第十章防火墙技术.pptVIP

目录 1. 防火墙概述 2. 包过滤型防火墙 3. 状态检测防火墙 4. 应用级网关型防火墙 5 代理服务型防火墙 6 复合型防火墙 7 与防火墙相关的其他技术 8. 典型防火墙产品简介 1 防火墙概述 1 防火墙概述 粗心大意或不满的员工 社交工程攻击(Social Engineering) 恶意代码(Malware) 病毒、蠕虫、特洛伊木馬、恶作剧程序 恶性的竞争对手 黑客(Hacker) 1 防火墙概述 1 防火墙概述 妥善的配置 完善的管理 持续的审计 1 防火墙概述 防火墙的必要性 保护内部不受来自Internet的攻击 创建安全域 强化机构安全策略 防火墙需满足以下条件： 内部和外部之间的所有网络数据流必须经过防火墙 只有符合安全政策的数据流才能通过防火墙 防火墙自身应对渗透(peneration)免疫 1 防火墙概述 1 防火墙概述 1 防火墙概述 防火墙是位于两个(或多个)网络间，实施网间访问控制的一组组件的集合，它满足以下条件： 内部和外部之间的所有网络数据流必须经过防火墙； 只有符合安全政策的数据流才能通过防火墙； 防火墙自身能抗攻击； 防火墙 = 硬件 + 软件 + 控制策略 1 防火墙概述 防火墙的控制能力 服务控制：确定哪些服务可以被访问； 方向控制：对于特定的服务，可以确定允许哪个方向能够通过防火墙； 用户控制：根据用户来控制对服务的访问； 行为控制：控制一个特定的服务的行为； 1 防火墙概述 防火墙技术带来的好处 强化安全策略 有效地记录Internet上的活动 隔离不同网络，限制安全问题扩散 是一个安全策略的检查点 1 防火墙概述 防火墙的功能 访问控制：隔断、过滤、代理 加密 授权认证 地址翻译（NAT） VPN 负载均衡 内容安全：病毒扫描、URL扫描、HTTP过滤 日志记帐、审计报警 1 防火墙概述 防火墙的局限性 不能阻止那些绕开防火墙的攻击 不能防止内部攻击 不能防止全新的威胁 不能防止病毒感染程序或文件的传输 当使用端-端加密时，其作用会受到很大的限制 对用户不完全透明，可能带来传输延迟、瓶颈及单点失效 1 防火墙概述 防火墙性能指标 功能指标 防火墙类型（包过滤/电路层网关/应用代理） 支持的网络接口类型（10M/100M/1000M） 支持的协议（对于代理服务器） 是否支持地址翻译(NAT)，虚拟专网(VPN) 如何扩展，怎样实现负载平衡(Load Balancing) 用户身份验证方式：口令，RADIUS/Kerberos 实时监控、审计、报警能力 管理与维护的能力 1 防火墙概述 性能指标： 对不同大小的包的转发能力（pps ） 并发会话数目（对于状态包过滤、代理服务器） 最大允许的规则数目 是否具有自动加固宿主机功能 可靠性，稳定性，是否提供双机热备份功能 防火墙测试的标准 RFC2979 1 防火墙概述 防火墙的技术分类 包过滤型防火墙 状态检测防火墙 应用级网关型防火墙 代理服务型防火墙 复合型防火墙 1 防火墙概述 防火墙的局限性 防火墙难于管理和配置，易造成安全漏洞 防火墙防外不防内 防火墙只实现了粗粒度的访问控制 很难为用户在防火墙内外提供一致的安全策略 防火墙不能防范病毒 防火墙不能防范不通过它的连接 包过滤型防火墙示意图 基本思想 对于每个进来的包，适用一组规则，然后决定转发或者丢弃该包 往往配置成双向的 如何过滤 过滤的规则以IP和传输层的头中的域(字段)为基础，包括源和目标IP地址、IP协议域、源和目标端口号 过滤器往往建立一组规则，根据IP包是否匹配规则中指定的条件来作出决定。 如果匹配到一条规则，则根据此规则决定转发或者丢弃 如果所有规则都不匹配，则根据缺省策略 过滤数据包的类型 ICMP消息：网络层的IP控制和状态消息，它的包头包含了源IP地址、目的IP地址、ICMP协议标识符和ICMP消息类型。 UDP消息：UDP是一个无状态不可靠的传输发送协议。它的包头包含了源IP地址、目的IP地址、UDP协议类型以及源和目的服务端口号。 TCP消息：TCP是一种面向连接的可靠的传输发送协议，它的包头包含了源IP地址、目的IP地址、TCP协议消息类型、源和目的服务端口、序列号和应答号以及用来产生和维护可靠连接的控制标志。 两种基本策略，或缺省策略 一切未被禁止的就是允许的 管理员必须针对每一种新出现的攻击，制定新的规则 需要确定那些被认为是不安全的服务，禁止其访问；而其他服务则被认为是安全的，允许访问。这种方法构成了一种更为灵活的应用环境，可以为用户提供更多的服务，其缺点在于很难提供可靠的安全防护。 一切未被允许的就是禁止的 比较保守 根据需要，逐渐开放 需要确定所有可以被提供的服务以及