《防火墙技术》课件

1精选课件ppt防火墙技术

2精选课件ppt本课程的基本内容防火墙的原理与分类防火墙系统的设计原则防火墙的选择与维护网络的安全系统设计3精选课件ppt防火墙的原理4精选课件ppt内容Internet的安全风险Internet的基本安全概念防火墙的重要性防火墙的基本概念防火墙的基本功能防火墙的局限性防火墙的分类5精选课件pptInternet的安全风险纷繁复杂的Internet网络复杂用户层次复杂情况瞬息变化企业网络出于商业目的向公众开放TCP/IP协议的自身弱点攻击工具非常容易取得安全教育严重不足6精选课件ppt一个典型的攻击者工具包网络扫描器(networkscanner)强力口令破解和常用字典口令破解报文监听(sniffer)特洛伊木马程序和运行库(Trojan)选择性修改系统日志的工具隐藏活动的工具自动修改系统配置文件的工具报告错误信息的检验和工具(boguschksum)7精选课件pptInternet上没有人能免于攻击政府企业个人8精选课件ppt9精选课件pptInternet的基本安全概念资源和信息ConfidentialityIntegrityAvailability接触资源和信息的人AuthenticationAuthorizationNonrepudiation10精选课件ppt防火墙的基本概念什么是防火墙？防火墙是在一个组织的网络和Internet之间执行安全策略的一个或一组系统。11精选课件ppt我们希望防火墙具有的功能过滤不安全因素，拒敌于国门之外加强安全认证，控制资源和信息的使用在安全认证的基础上，实现访问授权减轻主机安全控制和安全配置的负担提前发现攻击意图，防患于未然记录攻击者的行踪，为法律解决提供依据12精选课件ppt防火墙的基本功能数据包过滤服务代理加密认证记录和报警VPN和带宽管理13精选课件ppt数据包的过滤过滤的原理数据传输的分层与报头的结构物理链路层--Networkaccesslayer以太网，FDDI，ATM网络层--InternetlayerIP传输层--TransportLayerTCPorUDP应用层--ApplicationLayerFTP,Telnet,HTTP防火墙的过滤原理14精选课件ppt数据包的过滤ApplicationPresentationSessionTransportDataLinkPhysicalDataLinkPhysicalFirewallApplicationPresentationSessionTransportDataLinkPhysicalNetworkNetworkTransport15精选课件ppt物理层数据报头的结构物理报头：以太网，FDDI，ATM等16精选课件pptIP报头结构17精选课件pptTCP数据报头18精选课件ppt过滤的种类基于源IP地址和目标IP地址的过滤基于协议和端口的过滤配合其他设备实现基于url的过滤和病毒的过滤19精选课件ppt过滤讲解－Telnet20精选课件ppt过滤讲解－Telnet21精选课件ppt数据包过滤的优点成本较低对上层服务协议透明处理速度相对较快，尤其是在一些专用防火墙设备上可以保证用户的接入速度。22精选课件ppt数据包过滤的缺点当过滤策略较多的时候，不容易掌握，并且会降低数据包转发效率。容易成为IPSpoofing技术的攻击对象需要系统管理员具有较丰富的TCP/IP网络管理的经验不能控制基于上层服务的攻击在单独承担防火墙系统功能时，安全性较差23精选课件ppt设置过滤需要考虑的问题过滤处理的速度可以检查的内容实现过滤规则的顺序是否可以将规则独立的实施在每一个硬件设备的端口记录测试和验证功能24精选课件ppt代理代理的原理内部用户能够通过它来实现对外部网络的交互访问。代理服务的种类应用层代理服务回路层代理服务25精选课件ppt代理服务的工作原理26精选课件ppt应用层代理服务27精选课件ppt应用层代理服务器(Proxy)ApplicationPresentationSessionTransportDataLinkPhysicalNetworkDataLinkPhysicalApplicationPresentationSessionTransportDataLinkPhysicalApplicationPresentationSessionTransportNetworkNetworkTelnetHTTPFTPFirewall28精选课件ppt应用层代理服务器的优点优点：相对较高的安全性可以实现访问的身份认证可以在应用层控制服务的等级，权限ApplicationPresentationSessionTransportNetworkDataLinkPhysical29精选课件ppt应用层代理服务器的缺点缺点：性能较差，速度慢每种访问服务需要单独的代理服务器用户不透明ApplicationPresentationSessionTransportNetworkDataLinkPhysical30精选课件ppt回路层代理服务31精选课件ppt全状态检测(StatefulInspection)ApplicationPresentationSessionTransportDataLinkPhysicalDataLinkPhysicalApplicationPresentationSessionTransportDataLinkPhysicalNetworkNetworkNetworkPresentationSessionTransportEngineINSPECTApplicationDynamicStateTables32精选课件pptStatefulInspection优点GoodSecurityHighPerformanceFullApplication-layerAwarenessScalabilityExtensibleTransparencyApplicationPresentationSessionTransportNetworkDataLinkPhysical33精选课件ppt地址翻译-NAT(一)RFC1918规定了私有地址下面三类地址不能用于Internet主机地址34精选课件ppt地址翻译-NAT(二)实现方式静态地址翻译动态地址翻译端口地址翻译(PAT)优点：节约地址资源，有一定的安全保护作用缺点：有些服务不能支持35精选课件pptNAT-静态地址翻译36精选课件pptNAT-端口地址翻译37精选课件ppt记录记录的重要性分析记录提前发现安全隐患分析记录提供入侵证据分析记录提供相关事件报告记录文档的保存安全便于检查38精选课件ppt其他功能加密认证VPN带宽管理39精选课件ppt

新一代网络防火墙一种平台完成多种功能实现对IP,TCP,Session,Application的全面检查(病毒/Url过滤)多种记录和报警方式开放平台可以和其他网络设备结合实现全面安全网络解决方案40精选课件ppt防火墙的局限性防火墙不能防范未知的攻击方式(最新)时刻关注TCP/IP攻击技术的发展防火墙不能防范不经过防火墙的攻击确认防火墙是对外的唯一连接防火墙自身不能防范病毒可以配合其他病毒监测设备实施病毒扫描和清除41精选课件ppt防火墙的分类（一）应用功能网关型防火墙服务代理加密认证地址翻译VPN和带宽管理42精选课件ppt防火墙的分类（二）设备类型软件防火墙基于操作系统之上，对系统进行加固强调功能全面，支持多种应用服务；FW1,CheckpointCorp.Borderware,SecureComputingTISFW,TIS硬件防火墙专用操作系统，硬件结构简单，处理速度快。PIX,CiscoNetScreenNetScreenInc.43精选课件ppt防火墙的应用设计和维护44精选课件ppt课程内容防火墙的设计原则防火墙的安全策略常见的防火墙设计防火墙的日常维护45精选课件ppt安全不是PnP了解防火墙产品的特性了解网络对外的开放程度了解恶意进攻手段46精选课件ppt现代信息安全系统现代信息安全系统＝防火墙＋合适的安全策略＋全体人员的参与47精选课件ppt防火墙的应用设计原则Affordability

我准备为安全支付多少费用?Functionality我是否还能使用我的资源?CulturalCompatibility是否符合人们的工作方式?Legality是否合法?48精选课件ppt防火墙的应用设计原则几个问题Whoisallowedtousetheresources?Whatistheproperuseoftheresources?Whomayhavesystemadministrationprivileges?Whataretheuser¢srightsandresponsibilities?Whatdoyoudowithsensitiveinformation?Whathappenswhenthepolicyisviolated?49精选课件ppt防火墙的应用原则两种缺省选择没有被明确允许的即为禁止没有被明确禁止的即为允许50精选课件ppt防火墙的安全策略防火墙的物理安全防火墙的认证加密防火墙的过滤策略防火墙的预警能力防火墙的记录设置51精选课件ppt名词解释堡垒主机（BastionHost）一个高度安全的计算机系统。通常是暴露于外部网络，作为连接内部网络用户的桥梁，易受攻击。双重宿主主机（Dual-homedHost）有至少两个以上的网络接口的计算机系统周边网络（PerimeterNetworkorDMZ）在被保护的网络和外部网络之间增加的网络，提供安全的隔离带，也称为非军事区52精选课件ppt防火墙主要功能过滤进、出网络的数据管理进、出网络的访问行为封堵某些禁止的业务记录通过防火墙的信息内容和活动对网络攻击进行检测和报警53精选课件ppt常见的防火墙系统设计

54精选课件ppt内部工作子网与外网的访问控制进行访问规则检查发起访问请求合法请求则允许对外访问将访问记录写进日志文件合法请求则允许对外访问发起访问请求防火墙在此处的功能：1、工作子网与外部子网的物理隔离2、访问控制3、对工作子网做NAT地址转换4、日志记录

Internet区域Internet边界路由器DMZ区域WWWMailDNS内部工作子网管理子网一般子网内部WWW重点子网55精选课件ppt

Internet区域Internet边界路由器DMZ区域与外网的访问控制进行访问规则检查发起访问请求合法请求则允许对外访问将访问记录写进日志文件禁止对外发起连结请求发起访问请求防火墙在此处的功能：1、DMZ网段与外部子网的物理隔离2、访问控制3、对DMZ子网做MAP映射4、日志记录DMZ区域WWWMailDNS内部工作子网管理子网一般子网内部WWW重点子网56精选课件ppt内部工作子网与DMZ区的访问控制进行访问规则检查发起访问请求合法请求则允许对外访问将访问记录写进日志文件禁止对工作子网发起连结请求防火墙在此处的功能：1、DMZ网段与工作子网的物理隔离2、访问控制4、日志记录发起访问请求

Internet区域Internet边界路由器DMZ区域WWWMailDNS内部工作子网管理子网一般子网内部WWW重点子网57精选课件ppt拨号用户对内部子网的访问控制拨号服务器Cisco2620移动用户PSTNModemModem进行一次性口令认证认证通过后允许访问内网防火墙在此处的功能：1、对拨号用户进行一次性口令认证2、控制拨号用户对内网的访问权限3、对拨号用户的访问做日志和审计将访问记录写进日志文件用户拨号内部工作子网管理子网一般子网内部WWW重点子网58精选课件ppt下属机构对总部的访问控制拨号服务器PSTN

Internet区域Internet边界路由器内部工作子网管理子网一般子网内部WWW重点子网下属机构DDN/FRX.25专线DMZ区域WWWMailDNSFW+VPNFW+VPN进行规则检查将访问记录写进日志文件防火墙在此处的功能：1、将内部子网与连接下属机构的公网隔离开2、控制下属机构子网用户对总部内网的访问3、对下属机构网络与总部子网之间的通讯做日志和审计59精选课件pptHostCHostD数据包数据包数据包数据包数据包查找对应的控制策略拆开数据包进行分析根据策略决定如何处理该数据包数据包控制策略

基于源IP地址基于目的IP地址基于源端口基于目的端口基于时间基于用户基于流量可以灵活的制定的控制策略包过滤60精选课件ppt基于时间的访问控制HostCHostD在防火墙上制定基于时间的访问控制策略上班时间不允许访问Internet上班时间可以访问公司的网络Internet61精选课件ppt用户级权限控制HostCHostDHostBHostA受保护网络Internet···············

······PermitPasswordUsername预先可在防火墙上设定用户root123root123Yesadmin883No不管那台电脑都可以用相同的用户名来登陆防火墙只需在防火墙设置该用户的规则即可62精选课件ppt

高层协议控制

应用控制可以对常用的高层应用做更细的控制如HTTP的GET、POST、HEAD

如FTP的GET、PUT等物理层链路层网络层传输层会话层表示层应用层物理层链路层网络层传输层会话层表示层应用层内部网络外部网络防火墙内部接口外部接口根据策略检查应用层的数据符合策略应用层应用层应用层63精选课件pptIP与MAC绑定InternetHostAHostBHostCHostD00-50-04-BB-71-A600-50-04-BB-71-BCBindTo00-50-04-BB-71-A6BindTo00-50-04-BB-71-BCIP与MAC地址绑定后，不允许HostB假冒HostA的IP地址上网防火墙允许HostA上网64精选课件pptNAT转换&IP复用Internet4HostA受保护网络HostCHostD15防火墙Eth2：3Eth0：数据IP报头数据IP报头源地址：1目地址：4源地址：目地址：4

隐藏了内部网络的结构内部网络可以使用私有IP地址公开地址不足的网络可以使用这种方式提供IP复用功能65精选课件ppt流量控制HostCHostDHostBHostA受保护网络HostA的流量已达到10MHostA的流量已达到极限值30M阻断HostA的连接Internet66精选课件ppt

端口映射Internet

公开服务器可以使用私有地址隐藏内部网络的结构WWWFTPMAILDNS：80——：80：21——：21：25——：25：53——：5367精选课件ppt透明接入受保护网络Internet如果防火墙支持透明模式，则内部网络主机的配置不用调整HostAHostCHostDHostB同一网段透明模式下，这里不用配置IP地址透明模式下，这里不用配置IP地址DefaultGateway=防火墙相当于网桥，原网络结构没有改变68精选课件ppt信息审计&日志HostAHostBHostCHostDInternet安全网域HostGHostH···TCP8：302001-02-07···TCP9：102001-02-07写入日志写入日志一旦出现安全事故可以查询此日志69精选课件ppt身份鉴别HostCHostDHostBHost