防火墙的关键技术

第二讲：防火墙关键技术计算机科学与技术学院主讲人：吕宏武网络安全防护技术讲义MAINPOINTS包过滤技术状态包过滤技术NAT网络地址转换技术代理技术MAINPOINTS学习的目标理解包过滤技术掌握NAT转换的基本原理了解防火墙代理技术1、包过滤技术包过滤原理分组交换网络，包含信息头部和数据信息两部分工作在网络层和传输层根据首部信息决定处理方式理论上可以对报头的任意数据域进行过滤1、包过滤技术IPv4的头部1、包过滤技术TCP的头部1、包过滤技术包过滤的规则表数据包过滤访问控制列表ACL只有满足规则的数据包才被转发1、包过滤技术包过滤的规则表还可以包含TCP包的序列号、IP校验和、网卡名称等1、包过滤技术通常被阻止的数据包部分内网数据包1、包过滤技术包过滤的优缺点优点是简单缺点是：过滤依据的信息有限缺少审计和报警机制不能对用户身份验证规则数目受限，规则表太大时，性能受影响对安全管理人员的要求很高由于缺少上下文关联信息，难以处理动态端口连接1、包过滤技术包过滤的优缺点EX1仅开通内部主机对外部Web服务的访问？1、包过滤技术包过滤的优缺点EX2包过滤防火墙对于TCPACK隐蔽扫描的处理分析？1、包过滤技术包过滤的优缺点EX2包过滤防火墙对于TCPACK隐蔽扫描的处理分析？2、状态包过滤技术状态包过滤技术基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流来看待过滤规则表+状态表2、状态包过滤技术状态包过滤技术基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流来看待过滤规则表+状态表2、状态包过滤技术状态包过滤技术重新分析EX1OUT|主机A地址：*|服务器地址：80|TCP协议|接收并加入状态表2、状态包过滤技术状态包过滤技术重新分析EX22、状态包过滤技术状态包过滤技术也可以保护更复杂的情况，如UDPFTP需要两个连接，控制端口一般为21，而数据端口一般为202、状态包过滤技术状态包过滤技术的优缺点访问控制列表管理与维护困难：规模、顺序难以详细了解主机之间的会话关系底层难以实现对应用层服务的过滤查询状态表2、NAT技术NAT最初只是为了将私有IP映射到公网IP地址短缺内部地址隐藏负载均衡网络地址交叠2、NAT技术静态NAT私有IP：公网IP1to152、NAT技术动态NAT私有IP：公网IPmton2、NAT技术动态NATPATIP地址+端口号：网络套接字映射节省IP地址隐藏内部拓扑结构2、NAT技术NAT实现负载均衡与NAT映射表中相匹配的目的地址会被内网集中的一个地址所替代以连接为单位轮询进行由外部发起到内部新连接时才执行2、NAT技术NAT实现负载均衡2、NAT技术NAT处理网络地址交叠两个公司合并方案移植2、NAT技术NAT技术缺点某些应用层协议无法使用NAT：与端口关联安全问题：静态/数据包中的相关地址不能替换对内部主机的引诱和木马攻击无抵御能力状态表超时问题3、代理技术Proxy基于应用层信息处理问题，不再基于数据包3、代理技术应用层代理针对每一种应用编制专门的代理程序HTTP、SMTP、POP3、Telnet3、代理技术应用层代理代理服务程序接受内网用户请求访问规则检查表进行核查（允许的请求类型）IF允许，代理服务程序将请求转发给外部真正的服务程序。当会话建立后，代理仅承担中转站的任务。内网用户和外部服务器之间传超数据，担当C/S双重角色；代理服务包括两个部分：代理服务器端程序和代理客户端程序3、代理技术应用层代理无ACK攻击扫描问题，不是有意义的应用请求结合协议进行检测如HTTP，检查是否是正确格式，而不仅仅是80端口如FTP，可以get不可put3、代理技术应用层代理优点经常访问的信息可以缓存支持用户认证配置规则简单完全控制会话，可提供详细日志和安全审计可隐藏内部IP代理访问解决内部IP不足3、代理技术应用层代理缺点吞吐量瓶颈有限的连接性，提供独特的Proxy不能支持RPC、TALK等协议族3、代理技术传输层代理SOCKS不再是一种应用一种代理SOCKS服务端、SOCKS客户端服务端实现在应用层客户端实现在应用层和传输层之间无需直接的IP联通性前提对高层透明SOCKS53、代理技术传输层代理SOCKS静态包过滤防火墙配置实例（1）静态包过滤防火墙配置实例（2）