防火墙基础知识.ppt

防 火 墙,目 录,防火墙基础知识 防火墙技术 防火墙结构 典型防火墙配置,防火墙基础知识,防火墙的出现,企业上网面临的安全问题之一:内部网与互联网的有效隔离 解答:防火墙,防火墙的基础知识,防火墙示意图,防火墙的基础知识,防火墙的概念,最初含义：当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙。 防火墙是位于两个信任程度不同的网络之间（如企业内部网络和internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。,防火墙的基础知识,防火墙的作用,防火墙主要用于保护内部安全网络免受外部网不安全网络的侵害。 典型情况：安全网络为企业内部网络，不安全网络为因特网。 但防火墙不只用于因特网，也可用于intranet各部门网络之间（内部防火墙）。例：财务部与市场部之间。,防火墙的基础知识,防火墙实现层次,防火墙的基础知识,防火墙的基本模块,防火墙的基础知识,防火墙的功能,防火墙的功能,过滤进出网络的数据,管理进出网络的访问行为,封堵某些禁止的业务,记录进出网络的信息和活动,对网络攻击进行检测和告警,防火墙的基础知识,日志功能,日志记录一般包括:系统日志、流量日志、告警日志等. 根据管理的需要，它可以对每一个进出网络的数据包作简单或详细的纪录。包括数据的来源，目的，使用的协议，时间甚至数据的内容等等。,防火墙的基础知识,防火墙的评价 -防火墙不可防范什么？,防火墙不是解决所有网络安全问题的万能药方，只是网络安全政策和策略中的一个组成部分。 防火墙不能防范绕过防火墙的攻击，例:内部提供的拨 号服务。 无法防护内部用户之间的攻击 无法防护基于操作系统漏洞的攻击 无法防护内部用户的其他恶意行为 无法防护端口反弹木马的攻击 无法防护病毒的侵袭和病毒感染程序或文件的传递 无法防护非法通道出现,防火墙的基础知识,防火墙的评价 -防火墙不可防范什么？,内部提供的拨号网络绕过了防火墙,防火墙的基础知识,防火墙分类,根据保护对象分为： 1、网络防火墙 2、主机防火墙 根据防范技术分为： 1、包过滤防火墙 2、应用层代理 3、全状态检测防火墙 4、地址翻译防火墙,防火墙的基础知识,防火墙的分类,根据防火墙的存在形式分为 1)软件防火墙 2)硬件防火墙 3)芯片级防火墙,防火墙的基础知识,软件防火墙,软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。软件防火墙就象其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。使用这类防火墙，需要网管对所工作的操作系统平台比较熟 代表： 1）以色列check point公司firewall-1系 列（ 软件防火墙） 2）天网,防火墙的基础知识,硬件防火墙,这里说的硬件防火墙是指所谓的硬件防火墙设备。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于x86架构。在这些x86架构计算机上运行一些经过特殊网络优化、裁剪和简化的操作系统，在整个硬件系统的自身安全和网络的处理能力上得到了很大的增强 代表： jump 联想 天融信 cisco公司的pix 系列防火墙（硬件防火墙） 安氏领信,防火墙的基础知识,芯片级防火墙,它们基于专门的硬件平台，没有操作系统。专有的asic（特定用途集成电路）芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。这类防火墙由于是专用os,因此防火墙本身的漏洞比较少，不过价格相对比较高昂，所以一般只有在“确实需要”的情况下才考虑。 代表：netscreen，fortinet,防火墙的基础知识,防火墙技术,防火墙技术,防火墙技术,防火墙的实现与防范技术 包过滤 地址翻译 代理服务器 全状态检测,防火墙技术,包过滤防火墙,防火墙技术,包过滤防火墙,包过滤防火墙对所接收的每个数据包做允许拒绝的决定。防火墙审查每个数据报以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给ip转发过程的包头信息。 包头信息中包括ip源地址、ip目标端地址、内装协（tcp、udp、icmp、或iptunnel）、tcp/udp目标端口、icmp消息类型、tcp包头中的ack位 包的进入接口和出接口如果有匹配并且规则允许该数据包，那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包，那么该数据包就会被丢弃。如果没有匹配规则，用户配置的缺省参数会决定是转发还是丢弃数据包。 包过滤防火墙使得防火墙能够根据特定的服务允许或拒绝流动的数据，因为多数的服务收听者都在已知的tcp/udp端口号上。例如，telnet服务器在tcp的23号端口上监听远地连接，而smtp服务器在tcp的25号端口上监听人连接。为了阻塞所有进入的telnet连接，防火墙只需简单的丢弃所有tcp端口号等于23的数据包。为了将进来的telnet连接限制到内部的数台机器上，防火墙必须拒绝所有tcp端口号等于23并且目标ip地址不等于允许主机的ip地址的数据包。,防火墙技术,包过滤检查内容,数据包过滤一般要检查网络层的ip头和传输层的头 1、ip源地址 2、ip目标地址 3、协议类型（tcp包、udp包和icmp包） 4、tcp或udp包的目的端口 5、tcp或udp包的源端口 6、icmp消息类型 7、tcp包头的ack位 8、tcp包的序列号、ip校验和等,防火墙技术,包过滤检查内容,防火墙技术,包过滤防火墙,防火墙技术,往外包的特性（用户操作信息） -ip是内部地址 -目的之制为server -tcp协议 目标端口23 -源端口 1023 -连接的第一个包ack=0 -其他包ack=1,往内包的特性（用户操作信息） -ip是server地址 -目的之制为内部地址 -tcp协议 源端口23 -目标端口 1023 -所有往内的包ack=1,包过滤防火墙的优缺点,防火墙技术,优点：速度快，性能高 对用户透明 缺点：维护比较困难(需要对tcp/ip了解） 安全性低（ip欺骗等） 不提供有用的日志，或根本就不提供 不防范数据驱动型攻击 不能根据状态信息进行控制 不能处理网络层以上的信息 无法对网络上流动的信息提供全面的控制,land攻击步骤1,防火墙技术,land攻击步骤2,防火墙技术,透明式包过滤,防火墙技术,地址翻译（nat）,目前合法的ip地址已经远远不够使用，许多公司内部使用的都是非法的ip地址，无法直接与外界相连。防火墙能够将内部使用的非法ip地址与对外真正的ip作转换。使现在使用的ip无需变动，也能够与外界相通。防火墙提供一对一（nat）及多对一（pat）的地址转换，可保护及隐藏内部网络资源并减少由于架设网络防火墙所引起的ip地址变动，方便网络管理，并可以解决ip地址不足的问题。,防火墙技术,地址转换技术（nat）,nat（network address translation）:就是将一个ip地址用另一个ip地址代替。 应用领域： 网络管理员希望隐藏内部网络的ip地址。 内部网络的ip地址是无效的ip地址。合法internet ip地址有限，而且受保护网络往往有自己的一套ip地址规划（非正式ip地址）,防火墙技术,nat示意图,防火墙技术,nat原理,防火墙技术,nat原理,防火墙技术,nat sample（pat）,防火墙技术,nat（map ip）,防火墙技术,虚拟ip,防火墙技术,代理服务器,代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。不允许通信直接经过外部网和内部网。 防火墙内外计算机系统间应用层的“链接”，由代理服务器上的两个“链接”来实现 外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。,防火墙技术,代理服务器示意图,防火墙技术,代理服务器,防火墙技术,代理服务器,http代理ftp代理smtp代理pop3代理telnet代理,防火墙技术,代理服务器,防火墙技术,代理服务分类,代理服务分类：代理服务可分为应用级代理与电路级代理： 1、应用级代理是已知代理服务向一种应用服务提供的代理，它在应用协议中理解并解释命令。 1）优点为它能解释应用协议从而获得更多的信息 2）缺点为只适用于单一协议。 电路级代理是在客户和服务器之间不解释应用协议即 建立回路。 1、优点在于它能对各种不同的协议提供服务 2、缺点在于它对因代理而发生的情况几乎不加控制。,防火墙技术,应用层代理的优点,网络管理员可以完全控制提供那些服务，因为没有特定服务的代理就表示该服务不提供。 防火墙可以被配置成唯一的可被外部看见的主机，这样可以保护内部主机免受外部主机的进攻。 应用层代理有能力支持可靠的用户认证并提供详细的注册信息。 用于应用层的过滤规则相对于包过滤防火墙来说更容易配置和测试。 代理工作在客户机和真实服务器之间，完全控制会话，所以可以提供很详细的日志和安全审计功能。,防火墙技术,应用层代理的缺点,应用层代理的最大缺点是要求用户改变自己的行为，或者在访问代理服务的每个系统上安装特殊的软件。 每个应用程序都必须有一个代理服务程序来进行安全控制，每一种应用升级时，一般代理服务程序也要升级。 应用层代理终究是一个应用程序，它的效率比nat低 代理对用户不透明； 代理服务不能保证你免受所有协议弱点的限制 代理不能改进底层协议的安全性,防火墙技术,全状态检测,状态检测技术：在包过滤的同时，检察数据包之间的关联性，数据包中动态变化的状态码。 1、监测引擎采用抽取有关数据的方法对网络通信的各层实施监测，抽取状态信息，并动态地保存起来作为以后执行安全策略的参考。 2、当用户访问请求到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。,防火墙技术,状态检测示意图,防火墙技术,状态检测示意图,防火墙技术,全状态检测,防火墙技术,状态检测的优缺点,优点： 1、一旦某个访问违反安全规定，就会拒绝该 访问，并报告有关状态作日志记录。 2、它会监测无连接状态的远程过程调用（rpc ）和用户数据报（udp）之类的端口信息。 缺点： 1、降低网络速度 2、配置比较复杂,防火墙技术,防火墙体系结构,防火墙的主要体系结构： 双重宿主主机体系结构 屏蔽主机体系结构 屏蔽子网体系结构 其它的防火墙结构,防火墙结构,双重宿主主机体系结构是围绕双重宿主主机构筑的。 双重宿主主机至少有两个网络接口，它位于内部网络和外部网络之间，这样的主机可以充当与这些接口相连的网络之间的路由器，它能从一个网络接收ip数据包并将之发往另一网络。然而实现双重宿主主机的防火墙体系结构禁止这种发送功能，完全阻止了内外网络之间的ip通信。 两个网络之间的通信可通过应用层数据共享和应用层代理服务的方法实现。一般情况下采用代理服务的方法。,双重宿主主机体系结构（1）,防火墙结构,双重宿主主机体系结构,防火墙结构,双重宿主主机体系结构2,双重宿主主机的特性： 1、安全至关重要（唯一通道），其用户口令控制安全是关键。 2、必须支持很多用户的访问（中转站），其性能非常重要。 缺点：双重宿主主机是隔开内外网络的唯一屏障，一旦它被入侵，内部网络便向入侵者敞开大门。,防火墙结构,屏蔽主机体系结构,防火墙结构,屏蔽主机体系结构1,屏蔽主机体系结构由防火墙和内部网络的堡垒主机承担安全责任。 典型构成：包过滤路由器堡垒主机。 1、包过滤路由器配置在内部网和外部网之 间，保证外部系统对内部网络的操作只能 经过堡垒主机。 2、堡垒主机配置在内部网络上，是外部网 络主机连接到内部网络主机的桥梁，它 需要拥有高等级的安全。,防火墙结构,屏蔽主机体系结构2,屏蔽路由器可按如下规则之一进行配置： 1、允许内部主机为了某些服务请求与外部网上的主机建立直接连接（即允许那些经过过滤的服务）。 2、不允许所有来自外部主机的直接连接。 安全性更高，双重保护：实现了网络层安全（包过滤）和应用层安全（代理服务）(可防止某些木马外联)。 缺点：过滤路由器能否正确配置是安全与否的关键。如果路由器被损害，堡垒主机将被穿过，整个网络对侵袭者是开放的。,防火墙结构,屏蔽子网体系结构1,屏蔽子网体系结构在本质上与屏蔽主机体系结构一样，但添加了额外的一层保护体系周边网络。堡垒主机位于周边网络上，周边网络和内部网络被内部路由器分开。 原因：堡垒主机是用户网络上最容易受侵袭的机器。通过在周边网络上隔离堡垒主机，能减少在堡垒主机被侵入的影响。,防火墙结构,屏蔽子网体系结构,防火墙结构,屏蔽子网体系结构2,周边网络是一个防护层，在其上可放置一些信息服务器，它们是牺牲主机，可能会受到攻击，因此又被称为非军事区（dmz）。 周边网络的作用：即使堡垒主机被入侵者控制，它仍可消除对内部网的侦听。,防火墙结构,屏蔽子网体系结构3,堡垒主机 1、堡垒主机位于周边网络，是整个防御体 系的核心。 2、堡垒主机可被认为是应用层网关，可以 运行各种代理服务程序。 3、对于出站服务和入站服务应要求所有服 务都通过堡垒主机。,防火墙结构,屏蔽子网体系结构4,外部路由器（访问路由器） 作用：保护周边网络和内部网络不受外部网络的侵犯。 它把入站的数据包路由到堡垒主机。 防止部分ip欺骗，它可分辨出数据包是否真正来自 周边网络，而内部路由器不可。 内部路由器（阻塞路由器） 作用：保护内部网络不受外部网络和周边网络的侵 害，它执行大部分过滤工作。 外部路由器一般与内部路由器应用相同的规则。,防火墙结构,其他防火墙结构1,防火墙结构,其他防火墙结构2,防火墙结构,典型防火墙配置,典型防火墙配置,防火墙应用, 访问控制的应用 防火墙在 vlan 网络应用 内网安全分段的应用 多出口的应用,典型防火墙配置,访问控制的应用,典型防火墙配置,防火墙在vlan网络中的应用,内网分段的应用,多出口的应用,防火墙误区,最全的就是最好的，最贵的就是最好的 软件防火墙部署后不对操作系统加固 一次配置，永远运行 测试不够完全 审计是可有可无的,选择防火墙的标准,选择防火墙的标准有很多，但最重要的是以下几条： 1、总拥有成本 2、功能（内容过滤、负载均衡、ha） 3、性能（千兆、策略数影响） 4、稳定性 5、可扩充性（端口） 6、售后升级能力,某大型企业集团防火墙解决方案,网络现状,从网络安全威胁看，集团网络的威胁主要包括外部的攻击和入侵、内部的攻击或误用、企业内 的病毒传播，以及安全管理漏洞等方面。,安全需求分析,从安全性和实用性角度考虑，安全需求主要包括以下几个方面: 安全管理咨询 安全建设应该遵照7分管理3分技术的原则，通过本次安全项目，可以发现集团现有安全问题，并且协助建立起完善的安全管理和安全组织体系。 集团骨干网络边界安全 主要考虑骨干网络中internet出口处的安全，以及移动用户、远程拨号访问用户的安 全。 集团骨干网络服务器安全 主要考虑骨干网络中网关服务器和集团内部的服务器，包括oa、财务、人事、内部web等内部信息系统服务器区和安全管理服务器区的安全。 集团内联网统一的病毒防护 主要考虑集团内联网中，包括总公司在内的所有子公司或分公司的病毒防护。 统一的增强口令认证系统 由于系统管理员需要管理大量的主机和网络设备，如何确保口令安全称为一个重要的问题。 统一的安全管理平台 通过在集团内联网部署统一的安全管理平台，实现集团总部对全网安全状况的集中监测、安全策略的统一配置管理、统计分析各类安全事件、以及处理各种安全突发事件。 专业安全服务 通过专业安全服务建立全面的安全策略、管理组织体系及相关管理制度，全面评估企业网络中的信息资产及其面临的安全风险情况，在必要的情况下，进行主机加固和网络加固。通过专业紧急响应服务保证企业在面临紧急事件情况下的处理能力，降低安全风险。,安全解决方案,骨干网边界安全 集团骨干网共有二个internet出口，位置在北京和广州，每个internet出口各部署安氏linktrust cyberwall-200f/006防火墙两台。 在两个internet出口处各部署一台安氏linktrust network defender领信网络入侵检测系统，通过交换机端口镜像的方式，将进出internet的流量镜像到入侵检测的监听端口，linktrust network defender可以实时监控网络中的异常流量，防止恶意入侵。 另外部署一台高档pc服务器，该服务器可设置于安全管理运行中心网段，用于对集团骨干网部署的入侵检测进行统一管理和事件收集。 骨干网服务器安全 集团骨干网服务器主要指网络中的网关服务器和集团内部的应用服务器包括oa、财务、人事、内部web等，以及专为此次项目配置的、用于安全产品