网络安全培训教程--防火墙篇

,网络安全培训教程第三部分防火墙篇李胜磊副总经理博士西安交大捷普网络科技有限公司,概念：防火墙被设计用来防止火从大厦的一部分传播到另一部分,传统防火墙的概念,一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。,两个安全域之间通信流的唯一通道,根据访问控制规则决定进出网络的行为,IT 领域防火墙的概念,防火墙的概念,防火墙实施访问控制策略防火墙的安全防护原则： 外部网络“看不见”内部情况 外部非法入侵者“进不来” 机要敏感信息“拿不走” 对外非法访问“出不去”,防火墙的功能,隔离网络防范攻击,网络门卫防火墙,黑客,防火墙,内部主机,防火墙阻断攻击,内部主机,内部主机,合法用户,内部网,用户通过认证,防火墙的优点,集中制定网络安全管理策略隐含内部网络保护网络中脆弱的服务增强保密性，强化私有权安全信息审计安全发布信息,防火墙的局限性,限制有用的网络服务无法防护内部网络用户的攻击无法防范通过防火墙以外的其他途径的攻击数据驱动型攻击对服务的入侵数据的保密无法完全防止病毒文件,基于路由器的防火墙,将过滤功能从路由器中独立出来，并加上审计和告警功能针对用户需求，提供模块化的软件包软件可通过网络发送，用户可根据需要构造防火墙与第一代防火墙相比，安全性提高了，价格降低了,利用路由器本身对分组的解析,进行分组过滤过滤判断依据：地址、端口号、IP旗标及其它网络特征防火墙与路由器合为一体，只有过滤功能适用于对安全性要求不高的网络环境,是批量上市的专用防火墙产品包括分组过滤或者借用路由器的分组过滤功能装有专用的代理系统，监控所有协议的数据和指令保护用户编程空间和用户可配置内核参数的设置安全性和速度大为提高。,防火墙厂商具有操作系统的源代码，并可实现安全内核去掉了不必要的系统特性，加固内核，强化安全保护在功能上包括了分组过滤、应用网关、电路级网关增加了许多附加功能：加密、鉴别、审计、NAT转换透明性好，易于使用,基于通用操作系统的防火墙,防火墙工具套,防火墙的发展历程,基于安全操作系统的防火墙,防火墙的分类,包过滤型防火墙代理型防火墙复合型防火墙基于状态检测的包过滤防火墙,包过滤型防火墙工作原理,数据包,数据包,数据包,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,控制策略,数据包,过滤依据主要是TCP/IP报头里面的信息，不能对应用层数据进行处理,分组过滤判断信息,分组过滤原理,包过滤型防火墙,优点 高性能 简单 对用户透明 费用低缺点 管理维护困难 低安全性 存在安全漏洞 访问控制力度小 性能和规模成反比,代理型防火墙工作原理,数据包,数据包,数据包,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,数据包,应用代理可以对数据包的数据区进行分析，并以此判断数据是否允许通过,控制策略,分组过滤判断信息,应用代理判断信息,应用代理原理,代理型防火墙,优点 安全性好 访问控制力度好 缺点 限制新应用 对用户不透明（透明代理） 性能差,基于状态监测的包过滤技术,数据包,数据包,数据包,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,数据包,状态检测可以结合前后数据包里的数据信息进行综合分析决定是否允许该包通过,控制策略,分组过滤判断信息,应用代理判断信息,状态检测,状态检测原理,状态监测技术的特点,优点 性能好 安全性好缺点 不能保护应用层的弱点,筛选路由器 多宿主主机 被屏蔽主机 被屏蔽子网,防火墙体系结构,内部网络,外部网络,包过滤器,进行包过滤,筛选路由器,内部网络,外部网络,禁止内外网络之间直接通信,双宿主主机,通过应用代理 通过登陆到双宿主主机上获得服务,缺点：如何保护双宿主主机本身的安全,所有的通信必须经过双宿主主机,多宿主主机,堡垒主机,进行规则配置，只允许外部主机与堡垒主机通讯,对内部其他主机的访问必须经过堡垒主机,缺点： 堡垒主机与其他主机在同一个子网 一旦堡垒主机被攻破或被越过，整个内网和 堡垒主机之间就再也没有任何阻挡。,不允许外部主机直接访问除堡垒主机之外的其他主机,过滤器,被屏蔽主机,内部网络,外部网络,堡垒主机,内部筛选路由器,外部筛选路由器,禁止内外网络直接进行通讯,内外部网络之间的通信都经过堡垒主机,被屏蔽子网,安全内核访问控制 内容安全 IP与MAC绑定 安全远程管理 多种管理方式 灵活接入 授权认证 双机热备 安全审计 加密 端口映射 流量控制 规则模拟测试 入侵检测 本地 & 远程管理 NAT转换 & IP复用 多端口结构 安全联动 双系统 网络管理,基于源地址、目的地址 基于源端口、目的端口 基于用户 基于时间 基于流量 基于时间的控制 用户级权限控制,防火墙,防火墙的功能原理,Host C,Host D,数据包,数据包,数据包,数据包,数据包,查找对应的控制策略,拆开数据包进行分析,根据策略决定如何处理该数据包,数据包,控制策略,基于源IP地址 基于目的IP地址 基于源端口 基于目的端口 基于时间 基于IP旗标 基于用户 基于流量,可以灵活的制定的控制策略,灵活的访问控制,Host C,Host D,在防火墙上制定基于时间的访问控制策略,上班时间不允许访问Internet,上班时间可以访问公司的网络,Internet,基于时间的访问控制,Host C,Host D,Host B,Host A,受保护网络,Internet,预先可在防火墙上设定用户,Chenaf,123,Yes,Liwy,883,No,不管那台电脑都可以用相同的用户名来登陆防火墙,只需在防火墙设置该用户的规则即可,基于用户的访问控制,应用控制可以对常用的高层应用做更细的控制 如HTTP的GET、POST、HEAD 如FTP的GET、PUT等,应用层,应用层,内部网络,外部网络,防火墙,内部接口,外部接口,根据策略检查应用层的数据,符合策略,内容安全,Internet,Host B,,Host C,,Host D,,00-50-04-BB-71-A6,00-50-04-BB-71-BC,BIND To 00-50-04-BB-71-A6,BIND To 00-50-04-BB-71-BC,IP与MAC地址绑定后，不允许Host B假冒Host A的IP地址上网,防火墙允许Host A上网,IP与MAC绑定（用户）,受保护网络,Internet,如果防火墙支持透明模式，则内部网络主机的配置不用调整,,同一网段,透明模式下，这里不用配置IP地址,透明模式下，这里不用配置IP地址,Default Gateway=,防火墙相当于网桥，原网络结构没有改变,透明接入,受保护网络,Internet,,Default Gateway=,防火墙相当于一个简单的路由器,6,7,提供简单的路由功能,,路由接入,Host A7,Host B 8,Host C,Host D0,不同子网通过防火墙路做静态路由进行通讯,同一网段地址通过防火墙的透明模式进行通讯,防火墙此时工作在混合模式下,混合接入,Host C,Host D,Host B,Host A,受保护网络,Internet,预先可在防火墙上设定用户,Chenaf,123,验证通过则允许访问,Chenaf,123,Yes,Liwy,883,No,用户身份认证 根据用户控制访问,身份认证,256K DDN专线=120K+80K+56K,优先级1：120K 优先级2：80K 优先级3：56K,做规则的时候，可以制定优先级HOST AInternet 优先级1HOST BInternet 优先级2HOST CInternet 优先级3HOST DInternet 优先级2,在防火墙上将出口带宽划分成不同的优先级,备注： 支持针对源IP、目IP、源端口、目端口来对通信进行分类支持针对用户或组的通信分类能在某一规则不能完全用完分配带宽的情况下，其他规则可以共享剩下的带宽提供带宽状态信息的查询,带宽管理,Host C,Host D,Host B,Host A,受保护网络,日志服务器, TCP, TCP, TCP, TCP, TCP,日志信息：,通过LEP协议向日志服务器输出日志信息,日志容错,Host C,Host D,Host B,Host A,受保护网络,SNMP报文,获取硬件配置信息资源使用状况信息防火墙的流量信息防火墙的连接信息防火墙的版本信息防火墙的用户信息防火墙的规则信息防火墙的路由信息,SNMP服务器端,SNMP客户端,SNMP管理,Host C,Host D,Host B,Host A,受保护网络,Internet,IDS,黑客,发起攻击,发送通知报文,验证报文并采取措施,发送响应报文,识别出攻击行为,阻断连接或者报警等,安全联动,内部网,外网或者不信任域,Eth 0,Eth 0,Eth1,Eth1,Eth2,Eth2,心跳线,Active Firewall,Standby Firewall,检测Active Firewall的状态,发现出故障，立即接管其工作,正常情况下由主防火墙工作,主防火墙出故障以后，接管它的工作,双机热备,Internet,,,写入日志,写入日志,一旦出现安全事故可以查询此日志,信息审计,Host C,Host D,Host B,Host A,受保护网络,Internet,判断是否需要加密,对数据加密或认证,判断是否需要解密,解密数据,是,VPN功能,Internet,公开服务器可以使用私有地址 隐藏内部网络的结构,,,,MAP ：80 TO ：80,MAP ：21 TO ：21,MAP ：53 TO ：53,MAP ：25 TO ：25,,,端口映射,Host C,Host D,Host B,Host A,受保护网络,Host A的流量已达到 10M,Host A的流量已达到 极限值30M,阻断Host A的连接,Internet,提供资源管理防止滥用带宽,流量控制,Host C,Host D,Host B,Host A,受保护网络,Internet,同一台主机对受保护网络内的主机频繁扫描 同一主机对受保护网内的主机建立多个连接 其他对网内主机的攻击行为,将根据用户策略采取措施,执行用户自定义的策略,入侵检测,Internet,串口线,本地管理员,使用超级终端与防火墙建立连接,远程管理员,通过Telnet、浏览器或GUI程序与防火墙建立连接,本地&远程管理,源地址：1目地址：4,源地址：目地址：4,,隐藏了内部网络的结构 内部网络可以使用私有IP地址 公开地址不足的网络可以使用这种方式提供IP复用功能,NAT转换&IP复用, 防火墙的技术要素,安全访问控制正/反向地址翻译用户身份认证安全审计系统抗攻击能力接口调试, 防火墙的技术要素,简单网管功能高可用性带宽管理内容过滤DHCP服务器多媒体支持：MSN/SIP/H323,灵活的访问控制,基于如下的控制源/目标地址源/目标端口协议日期、时间MAC地址带宽管理,多种认证方式,提供如下认证方式RadiusTacacsSecureIDLDAP,安全审计功能,记录日志的方式本地文件本地缓存控制台远程控制台远程日志主机,支持多种代理,支持如下的代理HTTPFTPSMTPTELNET,内容过滤功能,内容过滤功能ActiveXJavaScriptJava AppletURL地址过滤,多种管理方式,1、控制台2、SSH远程登陆3、WEB管理器4、GUI管理器,VPN功能模块（可选）,采用IPSec协议提供手工/IKE自动密钥协商支持DES、3DES、AES、BlowFish支持MD5、SHA1、SHA2支持X.509数字证书支持至少30000条隧道,高可用性模块（可选）,切