防火墙技术课件.ppt
《防火墙技术课件.ppt》由会员分享,可在线阅读,更多相关《防火墙技术课件.ppt(73页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、防火墙技术防火墙技术第1页,此课件共73页哦6.6 状态检测的数据包过滤状态检测的数据包过滤6.7 防火墙的发展趋势防火墙的发展趋势本章小结本章小结习题习题第2页,此课件共73页哦防火墙是建立在内外网络边界上的过滤封锁机制,内防火墙是建立在内外网络边界上的过滤封锁机制,内部网络被认为是安全和可信赖的,而外部网络(通常部网络被认为是安全和可信赖的,而外部网络(通常是是Internet)被认为是不安全和不可信赖的。防火墙的作)被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部用是防止不希望的、未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全政策
2、。防火墙网络,通过边界控制强化内部网络的安全政策。防火墙在网络中的位置如图在网络中的位置如图6.1所示。所示。6.1 防火墙的原理防火墙的原理 6.1.1 防火墙的概念防火墙的概念第3页,此课件共73页哦图图6.1 防火墙在网络中的位置防火墙在网络中的位置第4页,此课件共73页哦防火墙通常是运行在一台或者多台计算机之上的一组特别防火墙通常是运行在一台或者多台计算机之上的一组特别的服务软件,用于对网络进行防护和通信控制。但是在很的服务软件,用于对网络进行防护和通信控制。但是在很多情况下防火墙以专门的硬件形式出现,这种硬件也被称多情况下防火墙以专门的硬件形式出现,这种硬件也被称为防火墙,它是安装了
3、防火墙软件,并针对安全防护进行为防火墙,它是安装了防火墙软件,并针对安全防护进行了专门设计的网络设备,本质上还是软件在进行控制。了专门设计的网络设备,本质上还是软件在进行控制。第5页,此课件共73页哦防火墙隔离了内部网络和外部网络,它被设计为只运行专防火墙隔离了内部网络和外部网络,它被设计为只运行专用的访问控制软件的设备。此外,防火墙也改进了登录和用的访问控制软件的设备。此外,防火墙也改进了登录和监测功能,从而可以进行专用的管理。如果采用了防火墙,监测功能,从而可以进行专用的管理。如果采用了防火墙,内部网络中的主机将不再直接暴露给来自内部网络中的主机将不再直接暴露给来自Internet的攻击。
4、的攻击。因此,对整个内部网络的主机的安全管理就变成了防因此,对整个内部网络的主机的安全管理就变成了防火墙的安全管理,这样就使安全管理变得更为方便,火墙的安全管理,这样就使安全管理变得更为方便,易于控制,也会使内部网络更加安全。易于控制,也会使内部网络更加安全。防火墙一般安放在被保护网络的边界,必须做到以下几防火墙一般安放在被保护网络的边界,必须做到以下几点,才能使防火墙起到安全防护的作用:点,才能使防火墙起到安全防护的作用:第6页,此课件共73页哦(1)所有进出被保护网络的通信必须通过防火墙。所有进出被保护网络的通信必须通过防火墙。(2)所有通过防火墙的通信必须经过安全策略的过所有通过防火墙的
5、通信必须经过安全策略的过滤或者防火墙的授权。滤或者防火墙的授权。(3)防火墙本身是不可被侵入的。防火墙本身是不可被侵入的。第7页,此课件共73页哦防火墙具有如下几个功能:防火墙具有如下几个功能:(1)访问控制功能。这是防火墙最基本也是最重要访问控制功能。这是防火墙最基本也是最重要的功能,通过禁止或允许特定用户访问特定的资源,的功能,通过禁止或允许特定用户访问特定的资源,保护网络的内部资源和数据。需要禁止非授权的访问,保护网络的内部资源和数据。需要禁止非授权的访问,防火墙需要识别哪个用户可以访问何种资源。防火墙需要识别哪个用户可以访问何种资源。2)内容控制功能。根据数据内容进行控制,比如防火墙可
6、内容控制功能。根据数据内容进行控制,比如防火墙可以从电子邮件中过滤掉垃圾邮件,可以过滤掉内部用户访以从电子邮件中过滤掉垃圾邮件,可以过滤掉内部用户访问外部服务的图片信息,也可以限制外部访问,使它们只问外部服务的图片信息,也可以限制外部访问,使它们只能访问本地能访问本地Web服务器中的一部分信息。服务器中的一部分信息。6.1.2 防火墙的功能防火墙的功能第8页,此课件共73页哦(3)全面的日志功能。防火墙的日志功能很重要。全面的日志功能。防火墙的日志功能很重要。防火墙需要完整地记录网络访问情况,包括内外网进防火墙需要完整地记录网络访问情况,包括内外网进出的访问,需要记录访问是什么时候进行了什么操
7、作,出的访问,需要记录访问是什么时候进行了什么操作,以检查网络访问情况。以检查网络访问情况。(4)集中管理功能。防火墙是一个安全设备,针对集中管理功能。防火墙是一个安全设备,针对不同的网络情况和安全需要,需要制定不同的安全策不同的网络情况和安全需要,需要制定不同的安全策略,然后在防火墙上实施略,然后在防火墙上实施(5)自身的安全和可用性。防火墙要保证自身的安全,自身的安全和可用性。防火墙要保证自身的安全,不被非法侵入,保证正常的工作。不被非法侵入,保证正常的工作。第9页,此课件共73页哦另外防火墙还有如下附加的功能:另外防火墙还有如下附加的功能:(1)流量控制,针对不同的用户限制不同的流量流量
8、控制,针对不同的用户限制不同的流量,可以可以合理使用带宽资源。合理使用带宽资源。(2)NAT(Network Address Translation,网络地址转,网络地址转换),是通过修改数据包的源地址(端口)或者目的换),是通过修改数据包的源地址(端口)或者目的地址(端口),来达到节省地址(端口),来达到节省IP地址资源,隐藏内部地址资源,隐藏内部IP地址的功能的一种技术。地址的功能的一种技术。(3)VPN(Virtual Private Network,虚拟专用网),虚拟专用网),指利用数据封装和加密技术,使本来只能在私有网络指利用数据封装和加密技术,使本来只能在私有网络上传送的数据能够通
9、过公共网络(上传送的数据能够通过公共网络(Internet)进行传)进行传输,使系统费用大大降低。输,使系统费用大大降低。第10页,此课件共73页哦对防火墙而言,网络可以分为可信网络和不可信网络。对防火墙而言,网络可以分为可信网络和不可信网络。可信网络和不可信网络是相对的,一般来讲内部网络可信网络和不可信网络是相对的,一般来讲内部网络是可信网络,是可信网络,Internet是不可信网络。是不可信网络。防火墙的安放位置是可信网络和不可信网络的边界。在防火墙的安放位置是可信网络和不可信网络的边界。在被保护网络周边形成被保护网络与外部网络的隔离,防被保护网络周边形成被保护网络与外部网络的隔离,防范来
10、自被保护网络外部的对被保护网络安全的威胁,所范来自被保护网络外部的对被保护网络安全的威胁,所以它是一种边界保护,它对可信网络内部之间的访问无以它是一种边界保护,它对可信网络内部之间的访问无法控制,仅对穿过边界的访问进行控制。法控制,仅对穿过边界的访问进行控制。6.1.3 边界保护机制边界保护机制第11页,此课件共73页哦由于大多数主机操作系统和服务存在缺陷、薄弱点和由于大多数主机操作系统和服务存在缺陷、薄弱点和安全漏洞,系统的配置文件不当和口令选择失误都会安全漏洞,系统的配置文件不当和口令选择失误都会被恶意破坏者所利用,安全配置错误和失误越来越普被恶意破坏者所利用,安全配置错误和失误越来越普遍
11、。恶意破坏者主要有以下几种可能的攻击:遍。恶意破坏者主要有以下几种可能的攻击:6.1.4 潜在的攻击和可能的对象潜在的攻击和可能的对象第12页,此课件共73页哦(1)入侵内部网络。包括没有授权地访问内部网络,入侵内部网络。包括没有授权地访问内部网络,盗取信息。比如进行地址欺骗,不可信网络的用户伪盗取信息。比如进行地址欺骗,不可信网络的用户伪装成可信网络的地址,从而绕过系统的认证实现进入装成可信网络的地址,从而绕过系统的认证实现进入被攻击系统;或者通过在内部网络中安装木马程序,被攻击系统;或者通过在内部网络中安装木马程序,实现对内部机器的控制。实现对内部机器的控制。(2)针对防火墙的攻击,使其失
12、去功能。包括各种协针对防火墙的攻击,使其失去功能。包括各种协议漏洞攻击,控制防火墙,使防火墙死机或者失去本议漏洞攻击,控制防火墙,使防火墙死机或者失去本身应有功能。身应有功能。(3)拒绝服务攻击。此种攻击现在非常普遍,对网拒绝服务攻击。此种攻击现在非常普遍,对网络的危害非常大,是防火墙较难阻挡的攻击之一。它络的危害非常大,是防火墙较难阻挡的攻击之一。它主要有以下几种方式。主要有以下几种方式。第13页,此课件共73页哦 Syn Flood:该攻击以多个随机的源主机地址向目的主该攻击以多个随机的源主机地址向目的主机发送机发送SYN包,而在收到目的主机的包,而在收到目的主机的SYN ACK后并不回后
13、并不回应,这样,目的主机就为这些源主机建立了大量的连接应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到队列,而且由于没有收到ACK一直维护着这些队列,造一直维护着这些队列,造成了资源的大量消耗而不能向正常请求提供服务。成了资源的大量消耗而不能向正常请求提供服务。Smurf:该攻击向一个子网的广播地址发一个带有该攻击向一个子网的广播地址发一个带有特定请求(如特定请求(如ICMP回应请求)的包,并且将源地址回应请求)的包,并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包,使该主机受到攻击。广播
14、包请求而向被攻击主机发包,使该主机受到攻击。第14页,此课件共73页哦 Land based:攻击者将一个数据包的源地址和目的攻击者将一个数据包的源地址和目的地址都设置为目标主机的地址,然后将该数据包通过地址都设置为目标主机的地址,然后将该数据包通过IP欺骗的方式发送给被攻击主机,这种包可以造成被欺骗的方式发送给被攻击主机,这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,从而攻击主机因试图与自己建立连接而陷入死循环,从而很大程度地降低了系统性能。很大程度地降低了系统性能。Ping of Death:根据根据TCP/IP的规范,一个的规范,一个IP包的长包的长度最大为度最大为65 53
15、6B,但发送较大的,但发送较大的IP包时将进行分片,包时将进行分片,这些这些IP分片到达目的主机时又重新组合起来。在分片到达目的主机时又重新组合起来。在Ping of Death攻击时,各分片组合后的总长度将超过攻击时,各分片组合后的总长度将超过65 536B,在,在这种情况下会造成某些操作系统的宕机。这种情况下会造成某些操作系统的宕机。第15页,此课件共73页哦 Teardrop:较大的较大的IP数据包在网络传递时,数据包可数据包在网络传递时,数据包可以分成更小的片段。攻击者可以通过发送两段(或者更多)以分成更小的片段。攻击者可以通过发送两段(或者更多)数据包来实现数据包来实现Teardro
16、p攻击。第一个包的偏移量为攻击。第一个包的偏移量为0,长度为长度为N,第二个包的偏移量小于,第二个包的偏移量小于N。为了合并这些数据。为了合并这些数据段,段,TCP/IP堆栈会分配超乎寻常的巨大资源,从而造堆栈会分配超乎寻常的巨大资源,从而造成系统资源的缺乏甚至系统崩溃。成系统资源的缺乏甚至系统崩溃。Ping Sweep:使用使用ICMP Echo轮询多个主机,阻塞轮询多个主机,阻塞网络。网络。Ping Flood:该攻击在短时间内向目的主机发送大该攻击在短时间内向目的主机发送大量量ping包,造成网络堵塞或主机资源耗尽。包,造成网络堵塞或主机资源耗尽。第16页,此课件共73页哦现在的攻击方式
17、在不断地增加,但是主要的攻击方式可现在的攻击方式在不断地增加,但是主要的攻击方式可以分为以下几种:以分为以下几种:(1)强度攻击(即洪水攻击)。发送大量的无用数据包强度攻击(即洪水攻击)。发送大量的无用数据包来堵塞网络带宽,使目标机器无法对正常的请求发生反应。来堵塞网络带宽,使目标机器无法对正常的请求发生反应。(2)协议漏洞攻击。主要是针对系统的协议漏洞进行的协议漏洞攻击。主要是针对系统的协议漏洞进行的攻击。攻击。(3)应用漏洞攻击。主要是针对系统的应用漏洞进行的应用漏洞攻击。主要是针对系统的应用漏洞进行的攻击,比如针对攻击,比如针对IIS的的Unicode漏洞的远程控制的攻击,漏洞的远程控制
18、的攻击,针对针对FTP的漏洞的攻击等。的漏洞的攻击等。从原理上来讲,防火墙可以对以上各种攻击进行有效从原理上来讲,防火墙可以对以上各种攻击进行有效的检测和阻挡,不让这些攻击渗透到内部网络中。的检测和阻挡,不让这些攻击渗透到内部网络中。第17页,此课件共73页哦防火墙是一种安全设备,同时也是一种网络设备,它防火墙是一种安全设备,同时也是一种网络设备,它安放在网络系统中,需要和其他网络设备配合,以适安放在网络系统中,需要和其他网络设备配合,以适应各种网络环境,这样才能做到安全性和可用性的统应各种网络环境,这样才能做到安全性和可用性的统一。一。防火墙需要适应各种网络环境,这样就要求防火墙除了防火墙需
19、要适应各种网络环境,这样就要求防火墙除了在安全防护的功能之外,还需要具有各种网络设备的功在安全防护的功能之外,还需要具有各种网络设备的功能,比如路由功能,支持各种路由协议,这样才能和其能,比如路由功能,支持各种路由协议,这样才能和其他的路由器协同工作;他的路由器协同工作;VLAN的支持,这样才能支持划分的支持,这样才能支持划分了了VLAN的网络;的网络;ADSL的支持,就能对的支持,就能对ADSL的接入方的接入方式提供安全保护。式提供安全保护。6.1.5 互操作性要求互操作性要求第18页,此课件共73页哦安装防火墙并不能做到绝对的安全,它有许多防范不安装防火墙并不能做到绝对的安全,它有许多防范
20、不到的地方,具体如下:到的地方,具体如下:(1)防火墙不能防范不经由防火墙的攻击。例如,防火墙不能防范不经由防火墙的攻击。例如,如果允许从受保护网内部不受限制地向外拨号,一些如果允许从受保护网内部不受限制地向外拨号,一些用户可以形成与用户可以形成与Internet的直接的连接,从而绕过防的直接的连接,从而绕过防火墙,造成一个潜在的后门攻击渠道。火墙,造成一个潜在的后门攻击渠道。(2)防火墙不能防止感染了病毒的软件或文件的传输。不防火墙不能防止感染了病毒的软件或文件的传输。不能期望防火墙去对每一个进出内部网络的文件进行扫描,能期望防火墙去对每一个进出内部网络的文件进行扫描,查出潜在的病毒,否则,
21、防火墙将成为网络中最大的瓶颈。查出潜在的病毒,否则,防火墙将成为网络中最大的瓶颈。6.1.6 防火墙的局限性防火墙的局限性第19页,此课件共73页哦(3)防火墙不能防止数据驱动式攻击。有些表面看防火墙不能防止数据驱动式攻击。有些表面看起来无害的数据通过电子邮件发送或者其他方式复制起来无害的数据通过电子邮件发送或者其他方式复制到内部主机上,一旦被执行就形成攻击。一个数据型到内部主机上,一旦被执行就形成攻击。一个数据型攻击可能导致主机修改与安全相关的文件,使得入侵攻击可能导致主机修改与安全相关的文件,使得入侵者很容易获得对系统的访问权。者很容易获得对系统的访问权。(4)防火墙不能防范恶意的内部人员
22、侵入。内部人员防火墙不能防范恶意的内部人员侵入。内部人员通晓内部网络的结构,如果他从内部入侵内部主机,通晓内部网络的结构,如果他从内部入侵内部主机,或进行一些破坏活动,因为该通信没有通过防火墙,或进行一些破坏活动,因为该通信没有通过防火墙,所以防火墙无法阻止。所以防火墙无法阻止。第20页,此课件共73页哦(5)防火墙不能防范不断更新的攻击方式,防火墙制防火墙不能防范不断更新的攻击方式,防火墙制定的安全策略是在已知的攻击模式下制定的,所以对定的安全策略是在已知的攻击模式下制定的,所以对全新的攻击方式缺少阻止功能。防火墙不能自动阻止全新的攻击方式缺少阻止功能。防火墙不能自动阻止全新的侵入,所以以为
23、安装了防火墙就可以高枕无忧全新的侵入,所以以为安装了防火墙就可以高枕无忧的思想是很危险的。的思想是很危险的。第21页,此课件共73页哦从实现技术方式来分类,防火墙可分为包过滤防火墙、从实现技术方式来分类,防火墙可分为包过滤防火墙、应用网关防火墙、代理防火墙和状态检测防火墙。应用网关防火墙、代理防火墙和状态检测防火墙。6.1.7 防火墙的分类防火墙的分类第22页,此课件共73页哦从形态上来分类,防火墙可以分为软件防火墙和硬件从形态上来分类,防火墙可以分为软件防火墙和硬件防火墙。软件防火墙提供防火墙应用软件,需要安装防火墙。软件防火墙提供防火墙应用软件,需要安装在一些公共的操作系统上,比如在一些公
24、共的操作系统上,比如MS Windows或者或者UNIX,此类防火墙如,此类防火墙如Checkpoint防火墙。硬件防火墙是将防火墙。硬件防火墙是将防火墙软件安装在专用的硬件平台和专有操作系统防火墙软件安装在专用的硬件平台和专有操作系统(有些硬件防火墙甚至没有操作系统)之上,以硬件(有些硬件防火墙甚至没有操作系统)之上,以硬件形式出现,有的还使用一些专有的形式出现,有的还使用一些专有的ASIC硬件芯片负硬件芯片负责数据包的过滤。这种方式可以减少系统的漏洞,性责数据包的过滤。这种方式可以减少系统的漏洞,性能更好,是比较常用的方式,比如能更好,是比较常用的方式,比如Cisco的的PIX防火墙。防火
25、墙。第23页,此课件共73页哦防火墙是网络的开放性和安全的控制性矛盾对立的产防火墙是网络的开放性和安全的控制性矛盾对立的产物。使用防火墙对网络进行控制,添加安全规则,会物。使用防火墙对网络进行控制,添加安全规则,会使用户使用网络感到繁琐,而且需要检查的安全规则使用户使用网络感到繁琐,而且需要检查的安全规则越多,网络性能就会越差。所以防火墙的访问效率和越多,网络性能就会越差。所以防火墙的访问效率和安全需求是一对矛盾,应该努力寻找平衡。防火墙的安全需求是一对矛盾,应该努力寻找平衡。防火墙的访问效率一般是指防火墙的性能。访问效率一般是指防火墙的性能。6.1.8 防火墙的访问效率和安全需求防火墙的访问
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 技术 课件
限制150内