电子商务安全技术 第08章 防火墙的构造及选择.ppt

第七章 防火墙的构造与选择 为什么需要防火墙 保护内部不受来自Internet的攻击 为了创建安全域 为了增强机构安全策略 强化安全策略 有效地记录Internet上的活动 隔离不同网络限制安全问题扩散 构建一个安全策略的检查站 7.1 防火墙概述 防火墙实施原则 最少服务最小特权原则 使用多堡垒主机 合并内部路由器与外部路由器 合并堡垒主机与外部路由器 合并堡垒主机与内部路由器 使用多台内部路由器 使用多台外部路由器 使用多个周边网络 使用双重宿主主机与屏蔽子网 7.2 防火墙的基本体系结构 分布式防火墙 传统防火墙技术的几个问题 – 依赖于防火墙一端可信另一端是潜在的敌人 – Internet的发展使从外部穿过防火墙访问内部网的需求增加了 – 一些内部主机需要更多的权限 – 只依赖于端-端加密并不能完全解决问题 – 过于依赖物理拓扑结构 考虑到下面几个事实 – 个人防火墙已得到了广泛的应用 – 操作系统大多已提供了许多在传统意义上还属于防火墙的手段 – IPv6以及IPSec技术的发展 – 防火墙这一概念还不能抛弃 分布式防火墙 思路 – 主要防护工作在主机端 – 打破传统防火墙的物理拓扑结构不单纯依靠物理位置来划分内外 – 由安全策略来划分内外网 具体方法依赖于下面三点 – 策略描述语言说明什么连接允许什么连接不允许 – 一系列系统管理工具用于将策略发布到每一主机处以保证机构的安全 – IPSec技术及其他高层安全协议 7.3 防火墙的选择与实施 – 不能防范恶意的知情者 – 不能防范不通过它的连接 – 不能防范全新的威胁 – 不能有效地防范数据驱动式的攻击 – 当使用端-端加密时其作用会受到很大的限制 2006 personal firewall rating 2006 personal firewall Rating (Cont.) 7.4 主要的防火墙产品 宝山壁画 宝山壁画是引人注目的昂贵文物。此壁画发现于阿鲁科尔沁旗东沙布乡境内。1994年列为“全国十大考古新发现”之一。宝山壁画中最引人注目的是《杨贵妃教鹦鹉图》。该画高0.7米、宽2.3米，用于笔重彩绘制，最突出的表现了 晚唐风格。唐代擅长绘贵妇仕女的大师周昉绘制了《杨贵妃教鹦鹉图》，不仅享誉中原，而且还影响全国各地。发现于阿旗宝山古墓里的这幅画，就是契丹人聘请中原画家按照周氏风格绘制的， 技法深得周氏画风的真传。在唐人真迹稀如星风的今天，能够从中完整了解唐代人物画的杰出成就，堪称美术史研究的辛事。这幅壁画现今保存在阿鲁科尔沁旗博物馆，历经千年，恍如新绘，是该馆的镇馆之宝。 欢迎大家观看！ 子网过滤结构 优点： 三层防护，安全性高 外部路由器只向Internet暴露子网中的主机 内部路由器只向内部网暴露子网中的主机 即使堡垒主机被入侵者控制，内部网仍受到内部包过滤路由器的保护 防火墙不能防止内部的攻击； 对于绕过防火墙的攻击，它无能为力； 防火墙不能防止被病毒感染的程序或者邮件等； 作为一种被动的防护手段，防火墙不能防范因特网上不断出现的新的威胁和攻击。 防火墙的局限性 确立网络安全保护策略 要保护的内部网的规模 内部网的主要用途，用户的结构和需求 内部网有无安全级别的要求 怎样选择合适的防火墙 对防火墙进行评价、分析 对防火墙的各种类型的优缺点要有所了解 防火墙的稳定性和它所支持平台种类 愿意为防火墙投资多少经费 本单位的技术力量能否支持维护 国外： CheckPoint公司防火墙 NetScreen公司防火墙 三星公司secuiWALL防火墙 国内： 北京天融信公司系列防火墙 7.1 防火墙概述 7.2 防火墙的基本体系结构 7.3 防火墙的选择与实施7.4 主要的防火墙产品 防火墙（Firewall）的定义： ——防火墙是用来限制被保护的网络与互联网络之间，或者与其他网络之间相互进行信息存取、传递操作的部件或部件集。 防火墙应具备的条件: 内部和外部之间的所有网络数据流必须经过防火墙 只有符合安全策略的数据流才能通过防火墙 防火墙——隔离内部网和Internet的有效安全机制 外部网络 防火墙 内部网络 防火墙：在两个信任程度不同的网络之间设置的、用于加强访问控制的软硬件保护设施。 服务控制：确定哪些服务可以被访问 方向控制：对于特定的服务，可以确定允许哪个方向能够通过防火墙 用户控制：根据用户来控制对服务的访问 行为控制：控制一个特定的服务的行为 防火墙的控制能力 定义了一个必经之点 挡住未经授权的访问流量 实施保护，以避免各种IP欺骗和路由攻击 防火墙提供了一个监视各种安全事件的位置，所以，可以在防火墙上实现审计和报警 对于有些Internet功能来说，防火墙也可