第10讲系统安全性-防火墙题库.ppt

防火墙双机热备份 当一台防火墙故障时，这台防火墙的连接不需要重新建立就可以透明的迁移到另一台防火墙上，用户不会察觉到 通过STP协议可以交换两台防火墙的状态信息 防火墙接口备份 前提：防火墙工作在负载均衡模式下 如果某台防火墙的一个接口出现故障，另外一台均衡防火墙的接口将接管故障接口的全部通信 故障防火墙的其它接口则继续参与通信 防火墙负载均衡 与IDS的安全联动 误操作的处理 与病毒服务器的安全联动 无病毒则转发最后一个报文，如有病毒则丢弃最后一个报文 双地址路由功能 根据源、目的地址进行路由 IP与MAC(用户)的绑定 时间策略 在访问策略中配置某条规则起作用和的时间 MAP(端口映射) 公开服务器可以使用私有地址 隐藏内部网络的结构 NAT(地址转换) 内部网络可以使用私有IP地址 隐藏内部网络结构 内部地址不足的网络可以使用这种方式提供IP复用功能 网络与信息安全技术第十讲防火墙 华中科技大学软件工程硕士课程 主要内容 防火墙基本概念 防火墙发展历程 防火墙核心技术 防火墙体系结构 防火墙的功能 IT领域防火墙的概念 一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业的有关安全政策控制进出网络的访问行为(允许、拒绝、监视、记录) 防火墙 的形态 类似于路由器，是一台特殊的计算机 防火墙 的形态 Console口 网络接口 扩展口 电源 防火墙的发展历程 利用路由器本身对分组的解析，进行分组过滤 过滤判断依据：地址、端口号、IP标识及其他网络特征 防火墙与路由器合为一体，只有过滤功能 适合于对安全性要求不高的网络环境 将过滤功能从路由器中独立出来，并加上审计和告警功能 根据用户需求，提供模块化的软件包 软件可通过网络发送，用户可根据需要构造防火墙 与第一代防火墙相比，安全性提高了，价格降低了 是批量上市的专用防火墙产品 包括分组过滤或者借用路由器的分组过滤功能 装有专用的代理系统，监控所有协议的数据和指令 保护用户变成空间和用户可配置内核参数的设置 安全性和速度大为提高 防火墙厂商具有操作系统的源代码，并可实现安全内核 去掉不必要的系统特性，加固内核，强化安全保护 在功能上包括了分组过滤、应用网关、电路级网关 增加了许多附加功能：加密、鉴别、审计、NAT转换 透明性好，易于使用 防火墙的核心技术 简单包过滤技术 状态检测包过滤技术 应用代理防火墙 包过滤与应用代理复合型防火墙 核检测防火墙 简单包过滤 防火墙 不检查数据区 不建立连接状态表 前后报文无关 应用层控制较弱 数据 数据 TCP IP TCP 数据 ETH IP TCP 数据 状态检测包过滤 防火墙 不检查数据区 建立连接状态表 前后报文相关 应用层控制很弱 应用代理防火墙 不检查IP、TCP报头 不建立连接状态表 网络层保护比较弱 复合型防火墙 可以检查整个数据包内容 根据需要建立连接状态表 网络层保护强 应用层控制细 会话控制较弱 核检测 防火墙 网络层保护强 应用层保护强 会话保护很强 上下文相关 前后报文有联系 防火墙核心技术比较 防火墙体系结构 在操作系统内核完成应用协议的还原，极大地提高了性能 连接表 基于内核的会话检测技术 在操作系统内部模拟出典型的应用层协议，在内核实现对应用层协议的过滤，从而得到极高的性能 基于内核的会话检测技术 进行规则匹配、应用层过滤 频繁在系统核心和应用层之间切换 消耗掉大量的系统资源 生成大量的进程，影响防火墙的性能 直接在系统核心进行应用层过滤 不需要频繁在系统核心和应用层之间切换 在大量并发情况下不会生成大量进程，有效的保护系统资源 大大提高会话检测的效率 防火墙构造体系 筛选路由器 多宿主主机 被屏蔽主机 被屏蔽子网 筛选路由器 多宿主主机 缺点：如何保护宿主主机本身的安全 被屏蔽主机 不允许外部主机直接访问除堡垒主机之外的其他主机 过滤器 进行规则匹配，只允许外部主机与堡垒主机通信 对内部其他主机的访问必须通过堡垒主机 堡垒主机 缺点： 堡垒主机与其它主机在同一个子网 一旦堡垒主机被攻破或被越过，整个内网和堡垒主机之间就再也没有任何阻挡 被屏蔽子网 内部筛选路由器 禁止内外网络直接进行通信 外部筛选路由器 堡垒主机 内外部网络之间的通信都经过堡垒主机 被屏蔽子网 防火墙的功能－访问控制 基于源IP地址 基于目的IP地址 基于源端口 基于目的端口 基于时间 基于用户 基于流量 基于文件 基于网址 基于MAC地址 Access list to Access nat to any pass Access to block Access default pass 规则匹配