收藏
下载资源

《防火墙技术》PPT课件

上传人:cl****1 文档编号:579226527 上传时间:2024-08-26 格式:PPT 页数:78 大小:2.62MB
返回 下载 相关 举报
《防火墙技术》PPT课件_第1页
第1页 / 共78页
《防火墙技术》PPT课件_第2页
第2页 / 共78页
《防火墙技术》PPT课件_第3页
第3页 / 共78页
《防火墙技术》PPT课件_第4页
第4页 / 共78页
《防火墙技术》PPT课件_第5页
第5页 / 共78页
点击查看更多>>
资源描述

《《防火墙技术》PPT课件》由会员分享,可在线阅读,更多相关《《防火墙技术》PPT课件(78页珍藏版)》请在金锄头文库上搜索。

1、防火墙技术 本课程的基本内容防火墙的原理与分类防火墙系统的设计原则防火墙的选择与维护网络的安全系统设计防火墙的原理内 容Internet的安全风险Internet的基本安全概念防火墙的重要性防火墙的基本概念防火墙的基本功能防火墙的局限性防火墙的分类Internet的安全风险纷繁复杂的Internet网络复杂用户层次复杂情况瞬息变化企业网络出于商业目的向公众开放TCP/IP协议的自身弱点攻击工具非常容易取得安全教育严重不足一个典型的攻击者工具包网络扫描器(network scanner)强力口令破解和常用字典口令破解报文监听(sniffer)特洛伊木马程序和运行库(Trojan)选择性修改系统日

2、志的工具隐藏活动的工具自动修改系统配置文件的工具报告错误信息的检验和工具(bogus chksum)Internet上没有人能免于攻击政府企业个人Internet的基本安全概念资源和信息ConfidentialityIntegrityAvailability接触资源和信息的人AuthenticationAuthorizationNonrepudiation防火墙的基本概念什么是防火墙?防火墙是在一个组织的网络和Internet之间执行安全策略的一个或一组系统。我们希望防火墙具有的功能过滤不安全因素,拒敌于国门之外加强安全认证,控制资源和信息的使用在安全认证的基础上,实现访问授权减轻主机安全控制

3、和安全配置的负担提前发现攻击意图,防患于未然记录攻击者的行踪,为法律解决提供依据防火墙的基本功能数据包过滤服务代理加密认证记录和报警VPN和带宽管理数据包的过滤过滤的原理数据传输的分层与报头的结构物理链路层-Network access layer以太网,FDDI,ATM网络层-Internet layerIP传输层-Transport LayerTCP or UDP应用层-Application LayerFTP, Telnet, HTTP防火墙的过滤原理数据包的过滤ApplicationApplicationPresentationPresentationSessionSessionTra

4、nsportTransportDataLinkDataLinkPhysicalPhysicalDataLinkDataLinkPhysicalPhysicalFirewallFirewallApplicationApplicationPresentationPresentationSessionSessionTransportTransportDataLinkDataLinkPhysicalPhysicalNetworkNetworkTransport物理层数据报头的结构物理报头:以太网,FDDI,ATM等IP报头结构TCP数据报头过滤的种类基于源IP地址和目标IP地址的过滤基于协议和端口的过

5、滤配合其他设备实现基于url的过滤和病毒的过滤过滤讲解Telnet过滤讲解Telnet数据包过滤的优点成本较低对上层服务协议透明处理速度相对较快,尤其是在一些专用防火墙设备上可以保证用户的接入速度。数据包过滤的缺点当过滤策略较多的时候,不容易掌握,并且会降低数据包转发效率。容易成为IP Spoofing技术的攻击对象需要系统管理员具有较丰富的TCP/IP网络管理的经验不能控制基于上层服务的攻击在单独承担防火墙系统功能时,安全性较差设置过滤需要考虑的问题过滤处理的速度可以检查的内容实现过滤规则的顺序是否可以将规则独立的实施在每一个硬件设备的端口记录测试和验证功能代 理代理的原理内部用户能够通过它

6、来实现对外部网络的交互访问。代理服务的种类应用层代理服务回路层代理服务代理服务的工作原理应用层代理服务应用层代理服务器(Proxy)ApplicationPresentationSessionTransportDataLinkPhysicalNetworkDataLinkPhysicalApplicationPresentationSessionTransportDataLinkPhysicalApplicationPresentationSessionTransportNetworkNetworkTelnetHTTPFTPFirewallFirewall应用层代理服务器的优点优点:优点:相对

7、较高的安全性可以实现访问的身份认证可以在应用层控制服务的等级,权限ApplicationPresentationSessionTransportNetworkData LinkPhysical应用层代理服务器的缺点缺点:缺点:性能较差,速度慢每种访问服务需要单独的代理服务器用户不透明ApplicationPresentationSessionTransportNetworkData LinkPhysical回路层代理服务全状态检测(Stateful Inspection)ApplicationApplicationPresentationPresentationSessionSessionTr

8、ansportTransportDataLinkDataLinkPhysicalPhysicalDataLinkDataLinkPhysicalPhysicalApplicationApplicationPresentationPresentationSessionSessionTransportTransportDataLinkDataLinkPhysicalPhysicalNetworkNetworkNetworkNetworkNetworkNetworkPresentationPresentationSessionSessionTransportTransportEngineEngine

9、INSPECTINSPECTApplicationApplicationDynamic Dynamic State TablesState TablesStateful Inspection优点Good SecurityHigh PerformanceFull Application-layer AwarenessScalabilityExtensibleTransparencyApplicationPresentationSessionTransportNetworkData LinkPhysical地址翻译-NAT(一)RFC1918规定了私有地址下面三类地址不能用于Internet主机地

10、址地址翻译-NAT(二)实现方式静态地址翻译动态地址翻译端口地址翻译(PAT)优点:节约地址资源,有一定的安全保护作用缺点:有些服务不能支持NAT-静态地址翻译NAT-端口地址翻译记 录记录的重要性分析记录提前发现安全隐患分析记录提供入侵证据分析记录提供相关事件报告记录文档的保存安全便于检查其他功能加密认证VPN带宽管理 新一代网络防火墙一种平台完成多种功能实现对IP,TCP,Session,Application的全面检查(病毒/Url 过滤)多种记录和报警方式开放平台可以和其他网络设备结合实现全面安全网络解决方案防火墙的局限性防火墙不能防范未知的攻击方式(最新)时刻关注TCP/IP攻击技术

11、的发展防火墙不能防范不经过防火墙的攻击确认防火墙是对外的唯一连接防火墙自身不能防范病毒可以配合其他病毒监测设备实施病毒扫描和清除防火墙的分类(一)应用功能网关型防火墙服务代理加密认证地址翻译VPN和带宽管理防火墙的分类(二)设备类型软件防火墙基于操作系统之上,对系统进行加固强调功能全面,支持多种应用服务;FW1, Checkpoint Corp.Borderware, SecureComputingTISFW, TIS硬件防火墙专用操作系统,硬件结构简单,处理速度快。PIX, CiscoNetScreen NetScreen Inc.防火墙的应用设计和维护课程内容防火墙的设计原则防火墙的安全策

12、略常见的防火墙设计防火墙的日常维护安全不是PnP了解防火墙产品的特性了解网络对外的开放程度了解恶意进攻手段现代信息安全系统现代信息安全系统防火墙合适的安全策略全体人员的参与防火墙的应用设计原则Affordability 我准备为安全支付多少费用?Functionality我是否还能使用我的资源?Cultural Compatibility是否符合人们的工作方式?Legality是否合法?防火墙的应用设计原则几个问题Who is allowed to use the resources?What is the proper use of the resources?Who may have sy

13、stem administration privileges?What are the user s rights and responsibilities?What do you do with sensitive information?What happens when the policy is violated?防火墙的应用原则两种缺省选择没有被明确允许的即为禁止没有被明确禁止的即为允许防火墙的安全策略防火墙的物理安全防火墙的认证加密防火墙的过滤策略防火墙的预警能力防火墙的记录设置名词解释堡垒主机(Bastion Host)一个高度安全的计算机系统。通常是暴露于外部网络,作为连接内部

14、网络用户的桥梁,易受攻击。双重宿主主机(Dual-homed Host)有至少两个以上的网络接口的计算机系统周边网络(Perimeter Network or DMZ)在被保护的网络和外部网络之间增加的网络,提供安全的隔离带,也称为非军事区防火墙主要功能过滤进、出网络的数据管理进、出网络的访问行为封堵某些禁止的业务记录通过防火墙的信息内容和活动对网络攻击进行检测和报警常见的防火墙系统设计内部工作子网与外网的访问控制进 行 访问 规 则检查发起 访问请求合法请求则允许对外访问将访问记录写进日志文件合法请求则允许对外访问发起访问请求防火墙在此处的功能:防火墙在此处的功能:1 1、工作子网与外部子网

15、的物理、工作子网与外部子网的物理 隔离隔离2 2、访问控制、访问控制3 3、对工作子网做、对工作子网做NATNAT地址转换地址转换4 4、日志记录、日志记录 Internet Internet 区域区域InternetInternet边界路由器边界路由器DMZDMZ区域区域WWW Mail DNS内部工作子网内部工作子网管理子网一般子网内部WWW重点子网 Internet Internet 区域区域InternetInternet边界路由器边界路由器DMZ区域与外网的访问控制进 行 访问 规 则检查发起 访问请求合法请求则允许对外访问将访问记录写进日志文件禁止对外发起连结请求发起访问请求防火墙

16、在此处的功能:防火墙在此处的功能:防火墙在此处的功能:防火墙在此处的功能:1 1、DMZDMZ网段与外部子网的物理隔离网段与外部子网的物理隔离网段与外部子网的物理隔离网段与外部子网的物理隔离2 2、访问控制、访问控制、访问控制、访问控制3 3、对、对、对、对DMZDMZ子网做子网做子网做子网做MAPMAP映射映射映射映射4 4、日志记录、日志记录、日志记录、日志记录DMZDMZ区域区域WWW Mail DNS内部工作子网内部工作子网管理子网一般子网内部WWW重点子网内部工作子网与DMZ区的访问控制进 行 访问 规 则检查发起 访问请求合法请求则允许对外访问将访问记录写进日志文件禁止对 工作子网

17、 发起连结 请求防火墙在此处的功能:防火墙在此处的功能:1 1、DMZDMZ网段与工作子网的物理隔离网段与工作子网的物理隔离2 2、访问控制、访问控制4 4、日志记录、日志记录发起 访问请求 Internet Internet 区域区域InternetInternet边界路由器边界路由器DMZDMZ区域区域WWW Mail DNS内部工作子网内部工作子网管理子网一般子网内部WWW重点子网拨号用户对内部子网的访问控制拨号服务器Cisco 2620移动用户PSTNModemModem进行一次性口令认证认证通过后允许访问 内网防火墙在此处的功能:防火墙在此处的功能:防火墙在此处的功能:防火墙在此处的

18、功能:1 1、对拨号用户进行一次性口令认证、对拨号用户进行一次性口令认证、对拨号用户进行一次性口令认证、对拨号用户进行一次性口令认证2 2、控制拨号用户对内网的访问权限、控制拨号用户对内网的访问权限、控制拨号用户对内网的访问权限、控制拨号用户对内网的访问权限3 3、对拨号用户的访问做日志和审计、对拨号用户的访问做日志和审计、对拨号用户的访问做日志和审计、对拨号用户的访问做日志和审计将访问记录写进日志文件用户拨号内部工作子网内部工作子网管理子网一般子网内部WWW重点子网下属机构对总部的访问控制拨号服务器拨号服务器PSTNPSTN Internet Internet 区域区域InternetInt

19、ernet边界路由器边界路由器内部工作子网内部工作子网管理子网一般子网内部WWW重点子网下属机构下属机构DDN/FRDDN/FRX.25X.25专线专线DMZDMZ区域区域WWW Mail DNSFW+VPNFW+VPN进行规则检查将访问记录写进日志文件防火墙在此处的功能:防火墙在此处的功能:防火墙在此处的功能:防火墙在此处的功能:1 1、将内部子网与连接下属机构的公网隔离开、将内部子网与连接下属机构的公网隔离开、将内部子网与连接下属机构的公网隔离开、将内部子网与连接下属机构的公网隔离开2 2、控制下属机构子网用户对总部内网的访问、控制下属机构子网用户对总部内网的访问、控制下属机构子网用户对总

20、部内网的访问、控制下属机构子网用户对总部内网的访问3 3、对下属机构网络与总部子网之间的通讯做日志和审计、对下属机构网络与总部子网之间的通讯做日志和审计、对下属机构网络与总部子网之间的通讯做日志和审计、对下属机构网络与总部子网之间的通讯做日志和审计Host C Host D 数据包数据包数据包数据包数据包查找对应的控制策略拆开数据包进行分析根据策略决定如何处理该数据包数据包控制策略v 基于源基于源IP地址地址v 基于目的基于目的IP地址地址v 基于源端口基于源端口v 基于目的端口基于目的端口v 基于时间基于时间v基于用户基于用户v 基于流量基于流量可以灵活的制定的控制策略包过滤包过滤基于时间的

21、访问控制基于时间的访问控制基于时间的访问控制基于时间的访问控制Host C Host D 在防火墙上制定基于时间的访问控制策略上班时间不允许访问Internet上班时间可以访问公司的网络Internet用户级权限控制用户级权限控制用户级权限控制用户级权限控制Host C Host D Host B Host A 受保护网络Internet PermitPasswordUsername预先可在防火墙上设定用户root123root123Yesadmin883No不管那台电脑都可以用相同的用户名来登陆防火墙只需在防火墙设置该用户的规则即可 高层协议控制v 应用控制可以对常用的高层应用做更细的控制v

22、 如HTTP的GET、POST、HEADv 如FTP的GET、PUT等物理层链路层网络层传输层会话层表示层应用层物理层链路层网络层传输层会话层表示层应用层内部网络外部网络防火墙内部接口外部接口根据策略检查应用层的数据符合策略应用层应用层应用层IP与与MAC绑定绑定InternetHost A 199.168.1.2Host B199.168.1.3Host C199.168.1.4Host D199.168.1.500-50-04-BB-71-A600-50-04-BB-71-BCBind 199.168.1.2 To 00-50-04-BB-71-A6Bind 199.168.1.4 To

23、00-50-04-BB-71-BCIP与MAC地址绑定后,不允许Host B假冒Host A的IP地址上网防火墙允许Host A上网NATNAT转换转换转换转换&IP&IP复用复用复用复用InternetInternet202.102.93.54Host A受保护网络Host C Host D 192.168.1.21192.168.1.25防火墙Eth2:192.168.1.23Eth0:101.211.23.1数据IP报头数据IP报头源地址:192.168.1.21目地址:202.102.93.54源地址:101.211.23.1目地址:202.102.93.54101.211.23.2v

24、 隐藏了内部网络的结构v 内部网络可以使用私有IP地址v 公开地址不足的网络可以使用这种方式提供IP复用功能流量控制流量控制流量控制流量控制Host C Host D Host B Host A 受保护网络Host A的流量已达到 10MHost A的流量已达到 极限值30M阻断Host A的连接Internet 端口映射端口映射端口映射端口映射Internetv 公开服务器可以使用私有地址v 隐藏内部网络的结构WWW 199.168.1.2FTP 199.168.1.3MAIL 199.168.1.4DNS 199.168.1.5199.168.1.612.4.1.5202.102.1.31

25、99.168.1.2:80202.102.1.3:80199.168.1.3:21202.102.1.3:21199.168.1.4:25202.102.1.3:25199.168.1.5:53202.102.1.3:53http:/199.168.1.2http:/202.102.1.3透明接入透明接入受保护网络Internet如果防火墙支持透明模式,则内部网络主机的配置不用调整Host A 199.168.1.2Host C199.168.1.4Host D199.168.1.5Host B199.168.1.3199.168.1.8同一网段透明模式下,这里不用配置IP地址透明模式下,这里

26、不用配置IP地址Default Gateway=199.168.1.8防火墙相当于网桥,原网络结构没有改变信息审计信息审计信息审计信息审计&日志日志日志日志Host A 199.168.1.2Host B199.168.1.3Host C199.168.1.4Host D199.168.1.5Internet安全网域Host G Host H TCP202.102.1.2199.168.1.28:302001-02-07202.102.1.2202.102.1.3TCP202.102.1.3199.168.1.59:102001-02-07写入日志写入日志一旦出现安全事故可以查询此日志身份鉴别

27、身份鉴别身份鉴别身份鉴别Host C Host D Host B Host A 受保护网络Internet PermitPasswordUsername预先可在防火墙上设定用户rootasdasdf验证通过则允许访问root123Yesadmin883Nov 用户身份认证v 根据用户控制访问双机热备双机热备内部网外网或者不信任域Eth 0Eth 0Eth1Eth1Eth2Eth2心跳线Active FirewallStandby Firewall检测Active Firewall的状态发现出故障,立即接管其工作 正常情况下由主防火墙工作主防火墙出故障以后,接管它的工作安全远程管理安全远程管理安

28、全网域Host C Host D Internet管理员黑客如何实现安全管理呢采用一次性口令认证来实现安全管理用户名,口令用户名,口令Key Note尽可能检验每一条安全策略的效果,验证它们实施的顺序尽可能使内部网络相互之间的访问对防火墙系统不可见。现有的防火墙系统已经大都具有支持三个隔离网段的功能。可以考虑将公共服务放置在DMZ防火墙的日常维护防火墙的备份安全策略的备份硬件设备的备份制定相应的应急措施定期检查Syslog保持防火墙的随时技术更新防火墙产品的介绍课程内容防火墙产品的分类商用防火墙产品CheckpointCiscoNetscreenSecure ComputingSecurity Dynamic产品的分类网关类型硬件:Cisco PIX,Netscreen软件:TISFWK综合类型CKP FW1;Secure Computing Q&A!

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 高等教育 > 研究生课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号