《第10讲系统安全性-防火墙剖析.》由会员分享,可在线阅读,更多相关《第10讲系统安全性-防火墙剖析.(41页珍藏版)》请在金锄头文库上搜索。
1、网络与信息安全技术 第十讲 防火墙,华中科技大学软件工程硕士课程,主要内容,防火墙基本概念 防火墙发展历程 防火墙核心技术 防火墙体系结构 防火墙的功能,IT领域防火墙的概念,一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域间通信流的唯一通道,能根据企业的有关安全政策控制进出网络的访问行为(允许、拒绝、监视、记录),防火墙 的形态,类似于路由器,是一台特殊的计算机,防火墙 的形态,Console口,网络接口,扩展口,电源,防火墙的发展历程,利用路由器本身对分组的解析,进行分组过滤 过滤判断依据:地址、端口号、IP标识及其他网络特征 防火墙与路由器合为一体,只有
2、过滤功能 适合于对安全性要求不高的网络环境,将过滤功能从路由器中独立出来,并加上审计和告警功能 根据用户需求,提供模块化的软件包 软件可通过网络发送,用户可根据需要构造防火墙 与第一代防火墙相比,安全性提高了,价格降低了,是批量上市的专用防火墙产品 包括分组过滤或者借用路由器的分组过滤功能 装有专用的代理系统,监控所有协议的数据和指令 保护用户变成空间和用户可配置内核参数的设置 安全性和速度大为提高,防火墙厂商具有操作系统的源代码,并可实现安全内核 去掉不必要的系统特性,加固内核,强化安全保护 在功能上包括了分组过滤、应用网关、电路级网关 增加了许多附加功能:加密、鉴别、审计、NAT转换 透明
3、性好,易于使用,防火墙的核心技术,简单包过滤技术 状态检测包过滤技术 应用代理防火墙 包过滤与应用代理复合型防火墙 核检测防火墙,简单包过滤 防火墙,不检查数据区 不建立连接状态表 前后报文无关 应用层控制较弱,数据,数据,TCP,IP,TCP,数据,ETH,IP,TCP,数据,状态检测包过滤 防火墙,不检查数据区 建立连接状态表 前后报文相关 应用层控制很弱,应用代理防火墙,不检查IP、TCP报头 不建立连接状态表 网络层保护比较弱,复合型防火墙,可以检查整个数据包内容 根据需要建立连接状态表 网络层保护强 应用层控制细 会话控制较弱,核检测 防火墙,网络层保护强 应用层保护强 会话保护很强
4、 上下文相关 前后报文有联系,防火墙核心技术比较,防火墙体系结构,在操作系统内核完成应用协议的还原,极大地提高了性能,连接表,基于内核的会话检测技术,在操作系统内部模拟出典型的应用层协议,在内核实现对应用层协议的过滤,从而得到极高的性能,基于内核的会话检测技术,进行规则匹配、应用层过滤 频繁在系统核心和应用层之间切换 消耗掉大量的系统资源 生成大量的进程,影响防火墙的性能,直接在系统核心进行应用层过滤 不需要频繁在系统核心和应用层之间切换 在大量并发情况下不会生成大量进程,有效的保护系统资源 大大提高会话检测的效率,防火墙构造体系,筛选路由器 多宿主主机 被屏蔽主机 被屏蔽子网,筛选路由器,多
5、宿主主机,缺点:如何保护宿主主机本身的安全,被屏蔽主机,不允许外部主机直接访问除堡垒主机之外的其他主机,过滤器,进行规则匹配,只允许外部主机与堡垒主机通信,对内部其他主机的访问必须通过堡垒主机,堡垒主机,缺点: 堡垒主机与其它主机在同一个子网 一旦堡垒主机被攻破或被越过,整个内网和堡垒主机之间就再也没有任何阻挡,被屏蔽子网,内部筛选路由器,禁止内外网络直接进行通信,外部筛选路由器,堡垒主机,内外部网络之间的通信都经过堡垒主机,被屏蔽子网,防火墙的功能访问控制,基于源IP地址 基于目的IP地址 基于源端口 基于目的端口 基于时间 基于用户 基于流量 基于文件 基于网址 基于MAC地址,Acces
6、s list 192.168.1.3 to 202.2.33.2 Access nat 192.168.3.0 to any pass Access 202.1.2.3 to 192.168.1.3 block Access default pass,规则匹配成功,服务器复杂均衡,复杂均衡算法: 顺序选择地址权值 根据PING的时间间隔来选择地址权值 根据Connect的时间间隔来选择地址权值 根据connect然后发送请求并得到应答的时间间隔来选择地址权值,相应请求,支持第三方认证服务器,分级带宽管理,日志分析,不做日志 做通信日志:即传统日志 通信源地址、目的地址、源目端口、通信时间、通信
7、协议、字节数、是否允许通过 做应用层命令日志: 在通信日志的基础上,记录下各个应用层命令及其参数。例如HTTP请求及其要取的网页名 做访问日志 在通信日志的基础上,记录下用户对网络资源的访问。与应用层命令日志的区别是:应用层命令日志记录下大量的数据,有些用户可能不需要,如协商通信参数过程。例如针对FTP协议,访问日志只记录下读、写文件的动作 做内容日志 即在应用层命令日志的基础上,还记录下用户传输的内容。如用户发送的邮件,取下的网页,但因为涉及隐私问题,普通防火墙没有包含 提供日志分析工具 自动生成各种报表,智能化的指出网络可能的安全漏洞,通信日志,应用层命令日志,访问日志,内容日志,防火墙双
8、机热备份,当一台防火墙故障时,这台防火墙的连接不需要重新建立就可以透明的迁移到另一台防火墙上,用户不会察觉到,通过STP协议可以交换两台防火墙的状态信息,防火墙接口备份,前提:防火墙工作在负载均衡模式下 如果某台防火墙的一个接口出现故障,另外一台均衡防火墙的接口将接管故障接口的全部通信 故障防火墙的其它接口则继续参与通信,防火墙负载均衡,与IDS的安全联动,误操作的处理,与病毒服务器的安全联动,无病毒则转发最后一个报文,如有病毒则丢弃最后一个报文,双地址路由功能,根据源、目的地址进行路由,IP与MAC(用户)的绑定,时间策略,在访问策略中配置某条规则起作用和的时间,MAP(端口映射),公开服务器可以使用私有地址 隐藏内部网络的结构,NAT(地址转换),内部网络可以使用私有IP地址 隐藏内部网络结构 内部地址不足的网络可以使用这种方式提供IP复用功能,
