网络安全技术：防火墙.ppt

IP网络技术 网络安全技术：防火墙 目 录 防火墙基本概念 防火墙相关技术 防火墙技术发展趋势 防火墙的部署方式 网络系统的风险和威胁 所有的软件都是有错的. 通常情况下99.99%的无错程序很少出现问题. 安全相关的99.99%的无错程序可以确信会有人利用那0.01%的错误. 0.01%安全问题等于100%的失败. 无处不在的攻击 经济利益的驱使. 技术怪才们的成就感. 攻击的自动化, 远程化和协作化. 网络技术的普及也导致了攻击技术的广泛传播,包括攻击方法和攻击工具 网络系统安全的复杂性 网络元素的复杂性 PC主机: 硬件系统 OS系统: linux/windows/solaris/winCE/Vxworks/IOS/ 应用软件: 交换设备/路由设备: 多种的网络协议: 管理模式的复杂性 安全意识 内部人员的管理,权限分配和密码管理 错误的网络配置 安全措施实施的难度 数据通信网络拓扑结构 数据通信设备 Hub集线器 连接多个网络设备,提供802.3协议的电气互联功能,不具有交换功能.所有的用户共享带宽. 交换机 二层交换机:利用端口和MAC地址的映射关系进行数据报文的转发. 三层交换机:具有二层交换机功能以及部分路由器的功能,实现利用IP地址和MAC地址进行转发. 路由器 边缘路由器:路由表相对较小. 核心路由器:大容量的路由表,高的处理能力. 网关:实现一种协议到另外一种协议的转换功能. 防火墙:作为一个网络接入到另外一个网络的安全控制点. 防火墙的定义 防火墙是位于两个(或多个)网络之间,实施网络间控制的一组组件的集合,它满足以下条件: (1)内部和外部网络之间的数据都必须流经防火墙. (2)只有符合预先定义的安全策略的数据才能通过防火墙. (3)防火墙能够具有自我免疫的能力,能够抵制各种攻击. (4)防火墙具有完善的日志/报警/监控功能,良好的用户接口 防火墙的基本概念 防火墙基本作用 合理划分网络,设置访问控制点,保护私有网络. 防止进攻者接近内部网络 限制内部用户的外部访问行为 对外部隐藏内部网络细节 提供内部网络和外部网络的连通 防火墙五大核心功能 防火墙的分类 包过滤防火墙 工作在传输层和网络层. 状态检测包过滤防火墙(SPF: Stateful Packet Filtering) 工作在传输层和网络层,除了进行数据包安全规则匹配和过滤外,提供对于数据连接的状态检测,这是目前主流的防火墙技术 应用层(代理)防火墙 工作在应用层,表示层或者会话层. 简单包过滤防火墙工作原理 包过滤防火墙也称作访问控制列表，它是根据已经定义好的过滤规则来审查每个数据包，并确定该数据包是否与过滤规则匹配，从而决定数据包是否能通过。 包过滤防火墙对每一个数据包的包头进行分析，按照包过滤规则来进行判定，与规则相匹配的包根据路由信息继续转发，否则就将之丢弃。此外，包过滤防火墙会对每一个通过防火墙的数据包的包头长度、选项、数据段和标志等信息进行结构化检查，以防止错误的数据包通过防火墙。 包过滤防火墙的优缺点 优点 可以与现有的路由器集成，也可以用独立的包过滤软件来实现，而且数据包过滤对用户来说是透明的，成本低、速度快、效率高。 缺点 包过滤技术的主要依据是包含在IP报头中的各种信息，可是IP包中信息的可靠性没有保证，IP源地址可以伪造，通过内部合谋，入侵者轻易就可以绕过防火墙； 并非所有的服务都与静态端口绑定，包过滤只能够过滤IP地址，所以它不能识别相同IP地址下不同的用户，从而不具备身份认证的功能； 工作在网际层和传输层，不能检测那些对高层进行的攻击； 如果为了提高安全性而使用很复杂的过滤规则，那么效率就会大大降低； 对每一个数据包单独处理，不具备防御DoS攻击和DDoS攻击的能力。 状态检测包过滤防火墙工作原理 状态检测防火墙是一种动态包过滤防火墙，也称为自适应防火墙，它在基本包过滤防火墙的基础增加了状态检测的功能。 状态检测防火墙记录和跟踪所有进出数据包的信息，对连接的状态进行动态维护和分析。一旦发现异常的流量或异常的连接，就动态生成过滤规则，制止可能的攻击行为。因此，状态检测防火墙具有较强的对DoS攻击和DDoS攻击的防御能力。 状态检测防火墙的优缺点 优点 具备包过滤防火墙的一切优点； 能够灵活地动态地生成过滤规则，自动适应网络的工作状态； 具备较好的DoS攻击和DDoS攻击防御能力； 与应用代理防火墙相比，状态检测防火墙工作在协议栈的较低层，通过防火墙的所有数据包都在底层处理，减少了高层协议栈的开销，执行效率较高，具有较好的可伸缩性和易扩展性，应用范围广。 缺点 不能对应用层数据进行控制； 不能记录高层次的日志。 代理防火墙工作原理 应用代理防火墙工作在应用层，它针对专门的应用层协议制定数