《计算机网络安全管理 教学课件 PPT 作者 王群 第5章》由会员分享,可在线阅读,更多相关《计算机网络安全管理 教学课件 PPT 作者 王群 第5章(102页珍藏版)》请在金锄头文库上搜索。
1、第5章 防火墙技术及应用,网络防火墙(简称为“防火墙”)是计算机网络安全管理中应用最早和技术发展最快的安全产品之一。防火墙在加入网络后将形成一个安全节点,该节点同时具有阻塞和控制功能:用于阻塞进入该节点的未被允许的流量,通过控制功能决定哪些信息可以通过该节点,而哪些信息拒绝通过该节点。)防火墙能够极大地提高被保护网络的安全性,并通过过滤不安全的服务而降低风险。本章首先介绍防火墙的相关概念,分析传统企业防火墙的工作原理和应用特点,并对个人防火墙和分布式防火墙的技术特点及应用功能进行了较为全面的介绍。在此基础,以瑞星防火墙和Windows防火墙的配置和应用为例,使读者对防火墙的使用方法有一个整体的
2、认识。,5.1 防火墙技术概述,防火墙的产生动因之一是防范非法用户的入侵,为主机或局域网提供安全防护。目前,防火墙已成为大多数机构构建可信赖安全网络的主要支柱。,5.1.1 防火墙的概念,防火墙是指设置在不同网络(如可信赖的企业内部局域网和不可信赖的公共网络)之间或网络安全域之间的一系列部件的组合,通过监测、限制、更改进入不同网络或不同安全域的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以防止发生不可预测的、潜在破坏性的入侵,实现网络的安全保护。 防火墙本身应具有较强的抗攻击能力,能够提供信息安全服务。防火墙是实现网络和信息安全的基础设施,一个高效可靠的防火墙应用具备以下的基本特
3、性: 防火墙是不同网络之间,或网络的不同安全域之间的唯一出入口,从里到外和从外到里的所有信息都必须通过防火墙; 通过安全策略来控制不同网络或网络不同安全域之间的通信,只有本地安全策略授权的通信才允许通过; 防火墙本身是免疫的,即防火墙本身具有较强的抗攻击能力。,5.1.2 防火墙的基本功能,防火墙技术随着计算机网络技术的发展而不断向前发展,其功能也越来越完善。一台高效可靠的防火墙应具有以下的基本功能。 1监控并限制访问 针对网络入侵的不安全因素,防火墙通过采取控制进出内、外网络数据包的方法,实时监控网络上数据包的状态,并对这些状态加以分析和处理,及时发现存在的异常行为;同时,根据不同情况采取相
4、应的防范措施,从而提高系统的抗攻击能力。,2 控制协议和服务 针对网络自身存在的不安全因素,防火墙对相关协议和服务进行控制,使得只有授权的协议和服务才可以通过防火墙,从而大大降低了因某种服务、协议的漏洞而引起安全事故的可能性。例如,当允许外部网络用户匿名访问内部DNS服务器时,就需要在防火墙上对访问协议和服务进行限制,只允许http协议利用TCP 80端口进入网络,而其他协议和端口将被拒绝。防火墙可以根据用户的需要在向外部用户开放某些服务(如WWW、FTP等)的同时,禁止外部用户对受保护的内部网络资源进行访问。 3保护内部网络 针对应用软件及操作系统的漏洞或“后门”,防火墙采用了与受保护网络的
5、操作系统、应用软件无关的体系结构,其自身建立在安全操作系统之上;同时,针对受保护的内部网络,防火墙能够及时发现系统中存在的漏洞,对访问进行限制;防火墙还可以屏蔽受保护网络的相关信息。,4网络地址转换(NAT) 网络地址转换(Network Address Translation,NAT)是指在局域网内部使用私有IP地址,而当内部用户要与外部网络(如Internet)进行通信时,就在网络出口处将私有IP地址替换成公用IP地址。 NAT具有以下的主要功能: 一是缓解目前IP地址(主要是IPv4)紧缺的局面。 二是屏蔽内部网络的结构和信息。 三是保证内部网络的稳定性。 目前,NAT主要通过防火墙和路
6、由器来实现。,5 虚拟专用网(VPN) 虚拟专用网(Virtual Private Network,VPN)是在公用网络中建立的专用数据通信网络。在虚拟专用网中,任意两个节点之间(如局域网与局域网之间、主机与主机之间、主机与局域网之间)的连接并没有传统专用网络所需的端到端的物理链路,而是利用已有的公用网络资源(如Internet、ATM、帧中继等)建立的逻辑网络,节点之间的数据在逻辑链路中传输。虚拟专用网中的“虚拟”是指用户不需要拥有实际的长途数据线路,而是使用Internet等公用数据网络的长途数据线路;“专用网”是指用户可以为自己制定一个符合自己需求的网络。目前VPN在网络中得到了广泛应用
7、,作为网络特殊位置的防火墙应具有VPN的功能,以简化网络配置和管理。,6 日志记录与审计 当防火墙系统被配置为所有内部网络与外部网络(如Internet)连接均需经过的安全节点时,防火墙会对所有的网络请求做出日志记录。日志是对一些可能的攻击行为进行分析和防范的十分重要的情报信息。另外,防火墙也能够对正常的网络使用情况做出统计。这样网络管理人员通过对统计结果的分析,就能够掌握网络的运行状态,进而更加有效地管理整个网络。,所有的防火墙功能的实现都依赖于对通过防火墙的数据包的相关信息进行检查,而且检查的项目越多、层次越深,则防火墙越安全。由于现在计算机网络结构采用自顶向下的分层模型,而分层的主要依据
8、是各层的功能划分,不同层次功能的实现又是通过相关的协议来实现的。所以,防火墙检查的重点是网络协议及采用相关协议封装的数据。 对于一台防火墙来说,如果我们知道了其运行在OSI参考模型的哪一层,我们就可以知道它的体系结构是什么,主要的功能是什么。例如,当防火墙主要工作在OSI参考模型的网络层时,由于网络层的数据是IP分组,所以防火墙主要针对IP分组进行安全检查,这时读者需要结合IP分组的结构(如源IP地址、目的IP地址等)来掌握防火墙的功能,进而有针对性地在网络中部署防火墙产品。再如,当防火墙主要工作在应用层时,读者就需要根据应用层的不同协议(如http、DNS、SMTP、FTP、Telnet等)
9、来了解防火墙的主要功能。,5.1.3 防火墙的基本原理,一般来说,防火墙在OSI参考模型中的位置越高,防火墙需要检查的内容就越多,对CPU和内存的要求就越高,也就越安全。但是,防火墙的安全不是绝对的,它寻求一种在可信赖和性能之间的平衡。在防火墙的体系结构中,在CPU和内存等硬件配置基本相同的情况下,高安全性的防火墙的效率和速率较低,而高速度和高效率的防火墙其安全性则较差。为此,对于防火墙的应用业界的共识是:性能和安全之间是成反比的。近年来,随着计算机性能的上升以及操作系统对对称多处理器(SMP)系统及多核CPU的支持,防火墙的处理能力得到了加强,防火墙对数据包的处理速度和效率得到了提升,防火墙
10、在OSI参考模型中的不同工作位置对其速度和效率的影响逐渐缩小。,5.1.4 软件防火墙与硬件防火墙的比较,从传统概念上讲,防火墙分为软件防火墙和硬件防火墙。其中,防火墙软件(不管是硬件防火墙还是软件防火墙,防火墙都必须要有软件的支撑)进入系统的层次越浅,对底层操作系统的安全依赖性就越小。 软件防火墙的最大特点是基于操作系统。软件防火墙能能够对访问一个软件的过程进行安全控制。硬件防火墙采用专用的操作系统平台,甚至将操作系统固化在芯片中,从整体来看,是一个硬件设备。 软件防火墙由于技术的因素,有几个致命的弱点: (1) 软件防火墙使用的多样性是一个严重缺点,因为操作系统本身的缺陷可能成为软件防火墙
11、致命的弱点,而硬件防火墙的安全性则相对较高。 (2) 从速度上看,硬件防火墙的速度优势是明显的。软件防火墙由于操作系统的限制,很容易成为网络的瓶颈,硬件防火墙则较好地消除了这个缺陷。 (3) 软件防火墙的安装、配置过程较为复杂,不便于使用,尤其不便于一般用户使用。 由于上述因素,目前软件防火墙的应用越来越少,更多的是硬件防火墙,5.1.5 硬件防火墙的实现技术,防火墙的硬件实现技术主要有三种:Intel X86架构、ASIC硬件加速技术和NP加速技术。 1Intel X86架构 Intel X86架构以其高灵活性和扩展性在百兆防火墙上获得过巨大的成功,百兆级的处理能力正好在这种架构的范围里,因
12、此,百兆级防火墙采用此种结构的厂家较多,性价比也最好。 然而对于千兆网来说,X86架构的CPU由于考虑了各种应用的需要,具有一般化的通用 体系结构和指令集,以支持复杂的运算并容易开发新的功能,其处理速度相对较慢,可扩展性较差,很难满足千兆网络对于高线速的需求。,2 ASIC架构 ASIC(Application Specific Integrated Circuit,专用集成电路)是为某一类设备专门开发的芯片级集成电路。ASIC通过把指令或计算逻辑固化到硬件中,可以获得很高的处理能力。采用ASIC技术可以为防火墙应用设计专门的数据包处理流水线,优化存储器等资源的利用,是公认的使防火墙达到线速千
13、兆,满足千兆环境骨干级应用的技术方案。ASIC架构具有以下的缺点: ASIC将指令或计算逻辑固化到了硬件中,缺乏灵活性,也不便于修改和升级。 深层次(如传输层)包分析增加了ASIC的复杂度,不能满足千兆防火墙产品对网络协议进行27层处理的需求。 ASIC的开发周期长,典型设计周期18个月。 ASIC设计费用昂贵且风险较大。 业界著名的Netscreen防火墙就是采用该技术的代表厂家。,3 NP(网络处理器) NP(Network Processor)是专门为进行网络分组处理而开发的,具有优化的体系结构和指令集。它的特点是内含了多个数据处理引擎,这些引擎可以并发进行数据处理工作,在处理24层的分
14、组数据上比通用处理器具有明显的优势。网络处理器对数据包处理的一般性任务进行了优化,如TCP/IP数据的校验和计算、包分类、路由查找等。所以,NP比X86 CPU具备更高的处理性能。而且,NP有专门的指令集和配套的软件开发系统,具有很强的编程能力,能够方便地开发各种应用,支持可扩展的服务,因而NP比ASIC更具灵活性。 由于NP要依赖软件环境,所以在性能方面NP不如ASIC。NP开发的难度和灵活性都介于ASIC和Intel X86构架之间。应该说,NP是Intel X86架构和ASIC之间的一个折衷。目前NP的主要提供商是Intel和Motorola,国内基于NP技术开发千兆防火墙的厂商也较多,
15、联想、紫光比威等都有相关产品推出。,同时硬件体系结构的设计也大多采用高速的接口技术和总线规范,具有较高的I/O能力。这样基于网络处理器的网络设备的包处理能力得到了很大的提升。NP具有以下几个方面的特性: 完全的可编程性 简单的编程模式 最大化系统灵活性 高处理能力 高度功能集成 开放的编程接口 第三方支持能力。,5.2 防火墙的应用,在计算机网络管理中防火墙是一种非常有效的安全解决方案,它可以为用户提供一个相对安全的网络环境。但是,并不是说防火墙在安全管理中是万能的,采用了防火墙的网络同样存在一些安全漏洞和隐患。,5.2.1 防火墙在网络中的位置,防火墙多应用于一个局域网的出口处(如图5-1(
16、a)所示)或置于两个网络中间(如图5-1(b)所示)。对于绝大多数局域网来说,在将局域网接入Internet时,在路由器与局域网中心交换机之间一般都要配置一台防火墙,以实现对局域网内部资源的安全保护。,根据应用的不同,防火墙一般可以分为路由模式防火墙和透明模式防火墙两类。其中,路由模式防火墙可以让处于不同网段的计算机通过路由转发的方式互相通信(如图5-1(b)所示),路由模式防火墙存在以下两个局限: 防火墙各端口所连接的网络必须位于不同的网段,否则两个网络之间将无法进行通信; 与防火墙直接连接的设备(计算机、路由器或交换机)的网关都要指向防火墙。 简单讲,路由模式防火墙是让防火墙同时承担路由器的功能,而路由器主要用于连接不同的网络。 将路由模式防火墙也称为“不透明”的防火墙。而透明模式防火墙克服了路由模式防火墙的不足,可以连接两个位于同一逻辑网段的物理子网,将其加入一个已有的网络时可以不用修改边缘网络设备的设置。透明模式防火墙的应用如图5-1(a)所示。 为了适应不同网络的应用需要,目前市面上的
