《防火墙基本知识课件》由会员分享,可在线阅读,更多相关《防火墙基本知识课件(39页珍藏版)》请在金锄头文库上搜索。
1、09年年04月月防火防火墙基基础知知识2主要内容主要内容n防火墙基本知识n防火墙技术n防火墙选择n防火墙部署3防火防火墙基本知基本知识概念概念防火墙的定义:是在两个网络之间执行访问控制策略的一组硬件和软件系统,其目的是保护本地网络的通信安全。防火墙的保护功能:防火墙对内部网络的保护是双向的。从入的方向上,它阻止外面网络对本地网络的非法访问和入侵;从出的方向上,它控制本地网络对外部不良网络进行访问或者是未经允许的数据输出,防止内部信息的泄露。DMZ区区Trust 可信区域可信区域DPtech 防火墙InternetUntrust 不可信区域不可信区域企业内部需要保护的区域企业对外提供服务功能属于
2、缓冲区外网,默认是不安全的对外服务器4防火防火墙基本知基本知识防火防火墙的作用的作用防火墙可强迫所有进出信息都通过这个唯一狭窄的检查点,便于集中实施安全策略。防火墙可以实行强制的网络安全策略,如:禁止不安全的协议防火墙可以对网络存取和访问进行监控审计。如:对P2P流量的监管和限流。使用内部防火墙还可以防止一个网段的问题传播到另一个网段。防火墙主要是让网络“断”,默认所有数据都丢弃,只有合法的数据才能通过。5防火防火墙基本知基本知识防防护模型模型防火墙主要是针对4层报文进行安全过滤,对7层应用层分析较少。防火墙主要管理范围6主要内容主要内容n防火墙基本知识n防火墙技术n防火墙种类n防火墙发展n防
3、火墙主要技术n防火墙选择n防火墙部署n典型配置案例7主要分主要分为以下以下3种种类型防火型防火墙:n包过滤防火墙:根据一组规则允许/阻塞一些数据包。n应用代理型防火墙:作为应用层代理服务器,提供安全防护。n状态检测型防火墙:比包过滤防火墙具有更高的智能和安全性,会话成功建立连接以后记录状态信息并时时更新,所有会话数据都要与状态表信息相匹配;否则会话被阻断。状状态检测技技术防火防火墙技技术发展介展介绍现代防火代防火墙基本基本为3种种类型防火型防火墙的的综合体,即采用状合体,即采用状态检测型包型包过滤技技术,同,同时提供透明提供透明应用代理功能。用代理功能。8包包过滤防火防火墙基本概念:数据包过滤
4、是指在网络中的适当位置对数据包实施有选择的通过。选择的依据就是系统内设置的过滤规则或称访问控制表。包过滤操作过程:包过滤规则必须被存储在包过滤设备的端口;当数据包在端口到达时,包头被提取,同时包过滤设备检查IP、TCP、UDP等包头中的信息;包过滤规则以特定的次序被存储,每一规则按照被存储的次序作用于包;如果一条规则允许传输,包就被通过;如果一条规则阻止传输,包就被弃掉或进入下一条规则。9检查项IP 包的源地址IP 包的目的地址TCP/UDP 源端口IP 包检测包头检查路由安全策略:过滤规则路由表包过滤防火墙转发符合不符合丢弃包包过滤防火防火墙图示示10包包过滤防火防火墙技技术评价价优点:速度
5、快,吞吐率高(过滤规则较少时)对应用程序透明(无帐号口令等)缺点:安全性低不能过滤传输层以上的信息不能监控链路状态信息11ClientServer代理服务器代理客户机请求应答被转发的请求被转发的应答应用代理防火墙双向通信必须经过应用代理,禁止IP直接转发;只允许本地安全策略允许的通信信息通过;应用代理防火用代理防火墙图示示代理服务器评价来自代理客户的请求并决定请求是否被认可。如果请求被认可,代理服务器便代表客户接触真正的服务器并且转发从代理客户到真正的服务器的请求以及真正的服务器到代理客户的响应。安全策略访问控制12优点:可以将被保护网络内部的结构屏蔽起来可以实施较强的数据流监控、记录。可提供
6、应用层的安全(身份验证等)缺点:灵活性通用性较差,只支持有限的应用。不透明(用户每次连接可能要受到“盘问”)代理服务的工作量较大,需要专门的硬件(工作站)来承担应用代理防火用代理防火墙技技术评价价13基于状基于状态的包的包过滤防火防火墙状态检测技术对于新建立的连接,首先检查预先设置的安全规则,允许符合规则的连接通过,并记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要是符合状态表的,就可以通过。可对各层的通信进行主动、实时的监控重组会话,对应用进行细粒度检测14基于状基于状态的包的包过滤防火防火墙图示示IP 包检测包头下一步处理安全策略:过滤规则会话连接状态缓存表状态检测包过滤防火
7、墙符合不符合丢弃符合检查项IP 包的源、目的地址、端口TCP 会话的连接状态上下文信息15特点:安全性得到进一步提高。可监测无连接状态的远程过程调用和用户数据报之类的端口信息。基于状基于状态的包的包过滤防火防火墙技技术评价价16主要内容主要内容n防火墙基本知识n防火墙技术n防火墙种类n防火墙发展n防火墙主要技术n防火墙选择n防火墙部署17防火防火墙技技术与与产品品发展回展回顾防火墙产品的四个发展阶段(四代)基于路由器的防火墙用户化的防火墙工具套件建立在通用操作系统上的防火墙具有安全操作系统的防火墙18第一代:第一代:基于路由器的防火基于路由器的防火墙称为包过滤防火墙特征:以访问控制表方式实现包
8、过滤过滤的依据是IP地址、端口号和其它网络特征只有包过滤功能,且防火墙与路由器合为一体缺点:路由协议本身具有安全漏洞路由器上的包过滤规则的设置和配置复杂攻击者可假冒地址本质缺陷:防火墙的设置会大大降低路由器的性能(一对矛盾 )19特征:将过滤功能从路由器中独立出来,并加上审计和告警功能;针对用户需求提供模块化的软件包;纯软件产品。安全性提高,价格降低;缺点:配置和维护过程复杂费时;对用户技术要求高;全软件实现,安全性和处理速度均有局限;第二代第二代:用用户化的防火化的防火墙工具套件工具套件20实现方式:软件、硬件、软硬结合。问题:作为基础的操作系统及其内核的安全性无从保证。通用操作系统厂商不会
9、对防火墙的安全性负责;第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统漏洞的攻击。用户必须依赖两方面的安全支持:防火墙厂商和操作系统厂商。 上述问题在基于Windows /Linux开发的防火墙产品中表现得十分明显。第三代:第三代:建立在通用操作系建立在通用操作系统上的防火上的防火墙21特点:防火墙厂商具有操作系统的源代码,并可实现安全内核;这是一个安全厂商技术实力的体现对安全内核实现加固处理:即去掉不必要的系统特性,强化安全保护,从而可以提供更高的处理性能在功能上包括了分组过滤、代理服务,且具有加密与鉴别功能;具有独立硬件技术的厂商,安全可靠性更高第四代:第四代:具有安全操作系具
10、有安全操作系统的防火的防火墙主流安全厂商属于第四代技术。22主要内容主要内容n防火墙基本知识n防火墙技术n防火墙种类n防火墙发展n防火墙主要技术n防火墙选择n防火墙部署23防火防火墙关关键技技术汇总安全区域:安全区域:Zone,防火墙最基本功能,将网络按照不同防护需求划分为隔离的区域攻攻击防范:防范:对各种攻击进行识别和阻断,保障网络内部用户的数据安全VPN: Virtual Private Network,就是虚拟专用网,主要是保证在不可信的公网上建立用户的“专线”,通过加密实现逻辑上的专线建设,从而实现远程安全通信NAT: Network Address Translation,就是地址转
11、换,主要用于保护内网组网架构和地址匮乏状状态检测:保障应用链接是有内网用户发起,并且是按照标准状态进行;对外部发起的任何访问都不响应状态热备:24安全区域(安全区域(ZONE)安全区域:安全管理基本单位,通过划分不同区域,为其定级不同安全级别,从而执行相应的安全策略,主要是不同区域间的访问控制将接口加入相应安全区域,即意味着与接口相连的网络接入本安全区域Trust、Untrust、DMZ为防火墙默认三个安全区域防火墙防火墙交换机受信区域受信区域TrustTrust非受信区域非受信区域UntrustUntrustDMZDMZ区区受信区域受信区域DMZDMZ区,可以访问区,可以访问POP3POP3
12、和和SMTPSMTP服务服务DMZDMZ 受信区域,不可访问任何受信区域,不可访问任何服务服务应用服务器非受信区域非受信区域DMZDMZ区,可以区,可以访问访问POP3POP3和和SMTPSMTP服务服务DMZDMZ 非受信区域,可以访非受信区域,可以访问任何服务问任何服务非受信区域和受信区域之间非受信区域和受信区域之间不能互访不能互访25攻攻击防范防范当前主要攻当前主要攻击Land攻击防范Smurf攻击防范Fraggle攻击防范WinNuke攻击防范Ping of Death攻击防范Tear Drop攻击防范IP Spoofing攻击防范SYN Flood攻击防范ICMP Flood攻击防范
13、UDP Flood攻击防范ARP欺骗攻击防范ARP主动反向查询TCP报文标志位异常攻击防范超大ICMP报文攻击防范地址扫描的防范端口扫描的防范攻击按照不同划分标准,有不同分类。一般分为畸形报文(利用协议漏洞)、泛洪类(Flood,发起大量请求)、应用层(操作系统和软件漏洞),下面是当前知名攻击26攻攻击防范防范各种网络攻击可以归结为:侦测技术侦测技术 :攻击前奏,通过扫描和探测来摸清目标的网络架构、漏洞、操作系统等,为下一步攻击作准备。欺骗技术欺骗技术:包括IP欺骗和ARP欺骗,用来隐蔽攻击行为 DOS/DDOS(拒绝服务/分布式拒绝服务攻击) :主流攻击模式,利用系统异常和大量虚假报文,让目
14、标无法继续提供正常服务,从而达到攻击目的蠕虫、木马等病毒攻击蠕虫、木马等病毒攻击 :应用层攻击,不仅仅是破坏目标应用,更是以获利为主要目的。防火墙就是阻断侦测、识破欺骗、阻断攻击,实现对网络中安全威胁的防御。27虚虚拟专用网(用网(VPN)通过组合数据封装和加密技术,实现私有数据通过公共网络平台进行安全传输,从而以经济、灵活的方式实现两个局域网络通过公共网络平台进行衔接,或者提供移动用户安全的通过公共网络平台接入内网。中心站点中心站点分支机构分支机构合作伙伴合作伙伴接入点接入点移移动用用户SOHO用用户VPN逻辑通道安全加密28网网络地址地址转换技技术(NAT)NAT就是将一个IP地址用另一个
15、IP地址代替。应用领域:网络管理员希望隐藏内部网络的IP地址。合法Internet IP地址有限,而且受保护网络往往有自己的一套IP地址规划(内网私有地址) 发出请求应答发给 发出请求 发出请求应答发给 应答发给 NAT29状状态检测根据协议的“状态机”识别各种协议的正确状态一般包括H323/MGCP/SIP/H248/RTSP/ICMP/FTP/DNS/PPTP/NBT/ILS等针对应用层协议包括SMTP/HTTP/Java/ActiveX/SQL注入攻击状态检测防火墙防火墙用户用户服务器服务器用户初始化到服用户初始化到服务器的一个会话务器的一个会话该用户会话的后该用户会话的后续数据包被允许
16、续数据包被允许非用户建立外部非用户建立外部发起会话被拒绝发起会话被拒绝监控通信过程中的数据包监控通信过程中的数据包动态建立和删除访问规则动态建立和删除访问规则30状状态热备为避免防火墙故障导致网络不通,一般部署两台相同防火墙进行状态同步热备分为两种模式:主机/备机,主机/主机。两台防火墙互为对方的备份,通过“心跳”监控,当发现对方无法工作时,直接接管对方工作接管的切换时间一般为毫秒级,这样才能保障网络业务不中断DPtech ADPtech B黑名单黑名单系统表项系统表项状态表项状态表项黑名单黑名单系统表项系统表项状态表项状态表项心跳监控31主要内容主要内容n防火墙基本知识n防火墙技术n防火墙选
17、择n防火墙部署n典型配置案例32防火防火墙的的选择关关键指指标主要参考以下3种指标:防火墙性能选择:吞吐量、最大并发连接数、每秒新建连接数VPN性能:加密性能、最大并发连接数物理接口的选择:接口数量和速率,主要是考虑部署、HA和性能需求。33防火防火墙性能性能主要参考以下3种性能指标:1.整机吞吐量:指防火墙在状态检测机制下能够处理一定包长数据的最大转发能力,业界默认一般都采用大包衡量防火墙对报文的处理能力。2.最大并发连接数:由于防火墙是针对连接进行处理报文的,并发连接数目是指的防火墙可以同时容纳的最大的连接数目,一个连接就是一个TCP/UDP的访问。3.每秒新建连接数:指每秒钟可以通过防火
18、墙建立起来的完整TCP/UDP连接。该指标主要用来衡量防火墙在处理过程中对报文连接的处理速度,如果该指标低会造成用户明显感觉上网速度慢,在用户量较大的情况下容易造成防火墙处理能力急剧下降,并且会造成防火墙对网络攻击防范能力差。34VPN性能性能主要参考以下2种性能指标:1.加密性能:指VPN设备进行背靠背的连接时,能够以一定的加密算法对一定的包长数据的最大转发能力,业界默认一般都采用大包对这个指标进行衡量。2.最大并发隧道数:指在确定的某种VPN协议的前提下,VPN设备能够并发支持最多的虚拟隧道的数量,这些隧道决定了VPN设备能够提供的连接的设备和移动用户的数量。35主要内容主要内容n防火墙基
19、本知识n防火墙技术n防火墙选择n防火墙部署n典型配置案例36InternetDPtech 防火防火墙远程安全互程安全互联企业分支合作伙伴移动办公局域网A局域网BIPSec VPNSSL VPN防火墙部署在总部网络出口,方便分支和移动用户接入,同时可以为总部提供攻击防护和NAT功能相对固定的分支的出口也可以部署防火墙,可以提供更高的VPN接入性能37Internet边界防界防护防火防火墙最典型最典型应用用分支机构合作伙伴局域网C局域网A局域网BDPtech防火防火墙DPtech防火防火墙Internet移动办公用户DPtech防火防火墙DPtech防火防火墙提供最基本的安全防护功能,首先进行安全区域划分,在此基础上提供攻击防范、NAT、状态检测和VPN功能可以部署在路由器前后,一般建议部署在路由器后端。根据部署规模和可靠性要求,一般建议部署2台,进行状态热备,设备之间可以配置心跳线38数据中心防数据中心防护分支机构合作伙伴数据服务器群ADPtech防火防火墙InternetEmail Server.Web ServerDPtech防火防火墙数据服务器群B数据服务器群C为内部核心数据提供防护,通过安全区域划分,将内部数据中心提供访问控制;攻击防范也是基本需求,一般需要和IPS配合使用必须部署2台以上防火墙作为热备
