1、第九講：防火墻核心技術(shù),1,網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）虛擬專用網(wǎng)技術(shù)（VPN： Virtual Private Network）DMZ： Demilitarized Zone，非軍事區(qū)或者隔離區(qū)防火墻其它技術(shù),改進(jìn),2,DMZ（ Demilitarized Zone，非軍事區(qū)或者隔離區(qū)）,3,DMZ是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器或者能夠訪問內(nèi)部網(wǎng)絡(luò)但會(huì)帶來安全隱患的問題，而設(shè)立的一個(gè)非安全網(wǎng)絡(luò)與安全網(wǎng)絡(luò)之間的

2、緩沖區(qū)；這個(gè)緩沖區(qū)位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)區(qū)域內(nèi)；在這個(gè)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等；通過DMZ區(qū)域，能更加有效地保護(hù)內(nèi)部網(wǎng)絡(luò)。,三種網(wǎng)絡(luò),4,可信網(wǎng)絡(luò)：企業(yè)內(nèi)部網(wǎng)絡(luò)不可信網(wǎng)絡(luò)：因特網(wǎng)和其它公眾網(wǎng)絡(luò)中立網(wǎng)絡(luò)：同時(shí)屬于企業(yè)和因特網(wǎng)/其它公眾網(wǎng)絡(luò)的網(wǎng)絡(luò),為什么需要DMZ？,在實(shí)際的運(yùn)用中，某些主機(jī)需要對外提供服務(wù)，但會(huì)影響到內(nèi)部網(wǎng)絡(luò)的安全。將這些需要對外開放的主機(jī)與內(nèi)部的

3、眾多網(wǎng)絡(luò)設(shè)備分隔開來，根據(jù)不同的需要，有針對性地采取相應(yīng)的隔離措施，這樣便能在對外提供服務(wù)的同時(shí)最大限度地保護(hù)內(nèi)部網(wǎng)絡(luò)。 針對不同資源提供不同安全級(jí)別的保護(hù)，可以構(gòu)建一個(gè)或多個(gè)DMZ區(qū)域。 DMZ使包含重要數(shù)據(jù)的內(nèi)部系統(tǒng)免于直接暴露給外部網(wǎng)絡(luò)而受到攻擊，即使DMZ中服務(wù)器受到破壞，也不會(huì)對內(nèi)網(wǎng)中的重要信息造成影響。,5,DMZ防火墻組成,6,DMZ網(wǎng)絡(luò)訪問控制策略,,,1. 內(nèi)網(wǎng)可以訪問外網(wǎng)2. 內(nèi)網(wǎng)可以訪問DMZ 3. 外網(wǎng)不

4、能訪問內(nèi)網(wǎng) 4. 外網(wǎng)可以訪問DMZ 5. DMZ不能訪問外網(wǎng) 6. DMZ不能訪問內(nèi)網(wǎng)（或者只能訪問特定設(shè)備的特定應(yīng)用 ）,,X,,,X,,X,,DMZ配置,地址轉(zhuǎn)換DMZ區(qū)服務(wù)器與內(nèi)網(wǎng)區(qū)、外網(wǎng)區(qū)的通信是經(jīng)過網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）實(shí)現(xiàn)的，以達(dá)到隱藏網(wǎng)絡(luò)結(jié)構(gòu)的目的。DMZ區(qū)服務(wù)器對內(nèi)服務(wù)時(shí)映射成內(nèi)網(wǎng)地址，對外服務(wù)時(shí)映射成外網(wǎng)地址。DMZ安全規(guī)則制定 DMZ安全規(guī)則集是安全策略的技術(shù)實(shí)現(xiàn)，是實(shí)現(xiàn)一個(gè)成功、安全的防火墻的非常

5、關(guān)鍵的一步。在建立規(guī)則集時(shí)必須注意規(guī)則次序 ，一般來說，通常的順序是，較特殊的規(guī)則在前，較普通的規(guī)則在后，防止在找到一個(gè)特殊規(guī)則之前一個(gè)普通規(guī)則便被匹配，避免防火墻被配置錯(cuò)誤。,8,DMZ特點(diǎn),解決非DMZ網(wǎng)絡(luò)容易受到滲透攻擊的問題在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間增加的一個(gè)或幾個(gè)子網(wǎng)為網(wǎng)絡(luò)安全提供了更高級(jí)別的保護(hù)需要更復(fù)雜的規(guī)則配置在防火墻部署時(shí)需要重點(diǎn)考慮的因素,9,單防火墻的基礎(chǔ)網(wǎng)絡(luò),10,基礎(chǔ)網(wǎng)絡(luò)、單防火墻和堡壘主機(jī),11,帶DM

6、Z的防火墻,12,帶有DMZ的雙防火墻,13,多重DMZ基礎(chǔ)結(jié)構(gòu),14,防火墻應(yīng)用示例,15,防火墻其它功能,雙機(jī)熱備功能雙地址路由功能端口映射功能IP與MAC綁定,16,防火墻的雙機(jī)熱備功能,17,防火墻應(yīng)用示例：雙機(jī)熱備,18,防火墻的雙地址路由功能,19,端口映射功能（MAP）,20,192.168.0.5:80,192.168.0.4:21,192.168.0.6:25,192.168.0.3:53,MAP 192.168

7、.0.9:80 TO 202.102.1.3:8000,202.102.1.3,IP地址與MAC地址綁定,21,192.168.0.2,192.168.0.4,D,D,防火墻術(shù)語（1）,22,堡壘主機(jī)雙宿主機(jī)數(shù)據(jù)包過濾篩選路由器屏蔽主機(jī)屏蔽子網(wǎng),堡壘主機(jī)是一種被強(qiáng)化的可以防御攻擊的計(jì)算機(jī)。它被暴露于因特網(wǎng)/外網(wǎng)之上，作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)，以達(dá)到把整個(gè)網(wǎng)絡(luò)的安全問題集中在某個(gè)主機(jī)上解決，從而省時(shí)省力，不用考慮其它主機(jī)的

8、安全的目的。堡壘主機(jī)是網(wǎng)絡(luò)中最容易受到侵害的主機(jī)，所以堡壘主機(jī)必須是自身保護(hù)最完善的主機(jī)。,防火墻術(shù)語（2）,23,雙宿主機(jī)至少具有兩個(gè)網(wǎng)絡(luò)接口，內(nèi)外的網(wǎng)絡(luò)均可與雙宿主機(jī)實(shí)施通信，但內(nèi)外網(wǎng)絡(luò)之間不可直接通信，內(nèi)外部網(wǎng)絡(luò)之間的IP數(shù)據(jù)流被雙宿主主機(jī)完全切斷。雙宿主主機(jī)可以通過代理或讓用戶直接注冊到其上來提供很高程度的網(wǎng)絡(luò)控制。,堡壘主機(jī)雙宿主機(jī)數(shù)據(jù)包過濾篩選路由器屏蔽主機(jī)屏蔽子網(wǎng),防火墻術(shù)語（3）,24,堡壘主機(jī)雙宿主機(jī)

9、數(shù)據(jù)包過濾篩選路由器屏蔽主機(jī)屏蔽子網(wǎng),數(shù)據(jù)包過濾技術(shù)是對數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯，被稱為訪問控制表。通過檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號(hào)、 協(xié)議狀態(tài)等因素，或它們的組合來確定是否答應(yīng)該數(shù)據(jù)包通過。,防火墻術(shù)語（4）,25,堡壘主機(jī)雙宿主機(jī)數(shù)據(jù)包過濾篩選路由器屏蔽主機(jī)屏蔽子網(wǎng),篩選路由器是防火墻最基本的構(gòu)件。它作為內(nèi)外連接的唯一通道，要求所有的報(bào)文都必須在此通過檢查。

10、路由器上可以裝基于IP層的報(bào)文過濾軟件，實(shí)現(xiàn)報(bào)文過濾功能。許多路由器本身帶有報(bào)文過濾配置選項(xiàng)，但一般比較簡單。,防火墻術(shù)語（5）,26,堡壘主機(jī)雙宿主機(jī)數(shù)據(jù)包過濾屏蔽路由器屏蔽主機(jī)屏蔽子網(wǎng),當(dāng)一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上，通常在防火墻上設(shè)立過濾規(guī)則，并使這個(gè)堡壘主機(jī)成為從外部網(wǎng)絡(luò)唯一可直接到達(dá)的主機(jī)，即屏蔽主機(jī)。這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。,防火墻術(shù)語（6）,27,堡壘主機(jī)雙宿主機(jī)數(shù)據(jù)包過濾屏蔽路由器

11、屏蔽主機(jī)屏蔽子網(wǎng),這種方法是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng)，用兩臺(tái)防火墻將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。在很多實(shí)現(xiàn)中，兩個(gè)防火墻放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個(gè)“非軍事區(qū)”DMZ。,防火墻體系結(jié)構(gòu)（1）,28,篩選路由器雙/多宿主機(jī)被屏蔽主機(jī)被屏蔽子網(wǎng),防火墻體系結(jié)構(gòu)（2）,29,篩選路由器雙/多宿主機(jī)被屏蔽主機(jī)被屏蔽子網(wǎng),防火墻體系結(jié)構(gòu)（3）,30,篩選路由器雙/多宿主主機(jī)屏蔽主機(jī)屏蔽子網(wǎng),進(jìn)