网络安全第二章防火墙技术.ppt

网络安全产品的系统化（2/2） 防火墙与防病毒产品联动 防火墙与IDS联动 防火墙与认证系统联动 防火墙与日志分析系统联动 主流防火墙产品简介 国内：天融信网络卫士防火墙（NGFW） 我国第一套自主版权的防火墙系统 TOPSEC（Talent Open Protocol for Security）安全体系（联动协议安全标准） 补充 主流防火墙产品简介 国外：CheckPoint的Firewall-1防火墙 状态检测（Stateful Inspection）技术最早由CheckPoint提出 OPSEC（Open Platform for Secure Enterprise Connectivity）——开放安全企业互联联盟的组织和倡导者之一，允许用户通过一个开放的、可扩展的框架集成、管理所有的安全产品。 （目前已有包括IBM、HP、Sun、Cisco、BAY等超过135个公司加入到OPSEC联盟。） 防火墙性能测试简介 性能测试标准：RFC 2544（2-3层）和RFC 3511（4-7层） 吞吐量：网络设备在不丢失任何一个帧情况下的最大转发速率。 延时（比特转发）：入口处输入帧第1个比特到达被测设备至出口处输出帧的第1个比特输出时所用的时间间隔 丢包率：在稳态负载下由于缺少资源应转发而没有转发的帧占所有应被转发的帧的比例 背靠背：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率，发送一定数量固定长度的帧，当出现第一个帧丢失时所发送的帧数。 补充 创建防火墙的步骤 1、指定安全策略 2、搭建安全体系结构 3、落实规则集及规则次序 4、更换控制 5、审计工作 防火墙实例 （1）360安全卫士 （2）天网防火墙 360安全卫士 360安全卫士 天网防火墙 天网防火墙 思考题 防火墙系统方案设计 某企业下设有计划部、生产部、市场部、财务部、人事部等。企业总部在北京，上海、武汉、广州、深圳设有分部。企业内部有E-mail服务器、FTP服务器等。 分组过滤路由器 分组过滤路由器 作为内外网连接的唯一通道，要求所有的报文都必须在此通过检查。 通过在分组过滤路由器上安装基于IP层的报文过滤软件，就可利用过滤规则实现报文过滤功能。 缺点： 在单机上实现，是网络中的“单失效点”。 不支持有效的用户认证、不提供有用的日志，安全性低。 双宿主机 双宿主机 在被保护网络和Internet之间设置一个具有双网卡的堡垒主机，IP层的通信完全被阻止，两个网络之间的通信可以通过应用层数据共享或应用层代理服务来完成 通常采用代理服务的方法 堡垒主机上运行着防火墙软件，可以转发应用程序和提供服务等 优缺点： 堡垒主机的系统软件可用于身份认证和维护系统日志，有利于进行安全审计 该方式的防火墙仍是网络的“单失效点”。 隔离了一切内部网与Internet的直接连接，不适合于一些高灵活性要求的场合 屏蔽主机 屏蔽主机 一个分组过滤路由器连接外部网络，同时一个运行网关软件的堡垒主机安装在内部网络。通常在路由器上设立过滤规则，使这个堡垒主机成为从外部唯一可直接到达的主机。 提供的安全等级较高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。 过滤路由器是否正确配置是这种防火墙安全与否的关键。过滤路由器的路由表应当受到严格的保护，如果路由表遭到破坏，则堡垒主机就有被越过的危险。 屏蔽子网 屏蔽子网 是最安全的防火墙系统，它在内部网络和外部网络之间建立一个被隔离的子网（非军事区，DMZ（Demilitarized Zone）） 在很多实现中，两个分组过滤路由器放在子网的两端，内部网络和外部网络均可访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信 通常将堡垒主机、各种信息服务器等公用服务器放于DMZ中 堡垒主机通常是黑客集中攻击的目标，如果没有DMZ，入侵者控制堡垒主机后就可以监听整个内部网络的会话 防火墙的实现技术 2.4 1 代理服务（Proxy Service） 2 状态检测（Stateful Inspection） 3 网络地址转换（Network Address Translation ） 4 数据包过滤（Packet Filtering） 数据包过滤（1/6） 应用层 表示层 会话层 传输层 数据链路层 物理层 路由器 应用层 表示层 会话层 传输层 数据链路层 物理层 网络层 网络层 数据链路层 物理层 数据包过滤技术是一种简单、高效的安全控制技术，是防火墙发展初期普遍采用的技术。 工作原理： 系统在网络层检查数据包，与应用层无关。 依据在系统内设置的过滤规则（通常称为访问控制表——Access Control List）对数据流中每个数据包包头中