《网络安全培训教程--防火墙篇.》由会员分享,可在线阅读,更多相关《网络安全培训教程--防火墙篇.(62页珍藏版)》请在金锄头文库上搜索。
1、 网络安全培训教程网络安全培训教程 第三部分第三部分 防火墙篇防火墙篇 李胜磊 副总经理博士 lsl 西安交大捷普网络科技有限公司 网络安全培训教程-防火墙篇 概念:概念:防火墙被设计用来防止火从大厦的一部分传播防火墙被设计用来防止火从大厦的一部分传播 到另一部分到另一部分 传统防火墙的概念 网络安全培训教程-防火墙篇 一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同网络安全域网络安全域之间的一系列部件的组合,它是不同之间的一系列部件的组合,它是不同 网络安全域间通信流的网络安全域间通信流的唯一通道唯一通道,能根据企业有关的安全政策,能根据企业有关的安全政策控制控制(允许、拒绝、(
2、允许、拒绝、 监视、记录)进出网络的访问行为。监视、记录)进出网络的访问行为。 两个安全域之间通 信流的唯一通道 安全域1 Host A Host B 安全域2 Host C Host D UDPBlockHost CHost B TCPPassHost CHost A DestinationProtocolPermitSource 根据访问控制规则决 定进出网络的行为 IT 领域防火墙的概念 网络安全培训教程-防火墙篇 防火墙的概念 防火墙实施访问控制策略 防火墙的安全防护原则: 外部网络“看不见”内部情况 外部非法入侵者“进不来” 机要敏感信息“拿不走” 对外非法访问“出不去” 网络安全培
3、训教程-防火墙篇 防火墙的功能 n隔离网络 n防范攻击 网络安全培训教程-防火墙篇 网络门卫网络门卫防火墙防火墙 黑客黑客 防火墙防火墙 内部主机内部主机 受到攻击受到攻击 防火墙阻断攻击防火墙阻断攻击 内部主机内部主机内部主机内部主机 合法用户合法用户 成功访问成功访问 DMZ区区 WEBWEBEMAILEMAIL服务器服务器 服务器服务器 内部网内部网 用户通过认证用户通过认证 网络安全培训教程-防火墙篇 防火墙的优点 集中制定网络安全管理策略 隐含内部网络 保护网络中脆弱的服务 增强保密性,强化私有权 安全信息审计 安全发布信息 网络安全培训教程-防火墙篇 防火墙的局限性 n限制有用的网
4、络服务 n无法防护内部网络用户的攻击 n无法防范通过防火墙以外的其他途径的 攻击 n数据驱动型攻击对服务的入侵 n数据的保密 n无法完全防止病毒文件 网络安全培训教程-防火墙篇 基于路由器的防火墙 将过滤功能从路由器中独立出来,并加上审计和告警功能将过滤功能从路由器中独立出来,并加上审计和告警功能 针对用户需求,提供模块化的软件包针对用户需求,提供模块化的软件包 软件可通过网络发送,用户可根据需要构造防火墙软件可通过网络发送,用户可根据需要构造防火墙 与第一代防火墙相比,安全性提高了,价格降低了与第一代防火墙相比,安全性提高了,价格降低了 利用路由器本身对分组的解析利用路由器本身对分组的解析,
5、 ,进行分组过滤进行分组过滤 过滤判断依据:地址、端口号、过滤判断依据:地址、端口号、IPIP旗标及其它网络特征旗标及其它网络特征 防火墙与路由器合为一体,只有过滤功能防火墙与路由器合为一体,只有过滤功能 适用于对安全性要求不高的网络环境适用于对安全性要求不高的网络环境 是批量上市的专用防火墙产品是批量上市的专用防火墙产品 包括分组过滤或者借用路由器的分组过滤功能包括分组过滤或者借用路由器的分组过滤功能 装有专用的代理系统,监控所有协议的数据和指令装有专用的代理系统,监控所有协议的数据和指令 保护用户编程空间和用户可配置内核参数的设置保护用户编程空间和用户可配置内核参数的设置 安全性和速度大为
6、提高。安全性和速度大为提高。 防火墙厂商具有操作系统的源代码,并可实现安全内核防火墙厂商具有操作系统的源代码,并可实现安全内核 去掉了不必要的系统特性,加固内核,强化安全保护去掉了不必要的系统特性,加固内核,强化安全保护 在功能上包括了分组过滤、应用网关、电路级网关在功能上包括了分组过滤、应用网关、电路级网关 增加了许多附加功能:加密、鉴别、审计、增加了许多附加功能:加密、鉴别、审计、NATNAT转换转换 透明性好,易于使用透明性好,易于使用 基于通用操作 系统的防火墙 防火墙工具套 防火墙的发展历程 基于安全操作 系统的防火墙 网络安全培训教程-防火墙篇 防火墙的分类 n包过滤型防火墙 n代
7、理型防火墙 n复合型防火墙 n基于状态检测的包过滤防火墙 网络安全培训教程-防火墙篇 包过滤型防火墙工作原理 网络安全培训教程-防火墙篇 安全网域 Host C Host D UDPBlockHost CHost B TCPPassHost CHost A DestinationProtocolPermitSource 数据包 数据包 数据包数据包数据包 查找对应的 控制策略 拆开数据包 根据策略决定如 何处理该数据包 控制策略 数据包 过滤依据主要是TCP/IP报头里面的 信息,不能对应用层数据进行处理 数据TCP报头IP报头 分组过滤判断信息 分组过滤原理 网络安全培训教程-防火墙篇 包过
8、滤型防火墙 n优点 高性能 简单 对用户透明 费用低 n缺点 管理维护困难 低安全性 存在安全漏洞 访问控制力度小 性能和规模成反比 网络安全培训教程-防火墙篇 代理型防火墙工作原理 网络安全培训教程-防火墙篇 安全网域 Host C Host D 数据包 数据包 数据包数据包数据包 查找对应的 控制策略 拆开数据包 根据策略决定如 何处理该数据包 数据包 应用代理可以对数据包的数据区进 行分析,并以此判断数据是否允许 通过 控制策略 数据TCP报头IP报头 分组过滤判断信息 应用代理判断信息 应用代理原理 网络安全培训教程-防火墙篇 代理型防火墙 n优点 安全性好 访问控制力度好 n缺点 限
9、制新应用 对用户不透明(透明代理) 性能差 网络安全培训教程-防火墙篇 基于状态监测的包过滤技术 网络安全培训教程-防火墙篇 安全网域 Host C Host D 数据包 数据包 数据包数据包数据包 查找对应的 控制策略 拆开数据包 根据策略决定如 何处理该数据包 数据包 状态检测可以结合前后数据包里的数据信 息进行综合分析决定是否允许该包通过 控制策略 数据3TCP报头IP报头 分组过滤判断信息 应用代理判断信息 数据2TCP报头IP报头 数据1TCP报头IP报头 数据1TCP报头IP报头 数据 状态检测 状态检测原理 网络安全培训教程-防火墙篇 状态监测技术的特点 n优点 性能好 安全性好
10、 n缺点 不能保护应用层的弱点 网络安全培训教程-防火墙篇 vv 筛选路由器筛选路由器 vv 多宿主主机多宿主主机 vv 被屏蔽主机被屏蔽主机 vv 被屏蔽子网被屏蔽子网 防火墙体系结构 网络安全培训教程-防火墙篇 内部网络 外部网络 包过滤器 进行包过滤 筛选路由器 网络安全培训教程-防火墙篇 内部网络外部网络 vv 禁止内外网络之间直接通信禁止内外网络之间直接通信 双宿主主机 v 通过应用代理通过应用代理 vv 通过登陆到双宿主主机上获得服务通过登陆到双宿主主机上获得服务 缺点:如何保护双宿主缺点:如何保护双宿主 主机本身的安全主机本身的安全 所有的通信必须经过双宿主主机所有的通信必须经过
11、双宿主主机 多宿主主机 网络安全培训教程-防火墙篇 堡垒主机 进行规则配置,只允许外部 主机与堡垒主机通讯 互联网互联网 对内部其他主机的访问 必须经过堡垒主机 缺点: v 堡垒主机与其他主机在同一个子网 v 一旦堡垒主机被攻破或被越过,整个内网和 堡垒主机之间就再也没有任何阻挡。 不允许外部主机直接访问除 堡垒主机之外的其他主机 过滤器 被屏蔽主机 网络安全培训教程-防火墙篇 内部网络外部网络 堡垒主机 内部筛选路由器外部筛选路由器 禁止内外网络直 接进行通讯 内外部网络之间的通信 都经过堡垒主机 内部网络外部网络 堡垒主机 被屏蔽子网 网络安全培训教程-防火墙篇 v 安全内核 v访问控制
12、v 内容安全 v IP与MAC绑定 v 安全远程管理 v 多种管理方式 v 灵活接入 v 授权认证 v 双机热备 v 安全审计 v 加密 v 端口映射 v 流量控制 v 规则模拟测试 v 入侵检测 v 本地 & 远程管理 v NAT转换 & IP复用 v 多端口结构 v 安全联动 v 双系统 v 网络管理 v 基于源地址、目的地址 v 基于源端口、目的端口 v 基于用户 v 基于时间 v 基于流量 v 基于时间的控制 v 用户级权限控制 防火墙 防火墙的功能原理 网络安全培训教程-防火墙篇 Host C Host D 数据包 数据包 数据包 数据包数据包 查找对应的 控制策略 拆开数据包 进行
13、分析 根据策略决定如 何处理该数据包 数据包 控制策略 v 基于源IP地址 v 基于目的IP地址 v 基于源端口 v 基于目的端口 v 基于时间 v 基于IP旗标 v 基于用户 v 基于流量 可以灵活的制定 的控制策略 灵活的访问控制 网络安全培训教程-防火墙篇 Host C Host D 在防火墙上制定基于 时间的访问控制策略 上班时间不允许 访问Internet 上班时间可以访 问公司的网络 Internet 基于时间的访问控制 网络安全培训教程-防火墙篇 Host C Host D Host B Host A 受保护网络 Internet PermitPasswordUsername 预
14、先可在防火墙上设定用户 Chenaf 123 Chenaf 123Yes Liwy 883No 不管那台电脑都可以用相 同的用户名来登陆防火墙 只需在防火墙设置 该用户的规则即可 基于用户的访问控制 网络安全培训教程-防火墙篇 v 应用控制可以对常用的高层应用做更细的控制 v 如HTTP的GET、POST、HEAD v 如FTP的GET、PUT等 物理层 链路层 网络层 传输层 会话层 表示层 应用层 物理层 链路层 网络层 传输层 会话层 表示层 应用层 内部网络外部网络 防火墙 内部接口外部接口 根据策略检查 应用层的数据 符合策略 应用层应用层应用层 内容安全 网络安全培训教程-防火墙篇
15、 Internet Host A 199.168.1.2 Host B 199.168.1.3 Host C 199.168.1.4 Host D 199.168.1.5 00-50-04-BB-71-A600-50-04-BB-71-BC BIND 199.168.1.2 To 00-50-04-BB-71-A6 BIND 199.168.1.4 To 00-50-04-BB-71-BC IP与MAC地址绑定后,不允许 Host B假冒Host A的IP地址上网 防火墙允许Host A上网 IP与MAC绑定(用户) 网络安全培训教程-防火墙篇 受保护网络 Internet 如果防火墙支持透明模式,则 内部网络主机的配置不用调整 Host A 199.168.1.2 Host C 199.168.1.4 Host D 199.168.1.5 Host B 199.168.1.3 199.168.1.8 同一网段 透明模式下,这里不 用配置IP地址 透明模式下,这里不 用配置IP地址 Default Gateway=199.16
