《课件:信息安全导论(5-2 网络安全-防火墙、入侵检测、反病毒)》由会员分享,可在线阅读,更多相关《课件:信息安全导论(5-2 网络安全-防火墙、入侵检测、反病毒)(104页珍藏版)》请在金锄头文库上搜索。
1、1,网络安全技术 防火墙、入侵检测、反病毒,信息安全导论(模块5网络安全),2,网络安全技术,防火墙技术 入侵检测技术 反病毒技术,3,第一部分 防火墙技术,1 防火墙的作用 2 防火墙技术原理 3 防火墙的体系结构 4 基于防火墙的VPN技术,4,1 防火墙的作用,防火墙是一种由软件或硬件设备组合而成的装置,通常处于企业的内部局域网与Internet之间,限制Internet用户对内部网络的访问以及管理内部用户访问外界的权限,5,1 防火墙的作用,防火墙能有效地控制内部网络与外部网络之间的访问及数据传送,从而达到保护内部网络的信息不受外部非授权用户的访问,并过滤不良信息的目的。,6,1 防火
2、墙的作用,一个好的防火墙系统应具备以下三方面的条件: 内部和外部之间的所有网络数据流必须经过防火墙。否则就失去了防火墙的主要意义了。 只有符合安全策略的数据流才能通过防火墙。这也是防火墙的主要功能审计和过滤数据。 防火墙自身应对渗透(penetration)免疫。如果防火墙自身都不安全,就更不可能保护内部网络的安全了。,7,1 防火墙的作用,防火墙由四大要素组成: 安全策略是一个防火墙能否充分发挥其作用的关键。哪些数据可以(或不可以)通过防火墙;防火墙应该如何部署;应该采取哪些方式来处理紧急的安全事件;以及如何进行审计和取证的工作,等等,这些都属于安全策略 内部网:需要受保护的网。 外部网:需
3、要防范的外部网络。 技术手段:具体的实施技术。,8,防火墙的优点,1集中的安全管理,强化网络安全策略,经济易行。 2防止非授权用户进入内部网络。 3可以方便地监视网络的安全性并报警。 4利用NAT技术,可以缓解地址空间的短缺,隐藏内部网的结构。 5实现重点网段的分离,限制安全问题的扩散。 6审计和记录网络的访问和使用的最佳地方。,9,防火墙存在的缺陷和不足,为了提高安全性,限制或关闭了一些有用但存在安全缺陷的网络服务,但这些服务也许正是用户所需要的服务,给用户带来使用的不便。 防火墙只对内外网之间的通信进行审计和“过滤”,但对于内部人员的恶意攻击,防火墙无能为力。 防火墙不能防范绕过防火墙的攻
4、击,如内部网用户通过拨号上网直接进入Internet。 防火墙对用户不完全透明,可能带来传输延迟、瓶颈及单点失效。 防火墙也不能完全防止受病毒感染的文件或软件的传输,由于病毒的种类繁多,如果要在防火墙完成对所有病毒代码的检查,防火墙的效率就会降到不能忍受的程度。 防火墙不能有效地防范数据驱动式攻击。防火墙不可能对所有主机上运行的文件进行监控,无法预计文件执行后所带来的结果 作为一种被动的防护手段,防火墙不能防范因特网上不断出现的新的威胁和攻击。,10,2 防火墙技术原理,防火墙的技术主要有 包过滤技术 代理技术 状态检测技术 地址翻译技术 内容检查技术 其他技术,11,2.1 包过滤技术,包过
5、滤型防火墙 在网络中适当的位置对数据包实施有选择的通过 选择依据:系统内设置过滤规则(通常称为访问控制列表),只有满足过滤规则的数据包才被转发到相应的网络接口,其余数据包则被丢弃。,12,包过滤的概念,包过滤一般要检查下面几项: IP源地址 IP目的地址 协议类型(TCP包、UDP包和ICMP包) TCP或UDP的源端口 TCP或UDP的目的端口 ICMP消息类型 TCP报头的ACK位,13,包过滤的设置,设置步骤 必须知道什么是应该和不应该被允许的,必须制订一个安全策略 必须正式规定允许的包类型、包字段的逻辑表达 必须用防火墙支持的语法重写表达式 按地址过滤 包过滤路由器检查包头的信息,与过
6、滤规则进行匹配,决定是否转发该数据包 按服务过滤 根据安全策略决定是允许或者拒绝某一种服务,比如:禁止外部主机访问内部的Email服务器,14,包过滤的优点,处理包的速度比代理服务器快 只需要很小的开销,因此屏蔽设备的性能不会受很多影响 几乎不需要额外费用 一般的路由器都有配套的包过滤功能,不需要额外购买相应的包过滤软件,因而包过滤技术相当便宜甚至是免费的 对用户是透明的 用户基本上觉察不出包过滤的存在,它是在路由器上对进出数据包进行过滤。对于用户端来说是透明的,15,包过滤的缺点,防火墙维护比较困难,需要管理员具备一定的专业知识 只能阻止一种IP欺骗 即外部主机伪装成内部主机的IP,对于外部
7、主机伪装成其他可信任主机的IP不可能阻止。 无法抵抗数据驱动式攻击 部分包过滤防火墙不支持有效的用户认证 不可能提供有用的日志 影响路由器的吞吐量 无法对网络上的信息提供全面的控制,16,2.2 代理技术,代理技术(应用层网关技术) 代理技术与包过滤技术完全不同,包过滤技术是在网络层拦截所有的信息流,代理技术是针对每一个特定应用都有一个程序 代理是企图在应用层实现防火墙的功能。代理能提供部分与传输有关的状态,能完全提供与应用相关的状态和部分传输方面的信息,代理也能处理和管理信息。,17,代理防火墙的优点,易于配置,界面友好; 不允许内外网主机的直接连接; 可以提供比包过滤更详细的日志记录; 可
8、以隐藏内部IP地址; 可以给单个用户授权; 可以为用户提供透明的加密机制; 可以与认证、授权等安全手段方便的集成,18,代理防火墙的缺点,代理速度比包过滤慢; 因为代理防火墙工作在应用层,需要对数据包进行解包、装配,还原出原始数据,因此需要增加额外的开销。 代理对用户不透明 代理技术需要针对每种协议设置一个不同的代理服务器。并且代理服务程序开发起来比较困难。,19,2.3 状态检测技术,状态检测技术是防火墙近几年应用的新技术 传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通过还是拒绝 基于状态检测技术的防火墙不仅仅对数据包进行检测,还对控制通信的基本因素状态信息(包括通信信息、
9、通信状态、应用状态和信息操作性)进行检测。通过状态检测虚拟机维护一个动态的状态表,记录所有的连接通信信息、通信状态,以完成对数据包的检测和过滤。,20,状态检测防火墙的优点,高安全性 防火墙截取到数据包,首先根据安全策略从数据包提取有用信息,然后将相关信息进行组合,进行一些逻辑或数学运算,获得相应的结论,进行相应的操作,如允许数据包通过、拒绝数据包、认证连接和加密数据等。 高效性 状态检测防火墙工作在协议栈的较低层,通过防火墙的所有数据包都在低层处理,而不需要上层处理任何数据。 可伸缩性和易扩展性 状态检测防火墙不区分每个具体的应用,只是根据从数据包中提取的信息、对应的安全策略及过滤规则处理数
10、据包,当有一个新的应用时,它能动态产生新的应用的新规则,具有很好的可伸缩性和易扩展性。 应用范围广 不仅支持基于TCP的应用,而且支持UDP等基于无连接的协议应用。,21,状态检测防火墙的缺点,配置比较复杂 降低网络速度,22,2.4 网络地址翻译技术,网络地址翻译(NATNetwork Address Translation)的最初设计目的是用来增加私有组织的可用地址空间和解决将现有的私有TCP/IP网络连接到互联网上的IP地址编号问题。 NAT技术并非为防火墙而设计,它在解决IP地址短缺的同时提供了如下功能: 内部主机地址隐藏; 网络负载均衡; 网络地址交迭。,23,网络地址翻译技术(NA
11、T),目的 解决IP地址空间不足问题 向外界隐藏内部网结构 方式 M-1:多个内部网地址翻译到1个IP地址 1-1:简单的地址翻译 M-N:多个内部网地址翻译到N个IP地址,24,3 防火墙的体系结构,在防火墙和网络的配置上,有以下四种典型结构: 双宿/多宿主机模式 屏蔽主机模式 屏蔽子网模式 混合结构模式,25,3.1 双宿/多宿主机模式,双宿/多宿主机防火墙(又称为双宿/多宿网关防火墙) 拥有两个或多个连接到不同网络上的网络接口的防火墙,通常用一台装有两块或多块网卡的堡垒主机做防火墙,两块或多块网卡各自与受保护网和外部网相连。 特点:主机的路由功能是被禁止的,两个网络之间的通信通过应用层代
12、理服务来完成的。如果一旦黑客侵入堡垒主机并使其具有路由功能,那么防火墙将变得没用。,26,3.1 双宿/多宿主机模式,双宿/多宿主机模型的示意图,27,3.2 屏蔽主机模式,强迫所有的外部主机与堡垒主机相连接,而不让他们与内部主机直接连接。 通过一个过滤路由器,把所有外部到内部的连接都路由到了堡垒主机。 屏蔽路由器介于Internet和内部网之间,是防火墙的第一道防线。 安全等级比包过滤防火墙系统高,因为它实现了网络层安全(包过滤)和应用层安全(代理服务)。,28,屏蔽主机体系结构示意图,29,屏蔽主机型的典型构成,包过滤路由器堡垒主机。包过滤路由器配置在内部网和外部网之间,保证外部系统对内部
13、网络的操作只能经过堡垒主机。,30,屏蔽主机型的配置,屏蔽路由器可按如下方式进行配置: 允许内部主机为了某些服务请求与外部网上的主机建立直接连接(即允许那些经过过滤的服务) 不允许所有来自外部主机的直接连接 对于内部主机到外部的连接,可以采用不同的策略决定是否要经过堡垒主机,31,屏蔽主机型的优缺点,优点:安全性更高,双重保护 与双宿/多宿主机模式相比,安全性更高,双重保护:实现了网络层安全(包过滤)和应用层安全(代理服务)。 缺点:过滤路由器成了“单一失效点”。 如果路由器被损害,堡垒主机将被穿过,整个网络对攻击者是开放的。,32,3.3 屏蔽子网模式,屏蔽子网体系结构在本质上与屏蔽主机体系
14、结构一样,但添加了额外的一层保护体系周边网络。 堡垒主机位于周边网络上,周边网络和内部网络被内部路由器分开。 增加一个周边网络的原因:堡垒主机是用户网络上最容易受侵袭的机器。通过在周边网络上隔离堡垒主机,能减少堡垒主机被侵入的影响。 万一堡垒主机被入侵者控制,入侵者仍不能直接侵袭内部网络,内部网络仍受到屏蔽路由器的保护。,33,屏蔽子网型结构,34,主要构成,周边网络:位于内部网络与外部网络之间的子网,部署有堡垒主机和应用层网关。 堡垒主机:放置在周边网络上是整个防御体系的核心。在堡垒主机上可以允许各种各样的代理服务器。 内部路由器:保护内部网络。执行大部分的过滤工作。 外部路由器:保护内部网
15、络的第一道防线。,35,周边网络,周边网络的概念 是一个防护层,在其上可放置一些信息服务器,它们是牺牲主机,可能会受到攻击,因此又被称为非军事区(DMZ)。 周边网络的作用 即使堡垒主机被入侵者控制,它仍可消除对内部网的攻击。,36,堡垒主机,堡垒主机位于周边网络,是整个防御体系的核心。堡垒主机应该尽可能地简单。并做好随时做好堡垒主机受损、修复堡垒主机准备 堡垒主机可被认为是应用层网关,可以运行各种代理服务程序。 对于出站服务不一定要求所有的服务经过堡垒主机代理,但对于入站服务应要求所有服务都通过堡垒主机。,37,内部路由器(阻塞路由器),作用:位于内部网与周边网络之间,保护内部网络不受外部网
16、络和周边网络的侵害,它执行大部分过滤工作。 即使堡垒主机被攻占,也可以保护内部网络。 实际应用中,应按“最小特权原则”设计堡垒主机与内部网的通信策略。,38,外部路由器(访问路由器),作用:保护周边网络和内部网络不受外部网络的侵犯。 它把入站的数据包路由到堡垒主机。 防止部分IP欺骗,它可分辨出数据包是否真正来自周边网络,而内部路由器不可。,39,3.4 混合模式,主要是以上一些模式结构的混合使用: 将屏蔽子网结构中的内部路由器和外部路由器合并 合并屏蔽子网结构中堡垒主机与外部路由器 使用多台堡垒主机 使用多台外部路由器 使用多个周边网络,40,混合型防火墙,一个堡垒主机和一个非军事区示意图,41,混合型防火墙(续),两个堡垒主机和两个非军事区,42,4 基于防火墙的VPN技术,虚拟专用网(VPNVirtual Private Network) 虚拟专用网指的是依靠ISP(因特网服务提供商)和其他NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。 在虚拟专用网中,任意两个节点之间的连接并没有传统专网所
