《防火墙技术》PPT课件.ppt

,防火墙技术,本课程的基本内容,防火墙的原理与分类 防火墙系统的设计原则 防火墙的选择与维护 网络的安全系统设计,防火墙的原理,内 容,Internet的安全风险 Internet的基本安全概念 防火墙的重要性 防火墙的基本概念 防火墙的基本功能 防火墙的局限性 防火墙的分类,Internet的安全风险,纷繁复杂的Internet 网络复杂 用户层次复杂 情况瞬息变化 企业网络出于商业目的向公众开放 TCP/IP协议的自身弱点 攻击工具非常容易取得 安全教育严重不足,一个典型的攻击者工具包,网络扫描器(network scanner) 强力口令破解和常用字典口令破解 报文监听(sniffer) 特洛伊木马程序和运行库(Trojan) 选择性修改系统日志的工具 隐藏活动的工具 自动修改系统配置文件的工具 报告错误信息的检验和工具(bogus chksum),Internet上没有人能免于攻击,政府,企业,个人,Internet的基本安全概念,资源和信息 Confidentiality Integrity Availability 接触资源和信息的人 Authentication Authorization Nonrepudiation,防火墙的基本概念,什么是防火墙？ 防火墙是在一个组织的网络和Internet之间执行安全策略的一个或一组系统。,我们希望防火墙具有的功能,过滤不安全因素，拒敌于国门之外 加强安全认证，控制资源和信息的使用 在安全认证的基础上，实现访问授权 减轻主机安全控制和安全配置的负担 提前发现攻击意图，防患于未然 记录攻击者的行踪，为法律解决提供依据,防火墙的基本功能,数据包过滤 服务代理 加密认证 记录和报警 VPN和带宽管理,数据包的过滤,过滤的原理 数据传输的分层与报头的结构 物理链路层-Network access layer 以太网，FDDI，ATM 网络层-Internet layer IP 传输层-Transport Layer TCP or UDP 应用层-Application Layer FTP, Telnet, HTTP 防火墙的过滤原理,数据包的过滤,Application,Presentation,Session,Transport,DataLink,Physical,DataLink,Physical,Firewall,Application,Presentation,Session,Transport,DataLink,Physical,Network,Network,Transport,物理层数据报头的结构,物理报头：以太网，FDDI，ATM等,IP报头结构,TCP数据报头,过滤的种类,基于源IP地址和目标IP地址的过滤 基于协议和端口的过滤 配合其他设备实现基于url的过滤和病毒的过滤,过滤讲解Telnet,过滤讲解Telnet,数据包过滤的优点,成本较低 对上层服务协议透明 处理速度相对较快，尤其是在一些专用防火墙设备上可以保证用户的接入速度。,数据包过滤的缺点,当过滤策略较多的时候，不容易掌握，并且会降低数据包转发效率。 容易成为IP Spoofing技术的攻击对象 需要系统管理员具有较丰富的TCP/IP网络管理的经验 不能控制基于上层服务的攻击 在单独承担防火墙系统功能时，安全性较差,设置过滤需要考虑的问题,过滤处理的速度 可以检查的内容 实现过滤规则的顺序 是否可以将规则独立的实施在每一个硬件设备的端口 记录 测试和验证功能,代 理,代理的原理 内部用户能够通过它来实现对外部网络的交互访问。 代理服务的种类 应用层代理服务 回路层代理服务,代理服务的工作原理,应用层代理服务,应用层代理服务器(Proxy),Firewall,应用层代理服务器的优点,优点： 相对较高的安全性 可以实现访问的身份认证 可以在应用层控制服务的等级，权限,Application,Presentation,Session,Transport,Network,Data Link,Physical,应用层代理服务器的缺点,缺点： 性能较差，速度慢 每种访问服务需要单独的代理服务器 用户不透明,Application,Presentation,Session,Transport,Network,Data Link,Physical,回路层代理服务,全状态检测(Stateful Inspection),Application,Presentation,Session,Transport,DataLink,Physical,DataLink,Physical,Application,Presentation,Session,Transport,DataLink,Physical,Network,Network,Network,Presentation,Session,Transport,Engine,INSPECT,Application,Dynamic State Tables,Stateful Inspection,优点 Good Security High Performance Full Application-layer Awareness Scalability Extensible Transparency,地址翻译-NAT(一),RFC1918规定了私有地址 下面三类地址不能用于Internet主机地址,地址翻译-NAT(二),实现方式 静态地址翻译 动态地址翻译 端口地址翻译(PAT) 优点：节约地址资源，有一定的安全保护作用 缺点：有些服务不能支持,NAT-静态地址翻译,NAT-端口地址翻译,记 录,记录的重要性 分析记录提前发现安全隐患 分析记录提供入侵证据 分析记录提供相关事件报告 记录文档的保存 安全 便于检查,其他功能,加密认证 VPN 带宽管理,新一代网络防火墙,一种平台完成多种功能 实现对IP,TCP,Session,Application的全面检查(病毒/Url 过滤) 多种记录和报警方式 开放平台可以和其他网络设备结合实现全面安全网络解决方案,防火墙的局限性,防火墙不能防范未知的攻击方式(最新) 时刻关注TCP/IP攻击技术的发展 防火墙不能防范不经过防火墙的攻击 确认防火墙是对外的唯一连接 防火墙自身不能防范病毒 可以配合其他病毒监测设备实施病毒扫描和清除,防火墙的分类（一）,应用功能 网关型防火墙 服务代理 加密认证 地址翻译 VPN和带宽管理,防火墙的分类（二）,设备类型 软件防火墙 基于操作系统之上，对系统进行加固 强调功能全面，支持多种应用服务； FW1, Checkpoint Corp. Borderware, SecureComputing TISFW, TIS 硬件防火墙 专用操作系统，硬件结构简单，处理速度快。 PIX, Cisco NetScreen NetScreen Inc.,防火墙的应用设计和维护,课程内容,防火墙的设计原则 防火墙的安全策略 常见的防火墙设计 防火墙的日常维护,安全不是PnP,了解防火墙产品的特性 了解网络对外的开放程度 了解恶意进攻手段,现代信息安全系统,现代信息安全系统 防火墙 合适的安全策略 全体人员的参与,防火墙的应用设计原则,Affordability 我准备为安全支付多少费用? Functionality 我是否还能使用我的资源? Cultural Compatibility 是否符合人们的工作方式? Legality 是否合法?,防火墙的应用设计原则,几个问题 Who is allowed to use the resources? What is the proper use of the resources? Who may have system administration privileges? What are the user s rights and responsibilities? What do you do with sensitive information? What happens when the policy is violated?,防火墙的应用原则,两种缺省选择 没有被明确允许的即为禁止 没有被明确禁止的即为允许,防火墙的安全策略,防火墙的物理安全 防火墙的认证加密 防火墙的过滤策略 防火墙的预警能力 防火墙的记录设置,名词解释,堡垒主机（Bastion Host） 一个高度安全的计算机系统。通常是暴露于外部网络，作为连接内部网络用户的桥梁，易受攻击。 双重宿主主机（Dual-homed Host） 有至少两个以上的网络接口的计算机系统 周边网络（Perimeter Network or DMZ） 在被保护的网络和外部网络之间增加的网络，提供安全的隔离带，也称为非军事区,防火墙主要功能,过滤进、出网络的数据 管理进、出网络的访问行为 封堵某些禁止的业务 记录通过防火墙的信息内容和活动 对网络攻击进行检测和报警,常见的防火墙系统设计,内部工作子网与外网的访问控制,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,合法请求则允许对外访问,发起访问请求,防火墙在此处的功能： 1、工作子网与外部子网的物理 隔离 2、访问控制 3、对工作子网做NAT地址转换 4、日志记录,DMZ区域与外网的访问控制,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,禁止对外发起连结请求,发起访问请求,防火墙在此处的功能： 1、DMZ网段与外部子网的物理隔离 2、访问控制 3、对DMZ子网做MAP映射 4、日志记录,内部工作子网与DMZ区的访问控制,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,禁止对工作子网发起连结请求,防火墙在此处的功能： 1、DMZ网段与工作子网的物理隔离 2、访问控制 4、日志记录,发起访问请求,拨号用户对内部子网的访问控制,拨号服务器 Cisco 2620,移动用户,PSTN,Modem,Modem,进行一次性口令认证,认证通过后允许访问 内网,防火墙在此处的功能： 1、对拨号用户进行一次性口令认证 2、控制拨号用户对内网的访问权限 3、对拨号用户的访问做日志和审计,将访问记录写进日志文件,用户拨号,下属机构对总部的访问控制,下属机构,DDN/FR X.25专线,FW+VPN,FW+VPN,进行规则检查,将访问记录写进日志文件,防火墙在此处的功能： 1、将内部子网与连接下属机构的公网隔离开 2、控制下属机构子网用户对总部内网的访问 3、对下属机构网络与总部子网之间的通讯做日志和审计,Host C,Host D,数据包,数据包,数据包,数据包,数据包,查找对应的控制策略,拆开数据包 进行分析,根据策略决定如何处理该数据包,数据包,控制策略,基于源IP地址 基于目的IP地址 基于源端口 基于目的端口 基于时间 基于用户 基于流量,可以灵活的制定 的控制策略,包过滤,基于时间的访问控制,Host C,Host D,在防火墙上制定基于时间的访问控制策略,上班时间不允许访问Internet,上班时间可以访问公司的网络,Internet,用户级权限控制,Host C,Host D,Host B,Host A,受保护网络,Internet,预先可在防火墙上设定用户,root,123,Yes,admin,883,No,不管那台电脑都可以用相同的用户名来登陆防火墙,只需在防火墙设置该用户的规则即可,高层协议控制,应用控制可以对常用的高层应用做更细的控制 如HTTP的GET、POST、HEAD 如FTP的GET、PUT等,应用层,应用层,内部网络,外部网络,防火墙,内部接口,外部接口,根据策略检查应用层的数据,符合策略,IP与MAC绑定,Internet,Host B,,Host C,,Host D,,00-50-04-BB-71-A6,00-50-04-BB-71-BC,Bind To 00-50-04-BB-71-A6,Bind To 00-50-04-BB-71-BC,IP与MAC地址绑定后，不允许Host B假冒Host A的IP地址上网,防火墙允许Host A上网,NAT转换&IP复用,防火墙,Eth2：3,Eth0：,源地址：1 目地址：4,源地址： 目地址：4,,隐藏了内部网络的结构 内部网络可以使用私有IP地址 公开地址不足的网络可以使用这种方式提供IP复用功能,流量控制,Host C,Host D,Host B,Host A,受保护网络,Host A的流量已达到 10M,Host A的流量已达到 极限值30M,阻断Host A的连接,Internet,端口映射,Internet,公开服务器可以使用私有地址 隐藏内部网络的结构,,,,：80：80,：21：21,：25：25,：53：53,,,透明接入,受保护网络,Internet,如果防火墙支持透明模式，则内部网络主机的配置不用调整,,同一网段,透明模式下，这里不用配置IP地址,透明模式下，这里不用配置IP地址,Default Gateway=,防火墙相当于网桥，原网络结构没有改变,信息审计&日志,Internet,,,写入日志,写入日志,一旦出现安全事故 可以查询此日志,身份鉴别,Host C,Host D,Host B,Ho