《计算机信息安全课件(07081-7) 第8章 防火墙技术》由会员分享,可在线阅读,更多相关《计算机信息安全课件(07081-7) 第8章 防火墙技术(37页珍藏版)》请在金锄头文库上搜索。
1、第1页 共37页,第8章 防火墙技术,内容提要 防火墙的基本概念 防火墙的类型 防火墙的体系结构 防火墙的基本技术与附加功能 防火墙技术的几个新方向 常见的防火墙产品,第2页 共37页,8.1 防火墙的基本概念,定义 防火墙结构 防火墙应满足的条件 防火墙的功能 防火墙的不足之处,第3页 共37页,8.1.1 定义,概括地说,防火墙是位于两个(或多个)网络间实施网间访问控制的一组组件的集合。,第4页 共37页,8.1.2 防火墙结构,防火墙结构示意图,第5页 共37页,8.1.3 防火墙应满足的条件,作为网络间实施网间访问控制的一组组件的集合,防火墙应满足的基本条件如下: 内部网络和外部网络之
2、间的所有数据流必须经过防火墙。 只有符合安全策略的数据流才能通过防火墙。 防火墙自身具有高可靠性,应对渗透(Penetration)免疫。,第6页 共37页,8.1.4 防火墙的功能,隔离不同的网络,限制安全问题的扩散。防火墙作为一个中心“遏制点”,它将局域网的安全进行集中化管理,简化了安全管理的复杂程度。 防火墙可以很方便地记录网络上的各种非法活动,监视网络的安全性,遇到紧急情况报警。 防火墙可以作为部署NAT(Network Address Translation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题或者隐藏
3、内部网络的结构。 防火墙是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Internet连接的费用情况,查出潜在的带宽瓶颈位置,并能够依据本机构的核算模式提供部门级的计费。 防火墙也可以作为IPSec的平台。 防火墙可以连接到一个单独的网段上,从物理上和内部网段隔开,并在此部署WWW服务器和FTP服务器,将其作为向外部发布内部信息的地点。从技术角度来讲,就是所谓的停火协议区(DMZ)。,第7页 共37页,8.1.5 防火墙的不足之处,尽管目前的防火墙一般都具有非常丰富的功能,但仍有很多方面需要改进和完善。防火墙的不足之处主要有: 网络上有些攻击可以绕过防火墙
4、,而防火墙却不能对绕过它的攻击提供阻挡。 防火墙管理控制的是内部与外部网络之间的数据流,它不能防范来自内部网络的攻击。 防火墙不能对被病毒感染的程序和文件的传输提供保护。 防火墙不能防范全新的网络威胁。 当使用端到端的加密时,防火墙的作用会受到很大的限制。 防火墙对用户不完全透明,可能带来传输延迟、瓶颈以及单点失效等问题。,第8页 共37页,8.2 防火墙的类型,类型 分组过滤路由器 应用级网关 电路级网关,第9页 共37页,8.2.1 类型,随着Internet和Intranet的发展,防火墙的技术也在不断发展,其分类和功能不断细化,但总的来说,可以分为三类: 分组过滤路由器。 应用级网关。
5、 电路级网关。,第10页 共37页,8.2.2 分组过滤路由器,分组过滤路由器也称包过滤防火墙,又称网络级防火墙,因为它工作在网络层。 它一般是通过检查单个包的地址、协议、端口等信息来决定是否允许此数据包通过,有静态和动态两种过滤方式。路由器就是一个网络级防火墙。 这种防火墙可以提供内部信息来说明所通过的连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定义了各种规则来表明是否同意或拒绝包的通过,包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则相符,防火墙就会使用默认规则。一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于TCP或UDP数
6、据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet、FTP连接。 网络级防火墙的优点是简洁、速度快、费用低,并且对用户透明,但它也有不少的缺点,如定义复杂,容易出现因配置不当而带来问题;它只检查地址和端口,允许数据包直接通过,容易造成数据驱动式攻击的潜在危险;不能理解特定服务的上下文环境,相应控制只能在高层由代理服务和应用层网关来完成。,第11页 共37页,8.2.3 应用级网关,应用级网关主要工作在应用层。应用级网关往往又称为应用级防火墙。 应用级网关检查进出的数据包,通过自身(网关)复制传递数据,防止在受信主机与非受信主机间直接建立联系。应用级网关能够理解应用层上的协议,能
7、够做复杂一些的访问控制,并做精细的注册和审核。其基本工作过程是:当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到内部网络。 应用级网关有较好的访问控制能力,是目前最安全的防火墙技术。但实现麻烦,而且有的应用级网关缺乏“透明度”。在实际使用中,用户在受信网络上通过防火墙访问Internet时,经常会出现延迟和多次登录才能访问外部网络的问题。此外,应用级网关每一种协议需要相应的代理软件,使用时工作量大,效率明显不如网络级防火墙。
8、,第12页 共37页,8.2.4 电路级网关,电路级网关是防火墙的第三种类型,它不允许端到端的TCP连接,相反,网关建立了两个TCP连接,一个是在网关本身和内部主机上的一个TCP用户之间;另一个是在网关和外部主机上的一个TCP用户之间。一旦两个连接建立了起来,网关典型地从一个连接向另一个连接转发TCP报文段,而不检查其内容。安全功能体现在决定哪些连接是允许的。电路级网关的典型应用场合是系统管理员信任内部用户的情况。网关可以配置成在进入连接上支持应用级或代理服务,为输出连接支持电路级功能。在这种配置中,网关可能为了禁止功能而导致检查进入的应用数据的处理开支,但不会导致输出数据上的处理开支。,第1
9、3页 共37页,8.3 防火墙的体系结构,双宿/多宿主机(Dual-homed/Multi-homed)模式。 屏蔽主机(Screened Host)模式。 屏蔽子网(Screened Subnet)模式。,第14页 共37页,8.3.1 双宿/多宿主机模式,双宿主主机模式,第15页 共37页,8.3.2 屏蔽主机模式,屏蔽主机模式,第16页 共37页,8.3.3 屏蔽子网模式,屏蔽子网模式,第17页 共37页,8.4 防火墙的基本技术与附加功能,基本技术 附加功能,第18页 共37页,8.4.1 基本技术,包过滤技术 代理服务技术,第19页 共37页,包过滤技术,包过滤技术的原理在于监视并过
10、滤网络上流入流出的包,拒绝发送那些可疑的包。由于包过滤技术无法有效地区分同一地址的不同用户(如在网络地址转换环境中),它的安全性相对较差。包过滤技术又分为两种,简单包过滤(Packets Filter)技术(又称静态包过滤技术)和状态检测(Sateful Inspect)技术(又称动态包过滤技术)。,第20页 共37页,代理服务技术,代理服务技术的原理是在应用网关上运行代理程序,一方面代替服务器与客户程序建立连接;另一方面代替客户程序与服务器建立连接,使得用户可以通过应用网关安全使用Internet服务,而对于非法用户的请求将不予理睬。 代理服务技术是由一个高层的应用网关作为代理服务器,接受外
11、来的应用连接请求,进行安全检查后,再与被保护的网络应用服务器连接,使得外部服务用户可以在受控制的前提下使用内部网络的服务。同样,内部网络到外部的服务连接也可以受到监控。应用网关的代理服务实体将对所有通过它的连接做出日志记录,以便对安全漏洞进行检查并收集相关的信息。代理服务技术的特点是网关理解应用协议,可疑实施更细粒度的访问控制;对每一类应用都需要一个专门的代理;灵活性不够;隐藏信息,例如内部受保护子网的主机名称等信息可以不必为外部所知。,第21页 共37页,8.4.2 附加功能,多级的过滤技术 审计和报警机制 网络地址转换NAT(Network Address Translation) 虚拟专
12、用网(VPN) Internet网关技术 安全服务器网络(SSN) 用户鉴别与加密,第22页 共37页,多级的过滤技术,防火墙采用了分组过滤、应用网关和电路网关的三级过滤措施。在分组过滤一级,能过滤掉所有非法的源路由(Source Router)分组和IP源地址;在应用网关一级,能利用FTP、SMTP等各种网关,控制和检测Internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务进行严格的控制。,第23页 共37页,审计和报警机制,防火墙的审计和报警机制在防火墙体系中是最重要的。只有有了审计和报警,管理人员才可能知道网络是否受到了攻击。审计是一种重要的安全措
13、施,用以监控通信行为和完善安全策略,检查安全漏洞和错误配置,并对入侵者起到一定的威慑作用。报警机制是在通信违反相关策略以后,以多种方式如声音、邮件、电话、手机短信息等形式及时报告给管理人员。在防火墙结合网络配置和安全策略对相关数据分析完成以后,就要做出接受、拒绝、丢弃或加密等决定。如果某个访问违反安全规定,审计和报警机制开始起作用,并做记录、报告等。,第24页 共37页,网络地址转换NAT(Network Address Translation),地址与外网的IP地址相互转换,它的目的一个是可以解决IP地址相互转换;另一个是解决IP地址空间不足的问题,使用NAT以后,可以使用很少的外部实地址,
14、而内部可以采用大量的虚地址(如10.X.X.X),从而减缓了IP地址紧张;另外,它也向外界隐藏内部结构,使外部无法获知内部的网络结构,从而提高了安全性。,第25页 共37页,虚拟专用网(VPN),VPN是指在公共网络中建立专用网络,数据通过安全的“加密通道”在公共网络中传播。VPN的基本原理是通过对IP包的封装及加密、认证等手段,从而达到保证安全的目的。它往往是在防火墙上附加一个加密模块来实现。,第26页 共37页,Internet网关技术,由于防火墙直接串接在网络之中,因此,它必须支持用户在Internet上的所有服务,同时还要防止与Internet服务有关的安全漏洞,故它要以多种安全的应用
15、服务器(包括FTP、News、WWW等)来实现网关功能。,第27页 共37页,安全服务器网络(SSN),为适应越来越多的用户向Internet上提供服务时对服务器保护的需要,防火墙采用分别保护的策略保护对外服务器。它利用一张网卡将对外服务器作为一个独立网关完全隔离,这就是安全服务网络(SSN)技术。对SSN上的主机既可以单独管理,也可以设置成通过FTP、Telnet等方式从内部网上管理。SSN与外部网之间有防火墙保护,SSN与内部网间也有防火墙保护,一旦SSN受破坏,内部网络仍会处于防火墙的保护之下。,第28页 共37页,用户鉴别与加密,为了降低在Telnet、FTP等服务和远程管理上的风险,
16、防火墙采用一次性使用的口令字系统作为用户的鉴别手段,并实现了对邮件的加密。 此外,防火墙的一些附加功能还有路由安全管理、远程管理、流量控制(带宽管理)和统计分析、流量计费、URL级信息过滤和扫毒等。,第29页 共37页,8.5 防火墙技术的几个新方向,透明接入技术 分布式防火墙技术 以防火墙为核心的网络安全体系,第30页 共37页,8.5.1 透明接入技术,一般来说,不透明的堡垒主机的接入需要修改网络拓扑结构,内部子网用户要更改网关,路由器要更改路由配置等。而且路由器和子网用户都需要知道堡垒主机的IP,一旦整个子网的IP地址改动了,针对堡垒主机的相关改动则非常麻烦。而透明接入技术的实现完全克服了以上的种种缺陷,同时,具有透明代理功能的堡垒主机对路由器和子网用户而言是完全透明的,也就是说,它们根本感觉不到防火墙的存在,犹如网桥一样。一种典型的透明接入关键技术包括ARP代理和路由转发。,第31页 共37页,8.5.2 分布式防火墙技术,边界防火墙的缺陷 分布式防火墙的产生及其优势,第32页 共37页,边界防火墙的缺陷,结构性限制 内部威胁 效率和故障,第33页 共37页,分布式防火墙的产生
