保密安全与密码技术7防火墙.pptVIP

保密安全与密码技术 主要内容 防火墙的基本概念 防火墙的分类与特点 防火墙的工作模式 防火墙的配置结构 防火墙的相关技术 防火墙的设计 防火墙的基本概念 防火墙是在两个网络(通常是用户内部网络和Internet)之间实施访问控制政策的一个或一组系统（硬件、软件的组合） 通常意义上的防火墙： ◆不同安全级别的网络或安全域之间的唯一通道 ◆只有被防火墙策略明确授权的通信才可以通过 ◆系统自身具有高安全性和高可靠性 防火墙可以做什么 防火墙可以在网络边界实施访问控制政策 防火墙可以记录所有的访问 防火墙可以隐藏内部网络 防火墙可以过滤一定的攻击流量 比如：天网防火墙防御DDoS攻击 防火墙可以做什么 防火墙的基本功能：访问控制 防火墙可以做什么 防火墙的扩展功能： 防火墙不可以做什么 防火墙自身不会正确的配置，需要用户定义访问控制规则 防火墙不能防止内部恶意的攻击者 防火墙无法控制没有经过它的连接 防火墙无法防范全新的威胁和攻击 防火墙不能很好的实现防病毒 关于防火墙的争论 防火墙破坏了Internet端到端的特性，阻碍了新的应用的发展 防火墙没有解决主要的安全问题，即网络内部的安全问题 防火墙给人一种误解，降低了人们对主机安全的意识 防火墙技术 包过滤技术(Packet filtering) 工作在网络层，称为Packet filter, screen router 基于以下信息对经过的每一个包进行检查： IP 源地址和目标地址 协议 (TCP, UDP,ICMP, BGP等) TCP/UDP源端口号和目标端口号 ICMP的消息类型 包的大小 常见包过滤设备/软件 路由器访问控制表ACL 硬件包过滤设备 软件：ipchains / netfilter 包过滤技术(Packet filtering) 优点 可以保护所有的服务 对应用透明 较高的网络性能 成本较低 缺点 无法实施细粒度的访问控制政策 现有的工具不完善 规则配置复杂 降低路由器的性能 电路层网关（Circuit Gateway） 工作在传输层/会话层 根据数据包的标志位建立一个连接状态表 对于收到的某个IP包，检查它是否属于某一个会话？ 跟踪一段时间内一个会话中经过包的总数 常见设备/软件 商业防火墙硬件/软件 免费软件：Socksd: 相关标准 rfc1928.txt 电路层网关（Circuit Gateway） 优点 支持所有TCP应用 保持状态，可以检测、防范SYN Flood类型的攻击 隐藏内部网络 缺点 不支持UDP的应用 对应用不透明，应用软件必须经过socksified才能使用防火墙 保持状态，可能造成网络中断 性能的开销较大 防火墙本身易受DOS攻击 应用层代理（Proxy） 工作在应用层(Application Layer) 应用/协议相关(Protocol specific ),比如telnet , http , smtp , pop , ftp proxy等 可以支持身份认证功能 除了基于地址、协议、端口的控制以外，还可以支持应用层命令的过滤，比如FTP的GET, PUT等 常用软件：squid , wingate, Netscape, MS ISA 等 应用层代理（Proxy） 优点 功能强大：用户认证、细粒度的访问控制 对于Web应用，提供内容缓存功能（cache ） 缺点 协议相关的，需要对每一种应用协议编写Proxy程序 必须修改应用程序 通用计算机/软件实现，影响网络性能 地址转换（NAT） 类似路由器，工作在网络层。除了转发以外，完成地址转换 不能提供额外的安全性，但是可以隐蔽内部网络，节省地址空间 地址转换（NAT） 转换方式 静态地址转换 动态地址转换 静态地址转换＋端口映射（Port Mapping） 动态地址转换＋端口映射 地址转换（NAT） 优点 节省IP地址资源 隐蔽内部的网络 缺点 地址转换破坏了IP包的完整性，破坏了Internet端到端的特性 动态地址转换必须保留状态，破坏了网络无状态的特性 Log 变得困难 端口映射使得包过滤变得困难 定义你的需求 你需要防火墙做什么？ 你的安全政策是什么：你要保护什么？哪些行为是允许的？哪些行为是禁止的？ 缺省允许原则 与 缺省拒绝原则 你的用户需要访问哪些服务？你的网络提供哪些服务？你的网络规模有多大，带宽是多少，实际流量有多大，将来的扩展性怎样？ 你需要多高的安全性？怎样的可靠性？ 约束条件 你的预算是多少？ 什么人来管理防火墙？ 防火墙产品评测 功能 防火墙类型（包过滤/电路层网关/应用代理） 支持的网络接口类型（10M/100M/1000M） 支持的协议（对于代理服务器） 是否支持地址翻译(NAT)，虚拟专网(VPN) 如何扩展，怎样实现负