《信息安全技术 教学课件 ppt 作者 周苏 黄林国 王文编著 课程04 防火墙与网络隔离技术》由会员分享,可在线阅读,更多相关《信息安全技术 教学课件 ppt 作者 周苏 黄林国 王文编著 课程04 防火墙与网络隔离技术(99页珍藏版)》请在金锄头文库上搜索。
1、第四章 防火墙与网络隔离技术,周苏 教授 Z QQ: 81505050 http:/ 防火墙与网络隔离技术,传统情况下,当构筑和使用木结构房屋的时候,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物被称为防火墙。如今,人们借助这个概念,使用“防火墙”来保护敏感的数据不被窃取和篡改,不过,这些防火墙是由先进的计算机系统构成的。防火墙尤如一道护栏隔在被保护的内部网与不安全的非信任网络之间,用来保护计算机网络免受非授权人员的骚扰与黑客的入侵。,第4章 防火墙与网络隔离技术,4.1 防火墙技术及Windows防火墙配置 4.2 网络隔离技术与网闸应用,4.1 防火墙技术及
2、Windows防火墙配置,防火墙可以是非常简单的过滤器,也可能是精心配置的网关,但它们的原理是一样的,都是监测并过滤所有内部网和外部网之间的信息交换。防火墙通常是运行在一台单独计算机之上的一个特别的服务软件,它可以识别并屏蔽非法的请求,保护内部网络敏感的数据不被偷窃和破坏,并记录内外通讯的有关状态信息日志,如通讯发生的时间和进行的操作等。,4.1 防火墙技术及Windows防火墙配置,防火墙技术是一种有效的网络安全机制,它主要用于确定哪些内部服务允许外部访问,以及允许哪些外部服务访问内部服务。其基本准则就是:一切未被允许的就是禁止的;一切未被禁止的就是允许的。,4.1.1 防火墙技术,防火墙是
3、建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,并越来越多地应用于专用与公用网络的互联环境之中。,4.1.1 防火墙技术,1. 防火墙的作用 防火墙应该是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全策略控制 (允许、拒绝、监测) 出入网络的信息流,且本身具有较强的抗攻击能力,是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它有效地监控着内部网和因特网之间的任何活动,保证了内部网络的安全。如图4.1所示。,图4.1 防火墙示意图,4.1.1 防火墙技术,(1) 防火墙是网络安全的屏障。由于只有经过精心选择的应用
4、协议才能通过防火墙,所以防火墙 (作为阻塞点、控制点) 能极大地提高内部网络的安全性,并通过过滤不安全的服务而降低风险,使网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径等。,4.1.1 防火墙技术,(2) 防火墙可以强化网络安全策略。通过以防火墙为中心的安全方案配置,能将所有安全软件 (如口令、加密、身份认证、审计等) 配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统(即每一次加密都使用一个不同的密钥)和其他的身份认证系统完全可以集中于防火墙一身。,4.1.
5、1 防火墙技术,(3) 对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。,4.1.1 防火墙技术,另外,收集一个网络的使用和误用情况也是非常重要的,这样可以清楚防火墙是否能够抵挡攻击者的探测和攻击,清楚防火墙的控制是否充分。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。,4.1.1 防火墙技术,(4) 防止内部信息的外泄。通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制局部重点或敏感网络安
6、全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴露了内部网络的某些安全漏洞。,4.1.1 防火墙技术,使用防火墙就可以隐蔽那些透漏内部细节的例如Finger (用来查询使用者的资料) ,DNS (域名系统) 等服务。Finger显示了主机的所有用户的注册名、真名、最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。,4.1.1 防火墙技术,攻击者可以由此而知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙
7、可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。除了安全作用,防火墙还支持具有因特网服务特性的企业内部网络技术体系VPN (虚拟专用网络) 。,4.1.1 防火墙技术,2. 防火墙的种类 根据防范的方式和侧重点的不同,防火墙技术可分成很多类型,但总体来讲还是两大类:分组过滤和应用代理。,4.1.1 防火墙技术,(1) 包过滤或分组过滤技术 (Packet filtering) 。作用于网络层和传输层,通常安装在路由器上,对数据进行选择,它根据分组包头源地址,目的地址和端口号、协议类型 (TCP/UDP/ICMP/IP tunnel) 等标志,确定是否允许
8、数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。,4.1.1 防火墙技术,(2) 代理服务技术。也叫应用代理 (Application Proxy) 和应用网关 (Application Gateway) ,它作用在应用层,其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。与包过滤防火墙不同之处在于内部网和外部网之间不存在直接连接,同时提供审计和日志服务。实际中的应用网关通常由专用工作站实现。如图4.2所示。,图4.2 应用代理型防火墙,4.1.1 防火墙技术,应用代理型防火墙是内部网与外部
9、网的隔离点,工作在OSI模型的最高层,掌握着应用系统中可用作安全决策的全部信息,起着监视和隔绝应用层通信流的作用。同时也常结合过滤器的功能。,4.1.1 防火墙技术,(3) 复合型技术。针对更高安全性的要求,常把基于包过滤的方法与基于应用代理的方法结合起来,形成复合型防火墙产品。所用主机称为堡垒主机,负责提供代理服务。这种结合通常有屏蔽主机和屏蔽子网这两种防火墙体系结构方案。,4.1.1 防火墙技术,在屏蔽主机防火墙体系结构中 (图4.3) ,包过滤路由器或防火墙与因特网相连,同时一个堡垒主机安装在内部网络,通过在包过滤路由器或防火墙上过滤规则的设置,使堡垒主机成为因特网上其他节点所能到达的唯
10、一节点,确保内部网络不受未授权外部用户的攻击。,图4.3 屏蔽主机防火墙,4.1.1 防火墙技术,在屏蔽子网防火墙体系结构中 (图4.4) ,堡垒主机放在一个子网 (非军事区,DMZ) 内,两个包过滤路由器放在这一子网的两端,使这一子网与因特网及内部网分离,堡垒主机和包过滤路由器共同构成了整个防火墙的安全基础。,图4.4 屏蔽子网防火墙,4.1.1 防火墙技术,(4) 审计技术。通过对网络上发生的各种访问过程进行记录和产生日志,并对日志进行统计分析,从而对资源使用情况进行分析,对异常现象进行追踪监视。,4.1.1 防火墙技术,3. 防火墙操作系统 防火墙应该建立在安全的操作系统之上,而安全的操
11、作系统来自对专用操作系统的安全加固和改造。从现有的诸多产品看,对安全操作系统内核的固化与改造主要从以下几方面进行: 1) 取消危险的系统调用。 2) 限制命令的执行权限。,4.1.1 防火墙技术,3) 取消IP的转发功能。 4) 检查每个分组的接口。 5) 采用随机连接序号。 6) 驻留分组过滤模块。 7) 取消动态路由功能。 8) 采用多个安全内核等。,4.1.1 防火墙技术,作为一种安全防护设备,防火墙在网络中自然是众多攻击者的目标,故抗攻击能力也是防火墙的必备功能。,4.1.1 防火墙技术,防火墙也有局限性,存在着一些防火墙不能防范的安全威胁,如防火墙不能防范不经过防火墙的攻击 (例如,
12、如果允许从受保护的网络内部向外拨号,一些用户就可能形成与因特网的直接连接) 。另外,防火墙很难防范来自于网络内部的攻击以及病毒的威胁等。,4.1.2 防火墙的功能指标,防火墙的功能指标主要包括: 1) 产品类型。从产品和技术发展来看,防火墙分为基于路由器的包过滤防火墙、基于通用操作系统的防火墙和基于专用安全操作系统的防火墙。 2) 局域网 (LAN) 接口。指防火墙所能保护的网络类型,如以太网、快速以太网、千兆以太网、ATM、令牌环及FDDI等。,4.1.2 防火墙的功能指标,支持的最大LAN接口数:指防火墙所支持的局域网络接口数目,也是其能够保护的不同内网数目。 服务器平台:防火墙所运行的操
13、作系统平台 (如 Linux、UNIX、Windows 2000/XP、专用安全操作系统等) 。 3) 协议支持。除支持IP协议之外,又支持AppleTalk、DECnet、IPX及NETBEUI等非IP协议。此外还有建立VPN通道的协议、可以在VPN中使用的协议等。,4.1.2 防火墙的功能指标,4) 加密支持。VPN中支持的加密算法,例如数据加密标准DES、3DES、RC4以及国内专用的加密算法等。此外还有加密的其他用途,如身份认证、报文完整性认证,密钥分配等,以及是否提供硬件加密方法等。,4.1.2 防火墙的功能指标,5) 认证支持。指防火墙支持的身份认证协议,以及是否支持数字证书等。一
14、般情况下具有一个或多个认证方案,如RADIUS、Kerberos、TACACS/TACACS+、口令方式、数字证书等。防火墙能够为本地或远程用户提供经过认证与授权的对网络资源的访问,防火墙管理员必须决定客户以何种方式通过认证。,4.1.2 防火墙的功能指标,6) 访问控制。包过滤防火墙的过滤规则集由若干条规则组成,它应涵盖对所有出入防火墙的数据包的处理方法,对于没有明确定义的数据包,应该有一个缺省处理方法;过滤规则应易于理解,易于编辑修改;同时应具备一致性检测机制,防止冲突。,4.1.2 防火墙的功能指标,应考虑防火墙是否支持应用层代理,如HTTP、FTP、TELNET、SNMP等;是否支持传
15、输层代理服务;是否支持FTP文件类型过滤,允许FTP命令防止某些类型文件通过防火墙;用户操作的代理类型,如HTTP、POP3;支持网络地址转换 (NAT) ;是否支持硬件口令、智能卡等。,4.1.2 防火墙的功能指标,7) 防御功能。是否支持防病毒功能,是否支持信息内容过滤,能防御的DoS攻击类型;以及阻止ActiveX、Java、Cookies、Javascript侵入等。 8) 安全特性。是否支持ICMP (网间控制报文协议) 代理,提供实时入侵告警功能,提供实时入侵响应功能,识别/记录/防止企图进行IP地址欺骗等。,4.1.2 防火墙的功能指标,9) 管理功能。通过集成策略集中管理多个防
16、火墙。防火墙管理是指对防火墙具有管理权限的管理员行为和防火墙运行状态的管理,管理员的行为主要包括:通过防火墙的身份鉴别,编写防火墙的安全规则,配置防火墙的安全参数,查看防火墙的日志等。防火墙的管理一般分为本地管理、远程管理和集中管理等。,4.1.2 防火墙的功能指标,10) 记录和报表功能。防火墙规定了对于符合条件的报文做日志,应该提供日志信息管理和存储方法。应考虑防火墙是否具有日志的自动分析和扫描功能,这可以获得更详细的统计结果,达到事后分析、亡羊补牢的目的。 国内有关部门的许可证类别及号码是防火墙合格与销售的关键要素之一,其中包括:公安部的销售许可证、国家信息安全测评中心的认证证书、总参的国防通信入网证和国家保密局的推荐证明等。,4.1.3 防火墙技术的发展,目前对防火墙的发展普遍存在着两种观点,即所谓的胖、瘦防火墙之争。一种观点认为,要采取分工协作,防火墙应该做得精瘦,只做防火墙的专职工作,可采取多家安全厂商联盟的方式来解决;另一种观点认为,应该把防火墙做得尽量的胖,把所有安全功
