《网络安全技术 第2版 教学课件 ppt 作者 陈卓 第6章》由会员分享,可在线阅读,更多相关《网络安全技术 第2版 教学课件 ppt 作者 陈卓 第6章(54页珍藏版)》请在金锄头文库上搜索。
1、网络安全技术第2版,第6章 防火墙技术,6.1 防火墙的概念 6.2 防火墙的技术类型 6.3 防火墙的分类 6.4 防火墙的体系结构 6.5 防火墙的功能与缺陷 6.6 硬件防火墙 6.7 防火墙的应用,本章教学要求,主要内容,网络安全技术第2版,6.1 什么是防火墙,网络安全技术第2版,6.1 什么是防火墙,防火墙指两个(或多个)网络域(通常是指信任网络域和非信任网络域)之间一系列部件的组合,它是一个或一组实施访问控制策略的系统,在内部网络与外部网络之间形成一道安全保护屏障,能根据访问控制策略对出入网络的信息流进行安全控制。防火墙可以有不同的结构和规模,既可以是一台路由器、一台主机,也可以
2、是由多台主机构成的体系,此外防火墙还可以由软件组建。,网络安全技术第2版,6.1 什么是防火墙,防火墙示意图,网络安全技术第2版,6.1 什么是防火墙,防火墙是一个分离器分割了信任域与非信任域,是一个限制器限制了非信任域对信任域的访问,也是一个分析器分析那些访问是安全的,哪些访问是不安全的。它有效地监控了内部网和Internet之间的任何活动,较好地保障了内部网络的安全,并且不妨碍内网用户对风险区域的访问,网络安全技术第2版,6.2 防火墙的技术类型,网络安全技术第2版,6.2 防火墙的技术类型,包过滤(Packet filtering)技术 “包过滤”是防火墙技术中最早也是最常用的一种技术,
3、它与网络协议紧密相关。通过检查数据包中第三层及第四层相关信息实现对包的放行或拦截。 包过滤技术一般又分为静态包过滤和动态包过滤(状态包过滤)两种。,网络安全技术第2版,6.2 防火墙的技术类型,静态包过滤型防火墙 依据系统事先设定好的过滤规则集检查数据流中的每个数据包的包头信息,如数据包的源或目标IP地址、封装协议、TCPUDP目标端口等,在规则集中定义了各种规则来表明是否同意或拒绝包的通过,包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包。,网络安全技术第2版,6.2 防火墙的技术类型,举例,
4、以上规则说明 1)来自某个特别站点(192.0.0.1 )的数据包必须被阻断,这是因为它是一个不安全的站点。 2)允许入站邮件( S M T P,端口2 5 ),可以到达的IP是112.2.2.1。 3)禁止内部网络的某台计算机(IP为112.2.2.2)向互联网中的某台计算机(IP为12.1.1.119)发送数据,网络安全技术第2版,6.2 防火墙的技术类型,动态包过滤类型防火墙 动态包过滤(Dynamic Packet Filter)是在传统静态包过滤技术基础之上发展起来的一项过滤技术,动态包过滤在静态包过滤技术的基础上采用基于上下文的动态包过滤模块的检查,增强了安全性。 与传统静态包过滤
5、技术只检查单个、孤立的数据包不同,动态包过滤试图将数据包的上下文联系起来,建立一种基于状态的包过滤机制。对于新建的应用连接,防火墙检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,这些相关信息构成一个状态表。这样,当一个新的数据包到达,如果属于已经建立的连接,则检查状态表,参考数据流上下文决定当前数据包通过与否;如果是新建连接,则检查静态规则表。,网络安全技术第2版,6.2 防火墙的技术类型,动态包过滤技术克服了传统包过滤仅仅孤立的检查单个数据包和安全规则静态不可变的缺陷,使得防火墙的安全控制力度更为细致,网络安全技术第2版,6.2 防火墙的技术类型,包过滤技术
6、的优缺点 优点 简单,较强的透明性(对客户端) 过滤路由器速度快,效率高。 缺点: 配置基于包过滤方式的防火墙,需要对IP、TCP、UDP、ICMP等各种协议有深入的了解,否则容易出现因配置不当带来的问题; 过滤判别的只有网络层和传输层的有限信息,因而各种安全要求不能得到充分满足; 由于数据包的地址及端口号都在数据包的头部,不能彻底防止地址欺骗; 允许外部客户和内部主机的直接连接; 不提供用户的鉴别机制。,网络安全技术第2版,6.2 防火墙的技术类型,应用代理技术 应用代理型防火墙工作在应用层,它的功能就是代理网络用户去取得网络信息,又被称为代理服务器(Proxy Server),形象的说它是
7、网络信息的中转站。在一般情况下,我们使用网络浏览器直接去连接Internet站点取得网络信息时,是直接连到目的站点服务器,然后由目的站点服务器把信息传送回来。而代理服务器是介于浏览器和Web服务器之间的另一台服务器,有了它之后,浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求,该请求会先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送到浏览器,网络安全技术第2版,6.2 防火墙的技术类型,应用代理服务型防火墙工作方式如下图所示,网络安全技术第2版,6.2 防火墙的技术类型,代理服务并不是用一张简单的访问控制列表来说明哪些报文或会话可以通过,哪些不允许通过,而是运行一个接
8、受连接的程序。在确认之前,先要求用户输入口令,以进行严格的用户认证,并必须为每个应用,如Telnet,FTP等配上代理程序。因为代理服务型防火墙能够理解应用层上的协议,能够做一些复杂的访问控制和注册等,所以安全性比包过滤型防火墙要高,网络安全技术第2版,6.2 防火墙的技术类型,在代理型防火墙技术的发展过程中,它也经历了两个不同的版本,即:第一代应用网关型代理防火墙和第二代自适应代理防火墙。 应用网关型代理防火墙 应用网关型代理防火墙是通过一种代理(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构
9、的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。,网络安全技术第2版,6.2 防火墙的技术类型,自适应代理(Adaptive proxy)型防火墙 它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点,在不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。组成这种类型防火墙的基本要素有两个:自适应代理服务器(Adaptive Proxy Server)与动态包过滤器(Dynamic Packet filter)。,网络安全技术第2版,6.2 防火墙的技术类型,代理服务型防火墙对客户不透明,需要在客户端做相应的设置才行 在IE浏览
10、器的菜单栏选择“工具”,单击“Internet选项”然后在“连接”选项卡中单击“局域网设置”按钮,作如下图所示设置。,网络安全技术第2版,6.2 防火墙的技术类型,代理服务技术的优缺点: 优点 易于配置,界面友好(对于服务器端而言); 不允许内外网主机的直接连接; 可以提供比包过滤更详细的日志记录 可以隐藏内部IP地址; 可以给单个用户授权; 可以为用户提供透明的加密机制; 可以与认证、授权等安全手段方便的集成。 缺点: 代理速度比包过滤慢; 代理对用户不透明,给用户的使用带来不便,而且这种代理技术需要针对每种协议设置一个不同的代理服务器。,网络安全技术第2版,6.3 防火墙的分类,网络安全技
11、术第2版,6.3 防火墙的分类,从防火墙的实现形式来分 1软件防火墙 软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。比较有代表性的软件防火墙如Checkpoint、Microsoft ISA,以及个人软件防火墙如天网、瑞星、诺顿等。 2硬件防火墙 硬件防火墙是一种以物理形式存在的专用设备,通常架设于两个网络的连接处,硬件防火墙又可以分为两类,一种是普通硬件级别的防火墙,另一种是“芯片级防火墙”。,网络安全技术第2版,6.3 防火墙的分类,普通硬件级别的防
12、火墙拥有标准的计算机硬件平台和一些功能经过简化处理的UNIX系列操作系统和防火墙软件,目前市场上大多数防火墙都是这种硬件防火墙,此类防火墙会受到OS(操作系统)本身的安全性影响。 目前市面上常见的硬件防火墙有天融信网络卫士防火墙、Cisco Secure PIX系列防火墙和Cisco ASA 5500系列防火墙、东软NetEye防火墙等,其中CiscoASA 5500 系列防火墙是思科专门设计的解决方案,将安全性和VPN服务与可扩展服务架构有机地结合在一起。作为思科自防御网络的核心组件,Cisco ASA 5500系列能够提供主动威胁防御,在网络受到威胁之前就能及时阻挡攻击,控制网络行为和应用
13、流量,并提供 VPN连接。,网络安全技术第2版,6.3 防火墙的分类,下简是硬件防火墙Cisco ASA 5505的外观图。从外观可以看出,它与普通的交换机、路由器比较相似。,网络安全技术第2版,6.3 防火墙的分类,芯片级防火墙基于专门的硬件平台,有专用的操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。,网络安全技术第2版,6.3 防火墙的分类,按防火墙的部署位置分 1边界防火墙 边界防火
14、墙是最为传统的那种,它们于内、外部网络的边界,所起的作用的对内、外部网络实施隔离,保护边界内部网络。这类防火墙一般都是硬件类型的,价格较贵,性能较好。 2个人防火墙 个人防火墙安装于单台主机中,防护的也只是单台主机。这类防火墙应用于广大的个人用户,通常为软件防火墙,价格最便宜,性能也最差。,网络安全技术第2版,6.3 防火墙的分类,3.混合式防火墙 混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一,性
15、能最好,价格也最贵。,网络安全技术第2版,6.3 防火墙的分类,按防火墙的性能来分 因为防火墙通常位于网络边界,是两个网络域之间信息流的唯一出入口,所以它的性能对整个网络性能至关重要。 按性能可以分为百兆级防火墙和千兆级防火墙两类,百兆级兆级或千兆级主要是指防火墙的通道带宽(BandWidth),或者说是吞吐率。通道带宽越宽,性能越高,这样的防火墙因包过滤或应用代理所产生的延时也越小,对整个网络通信性能的影响也就越小。一般百兆级防火墙用于中小型企业的网络保护,而千兆级防火墙用于电信、金融等大型企业。,网络安全技术第2版,6.4 防火墙的体系结构,网络安全技术第2版,6.4 防火墙的体系结构,屏
16、蔽路由器结构 Screening Router) 通常又称为包过滤功能的路由器,屏蔽路由器作为内外连接的惟一通道,要求所有的报文都必须在此通过检查。路由器上可以安装基于IP层的报文过滤软件,实现报文过滤功能。,网络安全技术第2版,6.4 防火墙的体系结构,屏蔽路由器结构的工作示意图,网络安全技术第2版,6.4 防火墙的体系结构,双目主机结构 也叫双宿主机(DualHomed Host)结构,防火墙系统主要由一台双目主机构成,双目主机安装有两个网卡,具有两个网络接口,分别连接到内部网和外部网,充当转发器。这样,主机可以充当与这些接口相连的路由器,能够把IP数据包从一个网络接口转发到另一个网络接口。但是,实现双目主机的防火墙结构禁止这种转发功能,即IP数据包并不是从一个网络如因特网发送到其他网络如内部网。防火墙内部的系统能与双目主机通信,同时防火墙外部的系统如因特网也能与双目主机通信,但二者之间不能直接通信。,网络安全技术第2版