电子商务安全技术-第08章-防火墙的造与选择.pptVIP

第七章 防火墙的构造与选择 为什么需要防火墙 保护内部不受来自Internet的攻击 为了创建安全域 为了增强机构安全策略 强化安全策略 有效地记录Internet上的活动 隔离不同网络限制安全问题扩散 构建一个安全策略的检查站 7.1 防火墙概述 防火墙实施原则 最少服务最小特权原则 使用多堡垒主机 合并内部路由器与外部路由器 合并堡垒主机与外部路由器 合并堡垒主机与内部路由器 使用多台内部路由器 使用多台外部路由器 使用多个周边网络 使用双重宿主主机与屏蔽子网 7.2 防火墙的基本体系结构 分布式防火墙 传统防火墙技术的几个问题 – 依赖于防火墙一端可信另一端是潜在的敌人 – Internet的发展使从外部穿过防火墙访问内部网的需求增加了 – 一些内部主机需要更多的权限 – 只依赖于端-端加密并不能完全解决问题 – 过于依赖物理拓扑结构 考虑到下面几个事实 – 个人防火墙已得到了广泛的应用 – 操作系统大多已提供了许多在传统意义上还属于防火墙的手段 – IPv6以及IPSec技术的发展 – 防火墙这一概念还不能抛弃 分布式防火墙 思路 – 主要防护工作在主机端 – 打破传统防火墙的物理拓扑结构不单纯依靠物理位置来划分内外 – 由安全策略来划分内外网 具体方法依赖于下面三点 – 策略描述语言说明什么连接允许什么连接不允许 – 一系列系统管理工具用于将策略发布到每一主机处以保证机构的安全 – IPSec技术及其他高层安全协议 7.3 防火墙的选择与实施 – 不能防范恶意的知情者 – 不能防范不通过它的连接 – 不能防范全新的威胁 – 不能有效地防范数据驱动式的攻击 – 当使用端-端加密时其作用会受到很大的限制 2006 personal firewall rating 2006 personal firewall Rating (Cont.) 7.4 主要的防火墙产品 子网过滤结构 优点： 三层防护，安全性高 外部路由器只向Internet暴露子网中的主机 内部路由器只向内部网暴露子网中的主机 即使堡垒主机被入侵者控制，内部网仍受到内部包过滤路由器的保护 防火墙不能防止内部的攻击； 对于绕过防火墙的攻击，它无能为力； 防火墙不能防止被病毒感染的程序或者邮件等； 作为一种被动的防护手段，防火墙不能防范因特网上不断出现的新的威胁和攻击。 防火墙的局限性 确立网络安全保护策略 要保护的内部网的规模 内部网的主要用途，用户的结构和需求 内部网有无安全级别的要求 怎样选择合适的防火墙 对防火墙进行评价、分析 对防火墙的各种类型的优缺点要有所了解 防火墙的稳定性和它所支持平台种类 愿意为防火墙投资多少经费 本单位的技术力量能否支持维护 7.1 防火墙概述 7.2 防火墙的基本体系结构 7.3 防火墙的选择与实施7.4 主要的防火墙产品 防火墙（Firewall）的定义： ——防火墙是用来限制被保护的网络与互联网络之间，或者与其他网络之间相互进行信息存取、传递操作的部件或部件集。 防火墙应具备的条件: 内部和外部之间的所有网络数据流必须经过防火墙 只有符合安全策略的数据流才能通过防火墙 防火墙——隔离内部网和Internet的有效安全机制 外部网络 防火墙 内部网络 防火墙：在两个信任程度不同的网络之间设置的、用于加强访问控制的软硬件保护设施。 服务控制：确定哪些服务可以被访问 方向控制：对于特定的服务，可以确定允许哪个方向能够通过防火墙 用户控制：根据用户来控制对服务的访问 行为控制：控制一个特定的服务的行为 防火墙的控制能力 定义了一个必经之点 挡住未经授权的访问流量 实施保护，以避免各种IP欺骗和路由攻击 防火墙提供了一个监视各种安全事件的位置，所以，可以在防火墙上实现审计和报警 对于有些Internet功能来说，防火墙也可以是一个理想的平台，比如地址转换（NAT），Internet日志，甚至计费功能 防火墙的作用 互联网 X 构筑防火墙之前，需要制定一套有效的安全策略 防火墙的策略 网络服务访问策略 一种高层次的具体到事件的策略，主要用于定义在网络中允许或禁止的服务。 防火墙设计策略 一切未被允许的就是禁止的——安全性好，但是用户所能使用的服务范围受到严格限制。 一切未被禁止的都是允许的——可以为用户提供更多的服务，但是在日益增多的网络服务面前，很难为用户提供可靠的安全防护。 包过滤型（Packet Filter） 代理服务器型（Proxy Service） 复合型防火墙（Hybrid） 防火墙的基本类型 基本思想 对于每个进来的包适用一组规则，然后决定转发或丢弃该包 包过滤型 如何过滤 过滤的规则以IP层和运输层的头中的字段为基础 过滤器往往建立一组规则，根据I