《第5章防火墙的构造与选择.ppt》由会员分享,可在线阅读,更多相关《第5章防火墙的构造与选择.ppt(34页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第第5章章 防火墙的构造与选择防火墙的构造与选择5.1 防火墙概述防火墙概述5.2 防火墙的原理防火墙的原理5.3 防火墙的选择和使用防火墙的选择和使用5.4 分布式防火墙技术分布式防火墙技术25.1防火墙概述防火墙概述5.1.1 防火墙的概念防火墙的概念 5.1.2 防火墙设计的基本原则防火墙设计的基本原则35.1.1 防火墙的概念防火墙的概念 防火墙防火墙是指隔离在本地网络与外界网络之间的一是指隔离在本地网络与外界网络之间的一道或一组执行控制策略的防御系统。道或一组执行控制策略的防御系统。它对网络之间传输的数据包依照一定的安全策略进行检查,以决定通信是否被允许,对外屏蔽内部网的信息、结构和
2、运行状况,并提供单一的安全和审计的安装控制点,从而达到保护内部网络的信息不被外部非授权用户访问和过滤不良信息目的。5.1 5.1 防火墙概述防火墙概述45.1 5.1 防火墙概述防火墙概述5.1.2 防火墙设计的基本原则防火墙设计的基本原则防火墙的姿态防火墙的姿态机构的整体安全策略机构的整体安全策略防火墙的费用防火墙的费用防火墙的基本构件和拓扑结构防火墙的基本构件和拓扑结构防火墙的维护和管理方案防火墙的维护和管理方案 55.2 防火墙的原理防火墙的原理5.2.1 5.2.1 防火墙设计的基本准则防火墙设计的基本准则防火墙设计的基本准则防火墙设计的基本准则5.2.2 5.2.2 防火墙的组成防火
3、墙的组成防火墙的组成防火墙的组成5.2.3 5.2.3 防火墙不能对付的安全威胁防火墙不能对付的安全威胁防火墙不能对付的安全威胁防火墙不能对付的安全威胁5.2.4 5.2.4 防火墙的分类防火墙的分类防火墙的分类防火墙的分类65.2.1 防火墙设计的基本准则防火墙设计的基本准则一切未被允许的就是禁止的。一切未被允许的就是禁止的。一切未被允许的就是禁止的。一切未被允许的就是禁止的。如果防火墙采取第一个准则,那么需要确定所有可以如果防火墙采取第一个准则,那么需要确定所有可以被提供的服务以及它们的安全性,然后,开放这些服务,被提供的服务以及它们的安全性,然后,开放这些服务,并将所有其他未被列入的服务
4、排除在外,禁止访问。优点并将所有其他未被列入的服务排除在外,禁止访问。优点是可以造成一种十分安全的环境,其缺点在于用户所能使是可以造成一种十分安全的环境,其缺点在于用户所能使用的服务范围受到很大限制。用的服务范围受到很大限制。一切未被禁止的就是允许的。一切未被禁止的就是允许的。一切未被禁止的就是允许的。一切未被禁止的就是允许的。如果防火墙采取第二个准则,需要确定那些被认为是如果防火墙采取第二个准则,需要确定那些被认为是不安全的服务,禁止其访问;而其他服务则被认为是安全不安全的服务,禁止其访问;而其他服务则被认为是安全的,允许访问。这种方法构成了一种更为灵活的应用环境,的,允许访问。这种方法构成
5、了一种更为灵活的应用环境,可以为用户提供更多的服务,其缺点在于很难提供可靠的可以为用户提供更多的服务,其缺点在于很难提供可靠的安全防护。安全防护。5.2 防火防火墙墙的原理的原理75.2.2 防火墙的组成防火墙的组成 5.2 防火墙的原理防火墙的原理E-mail 处理域名服务网关代理认证SOCKS过 滤 器因特网Internet内部网Intranet安全操作系统E-mail域名询问高级协议访问IP级数据 防火墙主要包括五部分:安全操作系统、过滤器、网关、域名服务和安全操作系统、过滤器、网关、域名服务和E-E-mailmail处理。处理。81 1 安全操作系统安全操作系统安全操作系统安全操作系统
6、 防火墙本身必须建立在安全操作系统所提供的安全环境中防火墙本身必须建立在安全操作系统所提供的安全环境中,安全操作系统可以保护防火墙的代码和文件免遭入侵者攻击。这安全操作系统可以保护防火墙的代码和文件免遭入侵者攻击。这些防火墙的代码只允许在给定的主机系统上执行,这种限制可以些防火墙的代码只允许在给定的主机系统上执行,这种限制可以减少非法穿越防火墙的可能性。减少非法穿越防火墙的可能性。2 2 过滤器过滤器过滤器过滤器 防火墙的主要目的是控制数据包防火墙的主要目的是控制数据包,只允许合法流通过,它要只允许合法流通过,它要对专用网和对专用网和InternetInternet之间传送的每一数据组进行干预
7、。过滤器则之间传送的每一数据组进行干预。过滤器则执行由防火墙管理机构制定的一组规则,检验各数据组,决定是执行由防火墙管理机构制定的一组规则,检验各数据组,决定是否允许放行。这些规则按否允许放行。这些规则按IPIP地址、端口号码和各类应用等参数确地址、端口号码和各类应用等参数确定。定。5.2 防火墙的原理防火墙的原理95.2 防火墙的原理防火墙的原理3 3 网关网关网关网关 应用网关应用网关(Application Gateway)(Application Gateway)可以在可以在TCP/IPTCP/IP应用应用级上控制信息流和认证用户。应用网关的功能常常由代理级上控制信息流和认证用户。应用
8、网关的功能常常由代理服务器提供。在专用网中的一个用户联机到一个代理服务服务器提供。在专用网中的一个用户联机到一个代理服务器,代理服务器对用户认证,而后使用户和器,代理服务器对用户认证,而后使用户和InternetInternet中远中远端服务器联机。端服务器联机。SOCKS SOCKS(套接层)服务器也对通过防火墙提供网关支(套接层)服务器也对通过防火墙提供网关支持,代理服务器和持,代理服务器和SOCKSSOCKS服务器之间的主要差别是前者要求服务器之间的主要差别是前者要求改变用户接入改变用户接入InternetInternet服务器的方式,但不需要修正客户服务器的方式,但不需要修正客户机的软
9、件;而后者则相反。机的软件;而后者则相反。4 4 域名服务和函件处理域名服务和函件处理域名服务和函件处理域名服务和函件处理 防火墙还可能包括有域名服务和函件处理。域名服务防火墙还可能包括有域名服务和函件处理。域名服务使专用网的域名与使专用网的域名与InternetInternet相隔离,专用网中主机的内部相隔离,专用网中主机的内部IPIP地址不至于暴露给地址不至于暴露给InternetInternet中的用户。函件处理能力保中的用户。函件处理能力保证专用网中用户和证专用网中用户和InternetInternet用户之间的任何函件交换都必用户之间的任何函件交换都必须经过防火墙处理。须经过防火墙处
10、理。105.2 防火墙的原理防火墙的原理5.2.3 防火墙不能对付的安全威胁防火墙不能对付的安全威胁1 1 防火墙不能防范来自内部的攻击防火墙不能防范来自内部的攻击2 2 防火墙不能防范不经由防火墙的攻击防火墙不能防范不经由防火墙的攻击3 3 防火墙不能防止受到病毒感染的软件或防火墙不能防止受到病毒感染的软件或文件的传输文件的传输4 4 防火墙不能防止数据驱动式攻击防火墙不能防止数据驱动式攻击 115.2 防火墙的原理防火墙的原理 5.2.4 防火墙的分类防火墙的分类1 包过滤型防火墙是最简单的防火墙。它的处理对象IP包,其功能是处理通过网络的IP包的信息,实现进出网络的安全控制。应用数据包过
11、滤(packet filtering)技术在网络层对数据包进行选择,只有通过检查的IP包才能正常转发出去。其选择的依据是访问控制表ACL(Access Control List),通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或通过检查它们的组合来决定是否允许该数据包通过。实现原理如图所示。12 5.2 防火墙的原理防火墙的原理包过滤型防火墙的优缺点包过滤型防火墙的优缺点包过滤型防火墙的优缺点包过滤型防火墙的优缺点 优点:优点:优点:优点:逻辑简单,价格便宜,易于安装和使用逻辑简单,价格便宜,易于安装和使用 网络性能和透明性好。网络性能和透明性好。缺点:缺点:缺点
12、:缺点:数据包的源地址、目的地址以及数据包的源地址、目的地址以及IPIP的端口号都在的端口号都在数据包的头部,易被窃听或假冒,形成各种安全数据包的头部,易被窃听或假冒,形成各种安全漏洞。漏洞。大多过滤器中过滤规则的数目有限制,且随着规大多过滤器中过滤规则的数目有限制,且随着规则数目的增加,性能受影响。则数目的增加,性能受影响。包过滤的规则可能比较复杂,且不易验证其正确包过滤的规则可能比较复杂,且不易验证其正确性。性。由于缺少上下文关联信息,不能有效过滤某些协由于缺少上下文关联信息,不能有效过滤某些协议。议。大多不能对用户身份进行验证,很容易受到大多不能对用户身份进行验证,很容易受到“地地址欺骗
13、型址欺骗型”攻击。攻击。大多对安全管理人员素质要求高大多对安全管理人员素质要求高13 5.2 防火墙的原理防火墙的原理2 2 应用网关型防火墙应用网关型防火墙应应应应用用用用级级级级网网网网关关关关(Application Application Level Level GatewaysGateways)是是是是在在在在网网网网络络络络应应应应用用用用层层层层上上上上建建建建立立立立协协协协议议议议过过过过滤滤滤滤和和和和转转转转发发发发功功功功能能能能。它它它它针针针针对对对对特特特特定定定定的的的的网网网网络络络络应应应应用用用用服服服服务务务务协协协协议议议议使使使使用用用用指指指指定定
14、定定的的的的数数数数据据据据过过过过滤滤滤滤逻逻逻逻辑辑辑辑,并并并并在在在在过过过过滤滤滤滤的的的的同同同同时时时时,对对对对数数数数据据据据包包包包进进进进行行行行必必必必要要要要的的的的分分分分析析析析、登登登登记记记记和和和和统统统统计计计计,形形形形成成成成报报报报告告告告。实实实实际际际际中中中中的的的的应应应应用用用用网网网网关关关关通通通通常常常常装装装装在在在在专专专专用用用用工工工工作作作作站站站站系系系系统统统统上上上上,其其其其实实实实现现现现原原原原理理理理如如如如图所示。图所示。图所示。图所示。145.2 防火墙的原理防火墙的原理3 3 代理服务型防火墙代理服务型防
15、火墙代代代代理理理理服服服服务务务务型型型型防防防防火火火火墙墙墙墙是是是是针针针针对对对对数数数数据据据据包包包包过过过过滤滤滤滤和和和和应应应应用用用用网网网网关关关关技技技技术术术术存存存存在在在在的的的的缺缺缺缺点点点点而而而而引引引引入入入入的的的的防防防防火火火火墙墙墙墙技技技技术术术术,其其其其特特特特点点点点是是是是将所有跨越防火墙的网络通信线路分为两段。将所有跨越防火墙的网络通信线路分为两段。将所有跨越防火墙的网络通信线路分为两段。将所有跨越防火墙的网络通信线路分为两段。代理代理服务器服务器代理代理客户机器客户机器客户机客户机服务器服务器请求请求转发应答转发应答应答应答防火墙
16、代理防火墙代理转发请求转发请求间间代理获得客户机和服务器之间通信的全代理获得客户机和服务器之间通信的全部控制权部控制权155.2 防火墙的原理防火墙的原理代理服务型防火墙的优缺点代理服务型防火墙的优缺点 优点:优点:优点:优点:最突出的优点就是安全。由于它工作于最高层,所以最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。不是像包过滤那样,只是对网络层的数据进行过滤。缺点:缺点:最大缺点就是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,代理防火墙就
17、会成为内外部网络之间的瓶颈。大多是基于主机的,价格比较贵,安装和使用比数据包过滤的防火墙复杂。165.3 防火墙的选择和使用防火墙的选择和使用 5.3.1 防火墙的选择原则防火墙的选择原则 5.3.2 防火墙产品的分类防火墙产品的分类 5.3.3 防火墙产品的介绍防火墙产品的介绍175.3.1 防火墙的选择原则防火墙的选择原则 网络的安全性主要是指网络信息的安全性和网络路由的安全性。网络路由的安全性保障了网络信息的安全性,而网络路由的安全性通常可由防火墙实现。所以选择防火墙首先要确定网络信息的保护策略,然后对防火墙进行评价、分析,最后决定采用什么样的防火墙。1 要考虑网络结构要考虑网络结构2
18、要考虑到业务应用系统需求要考虑到业务应用系统需求 3 要考虑用户及通信流量规模方面的需求要考虑用户及通信流量规模方面的需求4 要考虑到可靠性、可用性、易用性等方面的需求要考虑到可靠性、可用性、易用性等方面的需求5.3 5.3 防火墙的选择和使用防火墙的选择和使用18 5.3.2 防火墙产品的分类防火墙产品的分类 按组成结构而言,将防火墙产品分为以下三种:软件防火墙软件防火墙 软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。硬件防火墙硬件防火墙 硬件防火墙是指所谓的硬件防火墙。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最
19、大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构。芯片级防火墙芯片级防火墙 基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。5.3 防火防火墙墙的的选择选择和使用和使用195.3.3 防火墙产品的介绍防火墙产品的介绍1 Checkpoint Firewall-1 1 Checkpoint Firewall-1 防火墙防火墙2 2 SonicWALLSonicWALL系列防火墙系列防火墙3 3 NetScreenNetScreen防火墙防火墙4 4 AlkatelAlkatel
20、Internet Devices Internet Devices 系列防火墙系列防火墙5 5 北京天融信公司网络卫士防火墙北京天融信公司网络卫士防火墙6 NAI Gauntlet6 NAI Gauntlet防火墙防火墙7 Cisco PIX7 Cisco PIX防火墙防火墙5.3 5.3 防火墙的选择和使用防火墙的选择和使用20Checkpoint Firewall-1 Checkpoint Firewall-1 防火墙防火墙防火墙防火墙是一个综合的、模块化的安全套件,它是一个基于策略的解决方案。CP Firewall-1套件提供单一的、集中的分布式安全策略,跨越Unix、NT、路由器、交换
21、机和其他外围设备,提供大量的API,有100多个解决方案和OEM厂商的支持。由3个交互操作的组件构成:控制组件、加强组件和可选组件。这些组件既可以运行在单机上,也可以部署在跨平台系统上。操作在操作系统的核心层进行,而不是在应用程序层,这样可以使系统达到最高性能的扩展和升级。支持基于Web的多媒体和基于UDP的应用程序,并采用多重验证模板和方法。支持几乎所有平台,但价格偏高。5.3 5.3 防火防火墙墙的的选择选择和使用和使用21SonicWALLSonicWALL系列防火墙系列防火墙系列防火墙系列防火墙SonicWALL系列防火墙是在NASDAQ上市的美国SONICWALL公司的著名网络安全产
22、品,是目前全球销量最大的硬件防火墙和市场占有率最高的硬件VPN产品。SonicWALL采用软硬件一体化设计,在高性能硬件平台上,利用先进的防火墙技术和SonicWALL专有的安全高效的实时操作系统。采用世界领先的加密算法、身份认证技术以及网络防病毒技术,是一个强大的,集应用级防火墙、入侵报警、内容过滤、VPN、网络防病毒等多种安全策略为一体的,稳定可靠的高性能网络安全系统。具有优秀的性价比。5.3 5.3 防火墙的选择和使用防火墙的选择和使用22NetScreenNetScreen 防火墙防火墙防火墙防火墙是NetScreen科技公司推出的一种新型的网络安全硬件产品,具有Trusted(可信端
23、口)、Untrusted(非信任端口)、Optional(可选端口)三个J-45网络接口,配有PCMCIA插槽,支持10MB、20MB、40MB和150MB快闪存储器。优势之一是采用了新的体系结构,可以有效地消除传统防火墙实现数据加盟时的性能瓶颈,能实现最高级别的IP安全保护。在执行效率和带宽处理的能力上性能优越。AlkatelAlkatel Internet Devices Internet Devices 系列防火墙系列防火墙系列防火墙系列防火墙采用独有的ASIC 设计和基于Intel的FreeBSD Unix 平台,使用简单易行,配置简单。率先提供了100MB的吞吐能力和无用户数限制,并
24、支持64000个并发会话,有效地消除了软件防火墙的性能瓶颈,达到了安全和性能的统一。5.3 5.3 防火墙的选择和使用防火墙的选择和使用23北京天融信公司网络卫士防火墙北京天融信公司网络卫士防火墙北京天融信公司网络卫士防火墙北京天融信公司网络卫士防火墙是我国第一套自主版权的防火墙系统,目前在我国电信、电子、教育、科研等单位广泛使用。它由防火墙和管理器组成。其中,防火墙由多个模块组成,包括包过滤、应用代理、NAT、VPN、防攻击等功能模块,各模块可分离、裁剪和升级,以满足不同用户的需求。在体系结构上,网络卫士采用了集中控制下的分布式客户机/服务器结构,性能好、配置灵活。采用了领先一步的SSN(安
25、全服务器网络)技术,安全性高于其他防火墙普遍采用的DMZ(隔离区)技术。NAI GauntletNAI Gauntlet防火墙防火墙防火墙防火墙使用完全的代理服务方式提供广泛的协议支持以及高速的吞吐能力,很好地解决了安全、性能及灵活性之间的协调问题。Gauntlet防火墙的新型自适应代理技术还允许单个安全产品,如安全脆弱性扫描器、病毒安全扫描器和入侵防护传感器之间实现更加灵活的集成。5.3 5.3 防火墙的选择和使用防火墙的选择和使用24Cisco PIXCisco PIX防火墙防火墙防火墙防火墙是最具代表性的硬件防火墙,属状态检测型。由于它采用了自有的实时嵌入式操作系统,因此减少了黑客利用操
26、作系统BUG攻击的可能性。就性能而言,Cisco PIX是同类硬件防火墙产品中最好的,对100BaseT可达线速。但是,其优势在软件防火墙面前便不呈现不明显了。其缺陷主要有三:其一价格昂贵,其二升级困难,其三是管理烦琐复杂。5.3 5.3 防火墙的选择和使用防火墙的选择和使用255.4 分布式防火墙技术分布式防火墙技术 5.4.1 分布式防火墙的产生分布式防火墙的产生 5.4.2 传统边界式防火墙的固有欠缺传统边界式防火墙的固有欠缺 5.4.3 分布式防火墙的主要特点分布式防火墙的主要特点 5.4.4 分布式防火墙的主要优势分布式防火墙的主要优势 5.4.5 分布式防火墙的基本原理分布式防火墙
27、的基本原理 5.4.6 分布式防火墙的主要功能分布式防火墙的主要功能 265.4.1 分布式防火墙的产生分布式防火墙的产生 传统意义上的边界防火墙用于限制被保护企业内部网络与外部网络(通常是互联网)之间相互进行信息存取、传递操作。分布式防火墙是一种主机驻留式的安全系统,用以保护企业网络中的关键结点服务器、数据及工作站免受非法入侵的破坏。分布式防火墙把Internet和内部网络均视为“不友好的”。分布式防火墙克服了操作系统所具有的已知及未知的安全漏洞,如DoS(拒绝服务)、应用及口令攻击。从而使操作系统得到强化。分布式防火墙对每个服务器都能进行专门的保护。5.4 5.4 分布式防火墙技术分布式防
28、火墙技术27 5.4.2传统边界式防火墙的固有欠缺传统边界式防火墙的固有欠缺 网络应用受到结构性限制网络应用受到结构性限制网络应用受到结构性限制网络应用受到结构性限制内部安全隐患仍在内部安全隐患仍在内部安全隐患仍在内部安全隐患仍在效率较低和故障率高效率较低和故障率高效率较低和故障率高效率较低和故障率高5.4 5.4 分布式防火墙技术分布式防火墙技术28 5.4.3 分布式防火墙的主要特点分布式防火墙的主要特点主机驻留主机驻留主机驻留主机驻留 嵌入操作系统内核嵌入操作系统内核嵌入操作系统内核嵌入操作系统内核 类似于个人防火墙类似于个人防火墙类似于个人防火墙类似于个人防火墙 适用于服务器托管适用于
29、服务器托管适用于服务器托管适用于服务器托管 5.4 5.4 分布式防火墙技术分布式防火墙技术295.4.4 分布式防火墙的主要优势分布式防火墙的主要优势 更强的系统安全性更强的系统安全性更强的系统安全性更强的系统安全性提高了系统性能提高了系统性能提高了系统性能提高了系统性能 系统的扩展性好系统的扩展性好系统的扩展性好系统的扩展性好 实施了主机策略实施了主机策略实施了主机策略实施了主机策略应用更为广泛,支持应用更为广泛,支持应用更为广泛,支持应用更为广泛,支持VPNVPN通信通信通信通信5.4 5.4 分布式防火墙技术分布式防火墙技术30 5.4.5 分布式防火墙的基本原理分布式防火墙的基本原理
30、首先由制定防火墙接入控制策略的中心通过 编译器将策略语言诉描述转换成内部格式,形成策略文件;然后中心采用系统管理工具把策略文件分发给各台“内部”主机;“内部”主机将从两方面来判定是否接受收到的包,一是根据IP安全协议,二是根据服务器端的策略文件。5.4 5.4 分布式防火墙技术分布式防火墙技术315.4.6 分布式防火墙的主要功能分布式防火墙的主要功能 InternetInternet访问控制访问控制访问控制访问控制应用访问控制应用访问控制应用访问控制应用访问控制网络状态监控网络状态监控网络状态监控网络状态监控 黑客攻击的防御黑客攻击的防御日志管理日志管理系统工具系统工具5.4 5.4 分布式
31、防火墙技术分布式防火墙技术32本章小结本章小结 本章介绍了防火墙的构造与选择方法。本章介绍了防火墙的构造与选择方法。防火墙是指隔离在本地网络与外界网络之间的一道或一组执防火墙是指隔离在本地网络与外界网络之间的一道或一组执行控制策略的防御系统。行控制策略的防御系统。防火墙的设计都要遵照两个基本原则,即:未被允许的必禁防火墙的设计都要遵照两个基本原则,即:未被允许的必禁止,未被禁止的均允许。止,未被禁止的均允许。选择防火墙时考虑的原则包括:网络结构,业务应用系统需选择防火墙时考虑的原则包括:网络结构,业务应用系统需求,用户及通信流量规模方面的需求,以及可靠性、可用性、易求,用户及通信流量规模方面的
32、需求,以及可靠性、可用性、易用性等方面的需求。用性等方面的需求。防火墙产品的分类因标准不同而异,按照产品可以分为软件防火墙产品的分类因标准不同而异,按照产品可以分为软件防火墙、硬件防火墙和软硬一体化的防火墙;按照适用对象可以防火墙、硬件防火墙和软硬一体化的防火墙;按照适用对象可以分为企业级防火墙与个人防火墙;按照产品等级可以分为包过滤分为企业级防火墙与个人防火墙;按照产品等级可以分为包过滤型、应用网关型和服务代理型防火墙;按照发展过程则可以分为型、应用网关型和服务代理型防火墙;按照发展过程则可以分为传统边界防火墙、分布式防火墙、嵌入式防火墙等。传统边界防火墙、分布式防火墙、嵌入式防火墙等。33Thanks!