网络安全 防火墙技术.ppt

1、防火墙技术,防火墙（Firewall）,防火墙类似一堵城墙，将服务器与客户主机进行物理隔离，并在此基础上实现服务器与客户主机之间的授权互访、互通等功能。,内部网络和外部网络之间所有网络数据流都必须经过防火墙 只有符合安全策略的数据流才能通过防火墙 防火墙自身应具有非常强的抗攻击免疫力,防火墙概念,防火墙是指设置在不同网络或网络安全域（公共网和企业内部网）之间的一系列部件的组合。 它是不同网络（安全域）之间的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。 防火墙本身

2、具有较强的抗攻击能力，它是提供信息安全服务、实现网络和信息安全的基础设施。,Internet,内部网,路由器,控制台,服务器,服务器,服务器,主机,主机,内外网络隔离 截取IP包，根据安全策略控制其进/出 双向网络地址转换（NAT） 基于一次性口令对移动访问进行身份识别和控制 IPMAC捆绑，防止IP地址的滥用,安全记录 通信事件记录 操作事件记录 违规事件记录 异常情况告警,移动用户,拨号用户,局域网用户,防火墙,（内部地址）,（内部地址）,防火墙的布置示例,服务器,服务器,（内部地址）,服务器,服务器,主机,（内部地址）,服务器,服务器,控制台,主机,（内部地址）,服务器,服务器,防火墙的

3、基本功能,(1)可以限制位授权的用户进入内部网络，过滤掉不安全的服务与非法用户。 (2)防止入侵者接近网络防御设施。 (3)限制内部用户访问特殊站点。,防火墙的局限性,防火墙不能防范网络内部的攻击。比如：防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。 防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予其临时的网络访问权限。 防火墙不能防止传送已感染病毒的软件或文件，不能期望防火墙对每一个文件进行扫描，查出潜在的病毒。,一个分组过滤型防火墙通常能根据IP分组的以下各项过滤： 源IP地址 目标IP地址 TCP/UDP源端口 TCP/UDP目标端口

4、 协议类型,防火墙技术包过滤,优点： 透明的防火墙系统 高速的网络性能 易于配置 支持网络内部隐藏 缺点： 易于IP地址假冒 记录日志信息不充分 源路由攻击 设计和配置一个真正安全的分组过滤规则比较困难 分组过滤防火墙并不能过滤所有的协议 极小分片设数据包攻击 无法防止数据驱动式攻击,防火墙技术包过滤,代理的工作方式,防火墙技术应用代理,优点： 在网络连接建立之前可以对用户身份进行认证 所有通过防火墙的信息流可以被记录下来 易于配置 支持内部网络的信息隐藏 与分组过滤规则相比简单 易于控制和管理 缺点： 对每种类型的服务都需要一个代理 网络性能不高 防火墙对用户不透明 客户应用可能需要修改 需

5、要多个防火墙主机,防火墙技术应用代理,防火墙系统的部署方式,1边界防火墙 边界防火墙所在的位置就是企业内部网络与外部网络（包括因特网、广域网和其他公司的专用网）之间。防火墙的内外网卡分别连接于内、外部网络，但内部网络和外部网络是从逻辑上完全隔开的。所有来自外部网络的服务请求只能到达防火墙的外部网卡。防火墙对收到的数据包进行分析后，将合法的请求通过内部网卡传送给相应的服务主机，对于非法访问加以拒绝。 2内部防火墙 通过在服务器群的入口处设置内部防火墙，制定完善的安全策略，可以有效地控制内部网络的访问。 边界防火墙和内部防火墙各自的主要功能参见书中介绍。,防火墙在网络安全防护中的应用,防火墙在网络

6、中的应用主要有以下几个方面： 控制来自因特网对内部网络的访问 控制来自第三方局域网对内部网络的访问 控制局域网内部不同部门网络之间的访问 控制对服务器中心的网络访问 控制来自因特网对内部网络的访问 这是防火墙的一种最基本应用，也是应用最广的一项应用。其整个网络结构分为3个不同级别的安全区域：内部网络、外部网络和DMZ（非军事区）。,防火墙在网络安全防护中的应用,控制来自第三方局域网对内部网络的访问 这种应用主要是针对一些规模比较大的企事业单位，用来与分支机构、合作伙伴或供应商的局域网进行连接，或者是同一企业网络中存在多个子网。在这种应用环境下，防火墙主要限制第三方网络（以上所说的其他单位局域网

7、或本单位子网）对内部网络的非授权访问。 控制局域网内部不同部门之间的访问 这种应用环境就是在一个企业内部网络之间，对一些安全敏感的部门或者特殊用户进行的隔离保护（当然所隔离的也可以是一个单独的子网）。通过防火墙保护内部网络中敏感部门的资源不被非法访问。,防火墙在网络安全防护中的应用,控制对服务器中心的网络访问 这种应用可以有两种部署方法。 1为每个用户的服务器群单独配置一个独立的防火墙 网络拓扑结构如下面左图所示。这是一种传统方法。 2采用虚拟防火墙方式 网络拓扑结构如下面右图所示。这主要是利用三层交换机的VLAN功能，先为每一台连接在三层交换机上的用户服务器群配置成一个单独的VLAN子网，然

8、后通过对高性能防火墙对VLAN子网的配置，就相当于将一个高性能防火墙划分为多个虚拟防火墙。其典型网络结构如下图所示。,网络服务访问策略 不允许外部网络或Internet访问内部网络，但允许内部网络访问外部网络或Internet。 允许外部网络或Internet访问部分内部网络，这些特定的网络服务是经过严格选择和控制的，如一些信息服务器、电子邮件服务器或域名服务器等等。 防火墙设计策略 防火墙设计策略必须针对具体的防火墙，它定义过滤规则等，以实现高层的网络服务策略。这个策略在设计时必须考虑到防火墙本身的性能、限制及具体协议如TCP/IP。常用的两种基本防火墙设计策略是： 允许所有除明确拒绝之外的通信或服务（很少考虑，因为这样的防火墙可能带来许多风险和安全问题。攻击者完全可以使用一种拒绝策略中没有定义的服务而被允许并攻击网络） 拒绝所有除明确允许之外的通信或服务（常用，但操作困难，并有可能拒绝网络用户的正常需求与合法服务）,防