《防火墙与反病毒技术》由会员分享,可在线阅读,更多相关《防火墙与反病毒技术(25页珍藏版)》请在金锄头文库上搜索。
1、知识回顾,上一章中介绍了哪两种网络安全协议? SSL的体系结构中包含了哪些协议? IPSec架构中包含了哪两个重要的协议? IPSec协议的两种工作模式是什么? 已经学习了哪些保障信息安全的技术?,ESP协议,实现保密性、完整性、抗重放攻击 AH协议,实现完整性、抗重放攻击,传输模式,隧道模式,三只小猪的故事,现代信息安全技术,防火墙,核心防护,病毒检测,入侵检测,第七章 防火墙与反病毒技术,防火墙的概述,什么是防火墙 防火墙的发展历史 防火墙的几种类型,什么是防火墙,不可信用户,?,什么是防火墙,定义 防火墙是位于两个(或多个)网络间,实施网间访问控制的一组组件的集合。 它满足以下条件: 内
2、部和外部之间的所有网络数据流必须经过防火墙 只有符合安全政策的数据流才能通过防火墙 防火墙自身应对渗透(peneration)免疫(不受各种攻击的影响) 核心思想 在不安全的网际网环境中构造一个相对安全的子网环境,什么是防火墙,功能 网络安全的屏障 过滤不安全的服务:(两层含义) 内部提供的不安全服务 内部访问外部的不安全服务 集中式安全保护 阻断特定的网络攻击;(联动技术的产生) 是监视局域网安全和预警的方便端点 提供包括安全和统计数据在内的审计数据,好的防火墙还能灵活设置各种报警方式。,防火墙的发展历史,1986年,美国digital公司在Internet上安装了全球第一个商用防火墙系统,
3、提出了防火墙概念。 防火墙的发展大致可划分为4个阶段,防火墙的发展历史,第一代防火墙 基于路由器的防火墙 网络访问控制功能通过路由控制来实现 特点 以访问控制表方式实现对分组的过滤 过滤判决的依据可以是地址、端口号、IP标志等 只有分组过滤功能 缺点 路由协议本身就具有安全漏洞,外部网络要探测内部网络十分容易 路由器上分组过滤规则的设置和配置存在安全隐患,只是一种应急措施,防火墙的发展历史,第二代防火墙 用户化防火墙工具套 特点 将过滤功能从路由器中独立出来,并加上审计和告警功能 针对用户需求,提供模块化的软件包 软件可通过网络发送,用户可自己动手构造防火墙 存在的问题 配置和维护过程复杂、费
4、时 对用户的技术要求高 全软件实现,安全性和处理速度均有局限 实践表明,使用中出现差错的情况很多,防火墙的发展历史,第三代防火墙 建立在通用操作系统上的商用防火墙产品 特点 批量上市的专用防火墙 包括分组过滤或者借用路由器的分组过滤功能 装有专用的代理系统,监控所有协议的数据和指令 保护用户编程空间和用户配置内核参数的设置 安全性和速度大为提高,防火墙的发展历史,第三代防火墙 存在的问题 作为基础的操作系统及其内核往往不为防火墙管理者所知。由于源码的保密,其安全性无从保证 由于大多数防火墙厂商并非是通用操作系统的厂商,通用操作系统厂商不会对防火墙中使用的操作系统的安全性负责 用户必须依赖两方面
5、的安全支持;一是防火墙厂商;二是操作系统厂商,防火墙的发展历史,第四代防火墙 具有安全操作系统的防火墙 特点 防火墙厂商具有操作系统的源代码,并可实现安全内核 对安全内核实现加固定处理。即去掉不必要的系统特性,加上内核特性,强化安全保护 对每个服务器、子系统都作安全处理,一旦黑客攻破了一个服务器,它将会被隔离在此服务器内,不会对网络的其他部分构成威胁 在功能上包括分组过滤、应用网关、电路级网关,且具有加密与认证功能 透明性好,易使用,防火墙的几种类型,分组过滤防火墙 又称包过滤防火墙或屏蔽路由器 通过检查经过路由器的数据包源地址、目的地址、TCP端口、UDP端口等参数,并由策略决定是否允许该数
6、据包通过,并对其进行路由选择转发。,屏蔽路由器,内部网络,防火墙的几种类型,分组过滤防火墙 特点 屏蔽路由器作为内外连接的唯一通道,要求所有的报文都必须在此通过检查。 实现IP层的安全 缺点 在主机上实现,是网络中的“单失效点” 不支持有效的用户认证,不提供有用的日志,安全性低 存在难以调和的矛盾,防火墙的几种类型,双宿主机防火墙 这种配置是用一台装有两块网卡的堡垒主机做防火墙。两块网卡分别与内部网和外部网相连。堡垒主机运行着防火墙软件,可以转发应用程序,提供服务等 采用代理服务的方法 堡垒主机上运行着防火墙软件,可以转发应用程序和提供服务等,双宿主机防火墙堡垒主机的作用 阻止IP层通信 实现
7、应用层安全 中间转接作用,防火墙的几种类型,内部网络,堡垒主机,防火墙的几种类型,双宿主机防火墙 优缺点 堡垒主机的系统软件可用于身份认证和维护系统日志,有利于进行安全审计 仍然是“单失效点” 隔离了一切内部网域Inernet的直接连接 代表产品:ISA防火墙 Microsoft Internet Security and Acceleration Server (简称为ISA),目前最新版为2006,不适合于一些高灵活性要求,防火墙的几种类型,屏蔽主机防火墙 分组过滤路由器连接外部网络 运行网关软件的堡垒主机安装在内部网路 提供了较高的安全等级 过滤路由器是否正确配置,是防火墙安全与否的关键
8、 路由表应受到严格保护,IP层安全,应用层安全,防火墙的几种类型,屏蔽子网 最安全的防火墙系统,DMZ区,防火墙的几种类型,屏蔽子网 在内部网络和外部网络之间建立一个被隔离的子网(非军事区,Demilitarized Zone,DMZ) 在很多实现中,两个分组过滤路由器放在子网的两端,内部网络和外部网络均可访问被屏蔽子网,但禁止它们穿过被屏蔽子网通信 通常将堡垒主机、各种信息服务器等公用服务器放于DMZ中 堡垒主机通常是黑客集中攻击的目标,如果没有DMZ,入侵者将可以监听整个内部网络,小结,防火墙是位于两个(或多个)网络间,实施网间访问控制的一组组件的集合。 防火墙经历了四个发展阶段 防火墙常见的四种类型,思考题,防火墙有哪些局限性?,
