《[精选]建立以防火墙为核心的网络安全体系.pptx》由会员分享,可在线阅读,更多相关《[精选]建立以防火墙为核心的网络安全体系.pptx(56页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、建立以防火墙为核心的建立以防火墙为核心的网络安全体系网络安全体系 基本概念基本概念 防火墙技术开展防火墙技术开展 解决方案解决方案 防火墙安全策略防火墙安全策略 防火墙管理防火墙管理 防火墙技术开展趋势防火墙技术开展趋势起步于起步于起步于起步于90909090年代初,是最早出现的且使用量最大年代初,是最早出现的且使用量最大年代初,是最早出现的且使用量最大年代初,是最早出现的且使用量最大的网络安全产品。的网络安全产品。的网络安全产品。的网络安全产品。作为一个中心作为一个中心作为一个中心作为一个中心“遏制点,将局域网的安全管遏制点,将局域网的安全管遏制点,将局域网的安全管遏制点,将局域网的安全管理
2、集中起来。理集中起来。理集中起来。理集中起来。是标准的网间隔离设备,识别并屏蔽非法请求,是标准的网间隔离设备,识别并屏蔽非法请求,是标准的网间隔离设备,识别并屏蔽非法请求,是标准的网间隔离设备,识别并屏蔽非法请求,有效防止跨越权限的数据访问。有效防止跨越权限的数据访问。有效防止跨越权限的数据访问。有效防止跨越权限的数据访问。可与其它防火墙、可与其它防火墙、可与其它防火墙、可与其它防火墙、IDSIDSIDSIDS联动,并与联动,并与联动,并与联动,并与VPNVPNVPNVPN设备配合设备配合设备配合设备配合使用,建立层次防御体系。使用,建立层次防御体系。使用,建立层次防御体系。使用,建立层次防御
3、体系。可扫描电子邮件和可扫描电子邮件和可扫描电子邮件和可扫描电子邮件和WebWebWebWeb页面中的病毒和恶意代码。页面中的病毒和恶意代码。页面中的病毒和恶意代码。页面中的病毒和恶意代码。防火墙操作层次防火墙操作层次防火墙附加功能防火墙附加功能网络地址转换网络地址转换NAT动态主机配置协议动态主机配置协议DHCP加密功能如加密功能如VPN主动内容过滤技术主动内容过滤技术 基本概念基本概念 防火墙技术开展防火墙技术开展 解决方案解决方案 防火墙安全策略防火墙安全策略 防火墙管理防火墙管理 防火墙技术开展趋势防火墙技术开展趋势包过滤防火墙包过滤防火墙状态检测防火墙状态检测防火墙应用代理网关防火墙
4、应用代理网关防火墙混合型防火墙混合型防火墙包过滤防火墙包过滤防火墙基于网络包的如下信息提供网络访问功能:基于网络包的如下信息提供网络访问功能:源地址源地址 目的地址目的地址 通信类型具体的网络协议,经常在通信类型具体的网络协议,经常在第第2层是层是Ethernet,在第,在第3层是层是IP。第第4层通信会话的一些特征,如会话的层通信会话的一些特征,如会话的源与目的端口。源与目的端口。来自哪块网卡,发往哪块网卡。来自哪块网卡,发往哪块网卡。包防火墙操作层次包防火墙操作层次包防火墙的优点包防火墙的优点速度快速度快灵活灵活可以封锁拒可以封锁拒绝效劳及相绝效劳及相关攻击关攻击是置于与不可是置于与不可信
5、网络相连的信网络相连的最外边界之理最外边界之理想设备想设备包防火墙简单布署图包防火墙简单布署图包防火墙的缺点包防火墙的缺点不能阻止利用具体应用的弱点或不能阻止利用具体应用的弱点或功能的攻击功能的攻击日志内容少日志内容少不支持高级用户鉴别方案不支持高级用户鉴别方案不能防止网络地址假冒攻击不能防止网络地址假冒攻击容易受配置不当的影响容易受配置不当的影响结论结论包过滤防火墙非常适合于审计包过滤防火墙非常适合于审计和用户鉴别不重要的高速环境。和用户鉴别不重要的高速环境。有利于实施高可用性及有利于实施高可用性及failover方案。方案。状态检测防火墙操作层次状态检测防火墙操作层次状态检测防火墙建立连接
6、状态表,记录外状态检测防火墙建立连接状态表,记录外出的出的TCP连接及相应的高编号客户端口,连接及相应的高编号客户端口,以验证任何进入的通信是否合法。以验证任何进入的通信是否合法。防火墙跟踪客户端口,而不是翻开全部高防火墙跟踪客户端口,而不是翻开全部高编号端口给外部访问,因而更安全。编号端口给外部访问,因而更安全。具有包过滤防火墙的优缺点。具有包过滤防火墙的优缺点。目前的状态检测技术仅可用于目前的状态检测技术仅可用于TCP/IP网网络络。应用代理网关防火墙操作层次应用代理网关防火墙操作层次应用代理网关防火墙的优点应用代理网关防火墙的优点日志能力强日志能力强支持直接的用户鉴别支持直接的用户鉴别可
7、在一定程度上防止地址假冒攻击可在一定程度上防止地址假冒攻击应用代理网关防火墙的缺点应用代理网关防火墙的缺点降低了防火墙的吞吐率,不适合高降低了防火墙的吞吐率,不适合高带宽或实时应用。带宽或实时应用。对新网络应用与协议的支持有限,对新网络应用与协议的支持有限,大多数应用代理网关防火墙开发商大多数应用代理网关防火墙开发商提供通用代理以支持未定义的网络提供通用代理以支持未定义的网络协议或应用,在一定程度上限制了协议或应用,在一定程度上限制了应用代理网关架构优点的发挥。应用代理网关架构优点的发挥。典型的应用代理典型的应用代理专用代理效劳器专用代理效劳器保存通信的代理控制,但不含有防保存通信的代理控制,
8、但不含有防火墙能力火墙能力减轻防火墙的处理负载,执行专门减轻防火墙的处理负载,执行专门的过滤、审计及的过滤、审计及Web和和Email内容内容扫描扫描应用代理布署图应用代理布署图混合型防火墙混合型防火墙包过滤或状态检测防火墙实现基本的包过滤或状态检测防火墙实现基本的应用代理功能,以提供较好的网络通应用代理功能,以提供较好的网络通信审计与用户鉴别。信审计与用户鉴别。应用代理网关防火墙实现基本的包过应用代理网关防火墙实现基本的包过滤功能,更好地支持基于滤功能,更好地支持基于UDP的应用。的应用。在选择防火墙产品时,应以其支持的在选择防火墙产品时,应以其支持的特征集而不是防火墙产品分类为依据。特征集
9、而不是防火墙产品分类为依据。基本概念基本概念 防火墙技术开展防火墙技术开展 解决方案解决方案 防火墙安全策略防火墙安全策略 防火墙管理防火墙管理 防火墙技术开展趋势防火墙技术开展趋势布署防火墙的四个原则布署防火墙的四个原则尽量简单尽量简单物尽其用物尽其用建立层次防护建立层次防护注意内部威胁将内部注意内部威胁将内部Web、Email效效劳器或财务系统等重要系统置于内部防劳器或财务系统等重要系统置于内部防火墙后面或火墙后面或DMZ中。中。DMZ网络网络设置设置DMZ的优点的优点将外面可访问的效劳器置于将外面可访问的效劳器置于DMZ中,中,可减少远程攻击者使用这些效劳器作为可减少远程攻击者使用这些效
10、劳器作为攻击专用网的带菌媒介的可能性。同时攻击专用网的带菌媒介的可能性。同时可专门控制用户对这些系统的访问权限。可专门控制用户对这些系统的访问权限。效劳支路配置效劳支路配置VPNVPN效劳器的放置效劳器的放置在大多数情况下,最好将在大多数情况下,最好将VPN效劳器效劳器放在防火墙上。如果将放在防火墙上。如果将VPN效劳器放效劳器放在防火墙后面,即将穿过防火墙外出的在防火墙后面,即将穿过防火墙外出的VPN通信将被加密,防火墙就不能检通信将被加密,防火墙就不能检查通信,执行访问控制、审计及扫描病查通信,执行访问控制、审计及扫描病毒等。毒等。Intranet/Extranet基础构件:基础构件:Hu
11、b&SwitchHubHub工作在物理层,为网络系统或资源提供物理上工作在物理层,为网络系统或资源提供物理上工作在物理层,为网络系统或资源提供物理上工作在物理层,为网络系统或资源提供物理上的悬挂点。的悬挂点。的悬挂点。的悬挂点。HubHub允许任何连在上面的设备监视网络允许任何连在上面的设备监视网络允许任何连在上面的设备监视网络允许任何连在上面的设备监视网络通信,不易用于建立通信,不易用于建立通信,不易用于建立通信,不易用于建立DMZDMZ或防火墙环境。或防火墙环境。或防火墙环境。或防火墙环境。网络网络网络网络SwitchSwitch工作在数据链路层,本质上是一个多端工作在数据链路层,本质上是
12、一个多端工作在数据链路层,本质上是一个多端工作在数据链路层,本质上是一个多端口桥,可传送全网络带宽给每一个端口。连接到口桥,可传送全网络带宽给每一个端口。连接到口桥,可传送全网络带宽给每一个端口。连接到口桥,可传送全网络带宽给每一个端口。连接到SwitchSwitch上的系统不能互相窃听,可用于实现上的系统不能互相窃听,可用于实现上的系统不能互相窃听,可用于实现上的系统不能互相窃听,可用于实现DMZDMZ网网网网和防火墙环境。和防火墙环境。和防火墙环境。和防火墙环境。由于类似于由于类似于由于类似于由于类似于DOSDOS的攻击能使的攻击能使的攻击能使的攻击能使SwitchSwitch用包淹没连接
13、的用包淹没连接的用包淹没连接的用包淹没连接的网络,不能在防火墙外面用网络,不能在防火墙外面用网络,不能在防火墙外面用网络,不能在防火墙外面用SwitchSwitch提供通信隔离。提供通信隔离。提供通信隔离。提供通信隔离。SwitchSwitch的子网隔离能力将影响的子网隔离能力将影响的子网隔离能力将影响的子网隔离能力将影响IDSIDS的布署与实现。的布署与实现。的布署与实现。的布署与实现。IDS用于通报及在某些情况下阻止对网络系用于通报及在某些情况下阻止对网络系统或资源的未授权访问。统或资源的未授权访问。许多许多IDS可与防火墙交互,实现联动。可与防火墙交互,实现联动。与与IDS交互的防火墙能
14、自动对觉察到的交互的防火墙能自动对觉察到的远程威胁作出反响,没有人工反响中的远程威胁作出反响,没有人工反响中的延迟。延迟。基于主机的基于主机的IDS集成于操作系统中。集成于操作系统中。能在高粒度层探测威胁。能在高粒度层探测威胁。问题:问题:影响系统性能及稳定性;影响系统性能及稳定性;不能注意到基于网络的攻击,不能注意到基于网络的攻击,如如DOS。基于网络的基于网络的IDS可以监视多个系统和资源。可以监视多个系统和资源。问题:问题:会漏掉分散在多个包中的攻击特征。会漏掉分散在多个包中的攻击特征。依赖于混杂模式网络接口。依赖于混杂模式网络接口。易被攻击。易被攻击。在遭到在遭到DOS攻击时,许多攻击
15、时,许多IDS失效。失效。IDS布署图布署图DNS内部域名效劳器应与外部域名内部域名效劳器应与外部域名效劳器分开效劳器分开Split DNS技术。技术。必须控制必须控制DNS允许的访问类型。允许的访问类型。DNS布署图布署图防火墙环境中效劳器的放置防火墙环境中效劳器的放置应考虑的因素:应考虑的因素:应考虑的因素:应考虑的因素:DMZ DMZ的个数、外部和内部对的个数、外部和内部对的个数、外部和内部对的个数、外部和内部对DMZDMZ中效劳器的访中效劳器的访中效劳器的访中效劳器的访问要求、通信量及数据敏感程度。问要求、通信量及数据敏感程度。问要求、通信量及数据敏感程度。问要求、通信量及数据敏感程度
16、。放置指南:放置指南:放置指南:放置指南:用边界路由器用边界路由器用边界路由器用边界路由器/包过滤保护外部效劳器;包过滤保护外部效劳器;包过滤保护外部效劳器;包过滤保护外部效劳器;将内部效劳器置于内部防火墙后面;将内部效劳器置于内部防火墙后面;将内部效劳器置于内部防火墙后面;将内部效劳器置于内部防火墙后面;隔离效劳器,使得对效劳器的攻击不影响网络隔离效劳器,使得对效劳器的攻击不影响网络隔离效劳器,使得对效劳器的攻击不影响网络隔离效劳器,使得对效劳器的攻击不影响网络中的其它计算机系统。中的其它计算机系统。中的其它计算机系统。中的其它计算机系统。效劳器布署图效劳器布署图 基本概念基本概念 防火墙技
17、术开展防火墙技术开展 解决方案解决方案 防火墙安全策略防火墙安全策略 防火墙管理防火墙管理 防火墙技术开展趋势防火墙技术开展趋势防火墙策略防火墙策略防火墙策略指示防火墙怎样处防火墙策略指示防火墙怎样处理应用通信如理应用通信如Web、Email或或telnet。描述怎样管理与更新。描述怎样管理与更新防火墙。防火墙。建立防火墙策略的步骤建立防火墙策略的步骤风险分析风险分析风险分析风险分析威胁威胁威胁威胁脆弱性脆弱性脆弱性脆弱性对策对策对策对策成本效益分析成本效益分析成本效益分析成本效益分析建立防火墙规则集建立防火墙规则集建立防火墙规则集建立防火墙规则集测试防火墙策略测试防火墙策略1、根据定义的策略
18、,检查防火墙、根据定义的策略,检查防火墙配置。配置。2、对防火墙进行实地配置测试。、对防火墙进行实地配置测试。3、使用安全评估工具测试防火墙、使用安全评估工具测试防火墙系统本身。系统本身。防火墙实现方法防火墙实现方法第一种是硬件防火墙,如第一种是硬件防火墙,如Netscreen防火防火墙,利用墙,利用ASIC技术实现防火墙软件。这技术实现防火墙软件。这种防火墙速度快,且不受操作系统本身种防火墙速度快,且不受操作系统本身安全脆弱性的影响。安全脆弱性的影响。第二种是基于第二种是基于PC构架、使用经过定制的构架、使用经过定制的通用操作系统的防火墙。这种防火墙可通用操作系统的防火墙。这种防火墙可扩展性
19、强,但易受操作系统本身脆弱性扩展性强,但易受操作系统本身脆弱性影响。影响。防火墙维护与管理防火墙维护与管理第一种机制是命令行界面配置。技术熟练的管第一种机制是命令行界面配置。技术熟练的管第一种机制是命令行界面配置。技术熟练的管第一种机制是命令行界面配置。技术熟练的管理员配置防火墙,当出现紧急情况时可以作出理员配置防火墙,当出现紧急情况时可以作出理员配置防火墙,当出现紧急情况时可以作出理员配置防火墙,当出现紧急情况时可以作出快速反响。快速反响。快速反响。快速反响。第二种机制是通过图形用户界面包括基于第二种机制是通过图形用户界面包括基于第二种机制是通过图形用户界面包括基于第二种机制是通过图形用户界
20、面包括基于WebWeb的配置界面配置防火墙。图形界面简单、的配置界面配置防火墙。图形界面简单、的配置界面配置防火墙。图形界面简单、的配置界面配置防火墙。图形界面简单、配置快,但配置粒度有限。配置快,但配置粒度有限。配置快,但配置粒度有限。配置快,但配置粒度有限。对于任何一种,必须保证防火墙管理信息的传对于任何一种,必须保证防火墙管理信息的传对于任何一种,必须保证防火墙管理信息的传对于任何一种,必须保证防火墙管理信息的传输安全。对于基于是输安全。对于基于是输安全。对于基于是输安全。对于基于是WebWeb的界面,可使用的界面,可使用的界面,可使用的界面,可使用SSLSSL加密、用户加密、用户加密、
21、用户加密、用户IDID和口令。和口令。和口令。和口令。基本概念基本概念 防火墙技术开展防火墙技术开展 解决方案解决方案 防火墙安全策略防火墙安全策略 防火墙管理防火墙管理 防火墙技术开展趋势防火墙技术开展趋势访问防火墙平台访问防火墙平台最常用的攻击方法是利用防最常用的攻击方法是利用防火墙的远程管理资源。流行火墙的远程管理资源。流行的控制方法:加密、强用户的控制方法:加密、强用户鉴别及用鉴别及用IP地址限制访问。地址限制访问。防火墙平台操作系统防火墙平台操作系统、去掉操作系统中不用的网络协议。、去掉操作系统中不用的网络协议。、去掉操作系统中不用的网络协议。、去掉操作系统中不用的网络协议。、去掉或
22、关闭不用的网络效劳或应用。、去掉或关闭不用的网络效劳或应用。、去掉或关闭不用的网络效劳或应用。、去掉或关闭不用的网络效劳或应用。、去掉或关闭不用的用户或系统帐号。、去掉或关闭不用的用户或系统帐号。、去掉或关闭不用的用户或系统帐号。、去掉或关闭不用的用户或系统帐号。、给操作系统打补丁。、给操作系统打补丁。、给操作系统打补丁。、给操作系统打补丁。、去掉或关闭效劳器中不用的物理网络、去掉或关闭效劳器中不用的物理网络、去掉或关闭效劳器中不用的物理网络、去掉或关闭效劳器中不用的物理网络接口网卡。接口网卡。接口网卡。接口网卡。防火墙热恢复策略防火墙热恢复策略两种方法两种方法、采用网络、采用网络Switch
23、提供负载均衡及提供负载均衡及热恢复功能。热恢复功能。Switch监视主防火墙的响应,监视主防火墙的响应,在主防火墙出故障时将全部通信转移到备在主防火墙出故障时将全部通信转移到备份防火墙。份防火墙。、采用、采用“心跳机制。备份防火墙心跳机制。备份防火墙监视主防火墙的心跳,在主防火墙出故障监视主防火墙的心跳,在主防火墙出故障时代替之。时代替之。基本概念基本概念 防火墙技术开展防火墙技术开展 解决方案解决方案 防火墙安全策略防火墙安全策略 防火墙管理防火墙管理 防火墙技术开展趋势防火墙技术开展趋势1、多级过滤、多级过滤在网络层,过滤掉全部源路由分组在网络层,过滤掉全部源路由分组和假冒的和假冒的IP源
24、地址;在传输层,遵源地址;在传输层,遵循过滤规则,过滤掉所有禁止出循过滤规则,过滤掉所有禁止出入的协议和有害数据包;在应用层,入的协议和有害数据包;在应用层,利用利用Ftp、等各种网关,控制和监等各种网关,控制和监视视Internet提供的通用效劳。提供的通用效劳。、形成安全体系、形成安全体系将防火墙与将防火墙与IDS、VPN、病毒检测、病毒检测等相关安全产品联合起来,充分发等相关安全产品联合起来,充分发挥各自的长处,协同配合,建立以挥各自的长处,协同配合,建立以防火墙为核心的网络安全防范体系,防火墙为核心的网络安全防范体系,提升网络系统的安全性。提升网络系统的安全性。、网络安全设备的集中控管
25、、网络安全设备的集中控管设置网络安全设备管理中心,按照统一的设置网络安全设备管理中心,按照统一的安全策略,安全策略,构建安全防护与监控体系,统构建安全防护与监控体系,统一监控管理防火墙、入侵检测、漏洞扫描、一监控管理防火墙、入侵检测、漏洞扫描、防病毒等网络安全产品,使之互相协同工防病毒等网络安全产品,使之互相协同工作,进行数据相关性、综合性分析和处理,作,进行数据相关性、综合性分析和处理,为机构的网络安全提供战略指导,到达整为机构的网络安全提供战略指导,到达整体、动态、立体的安全防护和监控目的。体、动态、立体的安全防护和监控目的。北大青鸟将在信息安全领域北大青鸟将在信息安全领域作出自己的奉献!
26、作出自己的奉献!Thank you!9、静夜四无邻,荒居旧业贫。4月-234月-23Tuesday,April 18,202310、雨中黄叶树,灯下白头人。05:51:4505:51:4505:514/18/2023 5:51:45 AM11、以我独沈久,愧君相见频。4月-2305:51:4505:51Apr-2318-Apr-2312、故人江海别,几度隔山川。05:51:4505:51:4505:51Tuesday,April 18,202313、乍见翻疑梦,相悲各问年。4月-234月-2305:51:4505:51:45April 18,202314、他乡生白发,旧国见青山。18 四月 2
27、0235:51:45 上午05:51:454月-2315、比不了得就不比,得不到的就不要。四月 235:51 上午4月-2305:51April 18,202316、行动出成果,工作出财富。2023/4/18 5:51:4505:51:4518 April 202317、做前,能够环视四周;做时,你只能或者最好沿着以脚为起点的射线向前。5:51:45 上午5:51 上午05:51:454月-239、没有失败,只有暂时停止成功!。4月-234月-23Tuesday,April 18,202310、很多事情努力了未必有结果,但是不努力却什么改变也没有。05:51:4505:51:4505:514/
28、18/2023 5:51:45 AM11、成功就是日复一日那一点点小小努力的积累。4月-2305:51:4505:51Apr-2318-Apr-2312、世间成事,不求其绝对圆满,留一份缺乏,可得无限完美。05:51:4505:51:4505:51Tuesday,April 18,202313、不知香积寺,数里入云峰。4月-234月-2305:51:4505:51:45April 18,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。18 四月 20235:51:45 上午05:51:454月-2315、楚塞三湘接,荆门九派通。四月 235:51 上午4月-2305:51Apri
29、l 18,202316、少年十五二十时,步行夺得胡马骑。2023/4/18 5:51:4505:51:4518 April 202317、空山新雨后,天气晚来秋。5:51:45 上午5:51 上午05:51:454月-239、杨柳散和风,青山澹吾虑。4月-234月-23Tuesday,April 18,202310、阅读一切好书如同和过去最杰出的人谈话。05:51:4505:51:4505:514/18/2023 5:51:45 AM11、越是没有本领的就越加自命非凡。4月-2305:51:4505:51Apr-2318-Apr-2312、越是无能的人,越喜欢挑剔别人的错儿。05:51:450
30、5:51:4505:51Tuesday,April 18,202313、知人者智,自知者明。胜人者有力,自胜者强。4月-234月-2305:51:4505:51:45April 18,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。18 四月 20235:51:45 上午05:51:454月-2315、最具挑战性的挑战莫过于提升自我。四月 235:51 上午4月-2305:51April 18,202316、业余生活要有意义,不要越轨。2023/4/18 5:51:4505:51:4518 April 202317、一个人即使已登上顶峰,也仍要自强不息。5:51:45 上午5:51 上午05:51:454月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉