第5章静态侦测与防火墙技术案例.ppt

防御 从这一节，我们进入网络防御的内容 网络防御的目标 要有针对性 要达到一定的坚固程度 对于性能和效率的影响在容忍范围之内 网络防御的范畴 侦测、封锁、隔离、取证、恢复 防御范畴的展开描述 侦测：判定攻击的存在及其有关性质 封锁：阻断攻击 隔离：事先从静态结构上切断可用于攻击的所有隐通道 取证：记录与攻击有关的证据 恢复：清除攻击带来的影响，进入常态 静态侦测和动态侦测 以通信参数所满足的特定条件为依据的侦测，称为静态侦测 以通信内容所满足的特定条件为依据的侦测，称为动态侦测 本节主要介绍静态侦测技术和以静态侦测结果为依据的网络封锁系统——防火墙 ** 第五章 静态侦测与防火墙技术 网络信息安全技术 本章主要内容 第一章 概 述 基本原理 主要类型 主要弱点 第五章 静态侦测与防火墙技术 第一章 概 述 第五章 静态侦测与防火墙技术 第一章 概 述 第一章 概 述 第五章 静态侦测与防火墙技术 第五章 静态侦测与防火墙技术 墙·城墙·长城 原始人的洞穴是人类最初的居所，墙把人类家居的内部和外部区分开来 古代的城墙，把地域分割成城的内部和外部。无论是人还是物，要想从外部进入内部或者从内部进入外部，只有穿过城门，接受必要的盘查。不符合通行条件的，就不予放行 中国的万里长城，把地域分割成长城的内部和外部，而长城上的关口则成了通行检查的场所 第五章 静态侦测与防火墙技术 防火墙 防火墙部署在一个网络与其他网络相连接的必经要道上，把网络世界分割成内部和外部 防火墙以静态的方式侦测进出网络内部的通信参数，符合条件的通信予以放行，不符合条件的通信予以截断 第五章 静态侦测与防火墙技术 数据包过滤 “恶意”主 机或网段 第五章 静态侦测与防火墙技术 通信参数与通信内容 通信参数是关于本次通信的信息 通信内容是本次通信要传达的信息 通信参数一般通过各层协议的包头来定义和指定，具有相对固定的格式和位置 通信内容一般在各层协议的静荷之中，不具有相对固定的格式和位置 第五章 静态侦测与防火墙技术 按通信参数的层次分类 包过滤型防火墙 依据源/目的IP地址，源/目的端口号，协议类型（五元组）对IP包进行侦测和封锁的防火墙 应用网关型防火墙 按照用户ID、目的URL等应用层通信参数对通信协议进行侦测和封锁的防火墙 复合型防火墙 同时具有上述二者的功能 第五章 静态侦测与防火墙技术 防火墙的体系结构 屏蔽路由器（Screening Router） 双宿主网关（Dual Host Gateway） 屏蔽主机网关（Screened Gateway） 被屏蔽子网（Screened Subnet） 第五章 静态侦测与防火墙技术 屏蔽路由器 屏蔽路由器可以专用硬件实现，也可以用通用主机来实现 屏蔽路由器作为内外连接的惟一通道，要求所有的数据包都必须在此通过检查，按照规则实现包过滤功能 许多路由器本身就带有包过滤配置选项，但一般比较简单 缺点：一旦被攻陷后很难发现，而且不能识别不同的用户 屏蔽路由器 外网 内网主机 第五章 静态侦测与防火墙技术 第五章 静态侦测与防火墙技术 双宿主网关 双宿主网关是用一台装有两块网卡的堡垒主机的做防火墙，两块网卡各自与被保护网和外部网相连 堡垒主机上运行防火墙系统，可以转发应用程序，提供服务等 与屏蔽路由器相比 优点：堡垒主机的系统软件可用于维护护系统日志、硬件拷贝日志或远程日志 缺点：堡垒主机被控制并使其只具有路由功能，任何网上用户均可以随便访问内部网 第五章 静态侦测与防火墙技术 双宿主网关 外网 内网主机 第五章 静态侦测与防火墙技术 屏蔽主机网关 ?一个堡垒主机安装在内部网络上，通常在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络惟一可直接到达的主机，这确保了内部网络不受未被授权的外部用户的攻击 优点：易于实现也最为安全 危险：主要集中于堡垒主机和屏蔽路由器，如果攻击者控制堡垒主机系统，其上的访问控制策略被人为改变或者被废除，内网中的其余主机就会受到很大威胁 第五章 静态侦测与防火墙技术 主机屏蔽网关 （必经的代理） 外网 内网被屏蔽主机（禁止直接路由） 路由器 第五章 静态侦测与防火墙技术 被屏蔽子网 增加一个把内部网与互联网隔离的周边网络（也称为非军事区DMZ），从而进一步实现屏蔽主机的安全性，通过使用周边网络隔离堡垒主机能够削弱外部网络对堡垒主机的攻击 使用两个屏蔽路由器，分别位于周边网与内部网、周边网与外部网之间 攻击者要攻入这种结构的内部网络，必须通过两个路由器，因而不存在危害内部网的单一入口点 第五章 静态侦测与防火墙技术 子网屏蔽网关 （必经的代理） 外网 被屏蔽子网 路由器 路由器 DMZ（非军事区） 第五章 静态侦测与防火墙