网络防火墙技术与应用.ppt

5、网络防火墙技术与应用,2,教学目标,重点是防火墙安全系统的设计和实施熟悉防火墙的原理、作用，能在实际工作中选择、设计适合的防火墙系统，并能正确管理,3,要点内容,防火墙的概念、作用与类型防火墙的设计与实现基于防火墙的安全网络结构防火墙的产品与发展,4,能力要求,掌握防火墙的概念、类型、目的与作用了解防火墙的设计与实现了解防火墙的安全网络结构,5,5.1网络防火墙概述,防火墙的是在容易发生火灾的区域与要保护的区域之间设置的一堵墙，将火灾隔离在保护区以外，保证保护区内的安全网络防火墙是指在两个网络之间加强访问控制的一整套装置，即构造在一个可信网络和不可信网络之间的保护装置，强制所有的访问和连接都必须经过这个保护层，并在此进行连接和安全检查只有合法的流量才能通过此保护层，从而保护内部网资源免遭非法入侵,6,5.1网络防火墙概述-有关概念,主机：与网络系统相连的计算机系统堡垒主机：一个计算机系统，它对外网暴露，又是内网用户的主要连接点，主机必须严加保护双宿主主机：具有两个网络接口的计算机系统包过滤：对进出网络的数据流（包）进行有选择的控制与操作。用户设定一系列的规则，指定容许（或拒绝）哪些类型的数据包流入（或流出）网络参数网络：为了增加一层安全控制，在内网与外网之间增加的一个网络，也称“非军事区”，即DMZ代理服务器：代表内网用户与外部服务器进行信息交换的系统，它将已认可的内部用户的请求送到外部服务器，同时将外部网络服务器的响应回送给用户,7,网络防火墙的目的,限制访问者进入一个被严格控制的点防止攻击者接近防御设备限制访问者离开一个被严格控制的点检查、筛选、过滤和屏蔽信息流中的有害服务，防止对计算机系统进行蓄意破坏,8,网络防火墙的作用,有效收集和记录网络活动和网络误用情况有效隔离网络中的多个网段，防止一个网段的问题传播到其他网段作为一个安全检查站，能有效地过滤、筛选和屏蔽有害的信息和服务作为一个防止不良现象发生的“警察”，能执行和强化网络的安全策略,9,5.2防火墙的类型-包过滤型防火墙,包过滤型防火墙（PacketFilterFirewall）一般安装在路由器上，工作在网络层。基于单个包实施网络控制，根据所收到的数据包的源地址、目的地址、源端口号及目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数，与用户预定的访问控制列表进行比较，决定数据是否符合预先制定的安全策略，决定数据包的转发或丢弃，即实施信息过滤,10,5.2防火墙的类型-包过滤型防火墙,11,5.2防火墙的类型-包过滤型防火墙,12,5.2防火墙的类型-代理服务器型防火墙,代理服务器型防火墙（ProxyServiceFirewall）通过在主机上运行代理的服务程序，直接面对特定的应用层服务，因此也称为应用型防火墙或应用层网关其核心是运行于主机上的代理服务进程，该进程代理用户完成TCP/IP功能，是为特定网络应用而连接两个网络的网关。对每种不同的应用（如E-mail、FTP、Telnet、WWW等）都应用一个相应的代理服务外部网络与内部网络之间想要建立连接，首先必须通过代理服务器的中间转换，内部网络只接收代理服务器提出的要求，拒绝外部网络的直接请求,13,5.2防火墙的类型-代理服务器型防火墙,14,5.2防火墙的类型-代理服务器型防火墙,SOCKS是一个可以建立代理的工具，可以方便地将现有的客户机/服务器应用系统转换成代理方式下的具有相同结构的应用系统能满足一般常用的互联网协议的代理服务器（如Telnet、FTP、HTTP、Rlogin、X.11）,15,5.2防火墙的类型-其他类型的防火墙,电路层网关CircuitGateway在网络的传输层上实施访问控制策略，在内、外网络主机之间建立一个虚拟电路进行通信，相当于在防火墙上直接开了个口子进行传输,16,5.2防火墙的类型-其他类型的防火墙,自适应代理Self-AdaptiveAgentTechnology是一种新颖的防火墙技术，在一定程度上反映了防火墙发展动态该技术根据用户定义的安全策略，动态适应传送中的分组流量如果安全要求较高，则安全检查应在应用层完成，以保证代理防火墙的最大安全性；一旦代理明确了会话的所有细节，其后的数据包就可以直接到达速度快得多的网络层,17,5.2防火墙的类型-其他类型的防火墙,混合型防火墙HybridFirewall把包过滤和代理服务等功能结合起来，形成新的防火墙结构，所用主机称为堡垒主机，负责代理服务各种类型的防火墙，各有其优缺点。当前的防火墙产品，已不是单一的包过滤型或代理服务型防火墙，而是将各种安全技术结合起来，形成一个混合的多级的防火墙系统，以提高防火墙的灵活型和安全性,18,5.3网络防火墙的设计与实现,防火墙设计的安全要求防火墙应由多个构件组成，形成一个有一定冗余度的安全系统，避免成为网络的单失效点防火墙应能抵抗网络黑客的攻击，并可对网络通信进行监控和审计防火墙一旦失效、重启动或崩溃，则应完全阻断内、外部网络站点的连接，以免闯入者进入。这种失效模式是“失效-安全”模式防火墙应提供强制认证服务，外部网络站点对内部网络的访问应经过防火墙的认证检查，包括对网络用户和数据源的认证。它应支持E-mail、FTP、Telnet和WWW等应用防火墙对内部网络应起到屏蔽作用，隐藏内部网站的地址和内部网络的拓扑结构,19,5.3网络防火墙的设计与实现,防火墙设计的基本准则建立防火墙是在对网络的服务功能和拓扑结构仔细分析的基础上，在被保护的网络周边，通过专用硬件、软件及管理措施，对跨越网络边界的信息，提供监测、控制甚至修改的手段一切未被允许的访问就都是禁止的。基于该原则，防火墙要封锁所有的信息流，然后对希望开放的服务逐步开放，形成一种安全的环境，但其安全性是以牺牲用户使用的方便性为代价的一切未被禁止的访问就是允许的。基于该准则，防火墙开放所有的信息流，然后逐项屏蔽有害的服务。这种方法构成了一种灵活的应用环境，但很难提供可靠的安全保护,20,5.3网络防火墙的设计与实现,网络防火墙的实现决定防火墙的类型和拓扑结构制定安全策略确定包过滤规则设计代理服务器严格定义功能模块并分散实现防火墙维护和管理方案的考虑,21,防火墙安全系统结构,包过滤路由器型防火墙结构路由器的基本功能是转发数据包，一旦过滤机能失效，就会形成网络直通状态，任何非法访问都可以进入内部网络,22,防火墙安全系统结构,双宿主主机型防火墙结构一个接口接内部网络，另一个接口接外部网络，这种主机充当网络之间的“路由器”，从一个网络来的数据包不能无条件地传给另一个网络,23,防火墙安全系统结构-主机过滤型防火墙结构,由过滤路由器和运行网关软件的堡垒主机构成,24,防火墙安全系统结构-主机过滤型防火墙结构,主机过滤结构比双宿主主机结构能提供更好的安全保护，同时也具有更高的可操作性，这种防火墙投资少，安全功能实现和扩充容易，因而应用比较广泛,25,防火墙安全系统结构-子网过滤型防火墙,在主机过滤结构中再增加一层参数网络的安全机制，使得内部网络和外部网络之间有两层隔断。由参数网络的内、外部路由器分别连接内部网络与外部网络,26,防火墙安全系统结构-吊带式防火墙,作为代理服务器和认证服务器的网关主机位于参数网络。这样，代理服务器和认证服务器是内部网络的第一道防线，而内部路由器是第二道防线同时把公共服务（如FTP服务器、Telnet服务器、WWW服务器及E-mail服务器等）置于参数网络中，也减少了内部网络的安全风险,27,防火墙安全系统结构-吊带式防火墙,28,5.4防火墙的管理与维护,日常管理系统维护系统状态备份管理账户管理磁盘空间管理,29,5.4防火墙的管理与维护,系统监控专用监控设备、系统监控制度，监控人员监控的内容对试探做出响应,30,5