防火墙技术76313.ppt

1,防火墙技术,什么是防火墙防火墙是一种功能，它使得内部网络和外部网络或Internet互相隔离，以此来保护内部网络或主机。简单的防火墙可以由Router，3LayerSwitch的ACL（accesscontrollist）来充当，也可以用一台主机，甚至是一个子网来实现。复杂的可以购买专门的硬件防火墙或软件防火墙来实现。,2,防火墙的架构,3,防火墙的特点,1、广泛的服务支持：通过将动态的、应用层的过滤能力和认证相结合，可实现WWW浏览器、HTTP服务器、FTP等；2、对私有数据的加密支持：保证通过Internet进行虚拟私人网络和商务活动不受损坏；3、客户端认证只允许指定的用户访问内部网络或选择服务：企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分；4、反欺骗：欺骗是从外部获取网络访问权的常用手段，它使数据包好似来自网络内部。防火墙能监视这样的数据包并能扔掉它们；5、C/S模式和跨平台支持：能使运行在一平台的管理模块控制运行在另一平台的监视模块。,4,防火墙的功能：,1、过滤掉不安全服务和非法用户2、控制对特殊站点的访问3、提供监视Internet安全和预警的方便端点,5,防火墙的分类,包过滤防火墙状态检测防火墙代理服务防火墙,6,包过滤防火墙,包过滤是在IP层实现的，因此，它可以只用路由器完成。包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等报头信息来判断是否允许包通过。过滤用户定义的内容，如IP地址。其工作原理是系统在网络层检查数据包，与应用层无关，包过滤器的应用非常广泛，因为CPU用来处理包过滤的时间可以忽略不计。而且这种防护措施对用户透明，合法用户在进出网络时，根本感觉不到它的存在，使用起来很方便。这样系统就具有很好的传输性能，易扩展。但是这种防火墙不太安全，因为系统对应用层信息无感知也就是说，它们不理解通信的内容，不能在用户级别上进行过滤，即不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址，就可以很轻易地通过包过滤器，这样更容易被黑客攻破。,7,包过滤防火墙的表示,8,包过滤防火墙优点,简单、方便、速度快、透明性好，对网络性能影响不大，可以用于禁止外部不合法用户对企业内部网的访问防火墙对每条传入和传出网络的包实行低水平控制。每个IP包的字段都被检查，例如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则。防火墙可以识别和丢弃带欺骗性源IP地址的包。包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙，绕过是困难的。包过滤通常被包含在路由器数据包中，所以不必额外的系统来处理这个特征。,9,包过滤防火墙的缺点,通信信息：包过滤防火墙只能访问部分数据包的头信息；应用状态信息：包过滤防火墙是无状态的，所以它不可能保存来自于通信和应用的状态信息；信息处理：包过滤防火墙处理信息的能力是有限的。允许数据包直接通过，容易造成数据驱动式攻击的潜在危险。比如针对微软IIS漏洞的Unicode攻击，因为这种攻击是走的防火墙所允许的80端口，而包过滤的防火墙无法对数据包内容进行核查，因此此时防火墙等同于虚设，未打相应patch的提供web服务的系统，即使在防火墙的屏障之后，也会被攻击者轻松拿下超级用户的权限。,10,应用级网关,应用级网关也就是通常我们提到的代理服务器。它适用于特定的互联网服务，如超文本传输(HTTP)，远程文件传输(FTP)等等。代理服务器通常运行在两个网络之间，它对于客户来说象是一台真的服务器，而对于外界的服务器来说，它又是一台客户机。当代理服务器接收到用户对某站点的访问请求后会检查该请求是否符合规定，如果规则允许用户访问该站点的话，代理服务器会象一个客户一样去那个站点取回所需信息再转发给客户。典型的内部网络地址：192.168,11,应用级网关的表示,12,应用级网关优点,应用级网关的最突出的优点就是安全。由于每一个内外网络之间的连接都要通过Proxy的介入和转换，通过专门为特定的服务如Http编写的安全化的应用程序进行处理，然后由防火墙本身提交请求和应答，没有给内外网络的计算机以任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。应用级网关能够记录所有的连接，包括地址和持续时间，这些信息对追踪攻击和发生的未授权访问的事件事很有用的。,13,应用级网关缺点,首先它会使访问速度变慢，因为它不允许用户直接访问网络，而且应用级网关需要对每一个特定的互联网服务安装相应的代理服务软件。用户不能使用未被务器支持的服务，对每一类服务要使用特殊的客户端软件，更不幸的是，并不是所有的互联网应用软件都可以使用代理服务器,14,状态监测防火墙,该防火墙结合了包过滤防火墙和应用级网关的特点。它同包过滤防火墙一样，规则检查防火墙能够在OSI网络层上通过IP地址和端口号，过滤进出的数据包。它也象应用级网关一样，可以在OSI应用层上检查数据包的内容，查看这些内容是否能符合企业网络的安全规则。规则检查防火墙不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。,15,状态监测防火墙优点,安全性好状态检测防火墙工作在数据链路层和网络层之间，它从这里截取数据包，因为数据链路层是网卡工作的真正位置，网络层是协议栈的第一层，这样防火墙确保了截取和检查所有通过网络的原始数据包。性能高效状态检测防火墙工作在协议栈的较低层扩展性好状态检测防火墙不区分每个具体的应用，只是根据从数据包中提取出的信息、对应的安全策略及过滤规则处理数据包，当有一个新的应用时，它能动态产生新的应用的新的规则，而不用另外写代码，所以具有很好的伸缩性和扩展性。,16,状态监测防火墙缺点,状态检测可能造成网络连接的某种迟滞,17,防火墙的应用环境,一般情况下防火墙网络可划分为三个不同级别的安全区域：内部网络：这是防火墙要保护的对象，包括全部的企业内部网络设备及用户主机。这个区域是防火墙的可信区域（这是由传统边界防火墙的设计理念决定的）。外部网络：这是防火墙要防护的对象，包括外部互联网主机和设备。这个区域为防火墙的非可信网络区域（也是由传统边界防火墙的设计理念决定的）。DMZ（非军事区）：它是从企业内部网络中划分的一个小区域，在其中就包括内部网络中用于公众服务的外部服务器，如Web服务器、邮件服务器、FTP服务器、外部DNS服务器等，它们都是为互联网提供某种信息服务。,18,应用一：,控制来自互联网对内部网络的访问,19,应用二：,控制第三方网络（子网）访问内部网络,20,应用三,控制内部网络不同部门之间的访问,21,应用四：,控制对服务器中心的网络访问,22,软件防火墙,这里指的是网络版的软件防火墙而不是个人防火墙。个人防火墙在网上有很多可以免费下载的，不需要花钱买。软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。软件防火墙就象其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。,23,软防火墙特点,软件防火墙一般基于某个操作系统平台开发，直接在计算机上进行软件的安装和配置。由于客户平台的多样性，软件防火墙需支持多操作系统，如Unix、Linux、Windows等，代码庞大、安装成本高、售后支持成本高、效率低。,24,硬件防火墙,所谓的硬件防火墙，之所以加上所谓二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统，最常用的有老版本的Unix、Linux和FreeBSD系统。,25,硬防火墙特点一,此类防火墙采用的依然是别人的内核，因此依然会受到os本身的安全性影响。国内的许多防火墙产品就属于此类，因为采用的是经过裁减内核和定制组件的平台，因此国内防火墙的某些销售人员常常吹嘘其产品是“专用的os”等等，其实是一个概念误导，下面我们提到的第三种防火墙才是真正的os专用。,26,硬防火墙特点二,硬件防火墙采用专用的硬件设备，然后集成生产厂商的专用防火墙软件。从功能上看，硬件防火墙内建安全软件，使用精简或者强化的操作系统，管理方便，更换容易，软硬件搭配较固定。硬件防火墙效率高，解决了防火墙效率、性能之间的矛盾，可以达到线性。,27,芯片级防火墙,基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商莫过于NetScreen.其他的品牌还有FortiNet,算是后起之秀。,28,芯片级防火墙特点,这类防火墙由于是专用OS，因此防火墙本身的漏洞比较少，不过开发设计复杂，价格相对比较高昂，所以一般只有在“确实需要”的情况下才考虑。,29,防火墙的评价之一,并发会话数并发会话连接数指的是防火墙或代理服务器对其业务信息流的处理能力，是防火墙能够同时处理的点对点会话连接的最大数目，它反映防火墙对多个连接的访问控制能力和连接状态跟踪能力。这个参数的大小可以直接影响到防火墙所能支持的最大信息点数。,30,防火墙的评价之二,流量性能防火墙的性能对于一个防火墙来说是至关重要的，它决定了每秒钟可能通过防火墙的最大数据流量，以bps为单位。从几十兆到几百兆不等，千兆防火墙还会达到几个G的性能。,31,防火墙的评价之三,管理界面管理一个防火墙的方法一般来说是两种：图形化界面(GUI)和命令行界面(CLI)。图形界面最常见的方式是通过web方式(包括http和https)和java等程序编写的界面进行远程管理；命令行界面一般是通过console口或者telnet进行远程管理。,32,防火墙的评价之四,接口防火墙的接口也分为以太网口(10M)、快速以太网口(10/100M)、千兆以太网口(光纤接口)三种类型。防火墙一般都预先设有具有内网口、外网口和DMZ区接口和默认规则，有的防火墙也预留了其它接口用于用户自定义其它的独立保护区域。防火墙上的RS232Console口主要用于初始化防火墙时的进行基本的配置或用于系统维护。另外有的防火墙还有可能提供PCI插槽、IDS镜像口、高可用性接口(HA)等，这些是根据防火墙的功能来决定的。,33,防火墙的评价之五,策略设置简单的说，防火墙应该具有灵活的策略设置，针对源和目的IP地址、网络服务以及时间几个方面实施不同的安全策略。策略能允许、拒绝、加密、认证、排定优先次序、调度以及监控尝试从一个安全区段流到另一个安全区段的信息流。可以决定哪些用户和信息能进入和离开，以及它们进入和离开的时间和地点。,34,防火墙的评价之六,入侵检测能否实时防护各种形式的攻击，并且在检测到有攻击行为时能通过电子邮件或其它方式通知系统管理员。,35,防火墙的评价之七,用户认证完善的用户认证机制，可以指定内部用户必须经过认证，方可访问不可信网络。防火墙可以限定只有授权用户可以通过防火墙进行一些有限制的活动，可以使用内建用户数据库、外部Raduis数据库或IP/MAC绑定等多数认证方式。,36,防火墙的评价之八,日志/监控防火墙对受到的攻击和通过防火墙的请求应具有完备的日志功能，包括安全日志、时间日志和传输日志。最好可以通过同步分析软件同步到指定主机上，实现对日志的详尽审计。,37,防火墙不能做什么,1、防火墙可以阻断攻击，但不能消灭攻击源。互联网上病毒、木马、恶意试探等等造成的攻击行为络绎不绝。设置得当的防火墙能够阻挡他们，但是无法清除攻击源。即使防火墙进行了良好的设置，使得攻击无法穿透防火墙，但各种攻击仍然会源源不断地向防火墙发出尝试。,38,防火墙不能做什么,防火墙不能抵抗最新的未设置策略的攻击漏洞如杀毒软件与病毒一样，总是先出现病毒，杀毒软件经过分析出特征码后加入到病毒库内才能查杀。防火墙的各种策略，也是在该攻击方式经过专家分析后给出其特征进而设置的。如果世界上新发现某个主机漏洞的cracker的把第一个攻击对象选中了您的网络，那么防火墙也无能为力。,39,防火墙不能做什么,防火墙对服务器合法开放的端口的攻击大多无法阻止。某些情况下，攻击者利用服务器提供的服务进行缺陷攻击。例如利用开放了3389端口取得没打过sp补丁的win2k的超级权限，由于其行为在防火墙一级看来是“合理”和“合法”的，因此就被简单地放行了。,40,防火墙不能做什么,防火墙对待内部主动发起连接的攻击一般无法阻止防火墙内部各主机间的攻击行为，防火墙只有如旁观者一样冷视而爱莫能助