者能够访问内部网络但会带来安全隐患的问题，而设立的一个非安全网络与安全网络之间的缓冲区；这个缓冲区位于内部网络和外部网络之间的网络区域内；在这个区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等；通过DMZ区域，能更加有效地保护内部网络。三种网络4可信网络：企业内部网络不可信网络：因特网和其它公众网络中立网络：同时属于企业和因特网/其它公众网络的网络为什么需要DMZ？在实际的运用中，某些主机需要对外提供服务，但会影响到内部网络的安全。将这些需要对外开放的主机与内部的众多网络设备分隔开来，根据不同的需要，有针对性地采取相应的隔离措施，这样便能在对外提供服务的同时最大限度地保护内部网络。针对不同资源提供不同安全级别的保护，可以构建一个或多个DMZ区域。DMZ使包含重要数据的内部系统免于直接暴露给外部网络而受到攻击，即使DMZ中服务器受到破坏，也不会对内网中的重要信息造成影响。5DMZ防火墙组成6DMZ网络访问控制策略1.内网可以访问外网2.内网可以访问DMZ3.外网不能访问内网4.外网可以访问DMZ5.DMZ不能访问外网6.DMZ不能访问内网（或者只能访问特定设备的特定应用）XXXDMZ配置地址转换DMZ区服务器与内网区、外网区的通信是经过网络地址转换（NAT）实现的，以达到隐藏网络结构的目的。DMZ区服务器对内服务时映射成内网地址，对外服务时映射成外网地址。DMZ安全规则制定DMZ安全规则集是安全策略的技术实现，是实现一个成功、安全的防火墙的非常关键的一步。在建立规则集时必须注意规则次序，一般来说，通常的顺序是，较特殊的规则在前，较普通的规则在后，防止在找到一个特殊规则之前一个普通规则便被匹配，避免防火墙被配置错误。8DMZ特点解决非DMZ网络容易受到渗透攻击的问题在内部网络和外部网络之间增加的一个或几个子网为网络安全提供了更高级别的保护需要更复杂的规则配置在防火墙部署时需要重点考虑的因素9单防火墙的基础网络10基础网络、单防火墙和堡垒主机11带DMZ的防火墙12带有DMZ的双防火墙13多重DMZ基础结构14防火墙应用示例15防火墙其它功能双机热备功能双地址路由功能端口映射功能IP与MAC绑定16防火墙的双机热备功能17防火墙应用示例：双机热备18防火墙的双地址路由功能19端口映射功能（MAP）20192.168.0.5:80192.168.0.4:21192.168.0.6:25192.168.0.3:53MAP192.168.0.9:80TO202.102.1.3:8000202.102.1.3IP地址与MAC地址绑定21192.168.0.2192.168.0.4DD防火墙术语（1）22堡垒主机双宿主机数据包过滤筛选路由器屏蔽主机屏蔽子网堡垒主机是一种被强化的可以防御攻击的计算机。它被暴露于因特网/外网之上，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的。堡垒主机是网络中最容易受到侵害的主机，所以堡垒主机必须是自身保护最完善的主机。防火墙术语（2）23双宿主机至少具有两个网络接口，内外的网络均可与双宿主机实施通信，但内外网络之间不可直接通信，内外部网络之间的IP数据流被双宿主主机完全切断。双宿主主机可以通过代理或让用户直接注册到其上来提供很高程度的网络控制。堡垒主机双宿主机数据包过滤筛选路由器屏蔽主机屏蔽子网防火墙术语（3）24堡垒主机双宿主机数据包过滤筛选路由器屏蔽主机屏蔽子网数据包过滤技术是对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否答应该数据包通过。防火墙术语（4）25堡垒主机双宿主机数据包过滤筛选路由器屏蔽主机屏蔽子网筛选路由器是防火墙最基本的构件。它作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。路由器上可以装基于IP层的报文过滤软件，实现报文过滤功能。许多路由器本身带有报文过滤配置选项，但一般比较简单。防火墙术语（5）26堡垒主机双宿主机数据包过滤屏蔽路由器屏蔽主机屏蔽子网当一个堡垒主机安装在内部网络上，通常在防火墙上设立过滤规则，并使这个堡垒主机成为从外部网络唯一可直接到达的主机，即屏蔽主机。这确保了内部网络不受未被授权的外部用户的攻击。防火墙术语（6）27堡垒主机双宿主机数据包过滤屏蔽路由器屏蔽主机屏蔽子网这种方法是在内部网络和外部网络之间建立一个被隔离的子网，用两台防火墙将这一子网分别与内部网络和外部网络分开。在很多实现中，两个防火墙放在子网的两端，在子网内构成一个“非军事区”DMZ。防火墙体系结构（1）28筛选路由器双/多宿主机被屏蔽主机被屏蔽子网防火墙体系结构（2）29筛选路由器双/多宿主机被屏蔽主机被屏蔽子网防火墙体系结构（3）30筛选路由器双/多宿主主机屏蔽主机屏蔽子网进行规则配置，只允许外部主机与堡垒主机通信不允许外部主机直接访问除堡垒主机之外的其它主机问题：存在什么缺点？防火墙体系结构（4）31筛选路由器双/多宿主主机屏蔽主机屏蔽子网