《防火墙基础知识PPT学习课件.ppt》由会员分享,可在线阅读,更多相关《防火墙基础知识PPT学习课件.ppt(33页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、防火墙技术防火墙技术 1 1防火墙的概念 防火墙是指隔离在本地网络与外界网络系统之防火墙是指隔离在本地网络与外界网络系统之间的防御系统,间的防御系统,是这一类防范措施的总称。应该是这一类防范措施的总称。应该是这一类防范措施的总称。应该是这一类防范措施的总称。应该说,在互联网上防火墙是一种非常有效的网络安说,在互联网上防火墙是一种非常有效的网络安说,在互联网上防火墙是一种非常有效的网络安说,在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域全模型,通过它可以隔离风险区域全模型,通过它可以隔离风险区域全模型,通过它可以隔离风险区域(即即即即InternetInternet或或或或
2、有一定风险的网络有一定风险的网络有一定风险的网络有一定风险的网络)与安全区域与安全区域与安全区域与安全区域(局域网局域网局域网局域网)的连接,的连接,的连接,的连接,同时不会妨碍人们对风同时不会妨碍人们对风同时不会妨碍人们对风同时不会妨碍人们对风 险区域的访问。险区域的访问。险区域的访问。险区域的访问。2 2防火墙的概念信任网络信任网络防火墙防火墙非信任网络非信任网络 防火墙是对黑客防范最严格防火墙是对黑客防范最严格,安全性也比安全性也比较强的一种方式。较强的一种方式。下图为一个典型防火墙系统下图为一个典型防火墙系统3 3防火墙相关术语 主机主机:连接到网络的计算机系统 堡垒主机堡垒主机:一个
3、连接内部网络又对外部网络暴露的计算机系统,它的特性导致它容易被入侵。周边网络周边网络:为了增加一层安全控制,在外网系统和内网系统之间增加的一个网络。周边网络有时也称为DMZ(非军事区,得名于分隔朝鲜北方和南方的地区)代理服务器代理服务器:代表内部网络和外部服务器进行信息交换的程序。它将被认可的内部用户的请求送到外部服务器,并将外部服务器的响应送回给用户。4 4防火墙的基本功能防火墙系统可以决定外界可以访问那些内部服务,以及内部人员可以访问哪些外部服务.防火墙有以下的功能:1允许网络管理员定义一个中心点来防止非法用户进入内部网络。2可以很方便地监视网络的安全性,并报警。5 5防火墙的基本功能3可
4、以作为部署NAT(Network Address Translation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。4是审计和记录Internet使用费用的一个最佳地点。5可以连接到一个单独的网段上,从物理上和内部网段隔开,并在此部署WWW服务器和FTP服务器,将其作为向外部发布内部信息的地点。从技术角度来讲,就是所谓的停火区(DMZ)。6 6防火墙的优点强化安全策略强化安全策略强化安全策略强化安全策略 有效地记录有效地记录有效地记录有效地记录InternetInternet上的活动上的活动上的活动上的活动 限制暴露
5、用户点限制暴露用户点限制暴露用户点限制暴露用户点(隔离不同网络,限制安全问题扩隔离不同网络,限制安全问题扩隔离不同网络,限制安全问题扩隔离不同网络,限制安全问题扩散散散散)是一个安全策略的检查站是一个安全策略的检查站是一个安全策略的检查站是一个安全策略的检查站产生安全报警产生安全报警产生安全报警产生安全报警7 7防火墙的不足防火墙并非万能,防火墙的缺点防火墙并非万能,防火墙的缺点:源于内部的攻击不能防范恶意的知情者和不经心的用户不能防范不通过防火墙的连接不能直接抵御恶意程序(由于病毒的种类繁多,如果要在防火墙完成对所有病毒代码的检查,防火墙的效率就会降到不能忍受的程度。)8 8防火墙的主要技术
6、包过滤技术代理服务技术主动检测技术9 9包过滤技术包过滤事实上基于路由器的技术,由路由器的对IP包进行选择,允许或拒绝该数据包通过。为了过滤,必须要制定一些过滤规则(访问控制表),过滤的根据有(只考虑IP包):源、目的IP地址 源、目的端口:FTP、HTTP、DNS等 数据包协议类型:TCP、UDP、ICMP等 数据包流向:in或out 数据包流经网络接口:Eth0、Eth11010包过滤防火墙工作示意图1111设置实例1212包过滤优缺点优点:简单简单较强的透明性过滤路由器速度快,效率高效率高。1313包过滤优缺点缺点:配置基于包过滤方式的防火墙,需要对IP、TCP、UDP、ICMP等各种协
7、议有深入的了解,否则容易出现因配置不当带来的问题;过滤判别的只有网络层和传输层的有限信息,因而各种安全要求不能得到充分满足;由于数据包的地址及端口号都在数据包的头部,不能彻底防止地址欺骗;允许外部客户和内部主机的直接连接;不提供用户的鉴别机制。1414Application-level Gateway代理服务技术1515代理服务技术也称为应用级网关它不让数据包直接通过,而是自己接收数据,并对其进行分析。“可信赖”的服务才能通过。代理服务器必须了解所要代理的服务,并为每一种服务提供详细的访问日志记录,能针对不同的使用者进行认证。常用的代理服务器有代理,代理等。1616应用级网关防火墙工作示意图1
8、717应用级网关防火墙的特点 应用网关代理的优点是易于配置,界面友好;不允许内外网主机的直接连接;可以提供比包过滤更详细的日志记录,例如在一个HTTP连接中,包过滤只能记录单个的数据包,无法记录文件名、URL等信息;可以隐藏内部IP地址;可以给单个用户授权;可以为用户提供透明的加密机制;可以与认证、授权等安全手段方便的集成。代理技术的缺点是:代理速度比包过滤慢;代理对用户不透明,给用户的使用带来不便,而且这种代理技术需要针对每种协议设置一个不同的代理服务器。1818一个一个Telnet应用代理的过程应用代理的过程用户首先Telnet到应用网关主机,并输入内部目标主机的名字(域名、IP地址)应用
9、网关检查用户的源IP地址等,并根据事先设定的访问规则来决定是否转发或拒绝然后用户必须进行是否验证(如一次一密等高级认证设备)应用网关中的代理服务器为用户建立在网关与内部主机之间的Telnet连接代理服务器在两个连接(用户/应用网关,代理服务器/内部主机)之间传送数据应用网关对本次连接进行日志记录1919状态检测包过滤技术 启动一个监测程序对网络进行监控,当出现网络攻击时立即告警或切断相关连接。用于安全性非常高的网络系统,消耗内存大。2020防火墙的设计防火墙的安全策略(1)每一个没有明确允许的都被拒绝 常用,但操作困难,并有可能拒绝网络用户的正常需求与合法服务(2)每一个没有明确拒绝的都允许
10、很少考虑,因为这样的防火墙可能带来许多风险和安全问题。攻击者完全可以使用一种拒绝策略中没有定义的服务而被允许并攻击网络2121防火墙的分类从使用技术上分 包过滤技术 代理服务技术 状态检测技术从实现形式分 软件防火墙 硬件防火墙 芯片级防火墙2222防火墙的分类从部署位置分 个人防火墙 网络防火墙 混合防火墙2323防火墙技术的实现Windows 防火墙的应用拦截拦截pingping包包模拟器上访问控制列表的介绍 2424防火墙发展历程防火墙发展历程第一阶段:基于路由器的防火墙第一阶段:基于路由器的防火墙第二阶段:用户化的防火墙工具套第二阶段:用户化的防火墙工具套第三阶段:建立在通用操作系统上
11、的防火墙第三阶段:建立在通用操作系统上的防火墙第四阶段:具有安全操作系统的防火墙第四阶段:具有安全操作系统的防火墙对防火墙产品发展的介绍对防火墙产品发展的介绍2525第一代防火墙产品的特点是:第一代防火墙产品的特点是:利用路由器本身对分组的解析利用路由器本身对分组的解析,以访问控制表(以访问控制表(access access listlist)方式实现对分组的过滤;)方式实现对分组的过滤;过滤判决的依据可以是:地址、端口号、过滤判决的依据可以是:地址、端口号、IPIP旗标及其它旗标及其它 网络特征;网络特征;只有分组过滤的功能,且防火墙与路由器是一体的,对只有分组过滤的功能,且防火墙与路由器是
12、一体的,对 安全要求低的网络可采用路由器附带防火墙功能的方法,安全要求低的网络可采用路由器附带防火墙功能的方法,对安全性要求高的网络则可单独利用一台路由器作防火墙。对安全性要求高的网络则可单独利用一台路由器作防火墙。第一阶段:基于路由器的防火墙2626第一阶段:基于路由器的防火墙第一代防火墙产品的不足之处为:第一代防火墙产品的不足之处为:第一代防火墙产品的不足之处为:第一代防火墙产品的不足之处为:44路路路路由由由由协协协协议议议议十十十十分分分分灵灵灵灵活活活活,本本本本身身身身具具具具有有有有安安安安全全全全漏漏漏漏洞洞洞洞,外外外外部部部部网网网网络络络络要探寻内部网络十分容易。要探寻内
13、部网络十分容易。要探寻内部网络十分容易。要探寻内部网络十分容易。44路路路路由由由由器器器器上上上上的的的的分分分分组组组组过过过过滤滤滤滤规规规规则则则则的的的的设设设设置置置置和和和和配配配配置置置置存存存存在在在在安安安安全全全全隐隐隐隐患。患。患。患。44攻攻攻攻击击击击者者者者可可可可以以以以“假假假假冒冒冒冒”地地地地址址址址,由由由由于于于于信信信信息息息息在在在在网网网网络络络络上上上上是是是是以以以以明明明明文文文文传传传传送送送送的的的的,黑黑黑黑客客客客可可可可以以以以在在在在网网网网络络络络上上上上伪伪伪伪造造造造假假假假的的的的路路路路由由由由信信信信息息息息欺骗防火
14、墙。欺骗防火墙。欺骗防火墙。欺骗防火墙。44防火墙的规则设置会大大降低路由器的性能。防火墙的规则设置会大大降低路由器的性能。防火墙的规则设置会大大降低路由器的性能。防火墙的规则设置会大大降低路由器的性能。2727第二阶段:用户化的防火墙工具套 作为第二代防火墙产品,用户化的防火墙工作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:具套具有以下特征:将将过过滤滤功功能能从从路路由由器器中中独独立立出出来来,并并加加上上审审计计和和告告警警功能;功能;针对用户需求,提供模块化的软件包;针对用户需求,提供模块化的软件包;软件可通过网络发送,用户可根据需要构造防火墙;软件可通过网络发送,用户可根
15、据需要构造防火墙;与第一代防火墙相比,安全性提高了,价格降低了。与第一代防火墙相比,安全性提高了,价格降低了。2828第二阶段:用户化的防火墙工具套(cont.)不足之处:不足之处:44配置和维护过程复杂、费时;配置和维护过程复杂、费时;44对用户的技术要求高;对用户的技术要求高;44全软件实现,安全性和处理速度均有局限;全软件实现,安全性和处理速度均有局限;44实践表明,使用中出现差错的情况很多。实践表明,使用中出现差错的情况很多。2929第三阶段:建立在通用操作系统上的防火墙第三阶段:建立在通用操作系统上的防火墙具有以下特点:具有以下特点:44是批量上市的专用防火墙产品;是批量上市的专用防
16、火墙产品;44包括分组过滤或者借用路由器的分组过滤功能;包括分组过滤或者借用路由器的分组过滤功能;44装装有有专专用用的的代代理理系系统统,监监控控所所有有协协议议的的数数据据和和指指令;令;44保护用户编程空间和用户可配置内核参数的设置;保护用户编程空间和用户可配置内核参数的设置;44安全性和速度大为提高。安全性和速度大为提高。3030第三阶段:建立在通用操作系统上的防火墙第三阶段:建立在通用操作系统上的防火墙(cont.)(cont.)存在的问题:存在的问题:作作为为基基础础的的操操作作系系统统及及其其内内核核往往往往不不为为防防火火墙墙管管理理者者所知,由于原码的保密,其安全性无从保证;
17、所知,由于原码的保密,其安全性无从保证;由由于于大大多多数数防防火火墙墙厂厂商商并并非非通通用用操操作作系系统统的的厂厂商商,通通用操作系统厂商不会对操作系统的安全性负责;用操作系统厂商不会对操作系统的安全性负责;从从本本质质上上看看,第第三三代代防防火火墙墙既既要要防防止止来来自自外外部部网网络络的的攻击,还要防止来自操作系统厂商的攻击。攻击,还要防止来自操作系统厂商的攻击。用用户户必必须须依依赖赖两两方方面面的的安安全全支支持持:一一是是防防火火墙墙厂厂商商、一是操作系统厂商。一是操作系统厂商。3131 第四阶段:具有安全操作系统的防火墙第四阶段:具有安全操作系统的防火墙 具有以下特点:具
18、有以下特点:防火墙厂商具有操作系统的源代码,并可实现安全内核;防火墙厂商具有操作系统的源代码,并可实现安全内核;对对安安全全内内核核实实现现加加固固处处理理:即即去去掉掉不不必必要要的的系系统统特特性性,加加固固内内核核,强化安全保护;强化安全保护;对对每每个个服服务务器器、子子系系统统都都作作了了安安全全处处理理,一一旦旦黑黑客客攻攻破破了了一一个个服服务务器器,它它将将会会被被隔隔离离在在此此服服务务器器内内,不不会会对对网网络络的的其其它它部部份份构构成成威胁;威胁;在在功功能能上上包包括括了了分分组组过过滤滤、应应用用网网关关、电电路路级级网网关关,且且具具有有加加密密与鉴别功能;与鉴别功能;透明性好,易于使用。透明性好,易于使用。3232第四代防火墙的主要技术与功能 第第四四代代防防火火墙墙产产品品将将网网关关与与安安全全系系统统合合二二为为一一,具具有以下技术与功能特点:有以下技术与功能特点:44双端口或三端口的结构双端口或三端口的结构44透明的访问方式透明的访问方式44灵活的代理系统灵活的代理系统44多级的过滤技术多级的过滤技术44网络地址转换技术网络地址转换技术4 Internet网关技术4 安全服务器网络(SSN)4 用户鉴别与加密4 用户定制服务4 审计和告警3333