收藏
下载资源

[电子书][电脑][网路][网管][安全]网路安全解决方案-防火墙.ppt

上传人:汽*** 文档编号:568643102 上传时间:2024-07-25 格式:PPT 页数:26 大小:364.01KB
返回 下载 相关 举报
[电子书][电脑][网路][网管][安全]网路安全解决方案-防火墙.ppt_第1页
第1页 / 共26页
[电子书][电脑][网路][网管][安全]网路安全解决方案-防火墙.ppt_第2页
第2页 / 共26页
[电子书][电脑][网路][网管][安全]网路安全解决方案-防火墙.ppt_第3页
第3页 / 共26页
[电子书][电脑][网路][网管][安全]网路安全解决方案-防火墙.ppt_第4页
第4页 / 共26页
[电子书][电脑][网路][网管][安全]网路安全解决方案-防火墙.ppt_第5页
第5页 / 共26页
点击查看更多>>
资源描述

《[电子书][电脑][网路][网管][安全]网路安全解决方案-防火墙.ppt》由会员分享,可在线阅读,更多相关《[电子书][电脑][网路][网管][安全]网路安全解决方案-防火墙.ppt(26页珍藏版)》请在金锄头文库上搜索。

1、網路安全解決方案防火牆漢康科技漢康科技 資訊安全產品經理資訊安全產品經理蕭智仁蕭智仁.twtw防火牆防火牆是一座阻止外界防火牆是一座阻止外界入侵的前哨站,入侵者入侵的前哨站,入侵者的傷害只能到防火牆為的傷害只能到防火牆為止,在防火牆未被破壞止,在防火牆未被破壞之前,外界都不能侵犯之前,外界都不能侵犯到內部網路到內部網路TCP/IPInternet防火牆防火牆防火牆的類型n nPacket Filtersn nCircuit-Level Gatewaysn nApplication Proxy (Application Gateway)n nStateful Multilayer Inspect

2、ionn nDual-Homedn nTri-Homedn nMulti-HomedOSI StackApplicationPresentationSessionTransportNetworkData LinkPhysicalqq防火牆採用的技術,防火牆採用的技術,依據依據OSI Stack的位置的位置而有不同的:而有不同的:安全性安全性安全性安全性封包流量效能封包流量效能封包流量效能封包流量效能Packet FilteringApplicationNetworkPresentationSessionTransportData LinkPhysicalPacket Filtering說明qq

3、封包過濾器比較每個封包的部份資料封包過濾器比較每個封包的部份資料qq遇到符合條件的封包遇到符合條件的封包 = = 允許封包通過允許封包通過 或或 阻擋封包通過阻擋封包通過qq決定封包通過決定封包通過/ /阻擋的條件可以是:阻擋的條件可以是:IP IP 位址位址封包類型封包類型( (TCP/UDP)TCP/UDP)服務類型服務類型( (Telnet,FTP,HTTP,SMTP)Telnet,FTP,HTTP,SMTP)qq最大的好處是可提供最快的封包流量最大的好處是可提供最快的封包流量qq對於使用者而言是完全透過的對於使用者而言是完全透過的qq安全性不足是最大的缺點,因為在內部使用者與外部安全性

4、不足是最大的缺點,因為在內部使用者與外部主機是直接連線的,內部網路設定被暴露在外部網路主機是直接連線的,內部網路設定被暴露在外部網路中中qq無法查覺到連線過程或應用程式的活動無法查覺到連線過程或應用程式的活動qq無法監督連線的狀態無法監督連線的狀態Circuit-Level GatewayApplicationNetworkPresentationSessionTransportData LinkPhysicalCircuit-Level Gateway說明qq在在OSIOSI通訊堆疊中的資料傳輸層通訊堆疊中的資料傳輸層( (layer 4)layer 4)來決來決定要允許或者拒絕網路流量定要

5、允許或者拒絕網路流量qq適當地識別所指定的通訊埠,這個通訊埠將保適當地識別所指定的通訊埠,這個通訊埠將保持開放直到連線中止持開放直到連線中止qq應用程式使用公認的通訊埠(通常與應用或服應用程式使用公認的通訊埠(通常與應用或服務有關聯)例如:務有關聯)例如:Telnet-port 23Telnet-port 23qqCircuit-Level GatewayCircuit-Level Gateway的限制的限制信認所指定的通訊埠就是其公認的服務或應用信認所指定的通訊埠就是其公認的服務或應用無法監督交談層無法監督交談層( (session-level)session-level)的活動及無法偵的活

6、動及無法偵測應用程式的動態測應用程式的動態Circuit-Level Circuit-Level 比比 packet filtering packet filtering 更安全更安全Circuit-Level Circuit-Level 比比 packet filtering packet filtering 封包流量慢封包流量慢Application ProxyApplicationPresentationSessionTransportNetworkData LinkPhysicalApplication Proxy說明qq內部使用者無法直接連接到外部主機,內部使用者無法直接連接到外部主

7、機,Application Application GatewayGateway扮演外部主機的代傳角色扮演外部主機的代傳角色qq內部網路的設定被保護隱藏起來,可以更澈底的檢查內部網路的設定被保護隱藏起來,可以更澈底的檢查資料,因此也就是最高階層的防火牆安全資料,因此也就是最高階層的防火牆安全qq應用或網路服務通過的應用或網路服務通過的Application ProxyApplication Proxy是經過安全強是經過安全強化的程式化的程式qq在應用層在應用層( (application layer)application layer)作業直接解譯及回應應作業直接解譯及回應應用程式不必理會通訊

8、埠或者協定用程式不必理會通訊埠或者協定qq完整察驗應用層完整察驗應用層( (application-level)application-level)qq兩個分開的網路界面卡兩個分開的網路界面卡qq最差的封包流量效能最差的封包流量效能qq最安全的方式最安全的方式Stateful Multi-Layer Inspectionqq結合結合circuit-layer gatewaycircuit-layer gateway以及有限的以及有限的application-levelapplication-level查驗查驗qq例如:例如:connectionlessconnectionless服務服務( (

9、UDP)UDP)通常是通常是 circuit-level gatewayscircuit-level gateways無法監督到的無法監督到的qqInspectionInspection模組在作業系統核心程式中介於資模組在作業系統核心程式中介於資料連結層料連結層( (data link)data link)及網路層及網路層( (network layers)network layers)之間之間qqStatefulStateful 比比 packet filtering packet filtering 速度慢速度慢qqStatefulStateful 比比 packet filtering

10、packet filtering 更安全一點更安全一點ApplicationPresentationSessionTransportNetworkData LinkPhysicalStateful Multi-Layer Inspectionqq內連及外連的封包被攔截並被檢查內連及外連的封包被攔截並被檢查qq在訊息在訊息(“ (“raw message”)raw message”)中的所有被檢查的中的所有被檢查的資訊包含有:資訊包含有: 較高層次較高層次, , 訊息資料訊息資料( (封包的應用內容封包的應用內容) ) IPIP位址、通訊埠號碼及任何其他用來決定是否可位址、通訊埠號碼及任何其他用

11、來決定是否可以符合條件定義的封包資訊以符合條件定義的封包資訊qq有些建構在其上的有些建構在其上的IPIP及應用服務的內部結構及應用服務的內部結構是是statelessstateless的協定的協定 例如例如例如例如: : UDP, RPCUDP, RPCOSI Stack & FirewallApplicationPresentationSessionTransportNetworkData LinkPhysicalApplication Proxy (Gateway)Circuit-Level GatewayStateful Multi-Layer Inspection郵差的故事Packet

12、 FiltersPackets pass unchangedCircuit GatewaysTCP connection relayedApplication GatewaysData relayed by application specific proxiesIncreasing SecurityITDataITDataITDataITDataITDataITDataual-Home Firewallqq兩片分離的網路卡介面,分別連接內部及外部網路qq在兩片網路卡間無法直傳遞IP封包Tri-Homed Firewallqq三片分離的網路卡分三片分離的網路卡分別連接內部網路、外別連接內部網路

13、、外部網路及公開伺服器部網路及公開伺服器網段網段qq為了公開伺服為了公開伺服器的安全,獨器的安全,獨立一段網路讓立一段網路讓這些伺服器也這些伺服器也可以受到防火可以受到防火牆保護牆保護ulti-Homed Firewallqq支援多片網路卡界面,分別連向不同網路支援多片網路卡界面,分別連向不同網路qq可因應組織在不同網段間需要不同安全政可因應組織在不同網段間需要不同安全政策的要求策的要求FirewallInternetSecurity vs ThroughputThroughputSecurityStateful Multi-layer InspectionPacket FilterAppli

14、cation ProxyCircuit-Level GatewayAll 3Application ProxyCircuit-Level GatewayPacket FilterTISCheckPointSUNNetwork SystemsSecureZoneSidewinderRaptor防火牆的其他技術n nNAT(Network Address Translation)NAT(Network Address Translation)n nMAT(Multiple Address Translation)MAT(Multiple Address Translation)n nVPN(Vir

15、tual Private Network)VPN(Virtual Private Network)n nAuthentication ServerAuthentication ServerNAT(Network Address Translation)qq用來隱藏內部網路用來隱藏內部網路IPIP位址,提高內部網路安全性位址,提高內部網路安全性 F wI ar le lInternetInternal193.128.191.242193.128.191.243193.128.191.244193.128.191.24510.0.0.1HOST3HOST2HOST110.0.0.1010.0.0.

16、2010.0.0.30Outgoing (source rewrite)10.0.0.1010.0.0.2010.0.0.30alias external IP addressesregistered external IP address多對一的轉換多對一的轉換Outgoing10.0.0.1010.0.0.2010.0.0.30193.128.191.242多對多的轉換多對多的轉換193.128.191.243193.128.191.244193.128.191.245MAT(Multiple Address Translation)qq用來提供防火牆用來提供防火牆IPIP位址重導功能,不

17、讓外部使用者位址重導功能,不讓外部使用者可以直接存取內部網路伺服器可以直接存取內部網路伺服器qq同一通訊埠下一個外部同一通訊埠下一個外部IPIP對應一個內部對應一個內部IPIP,多個外多個外部部IPIP可對應內部多部伺服器可對應內部多部伺服器 F wI ar le lInternetInternal193.128.191.242193.128.191.243193.128.191.244193.128.191.24510.0.0.1HOST3HOST2HOST110.0.0.1010.0.0.2010.0.0.30alias external IP addressesregistered ex

18、ternal IP addressIncoming (destination rewrite)193.128.191.243193.128.191.244193.128.191.245多對多的轉換多對多的轉換10.0.0.1010.0.0.2010.0.0.10VPN(Virtual Private Network)qqVPNVPN技術技術讓組織即使透過網際網路的線路也可以在讓組織即使透過網際網路的線路也可以在不同地區網路間建立安全可靠的通道不同地區網路間建立安全可靠的通道qq透過透過VPNVPN連線前的認證協定,可確保連線前的認證協定,可確保VPNVPN兩端網路兩端網路或機器是相互信認的或機

19、器是相互信認的FirewallFirewallInternetGatewayEncrypted and Transparent Access *Single MachineMobil PCFirewallInternetEncrypted and Transparent Access *防火牆技術AS(Authentication Server)qq固定密碼的身份認證並不安全固定密碼的身份認證並不安全qq支援支援One-time passwordOne-time password的認證伺服器才可以確保通的認證伺服器才可以確保通過防火牆的使用者是真正允許的使用者過防火牆的使用者是真正允許的使用者

20、InternalAuthenticationFIrewallUsers SafeWord Radius SecureID AxentAuthenticationServerMISTelnet MISChallenge:1234567Challenge:1234567Response:987654Response:987654login MIS防火牆的基本功能qq經安全強化的作業系統經安全強化的作業系統( (Secured OS)Secured OS)qq使用使用Application Level GatewayApplication Level Gateway的技術的技術qq可以防止各種攻擊手

21、段可以防止各種攻擊手段( (Attack)Attack)qq可支援可支援Tri-HomedTri-Homed網路架構網路架構qq內建一般性的內建一般性的ProxyProxy程式,也可以自定程式,也可以自定TCP/UDP ProxyTCP/UDP Proxyqq可支援可支援NAT(Network Address Translation)NAT(Network Address Translation)功能功能qq可支援可支援MAT(Multiple Address Translation)MAT(Multiple Address Translation)功能功能qq支援支援VPN(Virtual

22、Private Network)VPN(Virtual Private Network)功能功能qq圖形化的管理界面(可支援遠端管理)圖形化的管理界面(可支援遠端管理)qq連線記錄及統計報表連線記錄及統計報表qq防火牆異常狀況通知防火牆異常狀況通知qq提供許多提供許多 network diagnostic network diagnostic 工具可診斷相關網路問題工具可診斷相關網路問題防火牆的增強功能qq支援支援Multi-HomedMulti-Homed網路架構網路架構qq支援彈性化安全區域的能力,可以界面卡及支援彈性化安全區域的能力,可以界面卡及VPNVPN的任意組合為的任意組合為相同之

23、安全區域相同之安全區域( (ReginRegin) )qq支援支援ChallenageChallenage/Response/Response的強烈認證機制的強烈認證機制qq支援支援X.509X.509的認證機制的認證機制qq支援入侵反擊的能力支援入侵反擊的能力qq支援流程式的存取控制設定界面支援流程式的存取控制設定界面qq支援集中管理的能力(同時管理多部防火牆)支援集中管理的能力(同時管理多部防火牆)qq通訊內容過濾機制通訊內容過濾機制( (Content Filtering)Content Filtering),例如:網站過濾、郵件例如:網站過濾、郵件內容、病毒、內容、病毒、Java Java 、ActiveXActiveXqq支援支援SNMPSNMP網管協定網管協定qq支援災難控制能力支援災難控制能力qq支援支援Hot StandbyHot Standby雙主機備援能力雙主機備援能力qq支援支援Load BalanceLoad Balance負載分攤的能力負載分攤的能力問題與討論

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 高等教育 > 研究生课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号