防火墙工作原理及应用课件.ppt

防火墙工作原理及应用文档ppt,防火墙的概念,防火墙（firewall）这个术语来自建筑结构的安全技术。在网络系统中，所谓“防火墙”，是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术，起到内部网与Internet之间的一道防御屏障。,网络防火墙,防火墙的功能,访问控制防止外部攻击 进行网络地址转换提供日志与报警 对用户身份认证,防火墙的历史,最早的防火墙技术几乎与路由器同时出现，采用了分组过滤（packet filter）技术；1992年，南加洲大学（University of Southern California，USC）信息科学院的Bob.Braden开发出了基于动态分组过滤（dynamic packet filter）技术的第4代防火墙，后来演变为状态监视（stateful inspection）技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。1998年，美国的网络联盟公司（network associates inc，NAI）推出了一种自适应代理（adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中实现，给代理类型的防火墙赋予了全新的意义，可以称之为第5代防火墙。,防火墙的原理,防火墙的主要目的是为了隔离外部网（Internet）和内部网（Extranet），以保护网络的安全；从TCP/IP参考模型的网络结构来看，防火墙是建立在不同分层结构上的、具有一定安全级别和执行效率的安全通信技术；按照网络分层结构的实现思想，若防火墙所采用的通信协议栈其层次越低，所能检测到的通信资源越少，其安全级别也就越低，但其执行效率却较好。反之，如果防火墙所采用的通信协议栈其层次越高，所能检测到的通信资源越多，其安全级别也就越高，但其执行效率却较差。,防火墙分类,实现技术方式从实现技术方式的不同，防火墙可分为“分组过滤型”防火墙和“应用代理型”防火墙两大体系。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表，后者以NAI公司的Gauntlet防火墙为代表。应用对象的不同 分为企业级防火墙与个人防火墙；实现形态上的不同分为软件防火墙、硬件防火墙和芯片级放火墙。,防火墙的组成及位置,组成可以由一台路由器、一台PC或者一台主机构成，也可以是由多台主机构成的体系；位置一般将防火墙放置在网络的边界；有时在网络边界内部也应该部署防火墙，以便为特定主机提供额外的、特殊的保护；,防火墙的局限性,防火墙不能防范不经过防火墙的攻击；防火墙不能防止来自内部的攻击。防火墙只能按照对其配置的规则进行有效的工作，一个过于随意的规则可能会减弱防火墙的功效；防火墙不能防止感染了病毒的软件或文件的传输；防火墙不能修复脆弱的管理措施或者设计有问题的安全策略；防火墙可以阻断攻击，但不能消灭攻击源；防火墙不能抵抗最新的未设置策略的攻击漏洞；防火墙的并发连接数限制容易导致拥塞或者溢出；防火墙对服务器合法开放的端口的攻击大多无法阻止；防火墙本身也会出现问题和受到攻击；,防火墙的发展趋势,设计新的防火墙的技术架构是未来发展方向。采用数据加密技术的，使安全地合法访问。混合使用分组过滤技术、代理服务技术和其他的一些新技术。新的IP协议IPv6的应用将对防火墙的建立与运行产生深刻的影响。分布式防火墙。,其特点是完全“隔离”了网络的通信，通过对每一种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用;新的IP协议IPv6的应用将对防火墙的建立与运行产生深刻的影响。堡垒主机过滤（screened host）体系结构也称作屏蔽主机体系结构或者筛选主机体系结构，由一个单独屏蔽路由器和内部网络上的堡垒主机共同构筑防火墙，主要通过数据分组过滤技术实现内、外网的隔离和对内部网络的保护。其次，想要达到什么安全等级的的监测和控制；内、外部网之间的通信必须经过堡垒主机；防火墙不能防止感染了病毒的软件或文件的传输；内外网之间不能直接通信；早先代理服务器用于将常用的页面存储在缓冲区中，以便提高网络通信的速度。分组过滤是一种安全筛选机制，它控制哪些数据包可以进出网络而哪些数据包应被网络所拒绝。Checkpoint FireWall1防火墙不能防止来自内部的攻击。其中一个连接是网关到内部主机，另一个是网关到外部主机；,4.2防火墙技术,分组过滤技术代理服务器技术应用网关技术电路级网关技术状态监测技术网络地址转换技术,分组过滤技术,分组过滤（packet filter）是所有防火墙中最核心的功能，进行分组过滤的标准是根据安全策略制定的；分组过滤型防火墙工作在TCP/IP网络参考模型的网络层和传输层；,分组过滤技术,分组过滤原理 分组过滤通常安装在路由器上，并且大多数商用路由器都提供了分组过滤的功能。分组过滤是一种安全筛选机制，它控制哪些数据包可以进出网络而哪些数据包应被网络所拒绝。通常情况下靠网络管理员在防火墙设备的ACL中设定。,因为分组过滤技术是在TCP/IP层实现的，所以分组过滤的一个很大的弱点是不能在应用层级别上进行过滤，所以防护方式比较单一。合并堡垒主机与内部路由器合并堡垒主机与内部路由器用一台装有两块网卡的堡垒主机做防火墙，两块网卡各自与内部网和Internet相连；堡垒主机过滤体系结构DMZ通过隔离内外网络，并为内、外网之间的通信起到缓冲作用。防火墙的抗攻击能力网络安全的保证；将DMZ置于公网和防火墙之间为了配置和管理方便，通常将内部网中需要向外部提供服务的服务器设置在单独的网段，这个网段被称为非军事区（demilitarized zone，DMZ），也被称为停火区或周边网络。围绕流过滤平台，东软构建了网络安全响应小组、应用升级包开发小组、网络安全实验室，不仅带给用户高性能的应用层保护，还包括新应用的及时支持，特殊应用的定制开发，安全攻击事件的及时响应等；,分组过滤技术,分组过滤技术的特点 因为CPU用来处理分组过滤的时间相对很少，且这种防护措施对用户透明，合法用户在进出网络时，根本感觉不到它的存在，使用起来很方便。因为分组过滤技术不保留前后连接信息，所以很容易实现允许或禁止访问。因为分组过滤技术是在TCP/IP层实现的，所以分组过滤的一个很大的弱点是不能在应用层级别上进行过滤，所以防护方式比较单一。,分组过滤技术发展阶段,第一代静态分组过滤类型防火墙第二代动态分组过滤类型防火墙 动态分组过滤（dynamic packet filter）也叫状态分组检查（stateful packet inspection，SPI）或者有状态分组过滤；,代理服务器技术,早先代理服务器用于将常用的页面存储在缓冲区中，以便提高网络通信的速度。后来代理服务器逐渐发展为能够提供强大安全功能的一种技术。代理服务器防火墙作用在应用层，针对每一个特定应用都有一个程序，通过代理可以实现比分组过滤更严格的安全策略。,应用级网关技术,应用级网关（application gateway）型防火墙主要工作在OSI参考模型的最高层，即应用层;其特点是完全“隔离”了网络的通信，通过对每一种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用;,应用级网关技术,工作原理 应用网关接受内、外部网络的通信数据包，并根据自己的安全策略进行过滤，不符合安全协议的信息被拒绝或丢弃；通过自身（网关）复制传递数据，防止在内部网主机与Internet主机间直接建立联系；能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和审核；,电路级网关技术,电路级网关也被称为线路级网关，它工作在会话层。它在两个主机首次建立TCP连接时创建一个电子屏障。工作原理 电路级网关通过在TCP三次握手建立连接的过程中，监视两主机建立连接时的握手信息，检查双方的SYN、ASK和序列号是否合乎逻辑，来判断该请求的会话是否合法。一旦网关认为会话是合法的，就为双方建立连接，并维护一张合法会话连接表，当会话信息与表中的条目匹配时才允许数据通过，会话结束后，表中的条目就被删除；,电路级网关技术,工作过程 电路级网关依靠特定的逻辑来判断是否允许数据包通过，但其不允许内、外网的计算机直接建立连接，也就是不允许TCP端到端的连接，通常需要建立两个连接；其中一个连接是网关到内部主机，另一个是网关到外部主机；一旦两个连接被建立，网关只简单地进行数据中转；,状态检测技术,状态检测防火墙是在有状态分组过滤防火墙基础上发展起来的一种新的防火墙技术，是分组过滤器和应用级网关的一种折中方案；既具有分组过滤防火墙的速度和灵活，也有应用网关防火墙的安全优点；,状态监测技术,状态检测防火墙工作原理 状态检测技术首先由CheckPoint公司提出并实现；状态检测防火墙利用一个检测模块从网络层捕获数据包，并抽取与应用层状态有关的信息，并以此作为决定对该连接是接受还是拒绝依据；检测模块维护一个动态的状态信息表，当数据到达防火墙的接口时，防火墙判断数据包是不是一个已经存在的连接，如果是就对数据包进行特征检测，并依据策略是否允许通过，如果允许就转发到目的端口并记录日志，否则就丢弃；,网络地址转换技术,网络地址转换（NAT）技术是Internet网络应用中一项非常实用的技术，也就是说一种将一个IP地址域映射到另一个IP地址域的技术，从而为终端主机提供透明路由。,4.3防火墙体系结构,目前，最常见的防火墙体系结构有以下4种。分组过滤路由器体系结构；双宿主主机体系结构；堡垒主机过滤体系结构；被屏蔽子网体系结构；,相关术语,堡垒主机“堡垒”一词来源于中世纪，得名于古代战争中用于防守的坚固堡垒，用于发现和抵御攻击者的进攻；在网络中堡垒主机（bastion host）是经过加固，配置了安全防范措施，但没有IP转发功能的计算机，为网络之间的通信提供了一个阻塞点；在防火墙体系结构中，堡垒主机应该位于内部网的边缘，且高度暴露于外部网络用户面前；,非军事区,为了配置和管理方便，通常将内部网中需要向外部提供服务的服务器设置在单独的网段，这个网段被称为非军事区（demilitarized zone，DMZ），也被称为停火区或周边网络。DMZ是防火墙的重要概念，在实际应用中经常用到。DMZ位于内部网之外，使用与内部网不同的网络号连接到防火墙，并对外提供公共服务。DMZ通过隔离内外网络，并为内、外网之间的通信起到缓冲作用。,创建DMZ的方法,使用三脚防火墙将DMZ置于公网和防火墙之间将DMZ置于防火墙之外，但不在公网和防火墙之间的通道上两个防火墙，一个DMZ“脏”DMZ,三脚防火墙创建DMZ,DMZ置于公网和防火墙之间,DMZ置于防火墙之外不在公网和防火墙之间的通道上,两个防火墙一个DMZ,“脏”DMZ,分组过滤路由器体系结构,分组过滤路由器（packet filtering router）又称屏蔽路由器（screening router）或筛选路由器，是最简单、最常见的防火墙。工作模式 分组过滤路由器通过在Internet和内部网之间放置一个路由器。在路由器上安装分组过滤软件，实现分组过滤功能。分组过滤路由器可以由厂家专门生产的路由器实现，也可以用主机来实现。,双宿主主机体系结构,双宿主主机体系结构（dual homed host）又称双重宿主主机体系结构，是围绕双宿主的堡垒主机构筑的，其双宿主主机至少有两个网络接口。工作模式 用一台装有两块网卡的堡垒主机做防火墙，两块网卡各自与内部网和Internet相连；内、外部网之间的通信必须经过堡垒主机；必须禁用路由选择功能，这样防火墙两边的网络才可以只与双宿主主机通信；内外网之间不能直接通信；,双宿主主机体系结构优缺点,优点 网络结构简单，由于内、外网络之间没有直接的数据通信，网络较为安全；双宿主主机体系结构相对于分组过滤路由器来说，堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程管理日志；采用应用层代理机制，可以方便形成应用层的数据与信息过滤；由于存在内部用户账号，可以保证对外资源进行有效控制；,堡垒主机过滤体系结构,堡垒主机过滤（screened host）体系结构也称作屏蔽主机体系结构或者筛选主机体系结构，由一个单独屏蔽路由器和内部网络上的堡垒主机共同构筑防火墙，主要通过数据分组过滤技术实现内、外网的隔离和对内部网络的保护。,堡垒主机过滤体系结构,工作模式 使用一个路由器把内部网和外部网隔离，其有两道防线，一道是屏蔽路由器，另一道是堡垒主机；屏蔽路由器位于网络的最边缘，负责与外网进行连接，并参与外网的的路由计算，仅提供路由和数据分组过滤功能，不提供任何服务，本身比较安全；堡垒主机安置在内部网络中，是内部网络系统连接到外部网络系统主机的唯一通道，同时也是外部用户访问内部网络资源必须经过的主机设备；内部用户只能通过应用层代理来访问外部网络，堡垒主机就成为外部用户唯一可以访问内部的主机；,被屏蔽子网体系结构,被屏蔽子网（screened subnet）体系结构也称为子网过滤体系结构或者筛选子网体系结构，是在堡垒主机过滤体系结构的基础上再加一个路由器，两个屏蔽路由器分别放在子网的两端，形成一个被称为周边网络或非军事区（DMZ）的子网，即在内部网络和外部网络之间建立一个被隔离的子网。,组合体系结构,构造防火墙时，针对不同问题可以采用多种技术的的组合。多堡垒主机合并内部路由器与外部路由器合并堡垒主机与外部路由器合并堡垒主机与内部路由器使用多台外部路由器使用多个周边网络,多堡垒主机,合并内部路由器与外部路由器,合并堡垒主机与外部路由器,合并堡垒主机与内部路由器,使用多台外部路由器,使用多个周边网络,4.4防火墙选型与产品简介,防火墙技术发展到现在，其争的焦点主要是在以下四个方面防火墙的管理网络安全的关键；防火墙的功能防火墙应用的基础；防火墙的性能提高网络传输效率的条件；防火墙的抗攻击能力网络安全的保证；,防火墙的安全策略,一个有效的防火墙依赖于一个明确的、清楚的、全面的安全策略。设计安全系统时，首先应该考虑的是安全策略而不是防火墙；安全策略建立了全方位的防御体系来保护机构的信息资源。所有可能受到网络攻击的地方都必须以同样的安全级别加以保护；,防火墙的选型原则,市场上防火墙的售价极为悬殊，从数万元到数十万元，甚至到百万元不等，各种防火墙的技术性能指标相差甚远；首先，应该明确选择防火墙目的是什么？哪些数据需要保护？想要如何操作这个系统；其次，想要达到什么安全等级的的监测和控制；第三，要考虑费用问题。安全性越高，实现越复杂，费用也相应的越高，费用与安全性的折中是不可避免。,典型防火墙产品介绍,Checkpoint FireWall1Check Point 软件技术有限公司成立于1993年，国际总部在以色列的莱莫干（Ramantgan）市，美国总部位于加利福尼亚州红木城（Redwood）；Check Point已经成为防火墙软件的代名词，它推出并持有专利的状态监测技术是网络安全性技术的事实标准Check Point的成名部分原因归功于它的安全性开放式平台（open platform for security，OPSEC）；FireWall1 是Check Point网络安全性产品线中最重要的产品，也是业界领先的企业级安全性套件。它集成了访问控制、用户认证、NAT、VPN、内容安全性、审计和报告等特性；,典型防火墙产品介绍,Cisco PIX Firewall 1984年成立于斯坦福大学的思科系统公司，Cisco公司（Cisco systems inc.）是全球领先的互联网设备供应商；1995年思科兼并了一个利用状态检测为计算机网络提供安全保障的生产即插即用的硬件设备厂商 NTI（network translations inc.）。6年后，PIX成为防火墙市场的领导者；保密互连交换（private internet exchange，PIX），的作用是防止外部网非授权用户访问内部网。多数PIX都可以有选择地保护一个或多个DMZ。；内部网、外部网和DMZ之间的连接由PIX Firewall控制；,典型防火墙产品介绍,东软NetEye 于1991年在东北大学创立的东软集团是中国领先的软件与解决方案提供商；东软NetEye防火墙基于专门的硬件平台，使用专有的ASIC芯片和专有的操作系统，基于状态分组过滤的“流过滤”体系结构；围绕流过滤平台，东软构建了网络安全响应小组、应用升级包开发小组、网络安全实验室，不仅带给用户高性能的应用层保护，还包括新应用的及时支持，特殊应用的定制开发，安全攻击事件的及时响应等；,4.4防火墙应用案例,DMZ区域和外网的访问控制应用案例某企业防火墙部署应用案例,DMZ与外部网络的访问控制,某企业防火墙部署应用案例,谢谢观看！,