防火墙技术及应用.ppt

Linux 中IP包处理的体系结构 NetFilter 网络 过滤器钩子 数据报经过协议栈的几个关键点 第三十页，共四十五页，2022年，8月28日 Linux 中IP包处理的体系结构 检测IP 数据报头 处理包选项 决定包 的路由 选择 网络设备 组装 以太帧 做准备 以太帧 协议类型 字段为 0X0800 第三十一页，共四十五页，2022年，8月28日 Linux内核2.4中网络层的处理流程 Prerouting的作用是数据包刚刚到达防火墙时，改变其目的地址，可以在这里定义 进行目的NAT的规则，因为路由器进行路由时只检查数据包的目的ip地址， 所以为了使数据包得以正确路由，我们必须在路由之前就进行目的NAT。 Postrouting的作用是数据包就要离开防火前之前改变其源地址；可以在这里定义 进行源NAT的规则，系统在决定了数据包的路由以后在执行该链中的规则。 第三十二页，共四十五页，2022年，8月28日 防火墙技术及应用 第一页，共四十五页，2022年，8月28日 防火墙技术概述 防火墙的概念 防火墙是指设置在不同网络（如可信赖的企业内部局域网和不可信赖的公共网络）之间或网络安全域之间的一系列部件的组合，通过监测、限制、更改进入不同网络或不同安全域的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以防止发生不可预测的、潜在破坏性的入侵，实现网络的安全保护。 防火墙 = 硬件 + 软件 + 控制策略 第二页，共四十五页，2022年，8月28日 防火墙是实现网络和信息安全的基础设施，一个高效可靠的防火墙应用具备以下的基本特性： 防火墙是不同网络之间，或网络的不同安全域之间的唯一出入口，从里到外(inbound)和从外到里(outbound)的所有信息都必须通过防火墙； 通过安全策略来控制不同网络或网络不同安全域之间的通信，只有本地安全策略授权的通信才允许通过； 防火墙本身是免疫的，即防火墙本身具有较强的抗攻击能力。 Internet 外部(不可信)的网络 Intranet 内部( 受保护)网络 不能随便进来，当然也不能随便出去 第三页，共四十五页，2022年，8月28日 防火墙的基本功能 监控并限制访问 控制协议和服务 保护内部网络 网络地址转换（NAT） 虚拟专用网（VPN） 日志记录与审计 第四页，共四十五页，2022年，8月28日 防火墙的基本原理 所有的防火墙功能的实现都依赖于对通过防火墙的数据包的相关信息进行检查，而且检查的项目越多、层次越深，则防火墙越安全。 由于现在计算机网络结构采用自顶向下的分层模型，而分层的主要依据是各层的功能划分，不同层次功能的实现又是通过相关的协议来实现的。 所以，防火墙检查的重点是网络协议及采用相关协议封装的数据。 第五页，共四十五页，2022年，8月28日 防火墙提供的机制-服务控制(service control) 确定可以访问的Internet服务类型(双向的)。防火墙可以基于IP地址、协议和TCP端口号对流量进行过滤；或者提供代理软件，对收到的每个服务请求进行解释，然后才允许通过 防火墙用来控制访问和执行站点安全策略的四种通用技术。 第六页，共四十五页，2022年，8月28日 防火墙提供的机制-方向控制(direction control) 确定特点服务请求发起和允许通过防火墙的方向。 第七页，共四十五页，2022年，8月28日 防火墙提供的机制-用户控制(user control) 根据试图访问服务器的用户来控制服务器的访问权限。通常这个功能应用于在防火墙周界以内的用户(即本地用户)。也可以用于来自外部用户的流量。 第八页，共四十五页，2022年，8月28日 防火墙提供的机制-行为控制(behavior control) 控制特点服务的使用方法。 过滤垃圾邮件；控制外部用户只能对本地Web服务器上的部分信息进行访问。 第九页，共四十五页，2022年，8月28日 防火墙的基本准则 默认丢弃-所有未被允许的就是禁止的 所有未被允许的就是禁止的，这一准则是指根据用户的安全管理策略，所有未被允许的通信禁止通过防火墙。 默认转发-所有未被禁止的就是允许的 所有未被禁止的就是允许的，这一准则是指根据用户的安全管理策略，防火墙转发所有信息流，允许所有的用户和站点对内部网络的访问，然后网络管理员按照IP地址等参数对未授权的用户或不信任的站点进行逐项屏蔽。 先否定一切 先肯定一切 第十页，共四十五页，2022年，8月28日 防火墙的应用 防火墙在网络中的位置-多应用于一个局域网的出口处或置于两个网络中间。 财务处 实验室 第十一页，共四十五页，2022年，8月28日 使用了防火墙后的网络组成-三部分 防火