防火墙与技术

防火墙与技术(jìshù)第一页，共41页。第5章防火墙与VPN技术(jìshù)5.1防火墙5.2VPN技术(jìshù)2第二页，共41页。5.1防火墙什么是防火墙？防火墙是一类防范措施的总称，它使得内部网络与Internet之间或者与其它外部网络互相隔离、限制网络互访，用来保护内部网络。设置防火墙的目的：在内部网和外部网之间设立唯一通道提供内、外两个网络间的访问控制通过一定的安全策略防止(fángzhǐ)发生网络安全事件引起的危害3第三页，共41页。5.1防火墙防火墙的应用(yìngyòng)示意图：Internet企业内部网络（如Intranet)防火墙系统（堡垒主机+路由器等）非安全网络安全网络4第四页，共41页。5.1防火墙Internet网关Intranet外部(wàibù)过滤器内部(nèibù)过滤器不安全(ānquán)网络安全网络防火墙的基本组成框架5第五页，共41页。5.1防火墙防火墙具备的功能(gōngnéng)：针对个人终端和端口提供信息流过滤对网络信息流进行稽核和监控WhodoWhat?Why?Where?WhenandHow?6第六页，共41页。5.1防火墙(1)外网：一般为Internet，非受信网络(2)内网：一般为Intranet，受信网络(3)非军事化区：DMZ是英文“demilitarizedzone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部(wàibù)网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部(wàibù)网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。7第七页，共41页。5.1防火墙InternetIntranet不安全(ānquán)网络安全(ānquán)网络业务(yèwù)Web服务器放在防火墙之内的配置图防火墙+路由器Web服务器8第八页，共41页。5.1防火墙InternetIntranet不安全(ānquán)网络安全(ānquán)网络业务(yèwù)Web服务器放在防火墙之外的配置图防火墙+路由器Web服务器9第九页，共41页。5.1防火墙防火墙的作用保护主系统的安全过滤不安全的、易受攻击的服务，如NFS、ICMP控制对网点系统的访问集中身份认证、安全访问等软件(ruǎnjiàn)，降低成本提供网络使用率的统计数字，可供分析或告警提供实施和执行网络访问安全策略10第十页，共41页。尽可能控制外部用户访问内域网，应严格限制外部用户进入内域网强烈的反差背后，问题究竟出在哪里？第三十七页，共41页。具有足够的透明性，保证正常业务的流通集中身份认证、安全访问等软件(ruǎnjiàn)，降低成本检查进出防火墙的IP包标头内容，如来源及目的IP地址、控制协议TCP或UDP、访问端口Port等信息。蜜罐(HoneyPot)是受到严密监控的网络诱骗系统，它通过真实或模拟的网络和服务来吸引攻击，从而在黑客攻击蜜罐期间对其攻击行为及过程进行记录分析，以搜集信息，同时对新攻击发出预警(yùjǐnɡ)。只允许本地安全政策认可的业务流通过防火墙知情人士指出，目前医药供销上下游链条里已没有廉价老药生存的空间。只能限制内部用户对外的访问，无法防护来自内部网络用户的攻击限制了一些有用的网络服务的使用，降低了网络性能检查进出防火墙的IP包标头内容，如来源及目的IP地址、控制协议TCP或UDP、访问端口Port等信息。---ESP为IP数据包提供完整性检查、认证和加密，可以看作是“超级AH”，因为它提供机密性并可防止篡改。2VPN技术(jìshù)按VPN的服务类型分类：集中身份认证、安全访问等软件(ruǎnjiàn)，降低成本5.1防火墙防火墙的设计原则由内到外和由外到内的业务流必须经过(jīngguò)防火墙只允许本地安全政策认可的业务流通过防火墙尽可能控制外部用户访问内域网，应严格限制外部用户进入内域网具有足够的透明性，保证正常业务的流通具有抗穿透攻击能力、强化记录、审计和告警11第十一页，共41页。5.1防火墙防火墙的基本(jīběn)组成：安全操作系统、过滤器、网关、域名服务、Email处理。12第十二页，共41页。5.1防火墙防火墙的分类包过滤(guòlǜ)型：检查进出防火墙的IP包标头内容，如来源及目的IP地址、控制协议TCP或UDP、访问端口Port等信息。缺点是无法控制“连线”能力。包检验型：包过滤(guòlǜ)型的加强版，增加了控制“连线”能力。缺点是无法识别“IP欺骗”。13第十三页，共41页。5.1防火墙包过滤(guòlǜ)式防火墙Internet包过滤(guòlǜ)防火墙+路由器Intranet优点：对用户(yònghù)来说是透明的，处理速度快，易于维护，进行网络及维护缺点：不能鉴别不同的用户和防止IP地址盗用，配置繁琐14第十四页，共41页。5.1防火墙防火墙的分类应用层网关型：分析连线(liánxiàn)内容是否符合应用协定的标准。Internet优点：比包过滤式防火墙更为安全、可靠(kěkào)，详细记录所有访问状态信息Intranet内部(nèibù)服务器等代理服务器路由器15第十五页，共41页。5.1防火墙防火墙的分类状态监测防火墙：使用一个在网关上执行网络安全策略的软件模块，称为监测引擎，是第三代防火墙技术原理：监测引擎软件在不影响网络正常运行的前提下，采用抽取有关数据的方法对网络通信的各层实施监测，抽取状态信息，并动态的保存起来，作为执行安全策略的参考，根据这些状态信息，可对防火墙外界用户的访问操作进行“行为分析(fēnxī)”，对“正常行为”放过，拦截“不正常行为”。16第十六页，共41页。5.1防火墙“行为分析”：鉴别(jiànbié)行为是否正常。计算机世界是现实世界的映射或反映！现实世界、现实生活中的“行为分析”以“资本的行为分析”为例17第十七页，共41页。5.1防火墙资本的本性：英国工会(gōnghuì)活动家、政治家邓格宁说：“资本害怕没有利润或利润太少，就像自然害怕真空一样。一旦资本有了适当的利润，资本就胆大起来，如果有10%的利润，它就保证到处被使用；有20%的利润，它就活跃起来；有50%的利润，它就铤而走险；为了100%的利润，它就敢践踏一切人间法律；有300%的利润，它就敢犯任何罪，甚至冒绞首的危险。”18第十八页，共41页。5.1防火墙蔬菜快要“烂在地里”为何卖不出去？2011年4月

CCTV《经济半小时》近一段时间以来，各地频频爆出菜价下跌的消息。山东、河南、湖北等地的蔬菜价格(jiàgé)竟然降到只卖几分钱都无人问津。菜农们只能眼睁睁地看着辛辛苦苦种出来的蔬菜烂在地里。但与此同时，我们看到城市里超市的菜价却没有相应地下降。究竟是什么原因导致了今年蔬菜种植环节价格(jiàgé)大跌？近来在CPI高企的背景下，“买菜贵”让城市居民生活成本陡增。然而另一方面，却出现了农民“卖菜难”的状况，菜价屡创新低却无人收购，蔬菜甚至面临“烂在地里”的局面。强烈的反差背后，问题究竟出在哪里？19第十九页，共41页。5.1防火墙廉价药厂商不生产心脏病手术中常用廉价药鱼精蛋白的断货似乎并不是个例，一位市民近日跑遍烟台全城都买不到治疗皮肤病的廉价老药。2011年9月，记者调查了解到，有的廉价老药断了货，有的价格猛涨变得不再廉价，这让老百姓很不习惯。不过药店和厂家说，他们也有苦衷。知情人士指出，目前医药供销上下游链条里已没有廉价老药生存的空间。从治疗白血病的复方磺胺甲噁唑注射针剂、环磷酰胺针剂，到缓解胃病的复方胃友、双层胃友等，这些(zhèxiē)应急救命或者日常必备的药物，因为价格“过于”低廉，而没有厂家愿意生产，在广州正逐步走向急缺、退市的局面。20第二十页，共41页。5.1防火墙防火墙的优缺点：优点1.遏制来自Internet各种路线的攻击2.借助网络服务选择，保护网络中脆弱的易受攻击的服务3.监视整个网络的安全性，具有实时报警提醒功能4.作为(zuòwéi)部署NAT的逻辑地址5.增强内部网中资源的保密性，强化私有权21第二十一页，共41页。5.1防火墙防火墙的优缺点：缺点1.限制了一些有用的网络服务的使用，降低了网络性能2.只能限制内部用户对外的访问，无法防护来自内部网络用户的攻击3.不能完全防止传送感染(gǎnrǎn)病毒的软件或文件，特别是一些数据驱动型的攻击数据4.被动防守，不能防备新的网络安全问题22第二十二页，共41页。5.1防火墙防火墙的局限需要过多的人工审查和记录无法防范防火墙漏洞攻击无法防范来自(láizì)内部网的攻击无法防止传送病毒无法防范数据驱动型的攻击（恶意代码的攻击）23第二十三页，共41页。5.1防火墙网络攻击行为：10次以上(yǐshàng)试密码、端口扫描、服务扫描……对网络有害信息的“疏导”技术——“蜜网技术”蜜网是一个“诱捕网络”，属于主动型的防御系统。24第二十四页，共41页。5.1防火墙蜜罐(HoneyPot)是受到严密监控的网络诱骗系统，它通过真实或模拟的网络和服务来吸引攻击，从而在黑客攻击蜜罐期间对其攻击行为及过程进行记录分析，以搜集信息，同时对新攻击发出预警(yùjǐnɡ)。蜜罐本身并不直接增强网络的安全性，但可以延缓攻击和转移攻击目标。简单地说，蜜罐就是诱捕攻击者的一个陷阱。蜜网(Honeynet)是蜜罐技术的延伸和发展，是一种高交互性的蜜罐,，在一台或多台蜜罐主机基础上，结合防火墙、路由器、入侵检测系统组成的网络系统。蜜网可以合理记录下攻击者的行动，同时尽量减小或排除对因特网上其它系统造成的风险。法律问题：存不存在“诱导犯罪”、“钓鱼执法”的嫌疑？25第二十五页，共41页。5.2VPN技术(jìshù)问题的提出（VPN的需求来源）：地理分散的分支机构，如跨国公司、连锁店、地区办事处、分销点、各地子公司等。两种解决方式：从电信公司租用专用的通信信道，如DDN(DigitalDataNetwork)专线投资构建(ɡòujiàn)EDI(ElectronicDataInterchange)或电子商务平台通过DSL（DigitalSubscriberLine,数字用户线）或其它宽带方式接入网络26第二十六页，共41页。5.2VPN技术(jìshù)虚拟专用网VPN(VirtualPrivateNetwork)通过一个公共网络(Internet)建立一个临时的、安全(ānquán)的连接，是一条穿过混乱的公用网络的安全(ānquán)、稳定的隧道，它是对企业内部网(Intranet)的扩展。27第二十七页，共41页。5.2VPN技术(jìshù)VPN提供如下功能：加密数据：保证通过公网传输的信息不泄漏。信息认证和身份认证：保证信息的完整性、合法性，鉴别用户(yònghù)的身份。提供访问控制：不同的用户(yònghù)有不同的访问权限。28第二十八页，共41页。5.2VPN技术(jìshù)VPN的优点成本较低：相对于专线网络结构灵活：易于实施和扩展管理方便：网络设备较少VPN是一种特殊的、虚拟的“点对点”(endtoend)连接(liánjiē)，它使用“隧道”(Tunnel)技术,数据包在公共的Internet网络上专门开辟的“隧道”内传输。29第二十九页，共41页。5.2VPN技术(jìshù)VPN的基础——隧道协议(xiéyì)第2层隧道协议(xiéyì)PPTP(PointtoPointTunnelingProtocol)，由3Com、Access、Ascend、Microsoft、ECITelematics公司共同制定，客户机/服务器模式L2F(Layer2Forwarding)，由Cisco公司提出，可在ATM、帧中继、IP网上建立VPN通信方式L2TP(Layer2TunnelingProtocol)，由Cisco公司提出，综合PPTP和L2F的优点，向IETF(InternetEngineeringTaskForce)提交标准化申请30第三十页，共41页。5.2VPN技术(jìshù)31第三十一页，共41页。5.2VPN技术(jìshù)第3层隧道协议IPSec(InternetProtocolSecurity)，由IETFRFC2401-2409定义，是一个与互联网密钥交换IKE(InternetKeyExchange)有关的框架协议，主要用于基于防火墙的VPN系统GRE(GenericRoutingEncapsulation)，由IETFRFC1701/1702定义，规定了怎样(zěnyàng)用一种网络层协议去封装另一种网络层协议的方法32第三十二页，共41页。5.2VPN技术(jìshù)隧道的基本(jīběn)组成一个隧道启动器一个路由网络(Internet)一个可选的隧道交换机一个或多个隧道终结器33第三十三页，共41页。5.2VPN技术(jìshù)场点到场(dàochǎng)点VPNVPN应用(yìngyòng)实例134第三十四页，共41页。5.2VPN技术(jìshù)L2TP+IPSECVPNVPN应用(yìngyòng)实例235第三十五页，共41页。5.2VPN技术(jìshù)IPSecIPSEC协议不是一个单独的协议，它给出了应用于IP层上网络数据安全(ānquán)的一整套体系结构，包括以下主要协议：AH（AuthenticationHeader）：认证头标---为IP通信提供数据源认证、数据完整性和防重播保证，它能保护通信免受篡改，但不能防止窃听，适合用于传输非机密数据。ESP（EncapsulatingSecurityPayload）：封装安全(ānquán)净载 ---ESP为IP数据包提供完整性检查、认证和加密，可以看作是“超级AH”，因为它提供机密性并可防止篡改。IKE（InternetKeyExchange）：Internet密钥交换协议 ---负责协商安全(ānquán)关联和建立隧道36第三十六页，共41页。5.2VPN技术(jìshù)IPSec有两种工作模式：隧道模式（T