【正文】 送包的過程。 河北工程大學 網(wǎng)絡安全技術(shù) 通信與信息工程系 劉光遠 2022年 3月 第二章 防火墻技術(shù) 防火墻概述 防火墻的體系結(jié)構(gòu) 防火墻的實現(xiàn)技術(shù) TCP/IP基礎 2 防火墻技術(shù)展望 TCP/IP基礎 1 基本概念 2 包與協(xié)議 3 TCP和 UDP常用端口 4 TCP/IP協(xié)議歷史 5 常用網(wǎng)絡命令 TCP/IP協(xié)議歷史 ? TCP/IP起源于 20世紀 70年代中期， ARPA資助網(wǎng)間網(wǎng)技術(shù)的研究開發(fā)，并于 1977～ 1979年間推出了與目前形式一樣的TCP/IP體系結(jié)構(gòu)和協(xié)議規(guī)范； ? 1980年前后， TCP/IP應用在 ARPANET上； ? 1983年加州 Berkeley大學推出了內(nèi)含 TCP/IP的 BSD NUIX； ? 1985年 NSF采用 TCP/IP建設 NSFNET； ? TCP/IP成為 20世紀 90年代因特網(wǎng)的主要協(xié)議。 ? IGMP（ Inter Group Management Protocol） ——Inter組管理協(xié)議。如十分著名的 Check Point FireWall1， Microsoft ISA Server 2022等 。 ? 不支持有效的用戶認證、不提供有用的日志，安全性低。 ? 工作過程： 當用戶需要訪問代理服務器另一側(cè)的主機時，對符合安全規(guī)則的連接，代理服務器會代替主機響應，并重新向主機發(fā)出一個相同的請求。 ? SNAT和 DNAT 靜態(tài)（ static）網(wǎng)絡地址轉(zhuǎn)換和動態(tài)（ dynamic）網(wǎng)絡地址轉(zhuǎn)換 源（ source）網(wǎng)絡地址轉(zhuǎn)換和目標（ destination）網(wǎng)絡地址轉(zhuǎn)換 ? 靜態(tài)網(wǎng)絡地址轉(zhuǎn)換 ：內(nèi)部網(wǎng)絡中的每個主機都被永久映射成外部網(wǎng)絡中的某個合法的地址； ? 動態(tài)網(wǎng)絡地址轉(zhuǎn)換 ：可用的合法 IP地址是一個范圍，而內(nèi)部網(wǎng)絡地址的范圍大于合法 IP的范圍，在做地址轉(zhuǎn)換時，如果合法 IP都被占用，此時從內(nèi)部網(wǎng)絡的新的請求會由于沒有合法地址可以分配而失敗。企業(yè)總部在北京，上海、武漢、廣州、深圳設有分部。 ? NAT的主要作用： ① 隱藏內(nèi)部網(wǎng)絡的 IP地址； ② 解決地址緊缺問題。 規(guī)則集實例 (P278) 數(shù)據(jù)包過濾（ 4/6） 優(yōu)點： 邏輯簡單，價格便宜，易于安裝和使用，網(wǎng)絡性能和透明性好。 ? 防火墻可以被設置成許多不同的結(jié)構(gòu)，并提供不同級別的安全，而維護運行的費用也各不相同。 提供包括安全和統(tǒng)計數(shù)據(jù)在內(nèi)的審計數(shù)據(jù)，好的防火墻還能靈活設置各種報警方式。 該協(xié)議用于創(chuàng)建兩臺計算機之間的雙向數(shù)據(jù)流連接。 基本概念 ? Inter地址：計算機在 IPv4網(wǎng)絡中擁有的每一個接口都被唯一地賦予一個 32位地址。 ? Ipconfig典型應用 （ 3） stat指令 ? stat指令顯示活動的連接、計 算機監(jiān)聽的端口、以太網(wǎng)統(tǒng)計信息、IP 路由表、 IP統(tǒng)計信息（ IP、 ICMP、TCP和 UDP協(xié)議）。（專用集成電路（ ASIC）芯片或者網(wǎng)絡處理器（ NP）芯片）； ? 最大的亮點：高性能，非常高的并發(fā)連接數(shù)和吞吐量； ? 采用 ASIC芯片的方法在國外比較流行，技術(shù)也比較成熟，如美國 NetScreen公司的高端防火墻產(chǎn)品；國內(nèi)芯片級防火墻大多還處于開發(fā)發(fā)展的階段，采用的是 NP技術(shù)。 ? 過濾路由器是否正確配置是這種防火墻安全與否的關(guān)鍵。 代理服務（ 4/4） 狀態(tài)檢測（ 1/5） 物理層 引擎 檢測 動態(tài)狀態(tài)表 應用層 表示層 會話層 傳輸層 數(shù)據(jù)鏈路層 物理層 網(wǎng)絡層 應用層 表示層 會話層 傳輸層 數(shù)據(jù)鏈路層 網(wǎng)絡層 應用層 表示層 會話層 傳輸層 數(shù)據(jù)鏈路層 物理層 網(wǎng)絡層 ? 狀態(tài)檢測防火墻是在 動態(tài)包過濾 的基礎上，增加了狀態(tài)檢測機制而形成的； ? 動態(tài)包過濾與普通包過濾相比，需要多做一項工作：對外出數(shù)據(jù)包的 “ 身份 ” 做一個標記，允許相同連接的進入數(shù)據(jù)包通過。 分布式防火墻 ? 傳統(tǒng)防火墻 ：邊界防火墻 缺陷：結(jié)構(gòu)性限制；內(nèi)部威脅；效率和故障 ? 分布式防火墻（廣義） ：一種新的防火墻體系結(jié)構(gòu)（包含網(wǎng)絡防火墻、主機防火墻和管理中心） 優(yōu)勢：在網(wǎng)絡內(nèi)部增加了另一層安全，有效抵御來自內(nèi)部的攻擊，消除網(wǎng)絡邊界上的通信瓶頸和單一故障點，支持基于加密和認證的網(wǎng)絡應用，與拓撲無關(guān)，支持移動計算。 網(wǎng)絡安全產(chǎn)品的系統(tǒng)化（ 2/2） ? 防火墻與防病毒產(chǎn)品聯(lián)動 ? 防火墻與 IDS聯(lián)動 ? 防火墻與認證系統(tǒng)聯(lián)動 ? 防火墻與日志分析系統(tǒng)聯(lián)動 主流防火墻產(chǎn)品簡介 國內(nèi)： 天融信網(wǎng)絡衛(wèi)士防火墻（ NGFW） ? 我國第一套自主版權(quán)的防火