网络安全讲座第二章.ppt

《网络安全讲座第二章.ppt》由会员分享，可在线阅读，更多相关《网络安全讲座第二章.ppt（61页珍藏版）》请在三一办公上搜索。

1、网 络 安 全,主 讲：马 进2006年6月22日 第二讲,第二章 防火墙技术,2.1,防火墙概述,2.2,防火墙的体系结构,2.3,防火墙的实现技术,2.4,TCP/IP基础,2,防火墙技术展望,2.5,TCP/IP基础,2.1,1,基本概念,2,包与协议,3,TCP和UDP常用端口,4,TCP/IP协议历史,TCP/IP协议历史,TCP/IP起源于20世纪70年代中期，ARPA资助网间网技术的研究开发，并于19771979年间推出了与目前形式一样的TCP/IP体系结构和协议规范；1980年前后，TCP/IP应用在ARPANET上；1983年加州Berkeley大学推出了内含TCP/IP的B

2、SD NUIX；1985年NSF采用TCP/IP建设NSFNET；TCP/IP成为20世纪90年代因特网的主要协议。,基本概念,TCP/IP协议栈以及与OSI结构的对应关系（P8 图1-6）IP：网际协议IP协议指定了计算机之间传送信息的方式，本质上定义了Internet中每台计算机使用的通用“语言”。IPv4，IP协议的第四个版本，从1982年起用于Internet，现在仍广泛使用。在Internet中，数据以字符块的形式被发送，称之为数据报（datagram），或更通俗地称之为包（package）。,基本概念,Internet地址：计算机在IPv4网络中拥有的每一个接口都被唯一地赋予一个3

3、2位地址。这些地址通常被表述为四组八位数。例如：。地址分类：AE类地址；子网划分IPv4数据报格式（P17）TCP数据包格式（P23）UDP数据包格式（P26）TCP的三次握手过程（P25 图1-14）,包与协议,ICMP（Internet Control Message Protocol）Internet控制报文协议。通过IP层收发ICMP报文，用于报告在传输报文的过程中发生的各种情况。它包括很多子类型（P19 表1-3）。例如：Ping命令使用ICMP的Echo包测试网络连接；对该包的响应通常是一个“ICMP Echo应答”或者“ICMP目标不可达”消息类型。TCP（Transmissio

4、n Control Protocol）传输控制协议。该协议用于创建两台计算机之间的双向数据流连接。它是“有连接”的协议，包含了超时和重发机制，以实现信息的可靠传输。,包与协议,UDP（User Datagram Protocol）用户数据报协议。该协议用于主机向主机发送数据报，它是无连接的。IGMP（Internet Group Management Protocol）Internet组管理协议。该协议用于控制多播（或称为组播）有目的地直接向一台或多台主机发送包的过程。,TCP和UDP常用端口,防火墙概述,2.2,1,防火墙的功能,2,防火墙的分类,3,防火墙的局限性,4,什么是防火墙,什么是

5、防火墙,不可信网络和服务器,可信网络,防火墙,路由器,Internet,Intranet,可信用户,不可信用户,DMZ,什么是防火墙,定义：防火墙（Firewall）是一种用来加强网络之间访问控制的特殊网络互连设备，是一种非常有效的网络安全模型。核心思想：在不安全的网际网环境中构造一个相对安全的子网环境。目的：都是为了在被保护的内部网与不安全的非信任网络之间设立唯一的通道，以按照事先制定的策略控制信息的流入和流出，监督和控制使用者的操作。,什么是防火墙,防火墙可在链路层、网络层和应用层上实现；其功能的本质特征是隔离内外网络和对进出信息流实施访问控制。隔离方法可以是基于物理的，也可以是基于逻辑的

6、；从网络防御体系上看，防火墙是一种被动防御的保护装置。,防火墙的功能,网络安全的屏障；过滤不安全的服务；（两层含义）内部提供的不安全服务和内部访问外部的不安全服务 阻断特定的网络攻击；（联动技术的产生）部署NAT机制；提供了监视局域网安全和预警的方便端点。提供包括安全和统计数据在内的审计数据，好的防火墙还能灵活设置各种报警方式。,防火墙的分类,1.个人防火墙是在操作系统上运行的软件，可为个人计算机提供简单的防火墙功能；大家常用的个人防火墙有：Norton Personal Firewall、天网个人防火墙、瑞星个人防火墙等；安装在个人PC上，而不是放置在网络边界，因此，个人防火墙关心的不是一个

7、网络到另外一个网络的安全，而是单个主机和与之相连接的主机或网络之间的安全。,防火墙的分类,2.软件防火墙个人防火墙也是一种纯软件防火墙，但其应用范围较小，且只支持Windows系统，功能相对来说要弱很多，并且安全性和并发连接处理能力较差；作为网络防火墙的软件防火墙具有比个人防火墙更强的控制功能和更高的性能。不仅支持Windows系统，并且多数都支持Unix或Linux系统。如十分著名的Check Point FireWall-1，Microsoft ISA Server 2000等。,防火墙的分类,3.一般硬件防火墙不等同于采用专用芯片的纯硬件防火墙，但和纯软件防火墙有很大差异；一般由小型的防

8、火墙厂商开发，或者是大型厂商开发的中低端产品，应用于中小型企业，功能比较全，但性能一般；一般都采用PC架构（就是一台嵌入式主机），但使用的各个配件都量身定制。,防火墙的分类,其操作系统一般都采用经过精简和修改过内核的Linux或Unix，安全性比使用通用操作系统的纯软件防火墙要好很多，并且不会在上面运行不必要的服务，这样的操作系统基本就没有什么漏洞。但是，这种防火墙使用的操作系统内核一般是固定的，是不可升级的，因此新发现的漏洞对防火墙来说可能是致命的；国内自主开发的防火墙大部分都属于这种类型。,防火墙的分类,4.纯硬件防火墙采用专用芯片（非X86芯片）来处理防火墙核心策略的一种硬件防火墙，也称

9、为芯片级防火墙。（专用集成电路（ASIC）芯片或者网络处理器（NP）芯片）；最大的亮点：高性能，非常高的并发连接数和吞吐量；采用ASIC芯片的方法在国外比较流行，技术也比较成熟，如美国NetScreen公司的高端防火墙产品；国内芯片级防火墙大多还处于开发发展的阶段，采用的是NP技术。,防火墙的分类,5.分布式防火墙前面提到的几种防火墙都属于边界防火墙（Perimeter Firewall），它无法对内部网络实现有效地保护；随着人们对网络安全防护要求的提高，产生了一种新型的防火墙体系结构分布式防火墙。近几年，分布式防火墙技术已逐渐兴起，并在国外一些大的网络设备开发商中得到实现，由于其优越的安全防

10、护体系，符合未来的发展趋势，这一技术一出现就得到了许多用户的认可和接受。,网络的安全性通常是以网络服务的开放性和灵活性为代价的。防火墙的使用也会削弱网络的功能：由于防火墙的隔离作用，在保护内部网络的同时使它与外部网络的信息交流受到阻碍；由于在防火墙上附加各种信息服务的代理软件，增大了网络管理开销，还减慢了信息传输速率，在大量使用分布式应用的情况下，使用防火墙是不切实际的。,防火墙的局限性,防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失：只能防范经过其本身的非法访问和攻击，对绕过防火墙的访问和攻击无能为力；不能解决来自内部网络的攻击和安全问题；不能防止受病毒感染的文件的传输；不能

11、防止策略配置不当或错误配置引起的安全威胁；不能防止自然或人为的故意破坏；不能防止本身安全漏洞的威胁。,防火墙的局限性,防火墙的体系结构,2.3,1,双宿主机,2,屏蔽主机,3,屏蔽子网,4,分组过滤路由器,防火墙的体系结构,防火墙的体系结构：防火墙系统实现所采用的架构及其实现所采用的方法，它决定着防火墙的功能、性能以及使用范围。防火墙可以被设置成许多不同的结构，并提供不同级别的安全，而维护运行的费用也各不相同。,分组过滤路由器,分组过滤路由器,作为内外网连接的唯一通道，要求所有的报文都必须在此通过检查。通过在分组过滤路由器上安装基于IP层的报文过滤软件，就可利用过滤规则实现报文过滤功能。缺点：

12、在单机上实现，是网络中的“单失效点”。不支持有效的用户认证、不提供有用的日志，安全性低。,双宿主机,双宿主机,在被保护网络和Internet之间设置一个具有双网卡的堡垒主机，IP层的通信完全被阻止，两个网络之间的通信可以通过应用层数据共享或应用层代理服务来完成 通常采用代理服务的方法 堡垒主机上运行着防火墙软件，可以转发应用程序和提供服务等优缺点：堡垒主机的系统软件可用于身份认证和维护系统日志，有利于进行安全审计 该方式的防火墙仍是网络的“单失效点”。隔离了一切内部网与Internet的直接连接，不适合于一些高灵活性要求的场合,屏蔽主机,屏蔽主机,一个分组过滤路由器连接外部网络，同时一个运行网

13、关软件的堡垒主机安装在内部网络。通常在路由器上设立过滤规则，使这个堡垒主机成为从外部唯一可直接到达的主机。提供的安全等级较高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。过滤路由器是否正确配置是这种防火墙安全与否的关键。过滤路由器的路由表应当受到严格的保护，如果路由表遭到破坏，则堡垒主机就有被越过的危险。例：P116 图4-7,屏蔽子网,屏蔽子网,是最安全的防火墙系统，它在内部网络和外部网络之间建立一个被隔离的子网（非军事区，DMZ（Demilitarized Zone）在很多实现中，两个分组过滤路由器放在子网的两端，内部网络和外部网络均可访问被屏蔽子网，但禁止它们穿过被屏蔽子网

14、通信通常将堡垒主机、各种信息服务器等公用服务器放于DMZ中堡垒主机通常是黑客集中攻击的目标，如果没有DMZ，入侵者控制堡垒主机后就可以监听整个内部网络的会话,防火墙的实现技术,2.4,1,代理服务（Proxy Service）,2,状态检测（Stateful Inspection）,3,网络地址转换（Network Address Translation）,4,数据包过滤（Packet Filtering）,数据包过滤（1/6）,应用层,表示层,会话层,传输层,数据链路层,物理层,路由器,应用层,表示层,会话层,传输层,数据链路层,物理层,网络层,网络层,数据链路层,物理层,数据包过滤技术是一

15、种简单、高效的安全控制技术，是防火墙发展初期普遍采用的技术。工作原理：系统在网络层检查数据包，与应用层无关。依据在系统内设置的过滤规则（通常称为访问控制表Access Control List）对数据流中每个数据包包头中的参数或它们的组合进行检查，以确定是否允许该数据包进出内部网络。,数据包过滤（2/6）,包过滤一般要检查（网络层的IP头和传输层的头）：IP源地址 IP目的地址 协议类型（TCP包/UDP包/ICMP包）TCP或UDP的源端口 TCP或UDP的目的端口 ICMP消息类型 TCP报头中的ACK位,数据包过滤（3/6）,举例：某条过滤规则为：禁止地址1的任意端口到地址2的80端口的

16、TCP包。含义？表示禁止地址1的计算机连接地址2的计算机的WWW服务。包过滤器的工作流程：P122 图4-15,数据包过滤（4/6）,优点：逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好。主要缺点：安全控制的力度只限于源地址、目的地址和端口号等，不能保存与传输或与应用相关的状态信息，因而只能进行较为初步的安全控制，安全性较低；数据包的源地址、目的地址以及端口号等都在数据包的头部，很有可能被窃听或假冒。,数据包过滤（5/6）,注意：创建规则比较困难；规则过于复杂并难以测试，必须要用手工或用仪器才能彻底检测规则的正确性；对特定协议包的过滤：FTP协议：使用两个端口，因此要作特殊的考虑；UD

17、P协议：要对UDP数据包进行过滤，防火墙应有动态数据包过滤的特点；（P122）ICMP协议：应根据ICMP的类型进行过滤。,数据包过滤（6/6）,代理服务（1/4）,应用层,表示层,会话层,传输层,数据链路层,物理层,应用层,表示层,会话层,传输层,数据链路层,物理层,网络层,Telnet,HTTP,FTP,应用层,表示层,会话层,传输层,数据链路层,物理层,网络层,网络层,是运行于连接内部网络与外部网络的主机（堡垒主机）上的一种应用，是一种比较高级的防火墙技术。工作过程：（举例：P125）当用户需要访问代理服务器另一侧的主机时，对符合安全规则的连接，代理服务器会代替主机响应，并重新向主机发出

18、一个相同的请求。当此连接请求得到回应并建立起连接之后，内部主机同外部主机之间的通信将通过代理程序把相应连接进行映射来实现。对于用户而言，似乎是直接与外部网络相连。,代理服务（2/4）,主要优点：内部网络拓扑结构等重要信息不易外泄，从而减少了黑客攻击时所必需的必要信息；可以实施用户认证、详细日志、审计跟踪和数据加密等功能和对具体协议及应用的过滤，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹，安全性较高。,代理服务（3/4）,主要缺点：针对不同的应用层协议必须有单独的应用代理，也不能自动支持新的网络应用；有些代理还需要相应的支持代理的客户和服务器软件；用户可能还需要专门学习程序的使

19、用方法才能通过代理访问Internet；性能下降。思考：该技术主要应用于什么场合？,代理服务（4/4）,状态检测（1/5）,物理层,引擎,检测,动态状态表,应用层,表示层,会话层,传输层,数据链路层,物理层,网络层,应用层,表示层,会话层,传输层,数据链路层,网络层,应用层,表示层,会话层,传输层,数据链路层,物理层,网络层,状态检测防火墙是在动态包过滤的基础上，增加了状态检测机制而形成的；动态包过滤与普通包过滤相比，需要多做一项工作：对外出数据包的“身份”做一个标记，允许相同连接的进入数据包通过。（例：P123 图4-16）,状态检测（2/5）,利用状态表跟踪每一个网络会话的状态，对每一个数

20、据包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态；状态检测防火墙采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，并动态地保存起来作为以后制定安全决策的参考。,状态检测（3/5）,既能够提供代理服务的控制灵活性，又能够提供包过滤的高效性，是二者的结合；工作过程：对新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接；请求数据包通过，并记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。（状态检测的逻辑流程图）,状态检测（4/5）,主要优

21、点：高安全性（工作在数据链路层和网络层之间；“状态感知”能力）高效性（对连接的后续数据包直接进行状态检查）应用范围广（支持基于无连接协议的应用）主要缺点：状态检测防火墙在阻止DDoS攻击、病毒传播问题以及高级应用入侵问题（如实现应用层内容过滤）等方面显得力不从心。P131 表4-1 防火墙技术比较表,状态检测（5/5）,网络地址转换（1/4）,网络地址转换/翻译（NAT，Network Address Translation）就是将一个IP地址用另一个IP地址代替。NAT的主要作用：隐藏内部网络的IP地址；解决地址紧缺问题。注意：NAT本身并不是一种有安全保证的方案，它仅仅在包的最外层改变IP

22、地址。所以通常要把NAT集成在防火墙系统中。,网络地址转换（2/4）,NAT是基于网络层的应用，按照不同的理解角度（实现方式/数据流向）分类也不同。SNAT和DNAT静态（static）网络地址转换和动态（dynamic）网络地址转换源（source）网络地址转换和目标（destination）网络地址转换 静态网络地址转换：内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址；动态网络地址转换：可用的合法IP地址是一个范围，而内部网络地址的范围大于合法IP的范围，在做地址转换时，如果合法IP都被占用，此时从内部网络的新的请求会由于没有合法地址可以分配而失败。无法满足实际的应用需求PA

23、T（端口地址转换/翻译）,网络地址转换（3/4）,PAT：把内部地址映射到外部网络的一个IP地址的不同端口上。注意：进行地址翻译时，优先还是NAT，当合法IP地址分配完后，对于新发起的连接会重复使用已分配过的合法IP，要区别此次NAT与上次NAT的数据包，就要通过端口地址加以区分。比较：静态地址翻译：不需要维护地址转换状态表，功能简单，性能较好；动态转换和端口转换：必须维护一个转换表，以保证能够对返回的数据包进行正确的反向转换，功能强大，但是需要的资源较多。思考题：P130,网络地址转换（4/4）,源网络地址转换：修改数据报中IP头部中的数据源地址（通常发生在使用私有地址的用户访问Intern

24、et的情况下，把私有地址翻译成合法的因特网地址）目标网络地址转换：修改数据报中IP头部中的数据目的地址（通常发生在防火墙之后的服务器上）例：P129 图4-23,防火墙技术展望,2.5,1,分布式防火墙,2,网络安全产品的系统化,3,智能防火墙,智能防火墙,传统防火墙：采用数据匹配检查技术 智能防火墙：采用人工智能识别技术（统计、记忆、概率和决策等）优势：安全，高效模型与流程图：P132应用：在保护网络和站点免受黑客攻击、阻断病毒的恶意传播、有效监控和管理内部局域网、保护必需的应用安全、提供强大的身份认证授权和审计管理等方面具有广泛的应用价值。,分布式防火墙,传统防火墙：边界防火墙缺陷：结构性

25、限制；内部威胁；效率和故障 分布式防火墙（广义）：一种新的防火墙体系结构（包含网络防火墙、主机防火墙和管理中心）优势：在网络内部增加了另一层安全，有效抵御来自内部的攻击，消除网络边界上的通信瓶颈和单一故障点，支持基于加密和认证的网络应用，与拓扑无关，支持移动计算。,网络安全产品的系统化（1/2）,“以防火墙为核心的网络安全体系”解决方法：直接把相关安全产品“做”到防火墙中 各个产品相互分离，但是通过某种通信方式形成一个整体（防火墙联动技术）联动：通过一种组合的方式，将不同技术与防火墙技术进行整合，在提高防火墙自身功能和性能的同时，由其他技术完成防火墙所缺乏的功能，以适应网络安全整体化、立体化的

26、要求。,网络安全产品的系统化（2/2）,防火墙与防病毒产品联动 防火墙与IDS联动 防火墙与认证系统联动 防火墙与日志分析系统联动,主流防火墙产品简介,国内：天融信网络卫士防火墙（NGFW）我国第一套自主版权的防火墙系统 TOPSEC（Talent Open Protocol for Security）安全体系（联动协议安全标准）,补充,主流防火墙产品简介,国外：CheckPoint的Firewall-1防火墙 状态检测（Stateful Inspection）技术最早由CheckPoint提出 OPSEC（Open Platform for Secure Enterprise Connect

27、ivity）开放安全企业互联联盟的组织和倡导者之一，允许用户通过一个开放的、可扩展的框架集成、管理所有的安全产品。（目前已有包括IBM、HP、Sun、Cisco、BAY等超过135个公司加入到OPSEC联盟。）,防火墙性能测试简介,性能测试标准：RFC 2544（2-3层）和RFC 3511（4-7层）吞吐量：网络设备在不丢失任何一个帧情况下的最大转发速率。延时（比特转发）：入口处输入帧第1个比特到达被测设备至出口处输出帧的第1个比特输出时所用的时间间隔 丢包率：在稳态负载下由于缺少资源应转发而没有转发的帧占所有应被转发的帧的比例 背靠背：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率，发送一定数量固定长度的帧，当出现第一个帧丢失时所发送的帧数。,补充,谢 谢！,