《安全体系架构-防火墙-新》由会员分享,可在线阅读,更多相关《安全体系架构-防火墙-新(63页珍藏版)》请在金锄头文库上搜索。
1、信息安全师高级安全技术体系结构上海海盾信息网络安全技术培训中心 http:/ 安部第三研究所授权,目前,上海海盾信息网络安全技术培训中心是上海市唯一取得信 息安全师职业培训资质的机构。 培训中心简介n国家反计算机入侵和防病毒研究中心信息安全培训中心、上海海盾信息网络安全技术培训 中心,成立于2005年10月份,是公安部第三研究所所属独立部门。 培训就业目标n培训毕业学员可在电信企业、银行、保险公司、证券、国内外大中型ISP网络服务提供商、 网络系统集成公司、网络安全服务公司、政府部门及其它中小企业等单位担任网络安全服 务工程师、网络管理员、网站管理员、信息技术人员、网络安全工程师、网络安全产品
2、售 前工程师、网络安全售后工程师、安全产品测试工程师等工作。 师资力量n培训师资来自公安部第三研究所、国家反计算机入侵与防病毒研究中心、复旦大学、上海 交通大学、信息安全科研机构和著名网络信息安全企业。讲师具有丰富的工程技术经验, 长期从事信息安全教学、科研和技术开发工作,是国内知名的反入侵、防病毒专家。上海海盾信息网络安全技术培训中心 http:/ http:/ 防火墙的定义 防火墙的类型 防火墙采用的技术 防火墙的应用上海海盾信息网络安全技术培训中心 http:/ http:/ http:/ 列部件的组合;它具有访问控制机制。防火墙的定义2、防火墙是不同网络或不同安全域之间的信 息的唯一出
3、口,自身具有较强的抗攻击能 力上海海盾信息网络安全技术培训中心 http:/ 信息安全的基础设施。 逻辑上,它是一个分离器、限制器 分析器:有效地监控了流经防火墙的数据 保证内网和DMZ区域的安全上海海盾信息网络安全技术培训中心 http:/ 网络和外部网络隔离,执行与内部网络不同的安全策略,有的也称为安 全服务网络(Secure Service Network)SSN防火墙的类型按防火墙软硬件 软件防火墙 硬件防火墙 按防火墙结构 单一主机防火墙 路由器集成式防火墙 分布式防火墙 按防火墙应用部署 边界防火墙 个人防火墙 混合防火墙上海海盾信息网络安全技术培训中心 http:/ 包过滤防火墙
4、 状态动态检测防火墙 应用级网关弄防火墙 代理服务型防火墙 复合型防火墙防火墙功能 包过滤 代理 远程管理 审计和报警机制 网络地址转换 MAC与IP绑定 流量控制和统坟 URL信息过滤 多级过滤 杀毒技术 其他:IPS,IDS上海海盾信息网络安全技术培训中心 http:/ http:/ 包过滤技术 p 状态/动态检测 p 应用代理 p NAT技术上海海盾信息网络安全技术培训中心 http:/ Filtering)是防火墙为 系统提供安全保障的主要技术,它通过设备 对进出网络的数据流进行有选择的控制与操 作 包过滤技术按一个有固定排序的规则链过滤 ,其中每个规则都检查IP地址、端口、传输方 向
5、、分包、协议等内容。检查顺序自上而下 ,依次匹配;若有规则匹配,则按动作执行 ,不再检查后面的规则;否则,继续检查。 它只有两个功能:阻止与允许上海海盾信息网络安全技术培训中心 http:/ http:/ 不用改动用户机器的应用程序,它工作在网络层。 规则由管理员制定,一般很少改动缺点: 只能判别网络层与传输层的信息。不能分辨那些是“好” 包,那些“坏”包。易被窃听和假冒 规则数目多了,可能性能会受到影响。 非法访问一旦突破防火墙,即可对主机的软件和配置进行 攻击上海海盾信息网络安全技术培训中心 http:/ 对每一个数据包的内容进行监视,一旦建立一个会 话状态,则此后数据传输都要此会话作为依
6、据 会建立一张状态表 深度包检测技术(Deep Packet Inspection) 融合入侵检测和攻击防范的功能,结合状态检测的 所有功能;能对数据流量迅速完成网络层级别分打 ,并做出访问控制; 对允许的数据流,再检测应用 层信息,来寻找已知的攻击。这是一个发展方向上海海盾信息网络安全技术培训中心 http:/ 针对每一个特定的应用实现;用户数据包有代理应 用去访问不受信任的服务器,不转发用户流量,阻 止他们直接连接。可以有http,ftp,dns, telnet,socket4,socket5等 效率低,但有较好 的访问控制,是安全的防火墙技术。 电路级代理 它建立在TCPIP的传输层,只
7、是在通讯建立一 个回路,发起方与响应方不建立连接,由代理代为 进行数据转发,在这个过程进行用户鉴别与访问控 制。 它不会针对某个特定的应用层协议上海海盾信息网络安全技术培训中心 http:/ 解决IPV4地址不足的问题 隐藏了内网,有一定的安全作用上海海盾信息网络安全技术培训中心 http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ l 和防火墙的物理端口一一对应 eth0、eth1、eth2 区域: l 可以把区域看作是一段具有相似安全属性的网络空 间。在区域的划分上,网络卫士防火墙的区域和接口 并不是一一
8、对应的,也就是说一个区域可以包括多个 接口。 属性: l 属性对象是为了映射逻辑概念(如区域)和物理概念 (如接口、链路等)而设计的一个对象,通过区域区域- -属属 性(属性组)性(属性组)- -(接口或链路)(接口或链路)的映射,用户可以更加 灵活地划分安全区域,同时解决L2TP、ADSL 等动态 链路的访问控制问题。上海海盾信息网络安全技术培训中心 http:/ 路由模式 l 透明模式 l 混合模式上海海盾信息网络安全技术培训中心 http:/ http:/ http:/ http:/ http:/ 管理 URL,例如:https:/172.16.x.x,弹出 如下的登录页面。上海海盾信息
9、网络安全技术培训中心 http:/ 网络 物理接口,可以看到 防火墙的所有物理接口,如下图所示,共有三个物理接口: Eth0、Eth1、Eth2。上海海盾信息网络安全技术培训中心 http:/ ” ,弹出“设定路由”对话框,点击“添加配置”按钮,添加接口的IP 地址。如下图所示。上海海盾信息网络安全技术培训中心 http:/ 对象 属性对象,右侧界面显示已有的属性对象,如下图所 示。上海海盾信息网络安全技术培训中心 http:/ 理接口同名的属性自动绑定到同名物理接口 eth0, eth1、eth2 等。防火墙基本配置-属性2)点击“添加配置”,显示属性添加页面,如下图所示。上海海盾信息网络安
10、全技术培训中心 http:/ 对象 区域对象,显示已有的区域对象。防火墙出厂配置中缺 省区域对象为AREA_ETH0,并已和缺省属性对象eth0 绑定,而属性 对象eth0 已和接口eth0 绑定,因此出厂配置中防火墙的物理接口 eth0 已属于区域AREA_ETH0。2)点击“添加配置”,增加一个区域对象,如下图所示。上海海盾信息网络安全技术培训中心 http:/ 属性,一个属性也可分属于 不同的区域。 区域属于某个属性时, 该属性所绑定的物理接口、 动态链路(如 IPSEC、ADSL等)所使用 的接口属于该区域。 特别注意,权限选择是选定特别注意,权限选择是选定 这个区域的默认策略这个区域的默认策略防火墙基本配置-静态路由在左侧导航菜单中选择 网络 静态路由,可以看到已经添加的策略路由 表以及系统自动添加的静态路由表,如下图所示。上海海盾信息网络安全技术培训中心 http:/ 策略源 策略目的 服务端口 访问控制允许或拒绝 访问时间上海海盾信息网络安全技术培训中心 http:/ 对象 地址对象 主机对象上海海盾信息网络安全技术培训中心 http:/ 对象
