计算机网络安全基础-防火墙基础.ppt

《计算机网络安全基础-防火墙基础.ppt》由会员分享，可在线阅读，更多相关《计算机网络安全基础-防火墙基础.ppt（89页珍藏版）》请在三一办公上搜索。

1、一个典型的防火墙使用形态,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,合法请求则允许对外访问,发起访问请求,Internet 区域,Internet,边界路由器,防火墙在此处的功能：1、工作子网与外部子网的物理 隔离2、访问控制3、对工作子网做NAT地址转换4、日志记录,防火墙示意图,1.企业内联网,2.部门子网,3.分公司网络,防火墙是什么,在一个受保护的内部网络与互联网间,用来强制执行企业安全策略的一个或一组系统.,防火墙主要用于保护内部安全网络免受外部网不安全网络的侵害。典型情况：安全网络为企业内部网络，不安全网络为因特网。但防火墙不只用于因特网，也可

2、用于Intranet各部门网络之间（内部防火墙）。例：财务部与市场部之间。,防火墙概念（1）,最初含义：当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙。Rich Kosinski(Internet Security公司总裁）：防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问。换句话说，防火墙是一道门槛，控制进/出两个方向的通信。,William Cheswick和Steve Beilovin（1994）：防火墙是放置在两个网络之间的一组组件，这组组件共同具有下列性质：只允许本地安全策略授权的通信信息通过

3、双向通信信息必须通过防火墙防火墙本身不会影响信息的流通,防火墙概念（2）,防火墙概念（3）,简单的说，网络安全的第一道防线 防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。,防火墙的概念（4）,在逻辑上，防火墙是分离器，限制器，也是一个分析器，有效地监控了内部网和外部网之间的任何活动，保证了内部网络的安全。在物理上，防火墙通常是一组硬件设备路由器、主计算机，或者是路由器、计算机和配有软件的网络的组合。防火墙一般可分为多个部

4、分，某些部分除了执行防火墙功能外还执行其它功能。如：加密和解密VPN。,防火墙概念（5）,防火墙的实质是一对矛盾（或称机制)：限制数据流通允许数据流通两种极端的表现形式：除了非允许不可的都被禁止，安全但不好用。（限制政策）除了非禁止不可的都被允许，好用但不安全。（宽松政策）多数防火墙都在两种之间采取折衷。,防火墙实现层次,防火墙的基本功能模块,应用程序代理,包过滤&状态检测,用户认证,NAT,VPN,日志,IDS与报警,内容过滤,防火墙的主要功能,防火墙的功能,过滤进出网络的数据,管理进出网络的访问行为,封堵某些禁止的业务,记录进出网络的信息和活动,对网络攻击进行检测和告警,Internet防

5、火墙的作用,Internet防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户，如黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。Internet防火墙能够简化安全管理，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。在防火墙上可以很方便的监视网络的安全性，并产生报警。应该注意的是：对一个内部网络已经连接到Internet上的机构来说，重要的问题并不是网络是否会受到攻击，而是何时会受到攻击。网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录，防火墙就形同虚设。在这种情况下，网络管

6、理员永远不会知道防火墙是否受到攻击。,Internet防火墙的作用,Internet防火墙可以作为部署NAT(Network Address Translator，网络地址变换）的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题，并消除机构在变换ISP时带来的重新编址的麻烦。Internet防火墙是审计和记录Internet使用量的一个最佳地方。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈的位置，并能够根据机构的核算模式提供部门级的记费。Internet防火墙也可以成为向客户发布信息的地点。Internet防火墙作为部署WWW服务器和FTP服务器的地点非

7、常理想。还可以对防火墙进行配置，允许Internet访问上述服务，而禁止外部对受保护的内部网络上其它系统的访问。,防火墙的作用示意图,目前合法的IP地址已经远远不够使用，许多公司内部使用的都是非法的IP地址，无法直接与外界相连。防火墙能够将内部使用的非法IP地址与对外真正的IP作转换。使现在使用的IP无需变动，也能够与外界相通。防火墙提供一对一（NAT）及多对一（PAT）的地址转换，可保护及隐藏内部网络资源并减少由于架设网络防火墙所引起的IP地址变动，方便网络管理，并可以解决IP地址不足的问题。,地址翻译(NAT),网络地址转换技术（NAT）,NAT（Network Address Trans

8、lation）:就是将一个IP地址用另一个IP地址代替。应用领域：网络管理员希望隐藏内部网络的IP地址。内部网络的IP地址是无效的IP地址。合法Internet IP地址有限，而且受保护网络往往有自己的一套IP地址规划（非正式IP地址）,网络地址转换技术（NAT）,解决方法：网络地址转换器就是在防火墙上装一个合法IP地址集。当内部某一用户要访问Internet时，防火墙动态地从地址集中选一个未分配的地址分配给该用户；同时，对于内部的某些服务器如Web服务器，网络地址转换器允许为其分配一个固定的合法地址。好处：缓解IP地址匮乏问题；对外隐藏了内部主机的IP地址，提高了安全性。,防火墙网关,NAT

9、技术中将不合法IP转换为合法IP,Intranet,防火墙,路由器,将内部网地址转换成网关地址,问题：所有返回数据包目的IP都是，防火墙如何识别并送回真正主机？方法：1、防火墙记住所有发送包的目的端口；2、防火墙记住所有发送包的TCP序列号,NAT示意图,Internet,WWW,PC,PC,Server,内容过滤,阻止 Java,ActiveX,JavaScriptVBscriptURL 记录和拦截SMTP 过滤丢弃假来源地址的信件可设定传送信件的大小可消除内部信件传递路径信息,避免内部主机暴露给外界提供E-mail地址转换功能病毒?,Inspect Port Command,Drops t

10、he Packet,HTTP Request,Java Signature,Server Reply,Requests for Java Applet,N,No Java SignatureLets it Through,Inspect,Web Server,Web Client,Java 阻塞,防火墙的评价-防火墙不可以防范什么,防火墙不是解决所有网络安全问题的万能药方，只是网络安全政策和策略中的一个组成部分。防火墙不能防范绕过防火墙的攻击，例:内部提供拨号服务。防火墙不能防范来自内部人员恶意的攻击。防火墙不能阻止被病毒感染的程序或文件的传递。防火墙不能防止数据驱动式攻击。例:特洛伊木马。,

11、防火墙的评价-防火墙不可以防范什么,内部提供拨号服务绕过防火墙,日志功能,日志记录一般包括:系统日志、流量日志、告警日志等.根据管理的需要，它可以对每一个进出网络的数据包作简单或详细的纪录。包括数据的来源，目的，使用的协议，时间甚至数据的内容等等。,防火墙的种类,防火墙的存在形式：软件、硬件。根据防范方式和侧重点的不同可分为四类：包过滤应用层代理电路层代理状态检查,包过滤防火墙,包过滤防火墙,包过滤防火墙对所接收的每个数据包做允许拒绝的决定。防火墙审查每个数据报以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。包头信息中包括IP源地址、IP目标端地址、内装协（

12、TCP、UDP、ICMP、或IPTunnel）、TCP/UDP目标端口、ICMP消息类型、TCP包头中的ACK位包的进入接口和出接口如果有匹配并且规则允许该数据包，那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包，那么该数据包就会被丢弃。如果没有匹配规则，用户配置的缺省参数会决定是转发还是丢弃数据包。,包过滤防火墙,包过滤防火墙使得防火墙能够根据特定的服务允许或拒绝流动的数据，因为多数的服务收听者都在已知的TCP/UDP端口号上。例如，Telnet服务器在TCP的23号端口上监听远地连接，而SMTP服务器在TCP的25号端口上监听人连接。为了阻塞所有进入的Telnet连接

13、，防火墙只需简单的丢弃所有TCP端口号等于23的数据包。为了将进来的Telnet连接限制到内部的数台机器上，防火墙必须拒绝所有TCP端口号等于23并且目标IP地址不等于允许主机的IP地址的数据包。,包过滤检查内容,数据包过滤一般要检查网络层的IP头和传输层的头：IP源地址IP目标地址协议类型（TCP包、UDP包和ICMP包）TCP或UDP包的目的端口TCP或UDP包的源端口ICMP消息类型TCP包头的ACK位TCP包的序列号、IP校验和等,优点：速度快，性能高 对用户透明,缺点：维护比较困难(需要对TCP/IP了解）安全性低（IP欺骗等）不提供有用的日志，或根本就不提供 不防范数据驱动型攻击

14、不能根据状态信息进行控制 不能处理网络层以上的信息 无法对网络上流动的信息提供全面的控制,包过滤防火墙优缺点,透明模式包过滤,NAT模式,NAT(MAP IP),NAT Sample(PAT),虚拟IP,路由模式,代理服务器,代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。不允许通信直接经过外部网和内部网。将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。,代理服务器示意图,Telnet代理服务器,代理服务的分类,代理服务分类：代理服

15、务可分为应用级代理与电路级代理：应用级代理是已知代理服务向哪一应用提供的代理，它在应用协议中理解并解释命令。应用级代理的优点为它能解释应用协议从而获得更多的信息，缺点为只适用于单一协议。电路级代理是在客户和服务器之间不解释应用协议即建立回路。电路级代理的优点在于它能对各种不同的协议提供服务，缺点在于它对因代理而发生的情况几乎不加控制。,应用层代理的优点,应用层代理能够让网络管理员对服务进行全面的控制，因为代理应用限制了命令集并决定哪些内部主机可以被该服务访问。网络管理员可以完全控制提供哪些服务，因为没有特定服务的代理就表示该服务不提供。防火墙可以被配置成唯一的可被外部看见的主机，这样可以保护内

16、部主机免受外部主机的进攻。应用层代理有能力支持可靠的用户认证并提供详细的注册信息。另外，用于应用层的过滤规则相对于包过滤防火墙来说更容易配置和测试。代理工作在客户机和真实服务器之间，完全控制会话，所以可以提供很详细的日志和安全审计功能。,应用层代理的缺点,应用层代理的最大缺点是要求用户改变自己的行为，或者在访问代理服务的每个系统上安装特殊的软件。比如，透过应用层代理Telnet访问要求用户通过两步而不是一步来建立连接。不过，特殊的端系统软件可以让用户在Telnet命令中指定目标主机而不是应用层代理来使应用层代理透明。每个应用程序都必须有一个代理服务程序来进行安全控制，每一种应用升级时，一般代理

17、服务程序也要升级。,全状态检查,状态检测技术：在包过滤的同时，检察数据包之间的关联性，数据包中动态变化的状态码。监测引擎：一个在网关上执行网络安全策略的软件模块。监测引擎采用抽取有关数据的方法对网络通信的各层实施监测，抽取状态信息，并动态地保存起来作为以后执行安全策略的参考。当用户访问请求到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。,监测引擎,状态检测示意图,状态检测的优缺点,优点：一旦某个访问违反安全规定，就会拒绝该访问，并报告有关状态作日志记录。它会监测无连接状态的远程过程调用（RPC）和用户数据报（

18、UDP）之类的端口信息。缺点：降低网络速度配置比较复杂,防火墙的体系结构,防火墙的主要体系结构：双重宿主主机体系结构屏蔽主机体系结构屏蔽子网体系结构其它的防火墙结构,双重宿主主机体系结构（1）,双重宿主主机体系结构是围绕双重宿主主机构筑的。双重宿主主机至少有两个网络接口，它位于内部网络和外部网络之间，这样的主机可以充当与这些接口相连的网络之间的路由器，它能从一个网络接收IP数据包并将之发往另一网络。然而实现双重宿主主机的防火墙体系结构禁止这种发送功能，完全阻止了内外网络之间的IP通信。两个网络之间的通信可通过应用层数据共享和应用层代理服务的方法实现。一般情况下采用代理服务的方法。,防火墙,双重

19、宿主主机,内部网络,双重宿主主机体系结构,双重宿主主机体系结构（2）,双重宿主主机的特性：安全至关重要（唯一通道），其用户口令控制安全是关键。必须支持很多用户的访问（中转站），其性能非常重要。缺点：双重宿主主机是隔开内外网络的唯一屏障，一旦它被入侵，内部网络便向入侵者敞开大门。,屏蔽主机体系结构（1）,屏蔽主机体系结构由防火墙和内部网络的堡垒主机承担安全责任。一般这种防火墙较简单，可能就是简单的路由器。典型构成：包过滤路由器堡垒主机。包过滤路由器配置在内部网和外部网之间，保证外部系统对内部网络的操作只能经过堡垒主机。堡垒主机配置在内部网络上，是外部网络主机连接到内部网络主机的桥梁，它需要拥有高

20、等级的安全。,屏蔽主机体系结构（2）,屏蔽路由器可按如下规则之一进行配置：允许内部主机为了某些服务请求与外部网上的主机建立直接连接（即允许那些经过过滤的服务）。不允许所有来自外部主机的直接连接。安全性更高，双重保护：实现了网络层安全（包过滤）和应用层安全（代理服务）。缺点：过滤路由器能否正确配置是安全与否的关键。如果路由器被损害，堡垒主机将被穿过，整个网络对侵袭者是开放的。,屏蔽主机体系结构,因特网,屏蔽子网体系结构（1）,屏蔽子网体系结构在本质上与屏蔽主机体系结构一样，但添加了额外的一层保护体系周边网络。堡垒主机位于周边网络上，周边网络和内部网络被内部路由器分开。原因：堡垒主机是用户网络上最

21、容易受侵袭的机器。通过在周边网络上隔离堡垒主机，能减少在堡垒主机被侵入的影响。,周边网络,内部网络,外部路由器,堡垒主机,内部路由器,屏蔽子网体系结构,屏蔽子网体系结构（2）,周边网络是一个防护层，在其上可放置一些信息服务器，它们是牺牲主机，可能会受到攻击，因此又被称为非军事区（DMZ）。周边网络的作用：即使堡垒主机被入侵者控制，它仍可消除对内部网的侦听。例:netxray等的工作原理。,屏蔽子网体系结构（3）,堡垒主机堡垒主机位于周边网络，是整个防御体系的核心。堡垒主机可被认为是应用层网关，可以运行各种代理服务程序。对于出站服务不一定要求所有的服务经过堡垒主机代理，但对于入站服务应要求所有服

22、务都通过堡垒主机。,屏蔽子网体系结构（4）,外部路由器（访问路由器）作用：保护周边网络和内部网络不受外部网络的侵犯。它把入站的数据包路由到堡垒主机。防止部分IP欺骗，它可分辨出数据包是否真正来自周边网络，而内部路由器不可。内部路由器（阻塞路由器）作用：保护内部网络不受外部网络和周边网络的侵害，它执行大部分过滤工作。外部路由器一般与内部路由器应用相同的规则。,其它的防火墙结构（1）,Outside,DemilitarizedZones(DMZs),Public Access Server,Public Access Server,其它的防火墙结构（2）,一个堡垒主机和一个非军事区示意图,其它的防

23、火墙结构（3）,两个堡垒主机和两个非军事区,外部DMZ,外部堡垒主机,内部网,外部路由器,内部堡垒主机,内部DMZ,防火墙的关键技术,包过滤技术代理技术状态检查技术地址转换技术（NAT）虚拟专网技术（VPN）内容检查技术：提供对高层服务协议数据的监控能力。包括计算机病毒、恶意的Java Applet或ActiveX控件的攻击、恶意的电子邮件及不健康网页内容等的过滤防护。,防火墙的安全标准（1）,防火墙技术发展很快，但是现在标准尚不健全，导致不同的防火墙产品兼容性差，给不同厂商的防火墙产品的互联带来了困难。为了解决这个问题目前已提出了2个标准：1、RSA数据安全公司与一些防火墙的生产厂商（如Ch

24、eckpoint公司、TIS公司等）以及一些TCP/IP协议开发商（如FTP公司等）提出了SecureWAN（SWAN）标准，它能使在IP层上由支持数据加密技术的不同厂家生产的防火墙和TCPIP协议具有互操作性，从而解决了建立虚拟专用网（VPN）的一个主要障碍。,防火墙的安全标准（2）,此标准包含两个部分：防火墙中采用的信息加密技术一致，即加密算法、安全协议一致，使得遵循此标准生产的防火墙产品能够实现无缝互联，但又不失去加密功能；安全控制策略的规范性、逻辑上的正确合理性，避免了各大防火墙厂商推出的防火墙产品由于安全策略上的漏洞而对整个内部保护网络产生危害。,防火墙的安全标准（3）,2、美国国家

25、计算机安全协会NCSA（National Computer Security Association）成立的防火墙开发商FWPD（Firewall Product Developer）联盟制订的防火墙测试标准。3、我国质量技术监督局发布，开始实施：包过滤防火墙安全技术要求应用级防火墙安全技术要求网络代理服务器的安全技术要求,防火墙技术的回顾与展望,防火墙技术与产品回顾第四代防火墙的主要技术与功能防火墙发展现状防火墙技术展望,防火墙技术与产品发展回顾,防火墙产品目前已形成一个产业，年增长率达173。五大基本功能：过滤进、出网络的数据;管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的

26、信息内容和活动；对网络攻击检测和告警。,防火墙产品发展的四个阶段,基于路由器的防火墙用户化的防火墙工具套件建立在通用操作系统上的防火墙具有安全操作系统的防火墙,第一代：基于路由器的防火墙,称为包过滤防火墙特征：以访问控制表方式实现分组过滤过滤的依据是IP地址、端口号和其它网络特征只有分组过滤功能，且防火墙与路由器一体,第一代：基于路由器的防火墙(二),缺点：路由协议本身具有安全漏洞路由器上的分组过滤规则的设置和配置复杂攻击者可假冒地址本质缺陷：一对矛盾，防火墙的设置会大大降低路由器的性能。路由器：为网络访问提供动态灵活的路由防火墙：对访问行为实施静态固定的控制,包过滤型防火墙,第二代:用户化的

27、防火墙工具套件,特征：将过滤功能从路由器中独立出来，并加上审计和告警功能；针对用户需求提供模块化的软件包；安全性提高，价格降低；纯软件产品，实现维护复杂。缺点：配置和维护过程复杂费时；对用户技术要求高；全软件实现，安全性和处理速度均有局限；,Internet客户通过代理服务访问内部网主机,第三代：建立在通用操作系统上的防火墙,是近年来在市场上广泛可用的一代产品。特征包括分组过滤或借用路由器的分组过滤功能；装有专用的代理系统，监控所有协议的数据和指令；保护用户编程空间和用户可配置内核参数的设置；安全性和速度大为提高。,实现方式：软件、硬件、软硬结合。问题：作为基础的操作系统及其内核的安全性无从保

28、证。通用操作系统厂商不会对防火墙的安全性负责；从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统漏洞的攻击。用户必须依赖两方面的安全支持：防火墙厂商和操作系统厂商。上述问题在基于Windows NT开发的防火墙产品中表现得十分明显。,第四代：具有安全操作系统的防火墙,1997年初，此类产品面市。安全性有质的提高。获得安全操作系统的方法：通过许可证方式获得操作系统的源码；通过固化操作系统内核来提高可靠性。,特点：防火墙厂商具有操作系统的源代码，并可实现安全内核；对安全内核实现加固处理：即去掉不必要的系统特性，强化安全保护；对每个服务器、子系统都作了安全处理；在功能上包括了分

29、组过滤、代理服务，且具有加密与鉴别功能；透明性好，易于使用。,第四代防火墙的主要技术与功能：灵活的代理系统：两种代理机制，一种用于从内部网到外部网的连接，另一种用于此外部网到内部网的连接；双端口或三端口结构；网络地址转换技术（NAT）虚拟专网技术（VPN）,安全服务器网络（SSN）：对外服务器既是内部网的一部分，又与内部网完全隔离。第四代防火墙采用分别保护的策略对向外提供服务的网络提供保护，它利用一张网卡将对外服务器作为一个独立网络处理。用户鉴别与加密用户定制服务审计和告警,防火墙发展现状,防火墙是网络安全工具中最早成熟、最早产品化的。防火墙产品是当前网络安全产品线中最为琳琅满目的一种。The

30、 1999 Information Security Industry Survey 统计对象：745个公司,表 1:产品购买趋势,如何选择防火墙,选择防火墙的标准有很多，但最重要的是以下几条：1、总拥有成本 2、防火墙本身是安全的 3、是硬件还是软件 4、可扩充性 5、升级能力,天网防火墙,天网防火墙,安全规则设置 这是系统最重要，也是最复杂的地方。可以非常灵活的设计合适自己使用的规则。规则是一系列的比较条件和一个对数据包的动作，就是根据数据包的每一个部分来与设置的条件比较，当符合条件时，就可以确定对该包放行或者阻挡。通过合理的设置规则就可以把有害的数据包挡在你的机器之外。,工具条：点击上面

31、的按钮来导入，增加，修改，删除规则。由于规则判断是由上而下的，可以通过点击调“规则上下移动”按钮调整规则的顺序，当调整好顺序后，可按保存按钮保存修改。当规则增加或修改后，为了让这些规则生效，还要点击”应用新规则“按钮。规则列表：列出了所有的规则的名称，该规则所对应的数据包的方向，该规则所控制的协议，本机端口，对方地址和对方端口，以及当数据包满足本规则时所采取的策略。在列表的左边为该规则是否有效的标志，标记为钩表示改规则有效，否则表示无效。当改变这些标志后，按保存键。,天网防火墙,天网防火墙,习题与思考题,1简述防火墙工作原理。2防火墙的体系结构有哪些？3一个好的防火墙应具备哪些功能？4简述包过滤的基本特点及其工作原理。5简述代理服务器的作用，常用代理服务的软件有哪些？6介绍一个防火墙产品。7介绍一个代理服务器软件。8安装一个简单的防火墙和一个代理服务的软件。,