《防火墻概述》PPT課件

1、第3章 防火墻入門本章重點(diǎn)：防火墻的概念及作用防火墻的分類防火的墻技術(shù)防火墻的功能防火墻技術(shù)的主要發(fā)展趨勢(shì)11.1防火墻的概念及作用 隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是這一類防范措施的總稱。 防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 2防火墻邏輯位置示意圖 :3防火墻（FireWall）的定義: 指的就是一種被放置在自己的計(jì)算機(jī)與外界網(wǎng)絡(luò)

2、之間的防御系統(tǒng)，從網(wǎng)絡(luò)發(fā)往計(jì)算機(jī)的所有數(shù)據(jù)都要經(jīng)過它的判斷處理后，才會(huì)決定能不能把這些數(shù)據(jù)交給計(jì)算機(jī)，一旦發(fā)現(xiàn)有害數(shù)據(jù)，防火墻就會(huì)攔截下來(lái)，實(shí)現(xiàn)了對(duì)計(jì)算機(jī)的保護(hù)功能。41.2 防火墻的分類與技術(shù)防火墻的分類 :根據(jù)物理特性:防火墻分為兩大類，“硬件防火墻”和“軟件防火墻”。從技術(shù)上分為：“包過濾型”、“應(yīng)用代理型”和“狀態(tài)監(jiān)視”三類 。從結(jié)構(gòu)上又分為：“單一主機(jī)防火墻”、“路由集成式防火墻”和“分布式防火墻”三類。按工作位置分為“邊界防火墻”、“個(gè)人防火墻”和“混合防火墻 ”。按防火墻性能分為：“百兆級(jí)防火墻”和“千兆級(jí)防火墻”兩類。 5防火的墻技術(shù) ： 傳統(tǒng)意義上的防火墻技術(shù)分為三大類，“包

3、過濾”（Packet Filtering）、“應(yīng)用代理”（Application Proxy）和“狀態(tài)監(jiān)視”（Stateful Inspection），無(wú)論一個(gè)防火墻的實(shí)現(xiàn)過程多么復(fù)雜，歸根結(jié)底都是在這三種技術(shù)的基礎(chǔ)上進(jìn)行功能擴(kuò)展的。61、包過濾技術(shù) 包過濾是最早使用的一種防火墻技術(shù)，它的第一代模型是“靜態(tài)包過濾”（Static Packet Filtering），使用包過濾技術(shù)的防火墻通常工作在OSI模型中的網(wǎng)絡(luò)層（Network Layer）上，后來(lái)發(fā)展更新的“動(dòng)態(tài)包過濾”（Dynamic Packet Filtering）增加了傳輸層（Transport Layer），簡(jiǎn)而言之，包過濾技

4、術(shù)工作的地方就是各種基于TCP/IP協(xié)議的數(shù)據(jù)報(bào)文進(jìn)出的通道，它把這兩層作為數(shù)據(jù)監(jiān)控的對(duì)象，對(duì)每個(gè)數(shù)據(jù)包的頭部、協(xié)議、地址、端口、類型等信息進(jìn)行分析，并與預(yù)先設(shè)定好的防火墻過濾規(guī)則（Filtering Rule）進(jìn)行核對(duì)，一旦發(fā)現(xiàn)某個(gè)包的某個(gè)或多個(gè)部分與過濾規(guī)則匹配并且條件為“阻止”的時(shí)候，這個(gè)包就會(huì)被丟棄。 72、 應(yīng)用代理技術(shù) 一個(gè)完整的代理設(shè)備包含一個(gè)服務(wù)端和客戶端，服務(wù)端接收來(lái)自用戶的請(qǐng)求，調(diào)用自身的客戶端模擬一個(gè)基于用戶請(qǐng)求的連接到目標(biāo)服務(wù)器，再把目標(biāo)服務(wù)器返回的數(shù)據(jù)轉(zhuǎn)發(fā)給用戶，完成一次代理工作過程 。 采用“應(yīng)用協(xié)議分析”技術(shù)工作在OSI模型的最高層應(yīng)用層上，在這一層里能接觸到的所

5、有數(shù)據(jù)都是最終形式，也就是說(shuō)，防火墻“看到”的數(shù)據(jù)和我們看到的是一樣的，而不是一個(gè)個(gè)帶著地址端口協(xié)議等原始內(nèi)容的數(shù)據(jù)包，因而它可以實(shí)現(xiàn)更高級(jí)的數(shù)據(jù)檢測(cè)過程。 83.狀態(tài)監(jiān)視技術(shù)：這是繼“包過濾”技術(shù)和“應(yīng)用代理”技術(shù)后發(fā)展的防火墻技術(shù)，它是CheckPoint技術(shù)公司在基于“包過濾”原理的“動(dòng)態(tài)包過濾”技術(shù)發(fā)展而來(lái)的，與之類似的有其他廠商聯(lián)合發(fā)展的“深度包檢測(cè)”（Deep Packet Inspection）技術(shù)。這種防火墻技術(shù)通過一種被稱為“狀態(tài)監(jiān)視”的模塊，在不影響網(wǎng)絡(luò)安全正常工作的前提下采用抽取相關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各個(gè)層次實(shí)行監(jiān)測(cè)，并根據(jù)各種過濾規(guī)則作出安全決策。 “狀態(tài)監(jiān)視”（S

6、tateful Inspection）技術(shù)在保留了對(duì)每個(gè)數(shù)據(jù)包的頭部、協(xié)議、地址、端口、類型等信息進(jìn)行分析的基礎(chǔ)上，進(jìn)一步發(fā)展了“會(huì)話過濾”（Session Filtering）功能，在每個(gè)連接建立時(shí)，防火墻會(huì)為這個(gè)連接構(gòu)造一個(gè)會(huì)話狀態(tài)，里面包含了這個(gè)連接數(shù)據(jù)包的所有信息，以后這個(gè)連接都基于這個(gè)狀態(tài)信息進(jìn)行，這種檢測(cè)的高明之處是能對(duì)每個(gè)數(shù)據(jù)包的內(nèi)容進(jìn)行監(jiān)視，一旦建立了一個(gè)會(huì)話狀態(tài)，則此后的數(shù)據(jù)傳輸都要以此會(huì)話狀態(tài)作為依據(jù)，例如一個(gè)連接的數(shù)據(jù)包源端口是8000，那么在以后的數(shù)據(jù)傳輸過程里防火墻都會(huì)審核這個(gè)包的源端口還是不是8000，否則這個(gè)數(shù)據(jù)包就被攔截，而且會(huì)話狀態(tài)的保留是有時(shí)間限制的，在超時(shí)

7、的范圍內(nèi)如果沒有再進(jìn)行數(shù)據(jù)傳輸，這個(gè)會(huì)話狀態(tài)就會(huì)被丟棄。狀態(tài)監(jiān)視可以對(duì)包內(nèi)容進(jìn)行分析，從而擺脫了傳統(tǒng)防火墻僅局限于幾個(gè)包頭部信息的檢測(cè)弱點(diǎn)，而且這種防火墻不必開放過多端口，進(jìn)一步杜絕了可能因?yàn)殚_放端口過多而帶來(lái)的安全隱患。 93、防火墻的功能1、防火墻是網(wǎng)絡(luò)安全的屏障 2 、防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略3 、對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì) 4 、防止內(nèi)部信息的外泄 10防火墻的發(fā)展史：第一代防火墻 第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn)，采用了包過濾（Packet filter）技術(shù)。下圖表示了防火墻技術(shù)的簡(jiǎn)單發(fā)展歷史。第二、三代防火墻 1989年，貝爾實(shí)驗(yàn)室的Dave Presotto和Howar

8、d Trickey推出了第二代防火墻，即電路層防火墻，同時(shí)提出了第三代防火墻應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。第四代防火墻 1992年，USC信息科學(xué)院的BobBraden開發(fā)出了基于動(dòng)態(tài)包過濾（Dynamic packet filter）技術(shù)的第四代防火墻，后來(lái)演變?yōu)槟壳八f(shuō)的狀態(tài)監(jiān)視（Stateful inspection）技術(shù)。1994年，以色列的CheckPoint公司開發(fā)出了第一個(gè)采用這種技術(shù)的商業(yè)化的產(chǎn)品。第五代防火墻 1998年，NAI公司推出了一種自適應(yīng)代理（Adaptive proxy）技術(shù)，并在其產(chǎn)品Gauntlet Firewall for NT中得以實(shí)現(xiàn)，給代理類型

9、的防火墻賦予了全新的意義，可以稱之為第五代防火墻。11第一代：靜態(tài)包過濾 這種類型的防火墻根據(jù)定義好的過濾規(guī)則審查每個(gè)數(shù)據(jù)包，以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于數(shù)據(jù)包的報(bào)頭信息進(jìn)行制訂。報(bào)頭信息中包括IP源地址、IP目標(biāo)地址、傳輸協(xié)議(TCP、UDP、ICMP等等)、TCP/UDP目標(biāo)端口、ICMP消息類型等。包過濾類型的防火墻要遵循的一條基本原則是“最小特權(quán)原則”，即明確允許那些管理員希望通過的數(shù)據(jù)包，禁止其他的數(shù)據(jù)包。12防火墻功能指標(biāo)詳解產(chǎn)品類型： 從防火墻產(chǎn)品和技術(shù)發(fā)展來(lái)看，分為三種類型：基于路由器的包過濾防火墻、基于通用操作系統(tǒng)的防火墻、基于專用安全操作系統(tǒng)的防火墻。

10、LAN接口： 列出支持的LAN接口類型：防火墻所能保護(hù)的網(wǎng)絡(luò)類型，如以太網(wǎng)、快速以太網(wǎng)、千兆以太網(wǎng)、ATM、令牌環(huán)及FDDI等。13支持的最大LAN接口數(shù)：指防火墻所支持的局域網(wǎng)絡(luò)接口數(shù)目，也是其能夠保護(hù)的不同內(nèi)網(wǎng)數(shù)目。服務(wù)器平臺(tái)：防火墻所運(yùn)行的操作系統(tǒng)平臺(tái)（如Linux、UNIX、WinNT、專用安全操作系統(tǒng)等）。協(xié)議支持支持的非IP協(xié)議：除支持IP協(xié)議之外，又支持AppleTalk、DECnet、IPX及NETBEUI等協(xié)議。建立VPN通道的協(xié)議：構(gòu)建VPN通道所使用的協(xié)議，如密鑰分配等，主要分為IPSec，PPTP、專用協(xié)議等?？梢栽赩PN中使用的協(xié)議：在VPN中使用的協(xié)議，一般是指TC

11、P/IP協(xié)議。加密支持14支持的VPN加密標(biāo)準(zhǔn)：VPN中支持的加密算法,例如數(shù)據(jù)加密標(biāo)準(zhǔn)DES、3DES、RC4以及國(guó)內(nèi)專用的加密算法。除了VPN之外，加密的其他用途：加密除用于保護(hù)傳輸數(shù)據(jù)以外，還應(yīng)用于其他領(lǐng)域，如身份認(rèn)證、報(bào)文完整性認(rèn)證，密鑰分配等。提供基于硬件的加密：是否提供硬件加密方法，硬件加密可以提供更快的加密速度和更高的加密強(qiáng)度。認(rèn)證支持支持的認(rèn)證類型：是指防火墻支持的身份認(rèn)證協(xié)議，一般情況下具有一個(gè)或多個(gè)認(rèn)證方案，如RADIUS、Kerberos、TACACS/TACACS、口令方式、數(shù)字證書等。防火墻能夠?yàn)楸镜鼗蜻h(yuǎn)程用戶提供經(jīng)過認(rèn)證與授權(quán)的對(duì)網(wǎng)絡(luò)資源的訪問，防火墻管理員必須決定

12、客戶以何種方式通過認(rèn)證。列出支持的認(rèn)證標(biāo)準(zhǔn)和CA互操作性：廠商可以選擇自己的認(rèn)證方案，但應(yīng)符合相應(yīng)的國(guó)際標(biāo)準(zhǔn)，該項(xiàng)指所支持的標(biāo)準(zhǔn)認(rèn)證協(xié)議，以及實(shí)現(xiàn)的認(rèn)證協(xié)議是否與其他CA產(chǎn)品兼容互通。支持?jǐn)?shù)字證書：是否支持?jǐn)?shù)字證書。訪問控制通過防火墻的包內(nèi)容設(shè)置：包過濾防火墻的過濾規(guī)則集由若干條規(guī)則組成，它應(yīng)涵蓋對(duì)所有出入防火墻的數(shù)據(jù)包的處理方法，對(duì)于沒有明確定義的數(shù)據(jù)包，應(yīng)該有一個(gè)缺省處理方法；過濾規(guī)則應(yīng)易于理解，易于編輯修改；同時(shí)應(yīng)具備一致性檢測(cè)機(jī)制，防止沖突。IP包過濾的依據(jù)主要是根據(jù)IP包頭部信息如源地址和目的地址進(jìn)行過濾，如果IP頭中的協(xié)議字段表明封裝協(xié)議為ICMP、TCP或UDP，那么再根據(jù)ICM

13、P頭信息（類型和代碼值）、TCP頭信息（源端口和目的端口）或UDP頭信息（源端口和目的端口）執(zhí)行過濾，其他的還有MAC地址過濾。應(yīng)用層協(xié)議過濾要求主要包括FTP過濾、基于RPC的應(yīng)用服務(wù)過濾、基于UDP的應(yīng)用服務(wù)過濾要求以及動(dòng)態(tài)包過濾技術(shù)等。15在應(yīng)用層提供代理支持：指防火墻是否支持應(yīng)用層代理，如HTTP、FTP、TELNET、SNMP等。代理服務(wù)在確認(rèn)客戶端連接請(qǐng)求有效后接管連接，代為向服務(wù)器發(fā)出連接請(qǐng)求，代理服務(wù)器應(yīng)根據(jù)服務(wù)器的應(yīng)答，決定如何響應(yīng)客戶端請(qǐng)求，代理服務(wù)進(jìn)程應(yīng)當(dāng)連接兩個(gè)連接（客戶端與代理服務(wù)進(jìn)程間的連接、代理服務(wù)進(jìn)程與服務(wù)器端的連接）。為確認(rèn)連接的唯一性與時(shí)效性，代理進(jìn)程應(yīng)當(dāng)維

14、護(hù)代理連接表或相關(guān)數(shù)據(jù)庫(kù)（最小字段集合），為提供認(rèn)證和授權(quán)，代理進(jìn)程應(yīng)當(dāng)維護(hù)一個(gè)擴(kuò)展字段集合。在傳輸層提供代理支持：指防火墻是否支持傳輸層代理服務(wù)。允許FTP命令防止某些類型文件通過防火墻：指是否支持FTP文件類型過濾。用戶操作的代理類型：應(yīng)用層高級(jí)代理功能，如HTTP、POP3。支持網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)：NAT指將一個(gè)IP地址域映射到另一個(gè)IP地址域，從而為終端主機(jī)提供透明路由的方法。NAT常用于私有地址域與公有地址域的轉(zhuǎn)換以解決IP地址匱乏問題。在防火墻上實(shí)現(xiàn)NAT后，可以隱藏受保護(hù)網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，在一定程度上提高了網(wǎng)絡(luò)的安全性。支持硬件口令、智能卡：是否支持硬件口令、智能卡等，這是一種

15、比較安全的身份認(rèn)證技術(shù)。16防御功能支持病毒掃描：是否支持防病毒功能，如掃描電子郵件附件中的DOC和ZIP文件，F(xiàn)TP中的下載或上載文件內(nèi)容，以發(fā)現(xiàn)其中包含的危險(xiǎn)信息。提供內(nèi)容過濾：是否支持內(nèi)容過濾，信息內(nèi)容過濾指防火墻在HTTP、FTP、SMTP等協(xié)議層，根據(jù)過濾條件，對(duì)信息流進(jìn)行控制，防火墻控制的結(jié)果是：允許通過、修改后允許通過、禁止通過、記錄日志、報(bào)警等。過濾內(nèi)容主要指URL、HTTP攜帶的信息：Java Applet、 javascript、ActiveX和電子郵件中的Subject、To、From域等。能防御的DoS攻擊類型：拒絕服務(wù)攻擊(DoS)就是攻擊者過多地占用共享資源，導(dǎo)致服

16、務(wù)器超載或系統(tǒng)資源耗盡，而使其他用戶無(wú)法享有服務(wù)或沒有資源可用。防火墻通過控制、檢測(cè)與報(bào)警等機(jī)制，可在一定程度上防止或減輕DoS黑客攻擊。阻止ActiveX、Java、Cookies、javascript侵入：屬于HTTP內(nèi)容過濾，防火墻應(yīng)該能夠從HTTP頁(yè)面剝離JavaApplet、ActiveX等小程序及從Script、PHP和ASP等代碼檢測(cè)出危險(xiǎn)代碼或病毒，并向?yàn)g覽器用戶報(bào)警。同時(shí)，能夠過濾用戶上載的CGI、ASP等程序，當(dāng)發(fā)現(xiàn)危險(xiǎn)代碼時(shí)，向服務(wù)器報(bào)警。安全特性支持轉(zhuǎn)發(fā)和跟蹤ICMP協(xié)議（ICMP代理）：是否支持ICMP代理，ICMP為網(wǎng)間控制報(bào)文協(xié)議。提供入侵實(shí)時(shí)警告：提供實(shí)時(shí)入侵告

17、警功能，當(dāng)發(fā)生危險(xiǎn)事件時(shí)，是否能夠及時(shí)報(bào)警，報(bào)警的方式可能通過郵件、呼機(jī)、手機(jī)等。提供實(shí)時(shí)入侵防范：提供實(shí)時(shí)入侵響應(yīng)功能，當(dāng)發(fā)生入侵事件時(shí)，防火墻能夠動(dòng)態(tài)響應(yīng)，調(diào)整安全策略，阻擋惡意報(bào)文。識(shí)別/記錄/防止企圖進(jìn)行IP地址欺騙：IP地址欺騙指使用偽裝的IP地址作為IP包的源地址對(duì)受保護(hù)網(wǎng)絡(luò)進(jìn)行攻擊，防火墻應(yīng)該能夠禁止來(lái)自外部網(wǎng)絡(luò)而源地址是內(nèi)部IP地址的數(shù)據(jù)包通過。17管理功能：通過集成策略集中管理多個(gè)防火墻：是否支持集中管理，防火墻管理是指對(duì)防火墻具有管理權(quán)限的管理員行為和防火墻運(yùn)行狀態(tài)的管理，管理員的行為主要包括：通過防火墻的身份鑒別，編寫防火墻的安全規(guī)則，配置防火墻的安全參數(shù)，查看防火墻的日

18、志等。防火墻的管理一般分為本地管理、遠(yuǎn)程管理和集中管理等。提供基于時(shí)間的訪問控制：是否提供基于時(shí)間的訪問控制。支持SNMP監(jiān)視和配置：SNMP是簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議的縮寫。本地管理：是指管理員通過防火墻的Console口或防火墻提供的鍵盤和顯示器對(duì)防火墻進(jìn)行配置管理。遠(yuǎn)程管理：是指管理員通過以太網(wǎng)或防火墻提供的廣域網(wǎng)接口對(duì)防火墻進(jìn)行管理，管理的通信協(xié)議可以基于FTP、TELNET、HTTP等。支持帶寬管理：防火墻能夠根據(jù)當(dāng)前的流量動(dòng)態(tài)調(diào)整某些客戶端占用的帶寬。負(fù)載均衡特性：負(fù)載均衡可以看成動(dòng)態(tài)的端口映射，它將一個(gè)外部地址的某一TCP或UDP端口映射到一組內(nèi)部地址的某一端口，負(fù)載均衡主要用于將某項(xiàng)服務(wù)（如HTTP）分?jǐn)偟揭唤M內(nèi)部服務(wù)器上以平衡負(fù)載。失敗恢復(fù)特性（failover)：指支持容錯(cuò)技術(shù)，如雙機(jī)熱備份、故障恢復(fù)，雙電源備份等。18記錄和報(bào)表功能防火墻處理完整日志的方法：防火墻規(guī)定了對(duì)于符合條件的報(bào)文做日志，應(yīng)該提供日志信息管理和存儲(chǔ)方法。提供自動(dòng)日志掃描：指防火墻是否具有日志的自動(dòng)分析和掃描功能，這可以獲得更詳細(xì)的統(tǒng)計(jì)結(jié)果，達(dá)到事后分析、亡羊補(bǔ)牢的目的。提供自動(dòng)報(bào)表、日志報(bào)告書寫器：防火墻實(shí)現(xiàn)的一種