《2022年防火墙技术 .pdf》由会员分享,可在线阅读,更多相关《2022年防火墙技术 .pdf(8页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、防火墙与入侵检测技术国防科技大学教授、博士生导师胡华平目录1. 防火墙技术2. 防火墙的体系结构3. 防火墙应用中的几个问题4. 入侵检测技术5. 入侵检测系统6. 入侵防护系统5.1 概要1 防火墙技术1.1 防火墙的定义与基本功能1.2 防火墙的分类和工作原理5.1.1 防火墙的定义与基本功能1. 防火墙的定义名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 8 页 - - - - - - - - - 防火墙名称的由来当房屋还处于木制结构的时侯,人们将石块堆砌在房屋周围
2、用来防止火灾的发生。这种墙被称之为防火墙。在今日的电子世界中,人们仍然依靠防火墙来保护敏感的数据,不过这些防火墙是由采用先进技术的计算机产品砌成的。防火墙是位于两个信任程度不同的网络之间(如企业内部网络和Internet之间)的软件或硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问以保护系统安全。在逻辑上, 防火墙是分离器,限制器, 也是一个分析器,有效地监控了内部网和外部网之间的任何活动,保证了内部网络的安全。所有进出网络的通讯流都应该通过防火墙;所有穿过防火墙的通讯流都必须有安全策略和计划的确认和授权;理论上说,防火墙是穿不透的
3、。在物理上, 防火墙既可以是单纯的硬件设备路由器、主计算机, 也可以是纯软件产品,还可以是路由器、计算机和配有软件的网络的组合。防火墙的实质是一对矛盾(或称机制) 限制数据流通;允许数据流通。防火墙的安全策略:两种极端的表现形式:除非允许的,其余均被禁止,安全但不好用。(限制政策)除非禁止的,其余均被允许,好用但不安全。(宽松政策)通常防火墙采取第一种安全策略!2、防火墙的基本功能 1.过滤进出网络的数据:防火墙是阻塞点,可强迫所有进出信息都通过这个唯一狭窄的检查点,便于集中实施安全策略(加密认证软件等)。 2.管理进出网络的访问行为:限制网络访问服务,实行强制的网络安全策略。 3.封堵某些禁
4、止的业务:例如禁止不安全的协议NFS ,禁止 finger 。 4.记录通过防火墙的信息内容和活动; 5.对网络攻击检测和告警。防火墙的作用示意图名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 8 页 - - - - - - - - - 5.1.2 防火墙的分类和工作原理1、根据防火墙适用范围来分:个人防火墙和企业防火墙 1.个人防火墙软件采用的技术与传统的企业级防火墙技术基本相同; 2.在规则的设置、 防火墙的管理等方面进行了简化,主要是为了使非专业的个人用户能够轻松地
5、安装和使用它们而企业级防火墙具有更高的稳定性、更快的处理速度; 3.在规则的配置及管理方面相应地就更加复杂。2、根据防火墙的存在形式 1.硬件防火墙 2.软件防火墙 3.软硬件结合防火墙(1) 硬件防火墙 1.采用专用芯片处理数据包,CPU只作管理之用 ; 2.它使用专用的操作系统平台,避免了通用性操作系统的安全性漏洞; 3.具有高带宽、 高吞吐量, 是真正的线速防火墙(即实际带宽与理论值可以达到一致),安全与速度同时兼顾; 4.管理简单,价格昂贵;此类产品的外观为硬件机箱形,一般不会对外公布其CPU或RAM 等硬件水平,其核心为硬件芯片。(2) 软件防火墙 l.运行在通用操作系统上的能控制存
6、取访问的软件; 2.对底层操作系统的安全依赖性很高,易造成网络带宽瓶颈名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 8 页 - - - - - - - - - ( 通常带宽只有理论值的20% 70%); 3.它的管理比较复杂,与系统有关, 要求维护人员必须熟悉各种工作站及操作系统的安装及维护; 4.价格便宜,但性价比较低。(3) 软硬件结合防火墙 l.机箱 +CPU+ 防火墙软件集成于一体(PC BOX 结构),现在市面上有些自称“硬件”防火墙的产品实际采用的就是这种结
7、构; 2.它采用专用或通用操作系统,核心技术为软件,容易形成网络带宽瓶颈(通常带宽只能达到理论值的20% 70% ),只能满足中低带宽要求,吞吐量不高; 3.管理较方便,性价比较高; 4.产品外观为硬件机箱形,此类防火墙一般会对外强调其CPU与 RAM 等硬件水平。3、根据防火墙的设计原理 1.包过滤防火墙 2.代理服务器 3.状态检测防火墙(1) 包过滤防火墙 (packet filtering) 监视与过滤网络上流入流出的IP 包,并拒绝发送或接收可疑的包。包过滤式的防火墙会检查所有通过信息包里的IP 地址、端口号及其它包头信息,并按照系统管理员所给定的过滤规则过滤信息包。 (不做基于内容
8、的决定,只检查包头的内容, 不理会包内的正文信息内容) 包过滤工作原理包过滤防火墙的优缺点名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 8 页 - - - - - - - - - 优点: 1.速度快,性能高; 2.对应用程序透明(无帐号口令等) 。缺点: 1.安全性低( IP 欺骗等); 2.不能根据状态信息进行控制; 3.不能处理网络层以上的信息; 4.伸缩性差; 5.维护不直观。(2) 代理防火墙代理防火墙也叫应用层网关(Application Gateway)防火
9、墙。从内部发出的数据包经过防火墙处理后, 就好像是源于防火墙外部网卡一样, 从而可以达到隐藏内部网结构的作用。它的核心技术就是代理服务器技术;防火墙内外计算机系统间应用层的“链接”, 由两个终止代理服务器上的“链接”来实现;外部计算机的网络链路只能到达代理服务器, 从而起到了隔离防火墙内外计算机系统的作用。代理防火墙工作原理代理防火墙的优缺点代理类型防火墙的最突出的优点就是安全。由于每一个内外网络之间的连接都要通过Proxy 的介入和转换 , 通过专门为特定的服务( 如 http) 编写的安全化的应用程序进行处理,然后由防火墙本身提交请求和应答,没有给内外网络的计算机以任何直接会话的机会;名师
10、资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 8 页 - - - - - - - - - 代理防火墙的最大缺点就是速度相对比较慢,当用户对内外网络网关的吞吐量要求比较高时,代理防火墙就会成为内外网络之间的瓶颈;另外代理防火墙具有性能差、伸缩性差、只支持有限的应用、不透明等缺点。(3) 状态检测防火墙(Stateful-inspection)状态检测防火墙检测每一个有效连接的状态,并根据这些信息决定网络数据包是否能够通过防火墙: 1.它在协议栈低层截取数据包,然后分析这些数据
11、包,并且将当前数据包和状态信息与前一时刻的数据包和状态信息进行比较,从而得到该数据包的控制信息,来达到保护网络安全的目的。 2.和代理防火墙相比较而言,状态检测防火墙使用用户定义的过滤规则,不依赖预先定义的应用信息, 执行效率比应用网关防火墙高;而且它不识别特定的应用信息,所以不用对不同的应用信息制定不同的应用规则,从而具有伸缩性好的优点。状态检测工作原理状态检测可以结合前后数据包里的数据信息进行综合分析决定是否允许该包通过. 状态检测防火墙工作示意图名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - -
12、- - - 第 6 页,共 8 页 - - - - - - - - - 状态检测防火墙的优点高安全性 1.状态检测防火墙工作在数据链路层和网络层之间,它从中截取数据包。由于数据链路层是网卡工作的真正位置,网络层是协议栈的第一层,所以防火墙确保了对所有通过网络的原始数据包的截取和检查。 2.状态检测防火墙虽然工作在协议栈较低层,但它监测所有应用层的数据包,从中提取有用信息,如IP 地址、端口号和数据内容等,安全性从而得到了很大提高。高效性1.状态检测防火墙工作在协议栈的较低层,通过防火墙的所有数据包都在低层处理,而不需要协议栈的上层来处理任何数据包,因此减少了高层协议头的开销,执行效率也大大提高
13、;2.一旦一个连接在防火墙中建立起来,就不用再对该连接进行更多的处理,这样,系统就可以去处理其他连接,执行效率可以得到进一步的提高。可伸缩性和可扩展性 1.应用网关防火墙采用一个应用对应一个服务程序的方式。因为这种方式所能提供的服务是有限的, 而且当增加一个新的服务时,必须为新的服务开发相应的服务程序,因此, 系统的可伸缩性和可扩展性降低。 2.状态检测防火墙不区分每个具体的应用,只是根据从数据包中提取的信息、对应的安全策略以及过滤规则来处理数据包,当增加一个新的应用时,状态检测防火墙能动态地产生新应用的规则,而不需要另外编写代码,所以系统具有很好的可伸缩性和可扩展性。名师资料总结 - - -
14、精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 8 页 - - - - - - - - - 应用范围广1.状态检测防火墙不仅支持基于TCP 的应用,而且支持基于无连接协议的应用,如 RPC、基于 UDP 的应用(如DNS、WAIS、Archie )等。对于无连接的协议,连接请求和应答没有区别。2.包过滤防火墙和应用网关防火墙对此类应用或者不支持,或者开放一个大范围的UDP端口,从而使内部网暴露,降低了网络安全性。三种主要防火墙技术的性能比较名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 8 页 - - - - - - - - -