1 / 35

信息安全综合实验

信息安全综合实验. 陈伟 Email: chenwei@njupt.edu.cn Tel: 13584008622. 实验二 防火墙实验. 防火墙的原理 防火墙的分类 常用防火墙 实验内容. 黑客. 黑客. www.xxorg.com 不良网站. 网络安全保护急需解决的问题. DOS 网络攻击. 恶意网页 / 邮件. Internet. 病毒,蠕虫. 策略控制. 禁止内容访问. 网络攻击防御. 数 据 安 全 加密. 内 容 级 攻击 防 御. 防火墙的基本概念.

diantha
Télécharger la présentation

信息安全综合实验

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 信息安全综合实验 陈伟 Email: chenwei@njupt.edu.cn Tel: 13584008622

  2. 实验二 防火墙实验 • 防火墙的原理 • 防火墙的分类 • 常用防火墙 • 实验内容

  3. 黑客 黑客 www.xxorg.com 不良网站 网络安全保护急需解决的问题 DOS网络攻击 恶意网页/邮件 Internet 病毒,蠕虫 策略控制 禁止内容访问 网络攻击防御 数 据 安 全 加密 内 容 级 攻击 防 御

  4. 防火墙的基本概念 • 所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法, 实际上是一种隔离技术。 • 防火墙是位于两个(或多个)网络间,实施网络之间访问控制的一组组件集合。 • 防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。 • 防火墙必须只允许授权的数据通过,而且防火墙本身也必须能够免于渗透。

  5. 防火墙的功能 • 允许网络管理员定义一个中心点来防止非法用户进入内部网络。 • 可以很方便地监视网络的安全性,并报警。 • 可以作为部署NAT(Network Address Translation,网络地址变换)的地点 • 利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。 • 是审计和记录Internet使用费用的一个最佳地点。

  6. 防火墙的基本特性 • 内部网络和外部网络之间的所有网络数据流都必须经过防火墙 • 只有符合安全策略的数据流才能通过防火墙 • 防火墙自身应具有非常强的抗攻击免疫力

  7. 实验二 防火墙实验 • 防火墙的原理 • 防火墙的分类 • 常用防火墙 • 实验内容

  8. 防火墙的分类 • 包过滤防火墙 • 以色列的Checkpoint防火墙 • Cisco公司的PIX防火墙 • 代理防火墙(应用层网关防火墙) • 美国NAI公司的Gauntlet防火墙

  9. 包过滤防火墙 • 第一代:静态包过滤 • 根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。 • 过滤规则基于数据包的报头信息进行制订。包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。 • 包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”,即明确允许那些管理员希望通过的数据包,禁止其他的数据包。

  10. 包过滤防火墙 • 第二代:动态包过滤 • 采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。 • 这种技术后来发展成为所谓包状态监测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪 • 根据需要可动态地在过滤规则中增加或更新。

  11. URL 过滤 防火墙 只检查包头 –让带有攻击和禁止内容的“合法”数据包通过 仅查找URL黑名单,遗漏了深入在内容里被禁止的词汇 基于数据包的病毒扫描 可能觉察不到横跨在多个数据包里的攻击 不接受的内容 Four score and seven years ago our forefathers brought forth upon this BANNED WORDS a new liberty, and dedicated to the proposition that all… BAD CONTENT BANNED WORDS NASTY THINGS NASTIER THINGS 攻击特征 只对网络级数据包做保护是不够的 网络层内容 (数据包) http://www.freesurf.com/downloads/Gettysburg Four score and seven years ago our forefathers brou ght forth upon this BANNED WORDS a new nation, n liberty, and dedicated to the proposition that all 应用层内容过滤 1. 重新组装数据包 2. 对比不允许内容和攻击列表

  12. 代理防火墙 • 第一代:代理防火墙 • 代理防火墙也叫应用层网关(Application Gateway)防火墙。这种防火墙通过一种代理(Proxy)技术参与到一个TCP连接的全过程。 • 从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。 • 这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。

  13. 代理防火墙的优缺点 • 代理类型防火墙的最突出的优点就是安全。 • 通过专门为特定的服务如Http编写的安全化的应用程序进行处理,然后由防火墙本身提交请求和应答 • 没有给内外网络的计算机以任何直接会话的机会 • 代理防火墙的最大缺点就是速度相对比较慢 • 比如要求达到75-100Mbps时,代理防火墙就会成为内外网络之间的瓶颈

  14. 代理防火墙 • 第二代:自适应代理防火墙 • 自适应代理技术(Adaptive proxy)是最近在商业应用防火墙中实现的一种革命性的技术。 • 它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点 • 组成这种类型防火墙的基本要素有两个:自适应代理服务器(Adaptive Proxy Server)与动态包过滤器(Dynamic Packet filter)。 • 在自适应代理与动态包过滤器之间存在一个控制通道。 • 自适应代理就可以根据用户的配置信息,决定是使用代理服务从应用层代理请求还是从网络层转发包。 • 如果是后者,它将动态地通知包过滤器增减过滤规则,满足用户对速度和安全性的双重要求。

  15. 两种防火墙技术的对比 • 包过滤防火墙 • 优点 价格较低 ,性能开销小,处理速度较快 • 缺点 定义复杂,容易出现因配置不当带来问题,允许数据包直接通过,容易造成数据驱动式攻击的潜在危险 • 代理防火墙 • 能够透彻地理解相关服务的命令 • 对来往的数据包进行安全化处理速度较慢,不太适用于高速网(ATM或千兆位以太网等)之间的应用

  16. 实验二 防火墙实验 • 防火墙的原理 • 防火墙的分类 • 常用防火墙 • 实验内容

  17. 常见防火墙 • 个人防火墙 • 小型企业防火墙 • 大型企业防火墙 • 开源防火墙( Opensource )

  18. 防火墙的几个技术指标 • 防火墙吞吐量 • 防火墙会话数 • 防火墙策略 • 什么是内容过滤 • 什么是DMZ • 什么是NAT

  19. 吞吐量 • 吞吐量,指防火墙的每秒通信量,主要由防火墙内网卡,及程序算法的效率决定,尤其是程序算法,会使防火墙系统进行大量运算,通信量大打折扣。因此,大多数防火墙虽号称100M防火墙,由于其算法依靠软件实现,通信量远远没有达到100M,实际只有10M-20M。纯硬件防火墙,由于采用硬件进行运算,因此吞吐量可以达到线性,90-95M,是真正的100M防火墙。

  20. 会话数 • 会话数,是指防火墙可以同时允许终端访问的最大数量,由于该网络出口必须通过防火墙,因此会话数代表了加有该防火墙的网络可以允许多少个外部的访问。

  21. 防火墙策略数 • 黑客攻击采用算法进行程序设计,分为多种攻击方式,防火墙之所以防范黑客,原理是根据黑客的算法,设计出相应的防范规则加入防火墙 • 预先在防火墙内设定的黑客判别规则称为防火墙策略,防火墙策略越多,性能越好 • 但由于策略越多将导致防火墙运算加大,因此通信量将大幅降低,防火墙策略/防火墙通信量,是相互矛盾的。只用纯硬件防火墙才可以解决以上问题。

  22. 内容过滤、DMZ、NAT • 内容过滤,是指对经过防火墙的信息进行监测,可以按照用户需求,禁止带有色情,反动或任何用户希望禁止的信息浏览或被浏览。 • DMZ(非军事区)=Untrust(非信任区),与军事区和信任区相对应。非信任区,作用是把WEB,e-mail,等允许外部访问的服务器单独接在该区端口,使整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户需求。 • NAT,地址转换,有了NAT,防火墙可以作为 代理服务器,使整个内部网络所用用户 可以通过一条线路,一个帐号,同时访问互联网。

  23. NAT 原理 NAT 159.226.41.109:60001 192.168.0.2:6012 159.226.41.109:60001 192.168.0.2:6012 外部地址 159.226.41.99 内部用户 192.168.0.2 192.168.0.1 防火墙 159.226.41.109

  24. SonicWall功能比较

  25. WatchGuard功能比较

  26. NetScreen的功能比较

  27. Cisco的功能比较

  28. 内部地址 不允许外部访问 非军事区DMZ 内/外部可以访问 有外部 IP, 转发 防火墙 firewall 外部地址 内部可以访问 传统的防火墙配置 恶意用户 DMZ 内部用户

  29. 一种新型的防火墙设置 Http://friewall.ip/ • 虚拟 DMZ • 外部可以访问 • 内部IP • 单一映象 • 外部可以访问 • 内部IP • 优点 • 屏蔽了DMZ的结构 • 内部IP • 可扩展性, Cluster的结构 路径选择表 80->10.11.11.2:80 21->10.11.11.5.21 接受请求 选定 10.11.11.2 10.11.11.2

  30. 包过滤示例 外 部 网 络 内部网 堡垒主机 在上图所示配置中,内部网地址为:192.168.0.0/24, 堡垒主机内网卡eth1地址为:192.168.0.1, 外网卡eth0地址为:10.11.12.13 DNS地址为:10.11.15.4 要求允许内部网所有主机能访问外网WWW、FTP服务, 外部网不能访问内部主机

  31. 包过滤示例(续) 匹配那些有RST or ACK bits设置的TCP包 Set internal=192.168.0.0/24 Deny ip from $internal to any in via eth0 Deny ip from not $internal to any in via eth1 Allow udp from $internal to any dns Allow udp from any dns to $internal Allow tcp from any to any established Allow tcp from $internal to any www in via eth1 Allow tcp from $internal to any ftp in via eth1 Allow tcp from any ftp-data to $internal in via eth0 Deny ip from any to any

  32. Open Source 防火墙 • Ipfilter (FreeBSD、OpenBSD、Solaris,…) • Ipfw (FreeBSD) • Ipchains (Linux 2.0.x/2.2.x) • Iptables (Linux 2.4.x)

  33. 实验二 防火墙实验 • 防火墙的原理 • 防火墙的分类 • 常用防火墙 • 实验内容

  34. 实验目的 • 通过实验深入理解防火墙的功能和工作原理。 • 掌握防火墙包过滤策略的设计方法。 • 了解常用几种防火墙的设置方法和使用方法 • 天网防火墙个人版、 • 瑞星(或飞塔)百兆防火墙、 • Linux系统中iptables防火墙。

  35. 实验内容 • 下载使用天网个人版防火墙 • 可以去校园网FTP下载 • 五人一组,设置瑞星或飞塔防火墙 • 如有条件,学习使用IPTable构建Linux下面的防火墙

More Related