第二讲:防火墙关键技术计算机科学与技术学院主讲人:吕宏武网络安全防护技术讲义MAINPOINTS包过滤技术状态包过滤技术NAT网络地址转换技术代理技术MAINPOINTS学习的目标理解包过滤技术掌握NAT转换的基本原理了解防火墙代理技术1、包过滤技术包过滤原理分组交换网络,包含信息头部和数据信息两部分工作在网络层和传输层根据首部信息决定处理方式理论上可以对报头的任意数据域进行过滤1、包过滤技术IPv4的头部1、包过滤技术TCP的头部1、包过滤技术包过滤的规则表数据包过滤访问控制列表ACL只有满足规则的数据包才被转发1、包过滤技术包过滤的规则表还可以包含TCP包的序列号、IP校验和、网卡名称等1、包过滤技术通常被阻止的数据包部分内网数据包1、包过滤技术包过滤的优缺点优点是简单缺点是:过滤依据的信息有限缺少审计和报警机制不能对用户身份验证规则数目受限,规则表太大时,性能受影响对安全管理人员的要求很高由于缺少上下文关联信息,难以处理动态端口连接1、包过滤技术包过滤的优缺点EX1仅开通内部主机对外部Web服务的访问?1、包过滤技术包过滤的优缺点EX2包过滤防火墙对于TCPACK隐蔽扫描的处理分析?1、包过滤技术包过滤的优缺点EX2包过滤防火墙对于TCPACK隐蔽扫描的处理分析?2、状态包过滤技术状态包过滤技术基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流来看待过滤规则表+状态表2、状态包过滤技术状态包过滤技术基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流来看待过滤规则表+状态表2、状态包过滤技术状态包过滤技术重新分析EX1OUT|主机A地址:*|服务器地址:80|TCP协议|接收并加入状态表2、状态包过滤技术状态包过滤技术重新分析EX22、状态包过滤技术状态包过滤技术也可以保护更复杂的情况,如UDPFTP需要两个连接,控制端口一般为21,而数据端口一般为202、状态包过滤技术状态包过滤技术的优缺点访问控制列表管理与维护困难:规模、顺序难以详细了解主机之间的会话关系底层难以实现对应用层服务的过滤查询状态表2、NAT技术NAT最初只是为了将私有IP映射到公网IP地址短缺内部地址隐藏负载均衡网络地址交叠2、NAT技术静态NAT私有IP:公网IP1to152、NAT技术动态NAT私有IP:公网IPmton2、NAT技术动态NATPATIP地址+端口号:网络套接字映射节省IP地址隐藏内部拓扑结构2、NAT技术NAT实现负载均衡与NAT映射表中相匹配的目的地址会被内网集中的一个地址所替代以连接为单位轮询进行由外部发起到内部新连接时才执行2、NAT技术NAT实现负载均衡2、NAT技术NAT处理网络地址交叠两个公司合并方案移植2、NAT技术NAT技术缺点某些应用层协议无法使用NAT:与端口关联安全问题:静态/数据包中的相关地址不能替换对内部主机的引诱和木马攻击无抵御能力状态表超时问题3、代理技术Proxy基于应用层信息处理问题,不再基于数据包3、代理技术应用层代理针对每一种应用编制专门的代理程序HTTP、SMTP、POP3、Telnet3、代理技术应用层代理代理服务程序接受内网用户请求访问规则检查表进行核查(允许的请求类型)IF允许,代理服务程序将请求转发给外部真正的服务程序。当会话建立后,代理仅承担中转站的任务。内网用户和外部服务器之间传超数据,担当C/S双重角色;代理服务包括两个部分:代理服务器端程序和代理客户端程序3、代理技术应用层代理无ACK攻击扫描问题,不是有意义的应用请求结合协议进行检测如HTTP,检查是否是正确格式,而不仅仅是80端口如FTP,可以get不可put3、代理技术应用层代理优点经常访问的信息可以缓存支持用户认证配置规则简单完全控制会话,可提供详细日志和安全审计可隐藏内部IP代理访问解决内部IP不足3、代理技术应用层代理缺点吞吐量瓶颈有限的连接性,提供独特的Proxy不能支持RPC、TALK等协议族3、代理技术传输层代理SOCKS不再是一种应用一种代理SOCKS服务端、SOCKS客户端服务端实现在应用层客户端实现在应用层和传输层之间无需直接的IP联通性前提对高层透明SOCKS53、代理技术传输层代理SOCKS静态包过滤防火墙配置实例(1)静态包过滤防火墙配置实例(2)