防火墙技术-核心技术介绍
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
这个缓冲区位于内部网络和外部网络之间的网络区域 内;
在这个区域内可以放置一些必须公开的服务器设施, 如企业Web服务器、FTP服务器和论坛等;
通过DMZ区域,能更加有效地保护内部网络。
3
三种网络
可信网络:企业内部网络 不可信网络:因特网和其它公众网络 中立网络:同时属于企业和因特网/其它
29
防火墙体系结构(3)
➢ 筛选路由器 ➢ 双/多宿主主机 ➢ 屏蔽主机 ➢ 屏蔽子网
进行规则配置,只允许外 部主机与堡垒主机通信
不允许外部主机直接访问 除堡垒主机之外的其它主机
问题:存在什么缺点?
30
防火来自百度文库体系结构(4)
➢ 筛选路由器 ➢ 双/多宿主主机 ➢ 屏蔽主机 ➢ 屏蔽子网
31
它被暴露于因特网/外网之上,作 为进入内部网络的一个检查点, 以达到把整个网络的安全问题集 中在某个主机上解决,从而省时 省力,不用考虑其它主机的安全 的目的。
堡垒主机是网络中最容易受到侵 害的主机,所以堡垒主机必须是 自身保护最完善的主机。
防火墙术语(2)
➢ 堡垒主机 ➢ 双宿主机 ➢ 数据包过滤 ➢ 筛选路由器 ➢ 屏蔽主机 ➢ 屏蔽子网
源端口 any any
目的端口 80 any
动作 permit deny
方向 Inside
*
类型 tcp *
源地址 * *
目的地址 123.4.5.7
*
源端口 any any
目的端口 80 any
动作 permit deny
2
DMZ( Demilitarized Zone,非军事区或 者隔离区)
DMZ是为了解决安装防火墙后外部网络不能访问内部 网络服务器或者能够访问内部网络但会带来安全隐患 的问题,而设立的一个非安全网络与安全网络之间的 缓冲区;
筛选路由器是防火墙最基本 的构件。它作为内外连接的唯一 通道,要求所有的报文都必须在 此通过检查。
路由器上可以装基于IP层的 报文过滤软件,实现报文过滤功 能。许多路由器本身带有报文过 滤配置选项,但一般比较简单。
25
防火墙术语(5)
➢ 堡垒主机 ➢ 双宿主机 ➢ 数据包过滤 ➢ 屏蔽路由器 ➢ 屏蔽主机 ➢ 屏蔽子网
202.102.1.3
20 MAP 192.168.0.9:80 TO 202.102.1.3:8000
IP地址与MAC地址绑定
192.168.0.2 192.168.0.4
D D 21
防火墙术语(1)
➢ 堡垒主机 ➢ 双宿主机 ➢ 数据包过滤
➢ 筛选路由器
➢ 屏蔽主机 ➢ 屏蔽子网
22
堡垒主机是一种被强化的可以防 御攻击的计算机。
(或者只能访问特定设备 的特定应用 )
DMZ配置
地址转换
✓ DMZ区服务器与内网区、外网区的通信是经过网络地 址转换(NAT)实现的,以达到隐藏网络结构的目的 。DMZ区服务器对内服务时映射成内网地址,对外服 务时映射成外网地址。
DMZ安全规则制定
✓ DMZ安全规则集是安全策略的技术实现,是实现一个 成功、安全的防火墙的非常关键的一步。在建立规则 集时必须注意规则次序 ,一般来说,通常的顺序是 ,较特殊的规则在前,较普通的规则在后,防止在找 到一个特殊规则之前一个普通规则便被匹配,避免防 火墙被配置错误。
第九讲:防火墙核心技术
1. 网络地址转换技术(NAT) 2. 虚拟专用网技术(VPN: Virtual Private Network) 3. DMZ: Demilitarized Zone,非军事区或者隔离
区 4. 防火墙其它技术
1
改进
方向 Outside
*
类型 tcp *
源地址 * *
目的地址 * *
双宿主机至少具有两个网络接口, 内外的网络均可与双宿主机实施 通信,但内外网络之间不可直接 通信,内外部网络之间的IP数据 流被双宿主主机完全切断。
双宿主主机可以通过代理或让用 户直接注册到其上来提供很高程 度的网络控制。
23
防火墙术语(3)
➢ 堡垒主机 ➢ 双宿主机 ➢ 数据包过滤 ➢ 筛选路由器 ➢ 屏蔽主机 ➢ 屏蔽子网
数据包过滤技术是对数据包 进行选择,选择的依据是系统内 设置的过滤逻辑,被称为访问控 制表。
通过检查数据流中每个数 据包的源地址、目的地址、所用 的端口号、 协议状态等因素,或 它们的组合来确定是否答应该数 据包通过。
24
防火墙术语(4)
➢ 堡垒主机 ➢ 双宿主机 ➢ 数据包过滤 ➢ 筛选路由器 ➢ 屏蔽主机 ➢ 屏蔽子网
13
多重DMZ基础结构
14
防火墙应用示例
15
防火墙其它功能
双机热备功能 双地址路由功能 端口映射功能 IP与MAC绑定
16
防火墙的双机热备功能
17
防火墙应用示例:双机热备
18
防火墙的双地址路由功能
19
端口映射功能(MAP)
192.168.0.5:80 192.168.0.4:21 192.168.0.6:25 192.168.0.3:53
8
DMZ特点
解决非DMZ网络容易受到渗透攻击的问题 在内部网络和外部网络之间增加的一个或几
个子网 为网络安全提供了更高级别的保护 需要更复杂的规则配置 在防火墙部署时需要重点考虑的因素
9
单防火墙的基础网络
10
基础网络、单防火墙和堡垒主机
11
带DMZ的防火墙
12
带有DMZ的双防火墙
公众网络的网络
4
为什么需要DMZ?
在实际的运用中,某些主机需要对外提供服务,但 会影响到内部网络的安全。将这些需要对外开放的 主机与内部的众多网络设备分隔开来,根据不同的 需要,有针对性地采取相应的隔离措施,这样便能 在对外提供服务的同时最大限度地保护内部网络。
针对不同资源提供不同安全级别的保护,可以构建 一个或多个DMZ区域。
DMZ使包含重要数据的内部系统免于直接暴露给外 部网络而受到攻击,即使DMZ中服务器受到破坏, 也不会对内网中的重要信息造成影响。
5
DMZ防火墙组成
6
DMZ网络访问控制策略
X X
X
1. 内网可以访问外网 2. 内网可以访问DMZ 3. 外网不能访问内网 4. 外网可以访问DMZ 5. DMZ不能访问外网 6. DMZ不能访问内网
当一个堡垒主机安装在内部
网络上,通常在防火墙上设立过 滤规则,并使这个堡垒主机成为 从外部网络唯一可直接到达的主 机,即屏蔽主机。这确保了内部 网络不受未被授权的外部用户的 攻击。
26
防火墙术语(6)
➢ 堡垒主机 ➢ 双宿主机 ➢ 数据包过滤 ➢ 屏蔽路由器 ➢ 屏蔽主机 ➢ 屏蔽子网
这种方法是在内部网络和外
部网络之间建立一个被隔离的子 网,用两台防火墙将这一子网分 别与内部网络和外部网络分开。 在很多实现中,两个防火墙放在 子网的两端,在子网内构成一个 “非军事区”DMZ。
27
防火墙体系结构(1)
➢ 筛选路由器 ➢ 双/多宿主机 ➢ 被屏蔽主机 ➢ 被屏蔽子网
28
防火墙体系结构(2)
➢ 筛选路由器 ➢ 双/多宿主机 ➢ 被屏蔽主机 ➢ 被屏蔽子网
在这个区域内可以放置一些必须公开的服务器设施, 如企业Web服务器、FTP服务器和论坛等;
通过DMZ区域,能更加有效地保护内部网络。
3
三种网络
可信网络:企业内部网络 不可信网络:因特网和其它公众网络 中立网络:同时属于企业和因特网/其它
29
防火墙体系结构(3)
➢ 筛选路由器 ➢ 双/多宿主主机 ➢ 屏蔽主机 ➢ 屏蔽子网
进行规则配置,只允许外 部主机与堡垒主机通信
不允许外部主机直接访问 除堡垒主机之外的其它主机
问题:存在什么缺点?
30
防火来自百度文库体系结构(4)
➢ 筛选路由器 ➢ 双/多宿主主机 ➢ 屏蔽主机 ➢ 屏蔽子网
31
它被暴露于因特网/外网之上,作 为进入内部网络的一个检查点, 以达到把整个网络的安全问题集 中在某个主机上解决,从而省时 省力,不用考虑其它主机的安全 的目的。
堡垒主机是网络中最容易受到侵 害的主机,所以堡垒主机必须是 自身保护最完善的主机。
防火墙术语(2)
➢ 堡垒主机 ➢ 双宿主机 ➢ 数据包过滤 ➢ 筛选路由器 ➢ 屏蔽主机 ➢ 屏蔽子网
源端口 any any
目的端口 80 any
动作 permit deny
方向 Inside
*
类型 tcp *
源地址 * *
目的地址 123.4.5.7
*
源端口 any any
目的端口 80 any
动作 permit deny
2
DMZ( Demilitarized Zone,非军事区或 者隔离区)
DMZ是为了解决安装防火墙后外部网络不能访问内部 网络服务器或者能够访问内部网络但会带来安全隐患 的问题,而设立的一个非安全网络与安全网络之间的 缓冲区;
筛选路由器是防火墙最基本 的构件。它作为内外连接的唯一 通道,要求所有的报文都必须在 此通过检查。
路由器上可以装基于IP层的 报文过滤软件,实现报文过滤功 能。许多路由器本身带有报文过 滤配置选项,但一般比较简单。
25
防火墙术语(5)
➢ 堡垒主机 ➢ 双宿主机 ➢ 数据包过滤 ➢ 屏蔽路由器 ➢ 屏蔽主机 ➢ 屏蔽子网
202.102.1.3
20 MAP 192.168.0.9:80 TO 202.102.1.3:8000
IP地址与MAC地址绑定
192.168.0.2 192.168.0.4
D D 21
防火墙术语(1)
➢ 堡垒主机 ➢ 双宿主机 ➢ 数据包过滤
➢ 筛选路由器
➢ 屏蔽主机 ➢ 屏蔽子网
22
堡垒主机是一种被强化的可以防 御攻击的计算机。
(或者只能访问特定设备 的特定应用 )
DMZ配置
地址转换
✓ DMZ区服务器与内网区、外网区的通信是经过网络地 址转换(NAT)实现的,以达到隐藏网络结构的目的 。DMZ区服务器对内服务时映射成内网地址,对外服 务时映射成外网地址。
DMZ安全规则制定
✓ DMZ安全规则集是安全策略的技术实现,是实现一个 成功、安全的防火墙的非常关键的一步。在建立规则 集时必须注意规则次序 ,一般来说,通常的顺序是 ,较特殊的规则在前,较普通的规则在后,防止在找 到一个特殊规则之前一个普通规则便被匹配,避免防 火墙被配置错误。
第九讲:防火墙核心技术
1. 网络地址转换技术(NAT) 2. 虚拟专用网技术(VPN: Virtual Private Network) 3. DMZ: Demilitarized Zone,非军事区或者隔离
区 4. 防火墙其它技术
1
改进
方向 Outside
*
类型 tcp *
源地址 * *
目的地址 * *
双宿主机至少具有两个网络接口, 内外的网络均可与双宿主机实施 通信,但内外网络之间不可直接 通信,内外部网络之间的IP数据 流被双宿主主机完全切断。
双宿主主机可以通过代理或让用 户直接注册到其上来提供很高程 度的网络控制。
23
防火墙术语(3)
➢ 堡垒主机 ➢ 双宿主机 ➢ 数据包过滤 ➢ 筛选路由器 ➢ 屏蔽主机 ➢ 屏蔽子网
数据包过滤技术是对数据包 进行选择,选择的依据是系统内 设置的过滤逻辑,被称为访问控 制表。
通过检查数据流中每个数 据包的源地址、目的地址、所用 的端口号、 协议状态等因素,或 它们的组合来确定是否答应该数 据包通过。
24
防火墙术语(4)
➢ 堡垒主机 ➢ 双宿主机 ➢ 数据包过滤 ➢ 筛选路由器 ➢ 屏蔽主机 ➢ 屏蔽子网
13
多重DMZ基础结构
14
防火墙应用示例
15
防火墙其它功能
双机热备功能 双地址路由功能 端口映射功能 IP与MAC绑定
16
防火墙的双机热备功能
17
防火墙应用示例:双机热备
18
防火墙的双地址路由功能
19
端口映射功能(MAP)
192.168.0.5:80 192.168.0.4:21 192.168.0.6:25 192.168.0.3:53
8
DMZ特点
解决非DMZ网络容易受到渗透攻击的问题 在内部网络和外部网络之间增加的一个或几
个子网 为网络安全提供了更高级别的保护 需要更复杂的规则配置 在防火墙部署时需要重点考虑的因素
9
单防火墙的基础网络
10
基础网络、单防火墙和堡垒主机
11
带DMZ的防火墙
12
带有DMZ的双防火墙
公众网络的网络
4
为什么需要DMZ?
在实际的运用中,某些主机需要对外提供服务,但 会影响到内部网络的安全。将这些需要对外开放的 主机与内部的众多网络设备分隔开来,根据不同的 需要,有针对性地采取相应的隔离措施,这样便能 在对外提供服务的同时最大限度地保护内部网络。
针对不同资源提供不同安全级别的保护,可以构建 一个或多个DMZ区域。
DMZ使包含重要数据的内部系统免于直接暴露给外 部网络而受到攻击,即使DMZ中服务器受到破坏, 也不会对内网中的重要信息造成影响。
5
DMZ防火墙组成
6
DMZ网络访问控制策略
X X
X
1. 内网可以访问外网 2. 内网可以访问DMZ 3. 外网不能访问内网 4. 外网可以访问DMZ 5. DMZ不能访问外网 6. DMZ不能访问内网
当一个堡垒主机安装在内部
网络上,通常在防火墙上设立过 滤规则,并使这个堡垒主机成为 从外部网络唯一可直接到达的主 机,即屏蔽主机。这确保了内部 网络不受未被授权的外部用户的 攻击。
26
防火墙术语(6)
➢ 堡垒主机 ➢ 双宿主机 ➢ 数据包过滤 ➢ 屏蔽路由器 ➢ 屏蔽主机 ➢ 屏蔽子网
这种方法是在内部网络和外
部网络之间建立一个被隔离的子 网,用两台防火墙将这一子网分 别与内部网络和外部网络分开。 在很多实现中,两个防火墙放在 子网的两端,在子网内构成一个 “非军事区”DMZ。
27
防火墙体系结构(1)
➢ 筛选路由器 ➢ 双/多宿主机 ➢ 被屏蔽主机 ➢ 被屏蔽子网
28
防火墙体系结构(2)
➢ 筛选路由器 ➢ 双/多宿主机 ➢ 被屏蔽主机 ➢ 被屏蔽子网