[高等教育]第七讲防火墙技术.ppt

防火墙技术 防火墙概念 传统防火墙概念：防火墙被设计用来防止火从大厦的一部分扩散到另一部分 IT领域防火墙概念 IT领域防火墙概念：一种高级访问控制设备，置于不同网络安全域之间的、实施网间访问控制的一系列组件的集合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全策略控制（允许、拒绝、监视、记录）进出网络的访问行为。 构建防火墙的目的 在内部、外部两个网络之间建立一个安全控制点，对经过防火墙的数据流通过允许、拒绝或重新定向等方式，实现对进、出内部网络的服务和访问的审计和控制” （参见国标GB/T 18019-1999） 防火墙的两大需求 一是保证内部网同外部网的连通 二是保障内部网安全 创建内部网安全域，保护内部网络不受来自Internet的攻击，增强机构安全策略. 防火墙基本功能 过滤进、出网络的数据； 管理进、出网络的访问行为； 封堵某些禁止的业务； 记录通过防火墙的信息内容和活动； 对网络攻击检测和告警。 防火墙应具有的特性 所有在内部网络和外部网络之间传输的数据必须通过防火墙 只有被授权的合法数据即防火墙系统中安全策略允许的数据可以通过防火墙 防火墙本身运行稳定，不受各种攻击的影响 使用目前最新的信息安全技术，例如现代密码技术等 人机界面良好，用户配置使用方便，易管理 防火墙的优点 隔离内外网络通信，控制服务，只有授权的协议和服务才能通过防火墙 访问控制（控制外部用户进入内部专网，限制内部用户出访，鉴别移动或异地办公用户的网络访问） 强化隐私权、对防火墙内的系统实施安全保护（支持内部网络主机和服务器采用私有地址，对外界隐藏内部网络拓扑，并利用NAT技术缓解地址空间短缺的问题，防止内部主机IP地址的滥用和误用） 对所有的访问作日志记录（可对来自外部、内部的网络违规和入侵行为进行检测和集中监控，利用安全审计对违规通信、安全事件进行实时报警和处置） 统计网络通信流量，并根据策略进行流量控制 防火墙的缺点 使用不便，认为防火墙给人虚假的安全感 对用户不完全透明，可能带来传输延迟、瓶颈及单点失效 不能替代防火墙内的安全措施： 不能防范内部恶意的知情者 不能防范不通过它的连接（如SLIP或PPP ） 不能防范全新的威胁（伪装、传送感染病毒的文件） 不能有效地防范数据驱动式的攻击 当使用端-端加密时，其作用会受到很大的限制 硬件防火墙前面板 硬件防火墙后面板 防火墙用户界面 应用防火墙的网络 防火墙的发展历程 防火墙的种类 分组过滤防火墙(Packet Filtering Firewall) 应用代理防火墙(Application Proxy Firewall) 状态检测防火墙(Stateful Inspection Firewall) 分组过滤工作原理 应用代理工作原理 状态检测工作原理 防火墙体系结构 屏蔽路由器(Screening Router) 双宿/多宿主主机网关(Dual/multi-Homed Gateway) 被屏蔽主机网关(Screened Host Gateway) 被屏蔽子网(Screened Subnet ) 屏蔽路由器 双宿主主机网关 多宿主主机网关 被屏蔽主机网关 被屏蔽子网 被屏蔽子网 屏蔽子网防火墙典型实例 防火墙相关技术 静态包过滤 动态包过滤 应用程序网关(代理服务器) 电路级网关 网络地址转换(NAT) 虚拟专用网(VPN) 静态包过滤 根据流经该设备的数据包地址信息，决定是否允许该数据包通过 判断依据事先设定的访问控制策略，如： 数据包协议类型：TCP、UDP、ICMP、IGMP等 源、目的IP地址 源、目的端口：FTP、HTTP、DNS等 IP选项：源路由、记录路由等 TCP选项：SYN、ACK、FIN、RST等 其它协议选项：ICMP ECHO、ICMP ECHO REPLY等 数据包流向：in或out 数据包流经网络接口：eth0、eth1 基于用户、时间、流量等 动态包过滤 Check point一项称为“Stateful Inspection”的技术，具有入侵检测的功能 可动态生成/删除规则 分析高层协议 包过滤技术的产品 商业版防火墙产品 个人防火墙 路由器 Open Source Software Ipfilter (FreeBSD、OpenBSD、Solaris，…) Ipfw (FreeBSD) Ipchains (Linux 2.0.x/2.2.x) Iptables (Linux 2.4.x) 应用程序网关 实现比包过滤路由器更严格的安全策略 对每种服务需要安装特殊的代码(代理服务) 应用程序网关应用实例 应用程序网关的产品 商业版防火墙产品 商业版代