第4章网络安全-3防火墙.ppt

2020 2 13 Ch9 防火墙 1 防火墙 主要知识点 防火墙概述 防火墙技术 防火墙的体系结构 2020 2 13 Ch9 防火墙 2 防火墙概述 为什么需要防火墙对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络 即对网络进行访问控制 防火墙在网络安全中的位置 2020 2 13 Ch9 防火墙 3 VPN虚拟专用网 防火墙 内容检测 防病毒 入侵探测 谁需要防火墙 2020 2 13 Ch9 防火墙 4 任何使用互联网的企事业单位都需要防火墙 2020 2 13 Ch9 防火墙 5 防火墙的来源 防火墙 一词源自于早期建筑 在古代 构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延 人们将坚固的石块堆砌在房屋周围作为屏障 这种防护构筑物就被称为 防火墙 FireWall 如今在计算机网络中 沿用了古代这个名字来表示实现类似的网络安全功能 防火墙的基本概念 2020 2 13 Ch9 防火墙 6 所谓 防火墙 指的就是一种被放置在自己的计算机与外界网络之间的防御系统 从网络发往计算机的所有数据都要经过它的判断处理后 才会决定能不能把这些数据交给计算机 一旦发现有害数据 防火墙就会拦截下来 实现了对计算机的保护功能 防火墙示意图 防火墙的实现层次 2020 2 13 Ch9 防火墙 8 2020 2 13 Ch9 防火墙 9 防火墙的两条基本规则 一切未被允许的就是禁止的 基于该规则 防火墙应封锁所有信息流 然后对希望提供的服务逐项开放 即只允许符合开放规则的信息进出 这种方法非常实用 可以造成一种十分安全的环境 因为所能使用的服务范围受到了严格的限制 只有特定的被选中的服务才被允许使用 这就使得用户使用的方便性受到了影响 一切未被禁止的就是允许的 基于该规则 防火墙逐项屏蔽被禁止的服务 而转发所有其它信息流 这种方法可以提供一种更为灵活的应用环境 可为用户提供更多的服务 但却很难提供可靠的安全防护 特别是当网络服务日益增多或受保护的网络范围增大时 2020 2 13 Ch9 防火墙 10 典型的防火墙具有的基本特性 内部网络和外部网络之间的所有网络数据流都必须经过防火墙 只有符合安全策略的数据流才能通过防火墙 防火墙自身应具有非常强的抗攻击免疫力 2020 2 13 Ch9 防火墙 11 防火墙的功能及局限性 防火墙的功能 2020 2 13 Ch9 防火墙 12 防火墙的局限性防火墙不能防范不经由防火墙的攻击和威胁不能防御已经授权的访问 以及存在于网络内部系统间的攻击 不能防御合法用户恶意的攻击以及社交攻击等非预期的威胁防火墙不能防止感染了病毒的软件或文件的传输防火墙不能防止数据驱动式攻击不能修复脆弱的管理措施和存在问题的安全策略 WEB服务器或SQL服务器 FW 2020 2 13 Ch9 防火墙 13 防火墙的分类 根据物理特性分类软件防火墙硬件防火墙从结构上分类单一主机防火墙路由集成式防火墙分布式防火墙 2020 2 13 Ch9 防火墙 14 按工作位置分类边界防火墙个人防火墙混合防火墙按防火墙性能分类百兆级防火墙千兆级防火墙从实现技术上分类数据包过滤技术代理服务 防火墙技术的发展过程 15 2020 2 13 Ch9 防火墙 16 防火墙技术 数据包过滤技术静态包过滤动态包过滤代理服务应用级网关电路级网关状态检测技术 2020 2 13 Ch9 防火墙 17 数据包过滤 2020 2 13 Ch9 防火墙 18 应用级网关 代理服务器 应用级网关 代理服务器 应用级网关提供两个网络间传输的高水平的控制 即能进行特定服务内容的监控和提供基于网络安全策略的过滤 2020 2 13 Ch9 防火墙 19 例 FTP代理服务器 2020 2 13 Ch9 防火墙 20 电路级网关 电路级网关是一个通用代理服务器 工作在TCP IP协议的TCP层 仅仅提供TCP连接的转发而不提供任何其它的报文处理和过滤 状态检测技术 状态检测防火墙不仅像包过滤防火墙考查数据包的IP地址等几个孤立的信息 而是增加了对数据包连接状态变化的额外考虑 它在防火墙的核心部分建立数据包的连接状态表 将在内外网间传输的数据包以会话角度进行监测 利用状态表跟踪每一个会话状态 记录有用的信息以帮助识别不同的会话 例如 对内部主机到外部主机的连接请求 防火墙会加以标注 允许从外部响应此请求的数据包以及随后两台主机间传输数据包通过 直到此连接中断为止 而对由外部发起的企图连接内部主机的数据包则全部丢弃 因此状态检测防火墙提供了完整的对传输层的控制能力 以TCP协议为例 状态检测机制关注的主要问题不再仅是SYN和ACK标志位 或者是来源端口和目标端口 还包括了序号 窗口大小等其它TCP协议信息 2020 2 13 Ch9 防火墙 21 状态检测原理 2020 2 13 Ch9 防火墙 22 2020 2 13 Ch9 防火墙 23 防火墙的体系结构 双宿主机防火墙结构屏蔽主机防火墙结构屏蔽子网防火墙结构 2020 2 13 Ch9 防火墙 24 双宿主机防火墙 2020 2 13 Ch9 防火墙 25 屏蔽主机防火墙 2020 2 13 Ch9 防火墙 26 屏蔽子网防火墙 防火墙产品 2020 2 13 Ch9 防火墙 27 2020 2 13 Ch9 防火墙 28 典型防火墙产品介绍 1 3ComOfficeConnectFirewall新增的网络管理模块使技术经验有限的用户也能保障他们的商业信息的安全 OfficeConnectInternetFirewall25使用全静态数据包检验技术来防止非法的网络接入和防止来自Internet的 拒绝服务 攻击 它还可以限制局域网用户对Internet的不恰当使用 2020 2 13 Ch9 防火墙 29 2 CiscoPIX防火墙 1 实时嵌入式操作系统 2 保护方案基于自适应安全算法 ASA 可以确保最高的安全性 3 用于验证和授权的 直通代理 技术 4 最多支持250000个同时连接 5 URL过滤 6 HPOpenView集成 7 通过电子邮件和寻呼机提供报警和告警通知 8 通过专用链路加密卡提供VPN支持 9 符合委托技术评估计划 TTAP 经过了美国安全事务处 NSA 的认证 同时通过中国公安部安全检测中心的认证 PI