《防火墙技术与产品》由会员分享,可在线阅读,更多相关《防火墙技术与产品(111页珍藏版)》请在金锄头文库上搜索。
1、防火墙技术与产品安全讲座 2 o防火墙概念o防火墙特征o防火墙功能o协议与服务o防火墙技术内容o防火墙体系结构o防火墙实现策略o对防火墙技术与产品发展的介绍o对防火墙技术的展望内容提要安全讲座 3 ServerClient防火墙(Firewall)安全讲座 4 为什么需要防火墙安全讲座 5 l所有软件都是有错的l通常情况下99.99%无错的程序很少会出问题l同安全相关的99.99%无错的程序可以确信 会被人利用那0.01%的错误l0.01%安全问题等于100%的失败Why Security is Harder than it Looks安全讲座 6 内部网特点o组成结构复杂o各节点通常自主管理
2、o信任边界复杂,缺乏有效管理o有显著的内外区别o机构有整体的安全需求o最薄弱环节原则安全讲座 7 为什么需要防火墙o保护内部不受来自Internet的攻击o为了创建安全域o为了增强机构安全策略安全讲座 8 防火墙概念防火墙是指设置在不同网络或网络安全域(公共网和企业内部网)之间的一系列部件的组合。它是不同网络(安全域)之间的唯一出入口,能根据企业的安全政策控制(允许 、拒绝 、 监测)出入网络的信息流,且本身具有很高的抗攻击能力,它是提供信息安全服务,实现网络和信息安全的基础设施。安全讲座 9 防火墙特征4保护脆弱和有缺陷的网络服务4集中化的安全管理4加强对网络系统的访问控制4加强隐私4对网络
3、存取和访问进行监控审计安全讲座 10 保护脆弱和有缺陷的网络服务保护脆弱和有缺陷的网络服务o一个防火墙能极大地提高一个内部网络的安全性,并通 过过滤不安全的服务而降低风险。由于只有经过精心选 择的应用协议才能通过防火墙,所以网络环境变得更安 全。o防火墙同时可以保护网络免受基于路由的攻击,如IP选 项中的源路由攻击和ICMP重定向中的重定向路径。防火 墙应该可以拒绝所有以上类型攻击的报文并通知防火墙 管理员。防火墙特征安全讲座 11 防火墙特集中化的安全管理通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,
4、防火墙的集中安全管理更经济。安全讲座 12 加强对网络系统的访问控制o一个防火墙的主要功能是对整个网络的访问控制。比如防火墙 可以屏蔽部分主机,使外部网络无法访问,同样可以屏蔽部分 主机的特定服务,使得外部网络可以访问该主机的其它服务, 但无法访问该主机的特定服务。o防火墙不应向外界提供网络中任何不需要服务的访问权,这实 际上是安全政策的要求了。o控制对特殊站点的访问:如有些主机或服务能被外部网络访问 ,而有些则需被保护起来,防止不必要的访问。防火墙特征安全讲座 13 加强隐私o隐私是内部网络非常关心的问题。一个内部网络中不 引人注意的细节可能包含了有关安全的线索而引起外 部攻击者的兴趣,甚至
5、因此而暴漏了内部网络的某些 安全漏洞。o使用防火墙就可以隐蔽那些透漏内部细节如Finger, DNS等服务。防火墙特征安全讲座 14 对网络存取和访问进行监控审计如果所有的访问都经过防火墙,那么,防火墙就能记 录下这些访问并作出日志记录,同时也能提供网络使 用情况的统计数据。当发生可疑动作时,防火墙能进 行适当的报警,并提供网络是否受到监测和攻击的详 细信息。 另外,收集一个网络的使用和误用情况是非常重要的 。首先的理由是可以清楚防火墙是否能够抵挡攻击者 的探测和攻击,并且清楚防火墙的控制是否充足。而 网络使用统计对网络需求分析和威胁分析等而言也是 非常重要的。防火墙特征安全讲座 15 协议
6、ISO/OSI协议分层应用层应用层表示层表示层会话层会话层传输层传输层数据链路层数据链路层物理层物理层网络层网络层数据链路层数据链路层安全讲座 16 协议 ISO/OSI协议分层物理层:涉及在物理信道上传输原始比特,处理与物理传输介质有 关的机械的、电气的和过程的接口。数据链路层:分为介质访问控制(MAC)和逻辑链路控制(LLC)两 个子层。MAC子层解决广播型网络中多用户竞争信道使用权问题。 LLC的主要任务是将有噪声的物理信道变成无传输差错的通信信道 ,提供数据成帧、差错控制、流量控制和链路控制等功能。网络层:负责将数据从物理连接的一端传到另一端,即所谓点到点 ,通信主要功能是寻径,以及与
7、之相关的流量控制和拥塞控制等。安全讲座 17 协议 ISO/OSI协议分层传输层:主要目的在于弥补网络层服务与用户需求之间 的差距。传输层通过向上提供一个标准、通用的界面, 使上层与通信子网(下三层)的细节相隔离。传输层的 主要任务是提供进程间通信机制和保证数据传输的可靠 性。 会话层:主要针对远程终端访问。主要任务包括会话管 理、传输同步以及活动管理等。 表示层:主要功能是信息转换,包括信息压缩、加密、 与标准格式的转换(以及上述各操作的逆操作)等等。 应用层:提供最常用且通用的应用程序,包括电子邮件 (E-mail)和文电传输等。安全讲座 18 应用层表示层会话层传输层网络层数据链路层物理
8、层FTP、TELNET NFSSMTP、SNMP XDRRPCTCP、UDPIPEthernet、 PDN、 IEEE802.3、 IEEE802.4、 IEEE802.5及其它 ICMP ARP RARPOSI参考模型Internet协议簇OSI参考模型与Internet协议簇安全讲座 19 协议TCP/IP协议分层应用层应用层传输层传输层网间网层网间网层网络接口层网络接口层安全讲座 20 协议TCP/IP协议分层应用层:向用户提供一组常用的应用程序,比如文件传输访问、电子 邮件、远程登录等。用户完全可以在“网间网”之上(即传输层之上),建立自己的专用应用程序,这些专用应用程序要用到TCP/
9、IP,但不属于TCP/IP。传输层(TCP/UDP):提供应用程序间(即端到端)的可靠(TCP)或高效(UDP)的通信。其功能包括:格式化信息流及提供可靠传输。传输层还要解决不同应用程序的识别问题。 网间网层(IP):负责相邻计算机之间的通信。其功能包括:处理来自传输层的分组发送请求; 处理输入数据包;处理ICMP报文。网络接口层: TCP/IP协议的最低层,负责接收IP数据报并通过网络发送,或者从网络上接收物理帧,抽出IP数据包,交给IP层。安全讲座 21 TCP/IP服务安全讲座 22 oSMTP - Simple Mail Transfer Protocol, 用于发送、接收电子邮件。o
10、TELNET - 可以远程登陆到网络的每个主机上,直接使用他的资源。oFTP - File Transfer Protocol,用于文件传输。 oDNS - Domain Name Service, 被 TELNET、FTP、WWW及其它服务所 用,可以把主机名字转换为 IP 地址。oWWW - World Wide Web, 是 FTP、 gopher、WAIS及其它信息服务的 结合体,使用超文本传输协议 (http)。 TCP/IP服务安全讲座 23 oRPC -远程过程调用服务。如 NFS - Network File System, 可允许系统共享目录与磁盘。oNIS - Networ
11、k Information Services, 网络信息服务 容许多个系统共享数据库,如 password file容许集中 管理。 oX Window System :一个图形化的窗口系统。 oRlogin、 rsh、及 其它 “r”服务 。运用相互信任的主 机的概念,在其它系统上可以执行命令且不要求 password。TCP/IP服务安全讲座 24 IPoIP协议的主要内容包括无连接数据报传送、数据报寻 径及差错处理三部分。oIP层作为通信子网的最高层,屏蔽底层各种物理网络 的技术环节,向上(TCP层)提供一致的、通用性的 接口,使得各种物理网络的差异性对上层协议不复存 在。oIP数据报分
12、为报头和数据区两部分,IP报头由IP协议 处理,是IP协议的体现;数据体则用于封装传输层数 据或差错和控制报文(ICMP)数据,由TCP协议或 ICMP协议处理。安全讲座 25 TCPoTCP是传输层的重要协议之一,提供面向连接的可靠 字节流传输。面向连接的TCP要求在进行实际数据传 输前,必须在信源端与信宿端建立一条连接。且面向 连接的每一个报文都需接收端确认,未确认报文被认 为是出错报文,出错的报文协议要求出错重传。oTCP采用可变窗口进行流量控制和拥塞控制以保证可 靠性。o分组是TCP传输数据的基本单元,分TCP头和TCP数 据体两大部分。安全讲座 26 UDPoUDP是传输层的重要协议
13、之一;o基于UDP的服务包括NIS、NFS、NTP及DNS等。oUDP不是面向连接的服务,几乎不提供可靠性措施;因此,基于 UDP的服务具有较高的风险。安全讲座 27 TCP与UDP端口o一个TCP或UDP连接由下述要素唯一确定:源IP地址、目的地IP 地址、源端口、目的地端口。oTCP或UDP用协议端口标识通信进程,端口是一种抽象的软件结 构(包括一些数据结构和I/O缓冲区)。应用程序(即进程)通过 系统调用与某些端口建立连接后,传输层传给该端口的数据被相 应进程所接收。o接口又是进程访问传输服务的人口点。每个端口拥有一个叫端口 号的16位整数标识符,用于区分不同端口。oTCP和UDP软件分
14、别可以提供65536个不同的端口。o端口有两部分,一部分是保留端口(端口号小于1024,对应于服 务器进程),一部分是自由端口(以本地方式分配)。安全讲座 28 o某些服务进程通常对应于特定的端口。如SMTP为25,X WINDOWS为6000。o客户使用端口号及目的地IP地址初始化与一个特定主机或服务 的连接。TCP与UDP端口安全讲座 29 防火墙技术可根据防范的方式和侧重点的不同而分为 很多种类型,总体来讲可分为三大类:l分组过滤l应用代理l电路中继防火墙技术内容安全讲座 30 p分组过滤(Packet filtering):作用在网络层和传输层,它根据分组包头源地址,目的地址和端口 号
15、、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑 的数据包才被转发到相应的目的地出口端,其余数据包则被从数据 流中丢弃。p应用代理(Application Proxy):也叫应用网关(Application Gateway),它作用在应用层,其特点 是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代 理程序,实现监视和控制应用层通信流的作用。实际中的应用网关 通常由专用工作站实现。p电路中继(Circuit Relay)也叫电路网关(Circuit Gateway)或TCP代理(TCP Proxy), 其工作原理与应用代理类似,不同之处是该代理程序是专门为传输 层的TCP协议编
16、制的。防火墙技术内容安全讲座 31 防火墙技术内容分组过滤应用层应用层 表示层表示层 会话层会话层传输层传输层 网络层网络层 数据链路层数据链路层 物理层物理层物理层数据链路层网络层应用层应用层 表示层表示层 会话层会话层传输层传输层 网络层网络层 数据链路层数据链路层 物理层物理层外部网络主机内部网络主机分组过滤型 防火墙安全讲座 32 一个分组过滤型防火墙通常能根据IP分组的以下各项 过滤:4源IP地址4目标IP地址4TCP/UDP源端口4TCP/UDP目标端口4协议类型防火墙技术内容分组过滤安全讲座 33 防火墙技术内容分组过滤分组过滤防火墙应用示例安全讲座 34 优点:o透明的防火墙系统o高速的网络性能o易于配置o支持网络内部隐藏防火墙技术内容分组过滤安全讲座 35 缺点:4易于IP地址假冒4记录日志信息不充分4源路由攻击4设计和配置一个真正安全的分组过滤规则比较困难4分组过滤防火墙并不能过滤所有的协议4极小分片设数据包攻击4无法防止数据驱动式攻击防火墙技术内容
