《防火墙技术课件》由会员分享,可在线阅读,更多相关《防火墙技术课件(50页珍藏版)》请在金锄头文库上搜索。
1、第四章 防火墙技术严峻的网络安全形势,促进了防火墙技术 的不断发展。防火墙是一种综合性的科学技术 ,涉及网络通信、数据加密、安全决策、信息 安全、硬件研制、软件开发等综合性课题。防火墙的定义u防火墙是设置在被保护网络和外部网络之 间的一道屏障,实现网络的安全保护,以防 止发生不可预测的、潜在破坏性的侵入。防 火墙本身具有较强的抗攻击能力,它是提供 信息安全服务、实现网络和信息安全的基础 设施。图8.1为防火墙示意图。防火墙的基本概念图8.1 防火墙示意图 返回本节防火墙的发展简史u第一代防火墙:采用了包过滤(Packet Filter)技术。u第二、三代防火墙:1989年,推出了电路 层防火墙
2、,和应用层防火墙的初步结构。u第四代防火墙:1992年,开发出了基于动 态包过滤技术的第四代防火墙。u第五代防火墙:1998年,NAI公司推出了 一种自适应代理技术,可以称之为第五代防 火墙。图9.2 防火墙技术的简单发展历史 返回本节设置防火墙的目的和功能u(1)防火墙是网络安全的屏障u(2)防火墙可以强化网络安全策略u(3)对网络存取和访问进行监控审 计u(4)防止内部信息的外泄返回本节防火墙的局限性u(1)防火墙防外不防内。u(2)防火墙难于管理和配置,易造成安全 漏洞。u(3)很难为用户在防火墙内外提供一致的 安全策略。u(4)防火墙只实现了粗粒度的访问控制。返回本节防火墙技术发展动态
3、和趋势u(1)优良的性能u(2)可扩展的结构和功能u(3)简化的安装与管理u(4)主动过滤u(5)防病毒与防黑客返回本节防火墙的技术种类u1包过滤防火墙u2代理防火墙u3状态监视器防火墙u4复合式防火墙防火墙技术1包过滤防火墙u包过滤防火墙的工作原理采用这种技术的防火墙产品,通过在网络中的适当位置对数据包进行过滤,根据检 查数据流中每个数据包的源地址、目的地址 、所有的TCP端口号和TCP链路状态等要素,然后依据一组预定义的规则,以允许合乎 逻辑的数据包通过防火墙进入到内部网络, 而将不合乎逻辑的数据包加以删除。1包过滤防火墙u(1)数据包过滤技术的发展:静态包过滤 、动态包过滤。 u(2)包
4、过滤的优点:不用改动应用程序、 一个过滤路由器能协助保护整个网络、数据 包过滤对用户透明、过滤路由器速度快、效 率高。 u(3)包过滤的缺点:不能彻底防止地址欺 骗;一些应用协议不适合于数据包过滤(如 UDP协议);正常的数据包过滤路由器无法 执行某些安全策略;安全性较差 ;数据包工 具存在很多局限性。 图9.3 包过滤处理图9.4 静态包过滤防火墙图9.5 动态包过滤防火墙u(1)代理防火墙的原理:代理防火墙运行在两个网络之间,它对 于客户来说像是一台真的服务器一样,而对 于外界的服务器来说,它又是一台客户机。 当代理服务器接收到用户的请求后,会检查 用户请求的站点是否符合公司的要求,如果
5、公司允许用户访问该站点的话,代理服务器 会像一个客户一样,去那个站点取回所需信 息再转发给客户。2代理防火墙u(4)代理技术的优点1)代理易于配置。 2)代理能生成各项记录。 3)代理能灵活、完全地控制进出流量、内容 。 4)代理能过滤数据内容。 5)代理能为用户提供透明的加密机制。6)代理可以方便地与其他安全手段集成。 u(5)代理技术的缺点1)代理速度较路由器慢。2)代理对用户不透明。 3)对于每项服务代理可能要求不同的服务器。 4)代理服务不能保证免受所有协议弱点的限制 。 5)代理不能改进底层协议的安全性。 代理的工作方式两种防火墙技术 返回本节3、状态监视器防火墙(1) 状态监视器防
6、火墙的工作原理这种防火墙安全特性非常好,它采用了一个在网关上执行网络安全策略的软件引擎 ,称之为检测模块。检测模块在不影响网络 正常工作的前提下,采用抽取相关数据的方 法对网络通信的各层实施监测,抽取部分数 据,即状态信息,并动态地保存起来作为以 后指定安全决策的参考。(2) 状态监视器防火墙的优缺点状态监视器的优点:u检测模块支持多种协议和应用程序,并可以 很容易地实现应用和服务的扩充。u它会监测RPC和UDP之类的端口信息,而包过滤和代理网关都不支持此类端口。u性能坚固状态监视器的缺点:u配置非常复杂。u会降低网络的速度。4复合式防火墙u常见是代理服务器和状态分析技术的组合u具有对一切连接
7、尝试进行过滤的功能;u提取和管理多种状态信息的功能;u智能化做出安全控制和流量控制的决策;u提供高性能的服务和灵活的适应性;u具有网络内外完全透明的特性。防火墙的优缺点u优点:1、保护网络中脆弱的服务2、实现网络安全性监视和实时报警3、增强保密性和强化私有权4、实现网络地址转换5、实现安全性失效和自动故障恢复u缺点:1、不能防范恶毒的知情者(内网用户和内外串通)2、不能防范不经过它的连接3、不能防备全部的威胁,特别是新产生的威胁4、不能有效地防范病毒的攻击现代防火墙的安全技术及实现方式第四代防火墙技术u第四代防火墙,具有安全操作系统的防火墙产 品。u1双端口或三端口的结构新一代防火墙产品具有两
8、个或三个独立的网卡,内 外两个网卡可不作IP转化而串接于内部网与外部网之间,另一个网卡可专用于对服务器的安全保护。 u2透明的访问方式以前的防火墙在访问方式上要么要求用户作系统登 录,要么需要通过SOCKS等库路径修改客户机的应用。 第四代防火墙利用了透明的代理系统技术,从而降低了 系统登录固有的安全风险和出错概率。 u3灵活的代理系统代理系统是一种将信息从防火墙的一侧传送到另一 侧的软件模块。第四代防火墙采用了两种代理机制,一 种用于代理从内部网络到外部网络的连接,另一种用于 代理从外部网络到内部网络的连接。前者采用网络地址 转换(NAT)技术来解决,后者采用非保密的用户定制 代理或保密的代
9、理系统技术来解决。 u4多级的过滤技术为保证系统的安全性和防护水平,第四代防火墙采 用了三级过滤措施,并辅以鉴别手段。在分组过滤一级 ,能过滤掉所有的源路由分组和假冒的IP源地址;在应 用级网关一级,能利用FTP、SMTP等各种网关,控制和 监测Internet提供的所用通用服务;在电路网关一级, 实现内部主机与外部站点的透明连接,并对服务的通行 实行严格控制。u5网络地址转换技术(NAT)第四代防火墙利用NAT技术能透明地对所有内部地 址作转换,使外部网络无法了解内部网络的内部结构, 同时允许内部网络使用自己编的IP地址和专用网络,防 火墙能详尽记录每一个主机的通信,确保每个分组送往 正确的
10、地址。u6 Internet网关技术由于是直接串连在网络之中,第四代防火墙必须 支持用户在Internet互连的所有服务,同时还要防 止与Internet服务有关的安全漏洞。故它要能以多 种安全的应用服务器(包括FTP、Finger、mail、 Ident、News、WWW等)来实现网关功能。为确 保服务器的安全性,对所有的文件和命令均要利用“ 改变根系统调用(chroot)”作物理上的隔离。u7、安全服务器网络(SSN)利用保护策略对服务器实施保护,利用网卡将对 外服务器作独立网络处理,与内部网关安全隔离。u8用户鉴别与加密为了降低防火墙产品在Telnet、FTP等服务 和远程管理上的安全风
11、险,鉴别功能必不可少, 第四代防火墙采用一次性使用的口令字系统来作 为用户的鉴别手段,并实现了对邮件的加密。 u9用户定制服务为满足特定用户的特定需求,第四代防火墙 在提供众多服务的同时,还为用户定制提供支持 ,这类选项有:通用TCP,出站UDP、FTP、 SMTP等类,如果某一用户需要建立一个数据库 的代理,便可利用这些支持,方便设置。 u10审计和告警第四代防火墙产品的审计和告警功能十 分健全,日志文件包括:一般信息、内核信 息、核心信息、接收邮件、邮件路径、发送 邮件、已收消息、已发消息、连接需求、已 鉴别的访问、告警条件、管理日志、进站代 理、FTP代理、出站代理、邮件服务器、域 名服
12、务器等。告警功能会守住每一个TCP或 UDP探寻,并能以发出邮件、声响等多种方 式报警。 防火墙的基本组成结构u 1屏蔽路由器u 2双宿堡垒主机u 3屏蔽主机防火墙u 4屏蔽子网防火墙1屏蔽路由器u又称包过滤路由器,在一般路由器的基础 上增加了一些新的安全控制功能,是一个检 查通过它的数据包的路由器。屏蔽路由器示意图2双宿堡垒主机u又称应用型防火墙,在运行防火墙软件的 堡垒主机上运行代理服务器。双宿堡垒主机示意图3屏蔽主机防火墙u屏蔽主机防火墙由包过滤路由器和堡垒主机( Bastion Host)组成,它所提供的安全性能要比包过滤防火墙系统要强,因为它实现了网络层安全(包过 滤)和应用层安全(
13、代理服务)的结合。当入侵者在 破坏内部网络的安全性之前,必须首先突破这两种不 同的安全系统。屏蔽主机网关示意图u原理和实现过程 :堡垒主机位于内部网络上,而包过滤路 由器则放置在内部网络和外部网络之间。在 路由器上设置相应的规则,使得外部系统只 能访问堡垒主机。由于内部主机与堡垒主机 处于同一个网络,内部系统是否允许直接访 问外部网络,或者是要求使用堡垒主机上的 代理服务来访问外部网络完全由企业的安全 策略来决定。对路由器的过滤规则进行配置 ,使得其只接收来自堡垒主机的内部数据包 ,就可以强制内部用户使用代理服务,从而 加强内部用户对外部Internet访问的管理。4屏蔽子网防火墙u屏蔽子网防
14、火墙利用两台屏蔽路由器把子网与内外 部网络隔离开,堡垒主机、信息服务器、Modem组,以及其他公用服务器放在该子网中,这个子网称为 “停火区”或“非军事区”(DeMilitarised Zone,DMZ)屏蔽子网防火墙示意图防火墙的物理位置u1、服务器置于防火墙之内u2、服务器置于防火墙之外u3、服务器置于防火墙之上内部 网Web服务器防火墙Internet1、 服务器置于防火墙之内如图所示,将Web服务器装在防 火墙内的好处是它得到了安全保护,不 容易被黑客闯入。 内部 网Web服务器防火墙Internet如图所示,为保证内部网络的安 全,将Web服务器完全置于防火墙之外 是比较合适的。在这
15、种模式中,Web服 务器不受保护,但内部网则处于保护之 下。 2、 服务器置于防火墙之外服务器置于防火墙之上内部 网Web防火墙和服务器Internet如图所示,有些管理者试图在防 火墙机器上运行Web服务器,以此增强 Web站点的安全性。 防火墙设计实例u8.4.1 防火墙产品选购策略u8.4.2 典型防火墙产品介绍u8.4.3 防火墙设计策略返回本章首页防火墙产品选购策略u1防火墙的安全性u2防火墙的高效性u3防火墙的适用性u4防火墙的可管理性u5完善及时的售后服务体系返回本节典型防火墙产品介绍u13Com Office Connect Firewallu 新增的网络管理模块使技术经验有限
16、 的用户也能保障他们的商业信息的安全。 u Office Connect Internet Firewall 25使用全静态数据包检验技术来防止非法的 网络接入和防止来自Internet的“拒绝服务” 攻击,它还可以限制局域网用户对Internet 的不恰当使用。u Office Connect Internet Firewall DMZ可支持多达100个局域网用户 ,这使局域网上的公共服务器可以被 Internet访问,又不会使局域网遭受攻击。u 3Com公司所有的防火墙产品很容易通 过 Getting Started Wizard 进行安装。它 们使整个办公室可以共享ISP提供的一个IP 地址,因而节省开支。u2Cisco PIX防火墙u (1)实时嵌入式操作系统。u (2)保护方案基于自适应安全算法( ASA),可以确保最高的安全性。u (3)用于验证和授权的“直通代理”技术。u (4)最多支持250 000个同时连接。
