防火墙与入侵检测剖析.ppt

网络通信安全管理员认证防火墙与入侵检测 问题的提出 你想免受黑客的攻击吗？ 你如何把攻击抵御在企业外部吗？ 马其顿防线---开始防御 解答： 为什么需要防火墙？ 保护内部不受来自Internet的攻击 为了创建安全域 为了增强机构安全策略 对防火墙的两大需求 保障内部网安全 保证内部网同外部网的连通 什么是防火墙(Firewall) 防火墙的本义原是指古代人们当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。 原是汽车中一个部件的名称。在汽车中，利用防火墙把乘客和引擎隔开 什么是计算机网络中的防火墙(Firewall)？ 防火墙定义 防火墙是一种（被动的）访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问。换句话说，防火墙是一道门槛，根据安全策略控制进/出两个方向的通信。 注解： 1、内部网与互联网的有效隔离 2、内网与外网之间的第一道安全屏障 3、它将不可信网络同可信任网络隔离开 4、防火墙本身具有较强的抗攻击能力 防火墙示意图 具体解释—什么是防火墙1 在一个受保护的企业内部网络与互联网间,用来强制执行企业安全策略的一个或一组系统. 具体解释—什么是防火墙2 防火墙主要用于保护内部安全网络免受外部网不安全网络的侵害。 典型情况：安全网络为企业内部网络，不安全网络为因特网。 但防火墙不只用于因特网，也可用于Intranet各部门网络之间（内部防火墙）。例：财务部与市场部之间。 防火墙应具有的特性 防火墙是放置在两个可信程度不同的网络之间的一组组件，这组组件共同具有下列性质 双向通信必须通过防火墙 防火墙本身不会影响信息的流通 只允许本身安全策略授权的通信信息通过 防火墙的功能 防火墙的组成 防火墙＝过滤器＋安全策略 防火墙的存在形式：软件、硬件 功能组成： 防火墙的发展历史图示 现在和未来的防火墙 集成入侵检测 人工智能（神经网络模糊识别专家系统） 深度包检测技术 网络处理器（Network Processor）和专用集成电路（ASIC） —千兆 分布式 防火墙的分类 1．包过滤防火墙（分组） 2．应用代理防火墙 3.电路级网关型防火墙 4.状态包检测防火墙 5.自适应代理型防火墙 这是根据采用工作的网络层次不同进行分类的 包过滤防火墙1 包是网络上信息流动的基本单位，它由数据负载和包头两个部分组成。 包过滤器又称为过滤路由器，它把包头信息和管理员设定的规则表进行比较，如果有一条规则不允许发送某个包，路由器将会丢弃它。 通过检查数据流中每一个数据包的源地址、目的地址、所用端口、协议状态等因素，或它们的组合来确定是否允许该数据包通过。 包过滤防火墙2 防火墙通常就是一个具备包过滤功能的简单路由器，支持因特网安全。因为包过滤是路由器的固有属性，因而它是一种因特网互联更加安全的简单方法。 过滤路由器与普通路由器的差别主要在于，普通路由器只是简单地查看每一个数据包的目标地址，并且选取数据包发往目标地址的最佳路径。 作为过滤路由器，它将更严格地检查数据包，除了决定它是否能发送数据包到其它目标之外，过滤路由器还决定它是否应该发送。“应该”或者“不应该”由站点的安全策略决定，并由过滤路由器强制设置。 包过滤防火墙的示意图 包过滤防火墙的示意图2 包过滤服务器的工作层面 包过滤所检查的内容 IP源地址 IP目标地址 协议类型（TCP包、UDP包和ICMP包） TCP或UDP包的目的端口 TCP或UDP包的源端口 ICMP消息类型 TCP包头的ACK位 TCP包的序列号、IP校验和等 包过滤例子 第一条规则：主机任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过。第二条规则：任何主机的20端口访问主机的任何端口，基于TCP协议的数据包允许通过。第三条规则：任何主机的20端口访问主机小于1024的端口，如果基于TCP协议的数据包都禁止通过。 推荐配置软件 WinRoute 4.1 包过滤防火墙的优缺点 优点： 1、使用方便，对用户透明 2、效率高，速度快 3、可方便用于隔离内外网络 例子：包过滤路由器与守卫有些相似，当装载有包的运输卡车到达时，“包过滤”守卫快速的察看包的住户地址是否正确，检查卡车的标识(证件)以确保它也是正确的，接着送卡车通过关卡传递包。 缺点： 安全性低 例子1、包过滤的一个重要的局限是它不能分辨好的用户和不好的用户，它只能区分好的包和坏的包。包过滤只好工作在有黑白分明的安全策略的网中， 即内部人是好的， 外部人是不好的。 缺点例子2 只是粗略检查特定的连接的合法性。例如HTTP通常为Web服务连接使用80号端口。如果公司的安全策略允许内部职员访问网站，包过