建立以防火墙为核心的网络安全体系.ppt

建立以防火墙为核心的网络安全体系 北大青鸟环宇科技股份有限公司 基本概念防火墙技术发展解决方案防火墙安全策略防火墙管理防火墙技术发展趋势 起步于90年代初 是最早出现的且使用量最大的网络安全产品 作为一个中心 遏制点 将局域网的安全管理集中起来 是标准的网间隔离设备 识别并屏蔽非法请求 有效防止跨越权限的数据访问 可与其它防火墙 IDS联动 并与VPN设备配合使用 建立层次防御体系 可扫描电子邮件和Web页面中的病毒和恶意代码 防火墙操作层次 防火墙附加功能 网络地址转换NAT动态主机配置协议DHCP加密功能如VPN主动内容过滤技术 基本概念防火墙技术发展解决方案防火墙安全策略防火墙管理防火墙技术发展趋势 包过滤防火墙 状态检测防火墙 应用代理网关防火墙 混合型防火墙 包过滤防火墙 基于网络包的如下信息提供网络访问功能 源地址目的地址通信类型 具体的网络协议 经常在第2层是Ethernet 在第3层是IP 第4层通信会话的一些特征 如会话的源与目的端口 来自哪块网卡 发往哪块网卡 包防火墙操作层次 包防火墙的优点 速度快灵活可以封锁拒绝服务及相关攻击 是置于与不可信网络相连的最外边界之理想设备 包防火墙简单布署图 包防火墙的缺点 不能阻止利用具体应用的弱点或功能的攻击日志内容少不支持高级用户鉴别方案不能防止网络地址假冒攻击容易受配置不当的影响 结论 包过滤防火墙非常适合于审计和用户鉴别不重要的高速环境 有利于实施高可用性及failover方案 状态检测防火墙操作层次 状态检测防火墙建立连接状态表 记录外出的TCP连接及相应的高编号客户端口 以验证任何进入的通信是否合法 防火墙跟踪客户端口 而不是打开全部高编号端口给外部访问 因而更安全 具有包过滤防火墙的优缺点 目前的状态检测技术仅可用于TCP IP网络 应用代理网关防火墙操作层次 应用代理网关防火墙的优点 日志能力强支持直接的用户鉴别可在一定程度上防止地址假冒攻击 应用代理网关防火墙的缺点 降低了防火墙的吞吐率 不适合高带宽或实时应用 对新网络应用与协议的支持有限 大多数应用代理网关防火墙开发商提供通用代理以支持未定义的网络协议或应用 在一定程度上限制了应用代理网关架构优点的发挥 典型的应用代理 专用代理服务器 保留通信的代理控制 但不含有防火墙能力减轻防火墙的处理负载 执行专门的过滤 审计及Web和Email内容扫描 应用代理布署图 混合型防火墙 包过滤或状态检测防火墙实现基本的应用代理功能 以提供较好的网络通信审计与用户鉴别 应用代理网关防火墙实现基本的包过滤功能 更好地支持基于UDP的应用 在选择防火墙产品时 应以其支持的特征集而不是防火墙产品分类为依据 基本概念防火墙技术发展解决方案防火墙安全策略防火墙管理防火墙技术发展趋势 布署防火墙的四个原则 尽量简单物尽其用建立层次防护注意内部威胁 将内部Web Email服务器或财务系统等重要系统置于内部防火墙后面或DMZ中 DMZ网络 设置DMZ的优点 将外面可访问的服务器置于DMZ中 可减少远程攻击者使用这些服务器作为攻击专用网的带菌媒介的可能性 同时可专门控制用户对这些系统的访问权限 服务支路配置 VPN VPN服务器的放置 在大多数情况下 最好将VPN服务器放在防火墙上 如果将VPN服务器放在防火墙后面 即将穿过防火墙外出的VPN通信将被加密 防火墙就不能检查通信 执行访问控制 审计及扫描病毒等 Intranet Extranet 基础构件 Hub Switch Hub工作在物理层 为网络系统或资源提供物理上的悬挂点 Hub允许任何连在上面的设备监视网络通信 不易用于建立DMZ或防火墙环境 网络Switch工作在数据链路层 本质上是一个多端口桥 可传送全网络带宽给每一个端口 连接到Switch上的系统不能互相窃听 可用于实现DMZ网和防火墙环境 由于类似于DOS的攻击能使Switch用包淹没连接的网络 不能在防火墙外面用Switch提供通信隔离 Switch的子网隔离能力将影响IDS的布署与实现 IDS 用于通报及在某些情况下阻止对网络系统或资源的未授权访问 许多IDS可与防火墙交互 实现联动 与IDS交互的防火墙能自动对察觉到的远程威胁作出反应 没有人工反应中的延迟 基于主机的IDS 集成于操作系统中 能在高粒度层探测威胁 问题 影响系统性能及稳定性 不能注意到基于网络的攻击 如DOS 基于网络的IDS 可以监视多个系统和资源 问题 会漏掉分散在多个包中的攻击特征 依赖于混杂模式网络接口 易被攻击 在遭到DOS攻击时 许多IDS失效 IDS布署图 DNS 内部域名服务器应与外部域名服务器分开 SplitDNS技术 必须控制DNS允许的访问类型 DNS布署图 防火墙环境中服务器的放置 应考虑的因素 DMZ的个数 外部和内部对DMZ中服务器的访问要求 通信量及数据敏感程度 放置指南 用边界路由器 包过滤保护外部服务器 将内部服务器置于内部防火墙后面 隔离服务器 使得对服务器的攻击不影响网络中的其它计算机系统 服务器布署图 基本概念防火墙技术发展解决方案防火墙安全策略防火墙管理防火墙技术发展趋势 防火墙策略 防火墙策略指示防火墙怎样处理应用通信如Web Email或telnet 描述怎样管理与更新防火墙 建立防火墙策略的步骤 风险分析 威胁脆弱性 对策 成本效益分析 建立防火墙规则集 测试防火墙策略 1 根据定义的策略 检查防火墙配置 2 对防火墙进行实地配置测试 3 使用安全评估工具测试防火墙系统本身 防火墙实现方法 第一种是硬件防火墙 如Netscreen防火墙 利用ASIC技术实现防火墙软件 这种防火墙速度快 且不受操作系统本身安全脆弱性的影响 第二种是基于PC构架 使用经过定制的通用操作系统的防火墙 这种防火墙可扩展性强 但易受操作系统本身脆弱性影响 防火墙维护与管理 第一种机制是命令行界面配置 技术熟练的管理员配置防火墙 当出现紧急情况时可以作出快速反应 第二种机制是通过图形用户界面 包括基于Web的配置界面 配置防火墙 图形界面简单 配置快 但配置粒度有限 对于任何一种 必须保证防火墙管理信息的传输安全 对于基于是Web的界面 可使用SSL加密 用户ID和口令 基本概念防火墙技术发展解决方案防火墙安全策略防火墙管理防火墙技术发展趋势 访问防火墙平台 最常用的攻击方法是利用防火墙的远程管理资源 流行的控制方法 加密 强用户鉴别及用IP地址限制访问 防火墙平台操作系统 去掉操作系统中不用的网络协议 去掉或关闭不用的网络服务或应用 去掉或关闭不用的用户或系统帐号 给操作系统打补丁 去掉或关闭服务器中不用的物理网络接口 网卡 防火墙热恢复策略 两种方法 采用网络Switch提供负载均衡及热恢复功能 Switch监视主防火墙的响应 在主防火墙出故障时将全部通信转移到备份防火墙 采用 心跳 机制 备份防火墙监视主防火墙的心跳 在主防火墙出故障时代替之 基本概念防火墙技术发展解决方案防火墙安全策略防火墙管理防火墙技术发展趋势 1 多级过滤 在网络层 过滤掉全部源路由分组和假冒的IP源地址 在传输层 遵循过滤规则 过滤掉所有禁止出 入的协议和有害数据包 在应用层 利用Ftp Http等各种网关 控制和监视Internet提供的通用服务 形成安全体系 将防火墙与IDS VPN 病毒检测等相关安全产品联合起来 充分发挥各自的长处 协同配合 建立以防火墙为核心的网络安全防范体系 提升网络系统的安全性 网络安全设