学习防火墙原理不用愁PPT课件

-,1,防火墙原理与部署,training,-,2,本课程的基本内容,防火墙的原理与分类防火墙系统的设计原则防火墙的选择与维护网络的安全系统设计,-,3,防火墙的原理,-,4,内容,Internet的安全风险Internet的基本安全概念防火墙的重要性防火墙的基本概念防火墙的基本功能防火墙的局限性防火墙的分类,-,5,Internet的安全风险,纷繁复杂的Internet网络复杂用户层次复杂情况瞬息变化企业网络出于商业目的向公众开放TCP/IP协议的自身弱点攻击工具非常容易取得安全教育严重不足,-,6,一个典型的攻击者工具包,网络扫描器(networkscanner)强力口令破解和常用字典口令破解报文监听(sniffer)特洛伊木马程序和运行库(Trojan)选择性修改系统日志的工具隐藏活动的工具自动修改系统配置文件的工具报告错误信息的检验和工具(boguschksum),-,7,Internet上没有人能免于攻击,政府,企业,个人,-,8,-,9,Internet的基本安全概念,资源和信息ConfidentialityIntegrityAvailability接触资源和信息的人AuthenticationAuthorizationNonrepudiation,-,10,防火墙的基本概念,什么是防火墙？防火墙是在一个组织的网络和Internet之间执行安全策略的一个或一组系统。,-,11,我们希望防火墙具有的功能,过滤不安全因素，拒敌于国门之外加强安全认证，控制资源和信息的使用在安全认证的基础上，实现访问授权减轻主机安全控制和安全配置的负担提前发现攻击意图，防患于未然记录攻击者的行踪，为法律解决提供依据,-,12,防火墙的基本功能,数据包过滤服务代理加密认证记录和报警VPN和带宽管理,-,13,数据包的过滤,过滤的原理数据传输的分层与报头的结构物理链路层-Networkaccesslayer以太网，FDDI，ATM网络层-InternetlayerIP传输层-TransportLayerTCPorUDP应用层-ApplicationLayerFTP,Telnet,HTTP防火墙的过滤原理,-,14,数据包的过滤,Application,Presentation,Session,Transport,DataLink,Physical,DataLink,Physical,Firewall,Application,Presentation,Session,Transport,DataLink,Physical,Network,Network,Transport,-,15,物理层数据报头的结构,物理报头：以太网，FDDI，ATM等,-,16,IP报头结构,-,17,TCP数据报头,-,18,过滤的种类,基于源IP地址和目标IP地址的过滤基于协议和端口的过滤配合其他设备实现基于url的过滤和病毒的过滤,-,19,过滤讲解Telnet,-,20,过滤讲解Telnet,-,21,数据包过滤的优点,成本较低对上层服务协议透明处理速度相对较快，尤其是在一些专用防火墙设备上可以保证用户的接入速度。,-,22,数据包过滤的缺点,当过滤策略较多的时候，不容易掌握，并且会降低数据包转发效率。容易成为IPSpoofing技术的攻击对象需要系统管理员具有较丰富的TCP/IP网络管理的经验不能控制基于上层服务的攻击在单独承担防火墙系统功能时，安全性较差,-,23,设置过滤需要考虑的问题,过滤处理的速度可以检查的内容实现过滤规则的顺序是否可以将规则独立的实施在每一个硬件设备的端口记录测试和验证功能,-,24,代理,代理的原理内部用户能够通过它来实现对外部网络的交互访问。代理服务的种类应用层代理服务回路层代理服务,-,25,代理服务的工作原理,-,26,应用层代理服务,-,27,应用层代理服务器(Proxy),Firewall,-,28,应用层代理服务器的优点,优点：相对较高的安全性可以实现访问的身份认证可以在应用层控制服务的等级，权限,Application,Presentation,Session,Transport,Network,DataLink,Physical,-,29,应用层代理服务器的缺点,缺点：性能较差，速度慢每种访问服务需要单独的代理服务器用户不透明,Application,Presentation,Session,Transport,Network,DataLink,Physical,-,30,回路层代理服务,-,31,全状态检测(StatefulInspection),Application,Presentation,Session,Transport,DataLink,Physical,DataLink,Physical,Application,Presentation,Session,Transport,DataLink,Physical,Network,Network,Network,Presentation,Session,Transport,Engine,INSPECT,Application,DynamicStateTables,-,32,StatefulInspection,优点GoodSecurityHighPerformanceFullApplication-layerAwarenessScalabilityExtensibleTransparency,-,33,地址翻译-NAT(一),RFC1918规定了私有地址下面三类地址不能用于Internet主机地址,-,34,地址翻译-NAT(二),实现方式静态地址翻译动态地址翻译端口地址翻译(PAT)优点：节约地址资源，有一定的安全保护作用缺点：有些服务不能支持,-,35,NAT-静态地址翻译,-,36,NAT-端口地址翻译,-,37,记录,记录的重要性分析记录提前发现安全隐患分析记录提供入侵证据分析记录提供相关事件报告记录文档的保存安全便于检查,-,38,其他功能,加密认证VPN带宽管理,-,39,新一代网络防火墙,一种平台完成多种功能实现对IP,TCP,Session,Application的全面检查(病毒/Url过滤)多种记录和报警方式开放平台可以和其他网络设备结合实现全面安全网络解决方案,-,40,防火墙的局限性,防火墙不能防范未知的攻击方式(最新)时刻关注TCP/IP攻击技术的发展防火墙不能防范不经过防火墙的攻击确认防火墙是对外的唯一连接防火墙自身不能防范病毒可以配合其他病毒监测设备实施病毒扫描和清除,-,41,防火墙的分类（一）,应用功能网关型防火墙服务代理加密认证地址翻译VPN和带宽管理,-,42,防火墙的分类（二）,设备类型软件防火墙基于操作系统之上，对系统进行加固强调功能全面，支持多种应用服务；FW1,CheckpointCorp.Borderware,SecureComputingTISFW,TIS硬件防火墙专用操作系统，硬件结构简单，处理速度快。PIX,CiscoNetScreenNetScreenInc.,-,43,防火墙的应用设计和维护,-,44,课程内容,防火墙的设计原则防火墙的安全策略常见的防火墙设计防火墙的日常维护,-,45,安全不是PnP,了解防火墙产品的特性了解网络对外的开放程度了解恶意进攻手段,-,46,现代信息安全系统,现代信息安全系统防火墙合适的安全策略全体人员的参与,-,47,防火墙的应用设计原则,Affordability我准备为安全支付多少费用?Functionality我是否还能使用我的资源?CulturalCompatibility是否符合人们的工作方式?Legality是否合法?,-,48,防火墙的应用设计原则,几个问题Whoisallowedtousetheresources?Whatistheproperuseoftheresources?Whomayhavesystemadministrationprivileges?Whataretheusersrightsandresponsibilities?Whatdoyoudowithsensitiveinformation?Whathappenswhenthepolicyisviolated?,-,49,防火墙的应用原则,两种缺省选择没有被明确允许的即为禁止没有被明确禁止的即为允许,-,50,防火墙的安全策略,防火墙的物理安全防火墙的认证加密防火墙的过滤策略防火墙的预警能力防火墙的记录设置,-,51,名词解释,堡垒主机（BastionHost）一个高度安全的计算机系统。通常是暴露于外部网络，作为连接内部网络用户的桥梁，易受攻击。双重宿主主机（Dual-homedHost）有至少两个以上的网络接口的计算机系统周边网络（PerimeterNetworkorDMZ）在被保护的网络和外部网络之间增加的网络，提供安全的隔离带，也称为非军事区,-,52,防火墙主要功能,过滤进、出网络的数据管理进、出网络的访问行为封堵某些禁止的业务记录通过防火墙的信息内容和活动对网络攻击进行检测和报警,-,53,常见的防火墙系统设计,-,54,内部工作子网与外网的访问控制,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,合法请求则允许对外访问,发起访问请求,防火墙在此处的功能：1、工作子网与外部子网的物理隔离2、访问控制3、对工作子网做NAT地址转换4、日志记录,-,55,DMZ区域与外网的访问控制,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,禁止对外发起连结请求,发起访问请求,防火墙在此处的功能：1、DMZ网段与外部子网的物理隔离2、访问控制3、对DMZ子网做MAP映射4、日志记录,-,56,内部工作子网与DMZ区的访问控制,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,禁止对工作子网发起连结请求,防火墙在此处的功能：1、DMZ网段与工作子网的物理隔离2、访问控制4、日志记录,发起访问请求,-,57,拨号用户对内部子网的访问控制,拨号服务器Cisco2620,移动用户,PSTN,Modem,Modem,进行一次性口令认证,认证通过后允许访问内网,防火墙在此处的功能：1、对拨号用户进行一次性口令认证2、控制拨号用户对内网的访问权限3、对拨号用户的访问做日志和审计,将访问记录写进日志文件,用户拨号,-,58,下属机构对总部的访问控制,下属机构,DDN/FRX.25专线,FW+VPN,FW+VPN,进行规则检查,将访问记录写进日志文件,防火墙在此处的功能：1、将内部子网与连接下属机构的公网隔离开2、控制下属机构子网用户对总部内网的访问3、对下属机构网络与总部子网之间的通讯做日志和审计,-,59,HostC,HostD,数据包,数据包,数据包,数据包,数据包,查找对应的控制策略,拆开数据包进行分析,根据策略决定如何处理该数据包,数据包,控制策略,基于源IP地址基于目的IP地址基于源端口基于目的端口基于时间基于用户基于流量,可以灵活的制定的控制策略,包过滤,-,60,基于时间的访问控制,HostC,HostD,在防火墙上制定基于时间的访问控制策略,上班时间不允许访问Internet,上班时间可以访问公司的网络,Internet,-,61,用户级权限控制,HostC,HostD,HostB,HostA,受保护网络,Internet,预先可在防火墙上设定用户,root,123,Yes,admin,883,No,不管那台电脑都可以用相同的用户名来登陆防火墙,只需在防火墙设置该用户的规则即可,-,62,高层协议控制,应用控制可以对常用的高层应用做更细的控制如HTTP的GET、POST、HEAD如FTP的GET、PUT等,应用层,应用层,内部网络,外部网络,防火墙,内部接口,外部接口,根据策略检查应用层的数据,符合策略,-,63,IP与MAC绑定,Internet,HostB,,HostC,,HostD,,00-50-04-BB-71-A6,00-50-04-BB-71-BC,BindTo00-50-04-BB-71-A6,BindTo00-50-04-BB-71-BC,IP与MAC地址绑定后，不允许HostB假冒HostA的IP地址上网,防火墙允许HostA上网,-,64,NAT转换&IP复用,防火墙,Eth2：3,Eth0：,源地址：1目地址：4,源地址：目地址：4,,隐藏了内部网络的结构内部网络可以使用私有IP地址公开地址不足的网络可以使用这种方式提供IP复用功能,-,65,流量控制,HostC,HostD,HostB,HostA,受保护网络,HostA的流量已达到10M,HostA的流量已达到极限值30M,阻断HostA的连接,Internet,-,66,端口映射,Internet,公开服务器可以使用私有地址隐藏内部网络的结构,,,,：80：80,：21：21,：25：25,：53：53,,,-,67,透明接入,受保护网络,Internet,如果防火墙支持透明模式，则内部网络主机的配置不用调整,,同一网段,透明模式下，这里不用配置IP地址,透明模式下，这里不用配置IP地址,DefaultGateway=,防火墙相当于网桥，原网络结构没有改变,-,68,信息审计&日志,Internet,,,写入日志,写入日志,一旦出现安全事故可以查询此日志,-,69,身份鉴别,HostC,HostD,HostB,HostA