《网络安全技术第3章、网络安全技术--防火墙技术》由会员分享,可在线阅读,更多相关《网络安全技术第3章、网络安全技术--防火墙技术(71页珍藏版)》请在金锄头文库上搜索。
1、个人介绍陈兴钰 长春方联计算机高级技术培训中心讲师 E-mail: MSN:rollen_ Tel:0431-85155777/888/999813网络安全技术第七讲、网络安全技术防火墙技术目录: 防火墙的基本概念 防火墙的发展历程 防火墙的核心技术 防火墙的体系结构 防火墙的构造体系 防火墙的功能与原理 防火墙的典型应用一、防火墙的基本概念1、防火墙的传统概念:防火墙用来防止大火从建筑物的一部分传播到其另一 部分。安全2、IT领域防火墙的概念:在两个不同级别的安全域之间进行信息的流通及访问,可以在两个安全 域之间安装一台设备,来控制这两个安全域之间的访问行为。该设备添加完 成后,就可以将这两
2、个安全域分成两个独立的安全域,只要保证此设备是两 个安全域之间通信流的唯一通道,那么就可以在该设备上控制两个安全域之 间的任何信息交换。同时还可以在该设备上设置相应的安全策略和规则,来 控制两个安全域之间的访问行为,记录两个安全域之间的动作。防火墙: 防火墙Firewall,一种高级访问控制设备,置于 不同网络安全域之间的一系列部件的组合(硬件和软件 ),它是不同网络安全域之间通信流的唯一通道,能够 根据企业的有关安全策略控制(允许、禁止、监视、记 录)进出网络的访问行为。 防火墙的核心功能是做访问控制。防火墙安全域 1安全域 2SourceDestinationPermitProtocolH
3、1H3PassTCP H2H3BlockUDPH 1H 2H 3H 4根据访问控制规则, 决定进出网络的访问行为。唯一的安全通道3、防火墙的外形(一):思科 PIX-525-FO-BUN 思科 PIX-506E-BUN-K9 NETGEAR FVS318 Westone 中华卫士6103-SV 机箱及尺寸类似与路 由器,通常为1U、2U或4U ,从外观看,就是一台特 殊的计算机。3、防火墙的外形(二):Console口(串口RS-232): 利用串口线,通过“超级终端”可 以配置防火墙。网络接口(RJ-45): 防火墙标配三个网络接口,通常都 是10M/100M自适应的以太口 。扩展槽: 通过
4、模块化扩展槽,可以选配多个 或多种类型的接口。二、防火墙的发展历程1、防火墙发展历程(一):基于路由器的防火墙防火墙工具套基于通用操作系统的防火墙基于安全操作系统的防火墙根据路由器本身对分组的解析,对分组进行过滤。 工作在网络层,判断依据是:地址、端口号、IP头部信息等其他 网络特征。防火墙与路由器合而为一,只有过滤功能。适用于对网络安全性要求不高的网络环境。将过滤功能从路由器中独立出来,加入了审计和告警功能。根据用户需求,提供模块化软件包。软件可通过网络发送,用户根据需要构建防火墙。安全性能提高,价格下降。产品化的防火墙产品。包含分组过滤或借用路由器的分组过滤功能。安装有专用的代理系统,能够
5、监控所有协议的数据和指令。保护用户编程空间和用户可配置内核参数的设置。性能与速度大大提高。防火墙厂商有自己产品操作系统的源码,可实现安全内核。去掉了不必要的系统特性,加固了内核,强化了安全保护。功能包括:分组过滤、应用网关、电路级网关。 增加了附加功能:加密、鉴别、审计、NAT转换。透明性好,易于使用。三、防火墙的核心技术1、现有防火墙的核心技术: 简单包过滤防火墙 状态检测包过滤防火墙 应用代理防火墙 包过滤与应用代理复合型防火墙 核检测防火墙(1)、简单包过滤防火墙的工作原理:应用层传输层网络层网络接口层应用层传输层网络层网络接口层外部攻击外部攻击TCP外部攻击TCPIP010010000
6、1110011010101001000011100110101Eth外部攻击TCPIPEth外部攻击TCPIPEth外部攻击TCPIP外部攻击外部攻击TCP外部攻击TCPIP只检查报头简单包过滤防火墙的特点:x 不检查用户数据x 不建立状态连接表x 前后报文无关x 应用层控制很弱简单包过滤防火墙基于源、目地址/端口/协议号进行检测, 由于不检查应用层,所有效率比较高,但是安全性低。(2)、状态检测包过滤防火墙的工作原理:应用层传输层网络层网络接口层应用层传输层网络层网络接口层外部攻击外部攻击TCP外部攻击TCPIP0100100001110011010101001000011100110101
7、Eth外部攻击TCPIPEth外部攻击TCPIPEth外部攻击TCPIP外部攻击外部攻击TCP外部攻击TCPIP只检查报头建立连接状态表状态检测包过滤防火墙的特点:状态检测包过滤防火墙可以根据连接状态信息,动态地建立和维 持一个连接状态表,并将该连接状态表应用到对后续报文的访问控 制中去。安全性比简单包过滤防火墙提高了,因为它可以跟踪和监 控连接信息,同时其效率也大大增加,因为为一旦建立好连接状态 表之后,对于同一连接的后续报文,不用再去逐条匹配规则,可以 直接根据连接状态表进行报文的转发。v能够跟踪TCP的连接状态信息v不检查用户数据v建立连接状态表v前后报文相关v应用层控制很弱 (应用层控
8、制力度较弱,但是对网络层和传输层的保护较强。) v效率更高,安全性提高。(3)、应用代理防火墙的工作原理:应用层传输层网络层网络接口层应用层传输层网络层网络接口层外部攻击外部攻击TCP外部攻击TCPIP0100100001110011010101001000011100110101Eth外部攻击TCPIPEth外部攻击TCPIPEth外部攻击TCPIP外部攻击外部攻击TCP外部攻击TCPIP只检查应用层 数据应用代理防火墙的特点:应用代理防火墙对于其代理的协议报文、会话,能够很好的理解 ,可以对报文进行重组,从而实现对高层(应用层)的访问控制。 可以对高层协议进行分析、匹配,所以控制力度更细,
9、安全性大大 增加。由于对高层数据(用户数据)进行解封装,所以效率大大降 低,所以整体性能有所降低。它对应用层的保护加强了,但对传输 层和网络层的保护则降低了。 不检查TCP、IP报头 不建立连接状态表 对网络层、传输层保护较弱 对应用层保护较强(4)、复合型防火墙的工作原理:应用层传输层网络层网络接口层应用层传输层网络层网络接口层外部攻击外部攻击TCP外部攻击TCPIP0100100001110011010101001000011100110101Eth外部攻击TCPIPEth外部攻击TCPIPEth外部攻击TCPIP外部攻击外部攻击TCP外部攻击TCPIP检查整个 报文内容建立连接状态表复合
10、型防火墙的特点:复合型防火墙综合了包过滤防火墙和应用代理防火墙的特点,形 成了复合型防火墙。它对整个报文进行访问控制和处理,具体检测 内容由策略决定,如果策略是包过滤策略,则对TCP、IP报头进行检 测,如果策略是应用代理策略,则对用户数据进行检测。所以它可 以灵活地对整个报文相关要素进行访问控制。它的安全性和灵活性 很高。X可以检查整个数据包的内容X根据需要建立连接状态表X网络层保护强X应用层控制细X会话控制较弱(4)、核检测防火墙的工作原理:应用层传输层网络层网络接口层应用层传输层网络层网络接口层外部攻击外部攻击TCP010010000111001101010100100001110011
11、0101重写会话检查多个报文组 成的会话主服务器硬盘数据大数据主服务器TCPTCP硬盘数据主服务器TCPIP硬盘数据TCPIP主服务器TCPIPEth硬盘数据TCPIPEthEthTCPIP外部攻击TCPIP外部攻击主服务器TCPIPEth硬盘数据TCPIPEth报文1报文2报文3主服务器TCPIPEth硬盘数据TCPIPEthEthTCPIP外部攻击主服务器TCPIP硬盘数据TCPIPTCPIP外部攻击外部攻击TCP主服务器TCPTCP硬盘数据外部攻击主服务器硬盘数据EthTCPIP外部攻击外部攻击主服务器硬盘数据建立连接状态表核检测防火墙的特点:当应用层产生大报文时,如果数据量很大,当报文
12、交给传输层时,用一个TCP报 文无法发送,就需要拆成多个报文进行转发,如果有三个报文到达防火墙之后,对于 简单包过滤防火墙、状态检测包过滤防火墙和应用代理防火墙,他们只是检查单个报 文, 所以只检查其中的一个报文,但是他们都不能把这些报文组合起来,形成一个 会话来进行处理。 对于核检测防火墙,它可以将不同报文,在防火墙内部,模拟成应用层客户端或 服务器端,对整个报文进行重组,合成一个会话来进行理解,进行访问控制。所以可 以提供更细的访问控制,同时能生产访问日志。可以看到,它的上下报文是相关的, 它具备包过滤和应用代理防火墙的全部特点,还增加了对会话的保护能力。所以,核 检测防火墙在安全性上具有
13、明显的优势,并能提高产品的性能。网络层保护强应用层保护强会话层保护强上下报文相关前后报文有联系,可以关联进行出来。2、防火墙的核心技术比较:性能 类类型综综合 安全性网络层络层 保护护应应用层层 保护护应应用层层 透明整体性能处处理对对象简单简单 包过过 滤滤防火墙墙单单个数据 包报头报头 状态检测态检测 包过滤过滤 防 火墙墙单单个数据 包报头报头应应用代理 防火墙墙单单个数据 包数据 复合型防 火墙墙单单个数据 包全部核检测检测 防 火墙墙一次会话话TCPIP01110010011四、防火墙的体系结构1、防火墙体系结构(基于核检测防火墙):路由模块透明模块规则检查还原模块HTTP还原FTP
14、还原SMTP还原POP3还原 应用层日志病毒应用层过滤日志守护进程病毒守护进程 KernelApplication连接表NIC001010111001101001010101101101001010011001100在操作系统内核完成 应用协议的还原,提高 了系统的整体性能。2、基于内核的会话检测技术:0100100001110011010101001000011100110101NIC1NIC20100100001 1100110101 0100101101 1100100001 1110100101 11011001010100100001 0100110101 1101100101 01
15、00101101 1100100001 0110100101输入队列Client 发起请求协议还原模块虚拟客户端底层驱动防火墙逻辑图GET /HTTP/1.1 Accept: image/gif, image/x- xbitmap,application/vnd,ms- powerpoint,application/msw ord,*/* Accept-Language:zh-cn输入队列是否符合安全策略?虚拟服务器端协议还原模块YN禁止允许核检测技术就是基于操作系统内核的会话检测技术(1)、会话检测技术:当客户端发起一个访问请求,提交给防火墙后,防火 墙可以模拟成服务器端,对客户端的请求进行
16、高层协议 的还原,还原成我们能够理解的信息,如果符合安全策 略,并与之匹配,则由防火墙的另外一个接口对数据重 写进行封装、发送。同时对服务器返回的信息,也可以 交给防火墙内核进行还原,将还原后的信息与安全策略 进行匹配,决定是否封装、发送。 所以,在此过程中,防火墙可以模拟客户端和服务器 端,对双方的会话进行会话还原,对整个信息进行访问 控制。(2)、基于内核:应用层系统核心应用层系统核心0100100001 110011010101001000011101、进行规则匹配、应用层过滤 2、频繁在系统核心和应用层之间切换 3、消耗大量的系统资源 4、产生大量的进程 5、影响防火墙的性能普通防火墙0100100001 11001101
