网络安全新技术-防火墙11重点解析.pptVIP

防火墙及其策略 防火墙技术简介 用来控制采用不同安全策略网络之间的网络流量 防火墙增值功能 网络地址转换NAT DHCP（动态主机配置协议） 加密功能，比如VPN 内容过滤功能（有可能被规避掉） 邮件附件过滤 病毒过滤 WEB浏览，如Java、Javascript、ActiveX 包过滤防火墙 最基本的防火墙 包含对系统地址和通信会话进行访问控制的基本路由设备 通常工作在第三层 现代网络结构中，为了负载均衡和/或高可用性（采用多个防火墙提高网络吞吐量）也可能采用在第二层 容易实现HA 访问控制功能由一套规则集组成，基于以下网络包信息： 源地址 目的地址 流量类型 高层通信会话的一些特征，如传输层会话端口 进出路由器设备的端口 有时候作为边界路由器使用 具有速度、灵活性和阻止DOS攻击的能力 包过滤防火墙的一些基本弱点 由于不检查高层数据，因此不能防止利用与应用相关的弱点或功能的攻击 由于防火墙能得到的信息有限，因此相应的日志功能也有限 许多包过滤防火墙不支持用户高级用户鉴定方案 由于TCP/IP规范和协议栈存在的问题，这类防火墙比较容易受到攻击 由于存在访问控制策略变量，可能遭到违规安全配置 包过滤防火墙的应用示例 包过滤规则 过滤标准 源地址 目的地址 端口 所用协议 动作 接受 否认 丢弃 状态检测防火墙 基于网络第四层的包过滤 因为TCP协议的特点，难以用简单的包过滤对数据连接进行控制 控制连接端口固定，但实际数据传送的数据连接所用端口是根据控制连接协商的，并不固定，如H.323 状态检测防火墙 建立动态TCP连接状态表，来验证每次连接。 应用代理网关防火墙 将低层访问控制功能和高层应用功能结合一起的防火墙 无需在防火墙的内外接口间的第三层路由 一旦应用代理网关软件不工作，防火墙系统就不能传递包 所有通过防火墙的包都必须在应用代理软件的控制下 应用代理网关防火墙 应用代理网关防火墙特点 传统的防火墙规则 用户鉴定 强大的日志能力 安全漏洞少，防地址欺骗能力强 应用代理网关防火墙缺点 速度慢 不适于高带宽或实时应用 应用和协议的支持能力限制 专用代理防火墙 专用代理防火墙和应用代理防火墙的区别在于它保留了对网络流量的代理控制，但是它不包含防火墙能力。因为这个原因，它们常用在传统防火墙后面。 过程和作用 主防火墙接收到入口网流时，判断要送到哪个应用，然后将此流量送到相应地代理服务器，如邮件代理服务器 代理服务器对此网络流量进行过滤和日志功能后，送到内部系统中 代理服务器也可以接收来自内部的网络流量，经过过滤、日志后交给主防火墙 一般来讲，代理服务器用来减轻主防火墙的负载，并进行专门的过滤和日志 比如HTTP代理 专用代理防火墙目的 加强用户身份鉴别 进行专门的过滤和日志 减轻主防火墙的负载 可以限制到特定地方的出口流量，并检查流量内容 JAVA Applet 或应用过滤 ActivX控制过滤 JavaScript过滤 阻断具体的MIME类型 病毒过滤和删除 应用相关命令的过滤 用户相关的控制 降低性能，提高管理成本 专用防火墙系统配置 混合防火墙 在单一防火墙系统中融合多种防火墙功能。 基于主机的防火墙 用来保护单台主机/服务器 为限制进出主机的流量提供访问控制能力 低成本 好处 更好地保护应用 无须为主机单独配置防火墙和划分子网 个人防火墙/个人防火墙应用 用来保护家庭用户系统 个人防火墙：直接安装在要保护的系统上 个人防火墙应用：类似传统防火墙，用来保护一个小网络 Cable Modem 路由器 LAN路由器 DHCP服务器 … 防火墙的环境考虑 NAT DMZ网络 VPN 网络边界定义 IDS DNS 各类服务器的放置 防火墙的应用策略和管理 NAT 解决两个安全问题： 隐藏防火墙后面的内部网络地址规划 根据RFC1918，解决可路由地址不足问题 三种实现方式： 静态NAT：每个内部地址都有一个对应的外部可路由地址。由于地址资源紧张，较少使用 隐藏NAT：所有内部系统共享相同的外部可路由IP地址。 较为常用 内部资源不能被外部共享 所有内部资源都使用防火墙外部接口地址，不灵活 PAT（Port Address Translation) 无须使用防火墙外部接口地址 可以选择内部某些资源对外共享，将通过某个端口的入口连接映射到具体的主机上 最安全，最方便 DMZ网络 DMZ定义： 作为内外网都可以访问的计算机系统和资源的连接点，这些系统和资源不能放置在内部保护网络内。 DMZ网络另一种典型配置 VPN(Virtual Private Network) VPN VPN 常用协议 IPsec PPTP L2TP VPN服务器的设置 防火墙上 性能问题 防火墙后 密文过滤问题 网络边界的定