《防火墙安全技术ppt》由会员分享,可在线阅读,更多相关《防火墙安全技术ppt(84页珍藏版)》请在金锄头文库上搜索。
1、,8.1 概述,8.2 防火墙的类型,8.3 防火墙的设计与实现,第8章 防火墙技术,8.5 应用实例,8.4 防火墙的安全管理技术,8.1 防火墙概述,本节内容 8.1.1 防火墙的基本概念 8.1.2 防火墙的目的和作用 8.1.3 防火墙的发展,8.1.1 防火墙的基本概念 1.防火墙的基本概念 古时候,人们常在寓所之间砌起一道砖墙,一旦火灾发生,它能够防止火势蔓延到别的寓所。自然,这种墙因此而得名“防火墙(FireWall)”。现在,如果一个网络连接了Internet,它的用户就可以访问外部世界并与之通信,同时,外部世界也同样可以访问该网络并与之交互。为安全起见,可以在该网络和Inte
2、rnet之间插入一个中介系统,竖起一道安全屏障,这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵,提供扼守本地网络的安全和审计的关卡。这种中介系统叫做“防火墙”或“防火墙系统”。 防火墙是在两个网络间实现访问控制的一个或一组软硬件系统。防火墙的最主要功能就是屏蔽或允许指定的数据通信,而该功能的实现又主要是依靠一套访问控制策略,由访问控制策略来决定通信的合法性。 防火墙是在两个网络通信时执行的一种访问控制手段,它能允许“经同意”的人和数据进入你的网络,同时将“未经不同意”的人和数据拒之门外,最大限度地阻止网络中的非法用户来访问你的网络,防止他们更改、复制和毁坏你的重要信息。 防火墙实质上
3、就是一种过滤塞,只让经你允许的内容通过这个塞子,别的内容都统统过滤掉。在网络的世界里,要由防火墙过滤的就是承载通信数据的通信包。,2.防火墙的基本任务 (1)实现一个公司的安全策略 防火墙的主要意图是强制执行你的安全策略。通过前面几章的学习我们认识到了网络安全中安全策略的重要性。关键的问题是如何通过防火墙来实施这些策略。 (2)创建一个阻塞点 防火墙在一个公司私有网络和子网间建立一个检查点。这种实现要求所有的流量都要通过这个检查点。一旦这些检查点建立后,防火墙就可以监视、过滤和检查所有进来和出去的流量。网络安全产业称这些检查点为“阻塞点”。通过强制所有进出流量都通过这些检查点,网络管理员可以集
4、中在一个地方来实现安全目的。如果没有这样一个供监视和控制信息的检查点,系统或安全管理员则要在很多地方来进行监测。检查点的另一个名字叫做“网络边界”。 (3)记录Internet活动 防火墙还能够强制日志记录,并且提供警报功能。通过在防火墙上实现日志服务,安全管理员可以监视所有从外部网或互联网的访问。一个好的日志策略是实现适当网络安全的有效工具之一。防火墙对于管理员进行日志存档提供了更多的信息。 (4)限制网络暴露 防火墙在你的网络周围创建了一个保护的边界。并且对于公网隐藏了你内部系统的一些信息以增加保密性。当远程结点试图侦测你的网络时,他们仅仅能看到防火墙。远程设备将不会知道你内部网络的布局以
5、及存放的信息。防火墙提高认证功能和对网络加密来限制网络信息的暴露。通过对所有流量的检查,限制从外部发动的攻击。,3. 基本术语 (1)网关(Gateway) 网关是在两台设备之间提供转发服务的系统。网关的范围可以从互联网应用程序如公共网关接口(CGI)到在两台主机间处理流量的防火墙网关。这个术语是非常常见的,而且可用于一个防火墙组件里,在两个不同的网络路由和处理数据。 (2)电路级网关(Circuit Level Gateway) 电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话是否合法,电路级网关是在OSI模型中会话层上来过滤数据包。另外,电路级网关
6、还提供一个重要的安全功能:网络地址翻译(NAT)将所有公司内部的IP地址映射到一个“安全”的IP地址,这个地址是由防火墙使用的。有两种方法来实现这种类型的网关,一种是由一台主机充当筛选路由器而另一台充当应用级防火墙;另一种是在第一个防火墙主机和第二个防火墙主机之间建立安全的连接。 (3)应用级网关(Application Level Gateway) 应用级网关可以工作在OSI七层模型的任一层上,能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做一些复杂的访问控制。,(4)堡垒主机(Bastion Ho
7、st) 堡垒主机应是在Internet高度暴露的,也是网络中最容易受到侵入的主机。堡垒主机也就是防火墙体系中的大无畏者,其目的是把敌人的火力吸引到自己身上,从而达到保护其他主机的目的。堡垒主机的设计思想就是检查点原则,把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其他主机的安全。通常情况下,堡垒主机上运行一些通用的网络操作系统、并存放一些不重要或已过期的机密文件。 (5)双宿主机(Dual Homed Host) 现代的防火墙系统大多是双宿主机,即有两个网络接口的计算机系统,其中一个接口连接内部网,另一个接口连接外部网。有的防火墙是多宿主机,有三个或多个网络接口,可以联接多个
8、网络,实现多个网络之间的访问控制。 (6)数据包过滤(Package Filter Ring) 一些设备,如路由器、网关或双宿主机,可以有选择地控制网络上往来的数据流。当数据包要经过这些设备时,这些设备可以检查IP数据包的相应选项,根据既定的规则来决定是否允许数据包通过。 (7)屏蔽路由器(Screened Router) 屏蔽路由器也叫过滤路由器,是一种可以根据过滤原则对数据包进行阻塞和转发的路由器,现在有很多路由器都具备包过滤的功能。,(8)屏蔽主机(Screened Host) 被放置到屏蔽路由器后面网络上的主机称为屏蔽主机,该主机能被访问的程度取决于路由器的屏蔽规则。 屏蔽子网指位于屏
9、蔽路由器后面的子网,子网能被访问的程度取决于屏蔽规则。 (9)代理服务器(Proxy Server) 代理服务器就像中间人,是一种代表客户和服务器通信的程序,一般在应用层实现。典型的代理接受用户的请求,然后根据事先定义好的规则,决定用户或用户的IP地址是否有权使用代理服务器,然后代表客户建立一个与服务器之间的连接。 (10)IP地址欺骗(IP Spoofing) 这是一种黑客的攻击形式,黑客使用一台机器上网,而借用另一台机器的IP地址,从而冒充另一台机器与服务器打交道。防火墙可以识别这种IP地址欺骗。 (11)隧道路由器(Tunneling Router) 它是一种特殊的路由器,可以对数据包进
10、行加密,让数据能通过非信任网,如Internet,然后在另一端用同样的路由器进行解密。 (12)虚拟专用网(Virtual Private Network,VPN) 一种联接两个远程局域网的方式,联接要通过非信任网,如Internet,所以一般通过隧道路由器或VPN网关来实现互联。,(13)DNS欺骗(DNS Spoofing) 通过破坏被攻击主机上的域名服务器的缓存,或破坏一个域名服务器来伪造IP地址和主机名的映射,从而冒充其他机器。DNS欺骗现在也是黑客攻击服务器的常用手段。 (14)Internet控制报文协议(ICMP) ICMP的全称是Internet Control Message
11、 Protocol(网间报文控制协议),它是IP不可分割的一部分,用来提供错误报告。一旦发现各种错误类型就将其返回原主机,最常见的ping命令就是基于ICMP的。ICMP的统计信息包含收发的各种类型的ICMP报文的计数以及收发错误报文的计数。 (15)纵深防御(Defense In Depth) 一种确保网络尽可能安全的安全措施,一般与防火墙联合使用。 (16)最小特权(Least Privilege) 在运行和维护系统中,尽可能地减少用户的特权,但同时也要使用户有足够的权限来做事,这样就会减少特权被滥用的机会。内部人员滥用特权很可能在防火墙上打开一个安全缺口,这是很危险的,很多的入侵是由此引
12、发的。,(17)网络地址翻译(NAT) 网络地址解释是对Internet隐藏内部地址,防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制,完善内部寻址模式。把未注册IP地址映射成合法地址,就可以对Internet进行访问。对于NAT的另一个名字是IP地址隐藏。RFC1918概述了地址并且IANA建议使用内部地址机制,以下地址作为保留地址: 10.0.0.0 - 10.255.255.255 (A类保留地址) 172.16.0.0 - 172.31.255.255 (B类保留地址) 192.168.0.0 - 192.168.255.255 (C类保留地址) 如果你选择上述例表中的网络地址
13、,不需要向任何互联网授权机构注册即可使用。使用这些网络地址的一个好处就是在互联网上永远不会被路由。互联网上所有的路由器发现源或目标地址含有这些私有网络ID时都会自动丢弃。,(18)非军事化区域(DMZ) DMZ是一个小型网络存在于公司的内部网络和外部网络之间。这个网络由筛选路由器建立,有时是一个阻塞路由器。DMZ用来作为一个额外的缓冲区以进一步隔离公网和你的内部私有网络。DMZ另一个名字叫做Service Network,因为它非常方便。这种实施的缺点在于存在于DMZ区域的任何服务都不会得到防火墙的安全保护。 (19)筛选路由器(Sieve Router) 筛选路由器的另一个术语就是包过滤路由
14、器并且至少有一个接口是连向公网的,它是对进出内部网络的所有信息进行分析,并按照一定的安全策略信息过滤规则对进出内部网络的信息进行限制,允许授权信息通过,拒绝非授权信息。信息过滤规则是以其所收到的数据包头信息为基础的。采用这种技术的防火墙优点在于速度快、实现方便,但安全性能差,且由于不同操作系统环境下TCP和UDP端口号所代表的应用服务协议类型有所不同,故兼容性差。 (20)阻塞路由器 阻塞路由器也叫内部路由器,用以保护内部的网络使之免受Internet和周边网的侵犯。阻塞路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网络到Internet的有选择的出站服务。内部路由器所允许的在堡
15、垒主机和用户内部网之间服务可以不同于内部路由器所允许的在Internet和用户内部网之间的服务。限制堡垒主机和内部网之间服务的理由是减少由此而导致来自堡垒主机侵袭的机器的数量。,4.防火墙的特性 大多数防火墙系统具有包过滤、电路级网关和应用级网关的功能。它们检查单独的数据包或整个信息包,然后利用事先订制的规则来强制安全策略。只有那些可接受的数据包才能进出整个网络。当你实施一个防火墙策略时,这三种防火墙类型可能都需要。 (1)认证 防火墙是一个合理的放置提供认证方法来避开特定的IP包。你可以要求一个防火墙令牌(firewall token),或反向查询一个IP地址。反向查询可以检查用户是否真正地
16、来自它所报告的源位置。这种技术有效地反击IP欺骗的攻击。防火墙还允许终端用户认证。应用级网关或代理服务器可以工作在TCP/IP的每一层上。多数的代理服务器提供完整的用户账号数据库。结合使用这些用户账号数据库和代理服务器自定义的选项来进行认证。代理服务器还可以利用这些账号数据库来提供更详细的日志。 (2)日志和警报 为了不降低网络性能和效率,在默认配置下,包过滤及筛选路由器是不进行日志记录的,更为重要的是,防火墙并不能对所有事件创建日志。筛选路由器只能记录一些最基本的信息,而电路级网关也只能记录少量的信息。因为你要在防火墙上创建一个阻塞点,潜在的黑客必须要先穿过它。如果你放置全面记录日志的设备并在防火墙本身实现这种技术,那么你有可能捕获到所有用户的活动。可以确切地知道黑客在做什么并得到这些活动信息代审计。一些防火墙允许你预先配置对不期望的活动做出响应。防火墙两种最普通的活动是中断TCP/IP连接和自动发出警告。,8.1.2 防火墙的目的和作用 1.构建网络防火墙的主要目的 l 控制访问
