《网络安全 防火墙技术.ppt》由会员分享,可在线阅读,更多相关《网络安全 防火墙技术.ppt(19页珍藏版)》请在金锄头文库上搜索。
1、防火墙技术防火墙技术 ServerClient防火墙(防火墙(Firewall)防火墙类似一堵城墙,将服务器与客户主机进行物理隔离,并在防火墙类似一堵城墙,将服务器与客户主机进行物理隔离,并在此基础上实现服务器与客户主机之间的授权互访、互通等功能。此基础上实现服务器与客户主机之间的授权互访、互通等功能。内部网络和外部网络之间所有网络数据流都必须经过防火墙内部网络和外部网络之间所有网络数据流都必须经过防火墙只有符合安全策略的数据流才能通过防火墙只有符合安全策略的数据流才能通过防火墙防火墙自身应具有非常强的抗攻击免疫力防火墙自身应具有非常强的抗攻击免疫力8/14/20242网络安全技术网络安全技术
2、 课件制作:田宏政课件制作:田宏政防火墙概念防火墙概念 防防火火墙墙是是指指设设置置在在不不同同网网络络或或网网络络安安全全域域(公公共共网网和和企企业内部网)之间的一系列部件的组合。业内部网)之间的一系列部件的组合。 它它是是不不同同网网络络(安安全全域域)之之间间的的唯唯一一出出入入口口,能能根根据据企企业业的的安安全全政政策策控控制制(允允许许、拒拒绝绝、监监测测)出出入入网网络络的的信信息息流流,是是设设置置在在被被保保护护网网络络和和外外部部网网络络之之间间的的一一道道屏屏障障,实实现现网网络络的安全保护,以防止发生不可预测的、潜在破坏性的侵入。的安全保护,以防止发生不可预测的、潜在
3、破坏性的侵入。 防防火火墙墙本本身身具具有有较较强强的的抗抗攻攻击击能能力力,它它是是提提供供信信息息安安全全服务、实现网络和信息安全的基础设施。服务、实现网络和信息安全的基础设施。 8/14/20243网络安全技术网络安全技术 课件制作:田宏政课件制作:田宏政Internet内部网内部网路由器路由器NEsec300 FW2035968?告警内网接口外网接口电源控制台控制台服务器服务器服务器服务器服务器服务器主机主机主机主机内外网络隔离内外网络隔离 截取截取IPIP包,根据安全策略控制其进包,根据安全策略控制其进/ /出出 双向网络地址转换(双向网络地址转换(NATNAT) 基于一次性口令对移
4、动访问进行身份识别和控制基于一次性口令对移动访问进行身份识别和控制 IPMACIPMAC捆绑,防止捆绑,防止IPIP地址的滥用地址的滥用安全记录安全记录 通信事件记录通信事件记录 操作事件记录操作事件记录 违规事件记录违规事件记录 异常情况告警异常情况告警移动用户移动用户拨号用户拨号用户局域网用户局域网用户防火墙防火墙(内部地址)内部地址)(内部地址)内部地址)防火墙的布置示例防火墙的布置示例服务器服务器服务器服务器(内部地址)内部地址)服务器服务器服务器服务器主机主机(内部地址)内部地址)服务器服务器服务器服务器控制台控制台主机主机(内部地址)内部地址)服务器服务器服务器服务器8/14/20
5、244网络安全技术网络安全技术 课件制作:田宏政课件制作:田宏政防火墙的基本功能(1)可以限制位授权的用户进入内部网络,过滤掉不安全的服务与非法用户。(2)防止入侵者接近网络防御设施。(3)限制内部用户访问特殊站点。8/14/20245网络安全技术网络安全技术 课件制作:田宏政课件制作:田宏政防火墙的局限性防火墙不能防范网络内部的攻击。比如:防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令,并授予其临时的网络访问权限。防火墙不能防止传送已感染病毒的软件或文件,不能期望防火墙对每一个文件进行扫描,查出潜在
6、的病毒。8/14/20246网络安全技术网络安全技术 课件制作:田宏政课件制作:田宏政一个分组过滤型防火墙通常能根据一个分组过滤型防火墙通常能根据IP分组分组的以下各项过滤:的以下各项过滤:4源源IP地址地址4目标目标IP地址地址4TCP/UDP源端口源端口4TCP/UDP目标端口目标端口4协议类型协议类型防火墙技术包过滤防火墙技术包过滤8/14/20247网络安全技术网络安全技术 课件制作:田宏政课件制作:田宏政优点:优点:v透明的防火墙系统透明的防火墙系统v高速的网络性能高速的网络性能v易于配置易于配置v支持网络内部隐藏支持网络内部隐藏缺点:缺点:v易于易于IP地址假冒地址假冒v记录日志信
7、息不充分记录日志信息不充分v源路由攻击源路由攻击v设计和配置一个真正安全的分组过滤规则比较困难设计和配置一个真正安全的分组过滤规则比较困难v分组过滤防火墙并不能过滤所有的协议分组过滤防火墙并不能过滤所有的协议v极小分片设数据包攻击极小分片设数据包攻击v无法防止数据驱动式攻击无法防止数据驱动式攻击防火墙技术包过滤防火墙技术包过滤8/14/20248网络安全技术网络安全技术 课件制作:田宏政课件制作:田宏政代理的工作方式代理的工作方式防火墙技术应用代理防火墙技术应用代理8/14/20249网络安全技术网络安全技术 课件制作:田宏政课件制作:田宏政优点:优点:在网络连接建立之前可以对用户身份进行认证
8、在网络连接建立之前可以对用户身份进行认证所有通过防火墙的信息流可以被记录下来所有通过防火墙的信息流可以被记录下来易于配置易于配置支持内部网络的信息隐藏支持内部网络的信息隐藏与分组过滤规则相比简单与分组过滤规则相比简单易于控制和管理易于控制和管理缺点:缺点:对每种类型的服务都需要一个代理对每种类型的服务都需要一个代理网络性能不高网络性能不高防火墙对用户不透明防火墙对用户不透明客户应用可能需要修改客户应用可能需要修改需要多个防火墙主机需要多个防火墙主机防火墙技术防火墙技术应用代理8/14/202410网络安全技术网络安全技术 课件制作:田宏政课件制作:田宏政防火墙系统的部署方式1边界防火墙边界防火
9、墙所在的位置就是企业内部网络与外部网络(包括因特网、广域网和其他公司的专用网)之间。防火墙的内外网卡分别连接于内、外部网络,但内部网络和外部网络是从逻辑上完全隔开的。所有来自外部网络的服务请求只能到达防火墙的外部网卡。防火墙对收到的数据包进行分析后,将合法的请求通过内部网卡传送给相应的服务主机,对于非法访问加以拒绝。2内部防火墙通过在服务器群的入口处设置内部防火墙,制定完善的安全策略,可以有效地控制内部网络的访问。边界防火墙和内部防火墙各自的主要功能参见书中介绍。8/14/202411网络安全技术网络安全技术 课件制作:田宏政课件制作:田宏政防火墙在网络安全防护中的应用防火墙在网络安全防护中的
10、应用防火墙在网络中的应用主要有以下几个方面:u控制来自因特网对内部网络的访问u控制来自第三方局域网对内部网络的访问u控制局域网内部不同部门网络之间的访问u控制对服务器中心的网络访问 控制来自因特网对内部网络的访问控制来自因特网对内部网络的访问这是防火墙的一种最基本应用,也是应用最广的一项应用。其整个网络结构分为3个不同级别的安全区域:内部网络、外部网络和DMZ(非军事区)。8/14/202412网络安全技术网络安全技术 课件制作:田宏政课件制作:田宏政防火墙在网络安全防护中的应用防火墙在网络安全防护中的应用控制来自第三方局域网对内部网络的访问控制来自第三方局域网对内部网络的访问这种应用主要是针
11、对一些规模比较大的企事业单位,用来与分支机构、合作伙伴或供应商的局域网进行连接,或者是同一企业网络中存在多个子网。在这种应用环境下,防火墙主要限制第三方网络(以上所说的其他单位局域网或本单位子网)对内部网络的非授权访问。控制局域网内部不同部门之间的访问控制局域网内部不同部门之间的访问这种应用环境就是在一个企业内部网络之间,对一些安全敏感的部门或者特殊用户进行的隔离保护(当然所隔离的也可以是一个单独的子网)。通过防火墙保护内部网络中敏感部门的资源不被非法访问。8/14/202413网络安全技术网络安全技术 课件制作:田宏政课件制作:田宏政防火墙在网络安全防护中的应用防火墙在网络安全防护中的应用控
12、制对服务器中心的网络访问这种应用可以有两种部署方法。1为每个用户的服务器群单独配置一个独立的防火墙网络拓扑结构如下面左图所示。这是一种传统方法。2采用虚拟防火墙方式网络拓扑结构如下面右图所示。这主要是利用三层交换机的VLAN功能,先为每一台连接在三层交换机上的用户服务器群配置成一个单独的VLAN子网,然后通过对高性能防火墙对VLAN子网的配置,就相当于将一个高性能防火墙划分为多个虚拟防火墙。其典型网络结构如下图所示。8/14/202414网络安全技术网络安全技术 课件制作:田宏政课件制作:田宏政网络服务访问策略网络服务访问策略不允许外部网络或不允许外部网络或Internet访问内部网络,但允许
13、内部网络访问外访问内部网络,但允许内部网络访问外部网络部网络或或Internet。允许外部网络允许外部网络或或Internet访问部分内部网络,这些特定的网络服务访问部分内部网络,这些特定的网络服务是经过严格选择和控制的,如一些信息服务器、电子邮件服务器或是经过严格选择和控制的,如一些信息服务器、电子邮件服务器或域名服务器等等。域名服务器等等。防火墙设计策略防火墙设计策略 防火墙设计策略必须针对具体的防火墙,它定义过滤规则等,防火墙设计策略必须针对具体的防火墙,它定义过滤规则等,以实现高层的网络服务策略。这个策略在设计时必须考虑到防火墙以实现高层的网络服务策略。这个策略在设计时必须考虑到防火墙
14、本身的性能、限制及具体协议如本身的性能、限制及具体协议如TCP/IP。常用的两种基本防火墙设常用的两种基本防火墙设计策略是:计策略是:允许所有除明确拒绝之外的通信或服务允许所有除明确拒绝之外的通信或服务(很少考虑,因为这样的防(很少考虑,因为这样的防火墙可能带来许多风险和安全问题。攻击者完全可以使用一种拒绝火墙可能带来许多风险和安全问题。攻击者完全可以使用一种拒绝策略中没有定义的服务而被允许并攻击网络)策略中没有定义的服务而被允许并攻击网络)拒绝所有除明确允许之外的通信或服务拒绝所有除明确允许之外的通信或服务(常用,但操作困难,并有(常用,但操作困难,并有可能拒绝网络用户的正常需求与合法服务)
15、可能拒绝网络用户的正常需求与合法服务)防火墙实现策略防火墙实现策略8/14/202415网络安全技术网络安全技术 课件制作:田宏政课件制作:田宏政允许允许拒绝拒绝防火墙规则设计政策 两个基本设计方针之一两个基本设计方针之一: 1. “没没有有明明确确允允许许的的都都是是被被禁禁止止的的”,即即拒拒绝绝一一切切未未予予特特许的东西。许的东西。 2. “没没有有明明确确禁禁止止的的都都是是被被允允许许的的”;也也即即是是允允许许一一切切未未被特别拒绝的东西被特别拒绝的东西 允许允许拒绝拒绝8/14/202416网络安全技术网络安全技术 课件制作:田宏政课件制作:田宏政防火墙的种类防火墙的种类边界边
16、界防火墙防火墙缺点:缺点:1)网络应用受到结构性限制网络应用受到结构性限制 2)内部安全隐患仍在内部安全隐患仍在 3)效率较低和故障率高效率较低和故障率高 分布式分布式防火墙防火墙特点:特点: 1)主机驻留主机驻留 2)嵌入操作系统内核嵌入操作系统内核 3)类似于个人防火墙类似于个人防火墙 4)适用于服务器托管适用于服务器托管 优点:优点:1)增强的系统安全性:增加了针对主机的入侵检测和防护功能,加强了对来增强的系统安全性:增加了针对主机的入侵检测和防护功能,加强了对来自内部攻击防范自内部攻击防范,可以实施全方位的安全策略可以实施全方位的安全策略 2)提高了系统性能提高了系统性能:消除了结构性
17、瓶颈问题,提高了系统性能消除了结构性瓶颈问题,提高了系统性能 3)系统的扩展性系统的扩展性:分布式防火墙随系统扩充提供了安全防护无限扩充的能力分布式防火墙随系统扩充提供了安全防护无限扩充的能力 4)实施主机策略实施主机策略:对网络中的各节点可以起到更安全的防护对网络中的各节点可以起到更安全的防护 5)应用更为广泛应用更为广泛,支持支持VPN通信通信 嵌入式嵌入式防火墙防火墙将安全延伸到每一点将安全延伸到每一点v将防范入侵的功能分布到网络中的每一台将防范入侵的功能分布到网络中的每一台PC、笔记本以及服务器笔记本以及服务器v将安全防范的功能延伸到边缘防火墙的范围之外,并分布到网络的终端将安全防范的
18、功能延伸到边缘防火墙的范围之外,并分布到网络的终端v为那些需要在家访问公司局域网的远程办公用户提供保护为那些需要在家访问公司局域网的远程办公用户提供保护个人个人防火墙防火墙 价格低,使用简单,可以为每一台计算机提供保护价格低,使用简单,可以为每一台计算机提供保护8/14/202417网络安全技术网络安全技术 课件制作:田宏政课件制作:田宏政防火墙产品介绍与选购防火墙产品介绍与选购软件软件 防火墙防火墙运行于特定的计算机上,它需要预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。软件防火墙就象其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。Checkpoint的
19、的FireWall-1微软微软ISA serverLinux防火墙防火墙“硬件硬件”防火防火墙墙采用X86CPU,不是基于专用的硬件平台,目前市场上大多数防火墙都是这种“硬件”防火墙,基于PC架构,和普通的PC没有太大区别,运行一些经过裁剪和简化的操作系统,最常用的有Unix、Linux和FreeBSD系统等Cisco pix (ios)芯片级芯片级防火墙防火墙基于专门的硬件平台ASICC芯片,比其他种类的防火墙速度更快,处理能力更强、安全性好、性能更高。Juniper-NetScreenFortiNet8/14/202418网络安全技术网络安全技术 课件制作:田宏政课件制作:田宏政 谢谢谢谢! !8/14/202419网络安全技术网络安全技术 课件制作:田宏政课件制作:田宏政
