《防火墙技术介绍ppt课件.ppt》由会员分享,可在线阅读,更多相关《防火墙技术介绍ppt课件.ppt(39页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、防火墙的定义防火墙的定义u防火墙是设置在被保护网络和外部网络之间的防火墙是设置在被保护网络和外部网络之间的一道屏障,实现网络的安全保护,以防止发生不一道屏障,实现网络的安全保护,以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力,它是提供信息安全服务、实较强的抗攻击能力,它是提供信息安全服务、实现网络和信息安全的基础设施。图现网络和信息安全的基础设施。图8.1为防火墙为防火墙示意图。示意图。防火墙的基本概念防火墙的基本概念图图1防火墙示意图防火墙示意图 返回本节防火墙的发展简史防火墙的发展简史u第一代防火墙:采用了包过滤(第一代防火
2、墙:采用了包过滤(Packet Filter)技术。)技术。u第二、三代防火墙:第二、三代防火墙:1989年,推出了电路层年,推出了电路层防火墙,和应用层防火墙的初步结构。防火墙,和应用层防火墙的初步结构。u第四代防火墙:第四代防火墙:1992年,开发出了基于动态年,开发出了基于动态包过滤技术的第四代防火墙。包过滤技术的第四代防火墙。u第五代防火墙:第五代防火墙:1998年,年,NAI公司推出了一公司推出了一种自适应代理技术,可以称之为第五代防火墙。种自适应代理技术,可以称之为第五代防火墙。图图 2防火墙技术的简单发展历史防火墙技术的简单发展历史 返回本节设置防火墙的目的和功能设置防火墙的目的
3、和功能u(1)防火墙是网络安全的屏障)防火墙是网络安全的屏障u(2)防火墙可以强化网络安全策略)防火墙可以强化网络安全策略u(3)对网络存取和访问进行监控审计)对网络存取和访问进行监控审计u(4)防止内部信息的外泄)防止内部信息的外泄返回本节防火墙的局限性防火墙的局限性u(1)防火墙防外不防内。)防火墙防外不防内。u(2)防火墙难于管理和配置,易造成安全漏)防火墙难于管理和配置,易造成安全漏洞。洞。u(3)很难为用户在防火墙内外提供一致的安)很难为用户在防火墙内外提供一致的安全策略。全策略。u(4)防火墙只实现了粗粒度的访问控制。)防火墙只实现了粗粒度的访问控制。返回本节防火墙技术发展动态和趋
4、势防火墙技术发展动态和趋势u(1)优良的性能)优良的性能u(2)可扩展的结构和功能)可扩展的结构和功能u(3)简化的安装与管理)简化的安装与管理u(4)主动过滤)主动过滤u(5)防病毒与防黑客)防病毒与防黑客返回本节防火墙的技术种类防火墙的技术种类u1包过滤防火墙包过滤防火墙u2代理防火墙代理防火墙u3状态监视器防火墙状态监视器防火墙u4复合式防火墙复合式防火墙防火墙技术防火墙技术包过滤防火墙包过滤防火墙u包过滤防火墙的工作原理包过滤防火墙的工作原理 采用这种技术的防火墙产品,通过在网络中采用这种技术的防火墙产品,通过在网络中的适当位置对数据包进行过滤,根据检查数据流的适当位置对数据包进行过滤
5、,根据检查数据流中每个数据包的源地址、目的地址、所有的中每个数据包的源地址、目的地址、所有的TCP端口号和端口号和TCP链路状态等要素,然后依据一组预链路状态等要素,然后依据一组预定义的规则,以允许合乎逻辑的数据包通过防火定义的规则,以允许合乎逻辑的数据包通过防火墙进入到内部网络,而将不合乎逻辑的数据包加墙进入到内部网络,而将不合乎逻辑的数据包加以删除。以删除。包过滤防火墙包过滤防火墙u(1)数据包过滤技术的发展:静态包过滤、)数据包过滤技术的发展:静态包过滤、动态包过滤。动态包过滤。 u(2)包过滤的优点:不用改动应用程序、一)包过滤的优点:不用改动应用程序、一个过滤路由器能协助保护整个网络
6、、数据包过滤个过滤路由器能协助保护整个网络、数据包过滤对用户透明、过滤路由器速度快、效率高。对用户透明、过滤路由器速度快、效率高。 u(3)包过滤的缺点:不能彻底防止地址欺骗;)包过滤的缺点:不能彻底防止地址欺骗;一些应用协议不适合于数据包过滤(如一些应用协议不适合于数据包过滤(如UDP协协议);正常的数据包过滤路由器无法执行某些安议);正常的数据包过滤路由器无法执行某些安全策略;安全性较差全策略;安全性较差 ;数据包工具存在很多局数据包工具存在很多局限性。限性。 图3包过滤处理图4静态包过滤防火墙图5动态包过滤防火墙u(1)代理防火墙的原理:)代理防火墙的原理:代理防火墙运行在两个网络之间,
7、它对于客代理防火墙运行在两个网络之间,它对于客户来说像是一台真的服务器一样,而对于外界的户来说像是一台真的服务器一样,而对于外界的服务器来说,它又是一台客户机。当代理服务器服务器来说,它又是一台客户机。当代理服务器接收到用户的请求后,会检查用户请求的站点是接收到用户的请求后,会检查用户请求的站点是否符合公司的要求,如果公司允许用户访问该站否符合公司的要求,如果公司允许用户访问该站点的话,代理服务器会像一个客户一样,去那个点的话,代理服务器会像一个客户一样,去那个站点取回所需信息再转发给客户。站点取回所需信息再转发给客户。代理防火墙代理防火墙u代理技术的优点代理技术的优点1)代理易于配置。代理易
8、于配置。 2)代理能生成各项记录。代理能生成各项记录。 3)代理能灵活、完全地控制进出流量、内容。)代理能灵活、完全地控制进出流量、内容。 4)代理能过滤数据内容。代理能过滤数据内容。 5)代理能为用户提供透明的加密机制。)代理能为用户提供透明的加密机制。6)代理可以方便地与其他安全手段集成。)代理可以方便地与其他安全手段集成。 u代理技术的缺点代理技术的缺点1)代理速度较路由器慢。)代理速度较路由器慢。2)代理对用户不透明。代理对用户不透明。 3)对于每项服务代理可能要求不同的服务器。)对于每项服务代理可能要求不同的服务器。 4)代理服务不能保证免受所有协议弱点的限制。代理服务不能保证免受所
9、有协议弱点的限制。 5)代理不能改进底层协议的安全性。)代理不能改进底层协议的安全性。 直实服务器外部 响应转发请求Internet代理客户应用层代理服务代理服务器应用协议分析请求转发响应Intranet真实的客户端代理的工作方式两种防火墙技术两种防火墙技术 返回本节状态监视器防火墙状态监视器防火墙(1) 状态监视器防火墙的工作原理状态监视器防火墙的工作原理 这种防火墙安全特性非常好,它采用了一这种防火墙安全特性非常好,它采用了一个在网关上执行网络安全策略的软件引擎,称之个在网关上执行网络安全策略的软件引擎,称之为检测模块。检测模块在不影响网络正常工作的为检测模块。检测模块在不影响网络正常工作
10、的前提下,采用抽取相关数据的方法对网络通信的前提下,采用抽取相关数据的方法对网络通信的各层实施监测,抽取部分数据,即状态信息,并各层实施监测,抽取部分数据,即状态信息,并动态地保存起来作为以后指定安全决策的参考。动态地保存起来作为以后指定安全决策的参考。(2) 状态监视器防火墙的优缺点状态监视器防火墙的优缺点状态监视器的优点:状态监视器的优点: 检测模块支持多种协议和应用程序,并可以很检测模块支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。容易地实现应用和服务的扩充。 它会监测它会监测RPC和和UDP之类的端口信息,而包过之类的端口信息,而包过滤和代理网关都不支持此类端口。滤和代理
11、网关都不支持此类端口。 性能坚固性能坚固状态监视器的缺点:状态监视器的缺点: 配置非常复杂。配置非常复杂。 会降低网络的速度。会降低网络的速度。4复合式防火墙复合式防火墙u常见是代理服务器和状态分析技术的组合常见是代理服务器和状态分析技术的组合u具有对一切连接尝试进行过滤的功能;具有对一切连接尝试进行过滤的功能;u提取和管理多种状态信息的功能;提取和管理多种状态信息的功能;u智能化做出安全控制和流量控制的决策;智能化做出安全控制和流量控制的决策;u提供高性能的服务和灵活的适应性;提供高性能的服务和灵活的适应性;u具有网络内外完全透明的特性。具有网络内外完全透明的特性。防火墙的优缺点防火墙的优缺
12、点u优点:优点:1、保护网络中脆弱的服务、保护网络中脆弱的服务2、实现网络安全性监视和实时报警、实现网络安全性监视和实时报警3、增强保密性和强化私有权、增强保密性和强化私有权4、实现网络地址转换、实现网络地址转换5、实现安全性失效和自动故障恢复、实现安全性失效和自动故障恢复u缺点:缺点:1、不能防范恶毒的知情者(内网用户和内外串通)、不能防范恶毒的知情者(内网用户和内外串通)2、不能防范不经过它的连接、不能防范不经过它的连接3、不能防备全部的威胁,特别是新产生的威胁、不能防备全部的威胁,特别是新产生的威胁4、不能有效地防范病毒的攻击、不能有效地防范病毒的攻击现代现代防火墙的安全技术及防火墙的安
13、全技术及实现方式实现方式第四代防火墙技术第四代防火墙技术u第四代防火墙,具有安全操作系统的防火墙产品。第四代防火墙,具有安全操作系统的防火墙产品。u1双端口或三端口的结构双端口或三端口的结构新一代防火墙产品具有两个或三个独立的网卡,内外两新一代防火墙产品具有两个或三个独立的网卡,内外两个网卡可不作个网卡可不作IP转化而串接于内部网与外部网之间,另一个转化而串接于内部网与外部网之间,另一个网卡可专用于对服务器的安全保护。网卡可专用于对服务器的安全保护。 u2透明的访问方式透明的访问方式以前的防火墙在访问方式上要么要求用户作系统登录,以前的防火墙在访问方式上要么要求用户作系统登录,要么需要通过要么
14、需要通过SOCKS等库路径修改客户机的应用。第四代等库路径修改客户机的应用。第四代防火墙利用了透明的代理系统技术,从而降低了系统登录固防火墙利用了透明的代理系统技术,从而降低了系统登录固有的安全风险和出错概率。有的安全风险和出错概率。 u3灵活的代理系统灵活的代理系统代理系统是一种将信息从防火墙的一侧传送到另一侧的代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块。第四代防火墙采用了两种代理机制,一种用于代软件模块。第四代防火墙采用了两种代理机制,一种用于代理从内部网络到外部网络的连接,另一种用于代理从外部网理从内部网络到外部网络的连接,另一种用于代理从外部网络到内部网络的连接。前者采用
15、网络地址转换(络到内部网络的连接。前者采用网络地址转换(NAT)技术)技术来解决,后者采用非保密的用户定制代理或保密的代理系统来解决,后者采用非保密的用户定制代理或保密的代理系统技术来解决。技术来解决。 u4多级的过滤技术多级的过滤技术为保证系统的安全性和防护水平,第四代防火墙采用了为保证系统的安全性和防护水平,第四代防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒的掉所有的源路由分组和假冒的IP源地址;在应用级网关一级,源地址;在应用级网关一级,能利用能利用FTP、SMTP等各种网关,控制和监测等各种
16、网关,控制和监测Internet提供提供的所用通用服务;在电路网关一级,实现内部主机与外部站的所用通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。点的透明连接,并对服务的通行实行严格控制。u5网络地址转换技术(网络地址转换技术(NAT)第四代防火墙利用第四代防火墙利用NAT技术能透明地对所有内部地址作技术能透明地对所有内部地址作转换,使外部网络无法了解内部网络的内部结构,同时允许转换,使外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的内部网络使用自己编的IP地址和专用网络,防火墙能详尽记地址和专用网络,防火墙能详尽记录每一个主机的通信,确
17、保每个分组送往正确的地址。录每一个主机的通信,确保每个分组送往正确的地址。u6 Internet网关技术网关技术由于是直接串连在网络之中,第四代防火墙必须支由于是直接串连在网络之中,第四代防火墙必须支持用户在持用户在Internet互连的所有服务,同时还要防止与互连的所有服务,同时还要防止与Internet服务有关的安全漏洞。故它要能以多种安全的服务有关的安全漏洞。故它要能以多种安全的应用服务器(包括应用服务器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性,等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用对所有的文
18、件和命令均要利用“改变根系统调用改变根系统调用(chroot)”作物理上的隔离。作物理上的隔离。u7、安全服务器网络(、安全服务器网络(SSN)利用保护策略对服务器实施保护,利用网卡将对外利用保护策略对服务器实施保护,利用网卡将对外服务器作独立网络处理,与内部网关安全隔离。服务器作独立网络处理,与内部网关安全隔离。u8用户鉴别与加密用户鉴别与加密为了降低防火墙产品在为了降低防火墙产品在Telnet、FTP等服务和等服务和远程管理上的安全风险,鉴别功能必不可少,第四远程管理上的安全风险,鉴别功能必不可少,第四代防火墙采用一次性使用的口令字系统来作为用户代防火墙采用一次性使用的口令字系统来作为用户
19、的鉴别手段,并实现了对邮件的加密。的鉴别手段,并实现了对邮件的加密。 u9用户定制服务用户定制服务为满足特定用户的特定需求,第四代防火墙在为满足特定用户的特定需求,第四代防火墙在提供众多服务的同时,还为用户定制提供支持,这提供众多服务的同时,还为用户定制提供支持,这类选项有:通用类选项有:通用TCP,出站,出站UDP、FTP、SMTP等等类,如果某一用户需要建立一个数据库的代理,便类,如果某一用户需要建立一个数据库的代理,便可利用这些支持,方便设置。可利用这些支持,方便设置。 u10审计和告警审计和告警第四代防火墙产品的审计和告警功能十分健第四代防火墙产品的审计和告警功能十分健全,日志文件包括
20、:一般信息、内核信息、核心全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、条件、管理日志、进站代理、FTP代理、出站代代理、出站代理、邮件服务器、域名服务器等。告警功能会守理、邮件服务器、域名服务器等。告警功能会守住每一个住每一个TCP或或UDP探寻,并能以发出邮件、声探寻,并能以发出邮件、声响等多种方式报警。响等多种方式报警。 防火墙的基本组成结构防火墙的基本组成结构u 1屏蔽路由器屏蔽路由器u 2双宿堡垒
21、主机双宿堡垒主机u 3屏蔽主机防火墙屏蔽主机防火墙u 4屏蔽子网防火墙屏蔽子网防火墙 1屏蔽路由器屏蔽路由器u又称包过滤路由器,在一般路由器的基础上增又称包过滤路由器,在一般路由器的基础上增加了一些新的安全控制功能,是一个检查通过它加了一些新的安全控制功能,是一个检查通过它的数据包的路由器。的数据包的路由器。屏蔽路由器示意图 2双宿堡垒主机双宿堡垒主机u又称应用型防火墙,在运行防火墙软件的堡垒又称应用型防火墙,在运行防火墙软件的堡垒主机上运行代理服务器。主机上运行代理服务器。双宿堡垒主机示意图3屏蔽主机防火墙屏蔽主机防火墙u屏蔽主机防火墙由包过滤路由器和堡垒主机(屏蔽主机防火墙由包过滤路由器和
22、堡垒主机(Bastion Host)组成,它所提供的安全性能要比包过滤防火墙系)组成,它所提供的安全性能要比包过滤防火墙系统要强,因为它实现了网络层安全(包过滤)和应用层统要强,因为它实现了网络层安全(包过滤)和应用层安全(代理服务)的结合。当入侵者在破坏内部网络的安全(代理服务)的结合。当入侵者在破坏内部网络的安全性之前,必须首先突破这两种不同的安全系统。安全性之前,必须首先突破这两种不同的安全系统。屏蔽主机网关示意图u原理和实现过程原理和实现过程 :堡垒主机位于内部网络上,而包过滤路由器堡垒主机位于内部网络上,而包过滤路由器则放置在内部网络和外部网络之间。在路由器上则放置在内部网络和外部网
23、络之间。在路由器上设置相应的规则,使得外部系统只能访问堡垒主设置相应的规则,使得外部系统只能访问堡垒主机。由于内部主机与堡垒主机处于同一个网络,机。由于内部主机与堡垒主机处于同一个网络,内部系统是否允许直接访问外部网络,或者是要内部系统是否允许直接访问外部网络,或者是要求使用堡垒主机上的代理服务来访问外部网络完求使用堡垒主机上的代理服务来访问外部网络完全由企业的安全策略来决定。对路由器的过滤规全由企业的安全策略来决定。对路由器的过滤规则进行配置,使得其只接收来自堡垒主机的内部则进行配置,使得其只接收来自堡垒主机的内部数据包,就可以强制内部用户使用代理服务,从数据包,就可以强制内部用户使用代理服
24、务,从而加强内部用户对外部而加强内部用户对外部Internet访问的管理。访问的管理。 4屏蔽子网防火墙屏蔽子网防火墙u屏蔽子网防火墙利用两台屏蔽路由器把子网与内外部屏蔽子网防火墙利用两台屏蔽路由器把子网与内外部网络隔离开,堡垒主机、信息服务器、网络隔离开,堡垒主机、信息服务器、Modem组,以及组,以及其他公用服务器放在该子网中,这个子网称为其他公用服务器放在该子网中,这个子网称为“停火区停火区”或或“非军事区非军事区”(DeMilitarised Zone,DMZ)屏蔽子网防火墙示意图屏蔽子网防火墙示意图防火墙的物理位置防火墙的物理位置u1、服务器置于防火墙之内、服务器置于防火墙之内u2、
25、服务器置于防火墙之外、服务器置于防火墙之外u3、服务器置于防火墙之上、服务器置于防火墙之上 内部内部网网Web 服务器服务器防火墙防火墙Internet1、 服务器置于防火墙之内服务器置于防火墙之内 如图所示,将如图所示,将Web服务器装在防服务器装在防火墙内的好处是它得到了安全保护,不火墙内的好处是它得到了安全保护,不容易被黑客闯入。容易被黑客闯入。 内部内部网网Web 服务器服务器防火墙防火墙Internet 如图所示,为保证内部网络的安如图所示,为保证内部网络的安全,将全,将Web服务器完全置于防火墙之外服务器完全置于防火墙之外是比较合适的。在这种模式中,是比较合适的。在这种模式中,Web服服务器不受保护,但内部网则处于保护之务器不受保护,但内部网则处于保护之下。下。 2、 服务器置于防火墙之外服务器置于防火墙之外3 服务器置于防火墙之上服务器置于防火墙之上 内部内部网网Web 防火墙和防火墙和 服务器服务器Internet 如图所示,有些管理者试图在防如图所示,有些管理者试图在防火墙机器上运行火墙机器上运行Web服务器,以此增强服务器,以此增强Web站点的安全性。站点的安全性。
限制150内