防火墻技術介紹課件

1、防火墻技術介紹嚴峻的網(wǎng)絡安全形勢，促進了防火墻技術的不斷發(fā)展。防火墻是一種綜合性的科學技術，涉及網(wǎng)絡通信、數(shù)據(jù)加密、安全決策、信息安全、硬件研制、軟件開發(fā)等綜合性課題。第1頁，共40頁。防火墻的定義防火墻是設置在被保護網(wǎng)絡和外部網(wǎng)絡之間的一道屏障，實現(xiàn)網(wǎng)絡的安全保護，以防止發(fā)生不可預測的、潛在破壞性的侵入。防火墻本身具有較強的抗攻擊能力，它是提供信息安全服務、實現(xiàn)網(wǎng)絡和信息安全的基礎設施。圖8.1為防火墻示意圖。防火墻的基本概念第2頁，共40頁。圖1防火墻示意圖 返回本節(jié)第3頁，共40頁。防火墻的發(fā)展簡史第一代防火墻：采用了包過濾（Packet Filter）技術。第二、三代防火墻：1989年

2、，推出了電路層防火墻，和應用層防火墻的初步結構。第四代防火墻：1992年，開發(fā)出了基于動態(tài)包過濾技術的第四代防火墻。第五代防火墻：1998年，NAI公司推出了一種自適應代理技術，可以稱之為第五代防火墻。第4頁，共40頁。圖 2防火墻技術的簡單發(fā)展歷史 返回本節(jié)第5頁，共40頁。設置防火墻的目的和功能（1）防火墻是網(wǎng)絡安全的屏障（2）防火墻可以強化網(wǎng)絡安全策略（3）對網(wǎng)絡存取和訪問進行監(jiān)控審計（4）防止內部信息的外泄返回本節(jié)第6頁，共40頁。防火墻的局限性（1）防火墻防外不防內。（2）防火墻難于管理和配置，易造成安全漏洞。（3）很難為用戶在防火墻內外提供一致的安全策略。（4）防火墻只實現(xiàn)了粗粒度

3、的訪問控制。返回本節(jié)第7頁，共40頁。防火墻技術發(fā)展動態(tài)和趨勢（1）優(yōu)良的性能（2）可擴展的結構和功能（3）簡化的安裝與管理（4）主動過濾（5）防病毒與防黑客返回本節(jié)第8頁，共40頁。防火墻的技術種類1包過濾防火墻2代理防火墻3狀態(tài)監(jiān)視器防火墻4復合式防火墻防火墻技術第9頁，共40頁。包過濾防火墻包過濾防火墻的工作原理 采用這種技術的防火墻產品，通過在網(wǎng)絡中的適當位置對數(shù)據(jù)包進行過濾，根據(jù)檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所有的TCP端口號和TCP鏈路狀態(tài)等要素，然后依據(jù)一組預定義的規(guī)則，以允許合乎邏輯的數(shù)據(jù)包通過防火墻進入到內部網(wǎng)絡，而將不合乎邏輯的數(shù)據(jù)包加以刪除。第10頁，共40頁

4、。包過濾防火墻（1）數(shù)據(jù)包過濾技術的發(fā)展：靜態(tài)包過濾、動態(tài)包過濾。 （2）包過濾的優(yōu)點：不用改動應用程序、一個過濾路由器能協(xié)助保護整個網(wǎng)絡、數(shù)據(jù)包過濾對用戶透明、過濾路由器速度快、效率高。 第11頁，共40頁。（3）包過濾的缺點：不能徹底防止地址欺騙；一些應用協(xié)議不適合于數(shù)據(jù)包過濾（如UDP協(xié)議）；正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略；安全性較差 ；數(shù)據(jù)包工具存在很多局限性。 第12頁，共40頁。圖3包過濾處理第13頁，共40頁。圖4靜態(tài)包過濾防火墻第14頁，共40頁。圖5動態(tài)包過濾防火墻第15頁，共40頁。（1）代理防火墻的原理：代理防火墻運行在兩個網(wǎng)絡之間，它對于客戶來說像是一臺真的

5、服務器一樣，而對于外界的服務器來說，它又是一臺客戶機。當代理服務器接收到用戶的請求后，會檢查用戶請求的站點是否符合公司的要求，如果公司允許用戶訪問該站點的話，代理服務器會像一個客戶一樣，去那個站點取回所需信息再轉發(fā)給客戶。代理防火墻第16頁，共40頁。代理技術的優(yōu)點1）代理易于配置。 2）代理能生成各項記錄。 3）代理能靈活、完全地控制進出流量、內容。 4）代理能過濾數(shù)據(jù)內容。 5）代理能為用戶提供透明的加密機制。6）代理可以方便地與其他安全手段集成。 第17頁，共40頁。代理技術的缺點1）代理速度較路由器慢。2）代理對用戶不透明。 3）對于每項服務代理可能要求不同的服務器。 4）代理服務不能

6、保證免受所有協(xié)議弱點的限制。 5）代理不能改進底層協(xié)議的安全性。 第18頁，共40頁。代理的工作方式第19頁，共40頁。兩種防火墻技術 返回本節(jié)第20頁，共40頁。狀態(tài)監(jiān)視器防火墻（1） 狀態(tài)監(jiān)視器防火墻的工作原理 這種防火墻安全特性非常好，它采用了一個在網(wǎng)關上執(zhí)行網(wǎng)絡安全策略的軟件引擎，稱之為檢測模塊。檢測模塊在不影響網(wǎng)絡正常工作的前提下，采用抽取相關數(shù)據(jù)的方法對網(wǎng)絡通信的各層實施監(jiān)測，抽取部分數(shù)據(jù)，即狀態(tài)信息，并動態(tài)地保存起來作為以后指定安全決策的參考。第21頁，共40頁。（2） 狀態(tài)監(jiān)視器防火墻的優(yōu)缺點狀態(tài)監(jiān)視器的優(yōu)點：檢測模塊支持多種協(xié)議和應用程序，并可以很容易地實現(xiàn)應用和服務的擴充。

7、它會監(jiān)測RPC和UDP之類的端口信息，而包過濾和代理網(wǎng)關都不支持此類端口。性能堅固狀態(tài)監(jiān)視器的缺點：配置非常復雜。會降低網(wǎng)絡的速度。第22頁，共40頁。4復合式防火墻常見是代理服務器和狀態(tài)分析技術的組合具有對一切連接嘗試進行過濾的功能；提取和管理多種狀態(tài)信息的功能；智能化做出安全控制和流量控制的決策；提供高性能的服務和靈活的適應性；具有網(wǎng)絡內外完全透明的特性。第23頁，共40頁。防火墻的優(yōu)缺點優(yōu)點：1、保護網(wǎng)絡中脆弱的服務2、實現(xiàn)網(wǎng)絡安全性監(jiān)視和實時報警3、增強保密性和強化私有權4、實現(xiàn)網(wǎng)絡地址轉換5、實現(xiàn)安全性失效和自動故障恢復缺點：1、不能防范惡毒的知情者（內網(wǎng)用戶和內外串通）2、不能防范

8、不經(jīng)過它的連接3、不能防備全部的威脅，特別是新產生的威脅4、不能有效地防范病毒的攻擊第24頁，共40頁?，F(xiàn)代防火墻的安全技術及實現(xiàn)方式第四代防火墻技術第四代防火墻，具有安全操作系統(tǒng)的防火墻產品。1雙端口或三端口的結構新一代防火墻產品具有兩個或三個獨立的網(wǎng)卡，內外兩個網(wǎng)卡可不作IP轉化而串接于內部網(wǎng)與外部網(wǎng)之間，另一個網(wǎng)卡可專用于對服務器的安全保護。 第25頁，共40頁。2透明的訪問方式以前的防火墻在訪問方式上要么要求用戶作系統(tǒng)登錄，要么需要通過SOCKS等庫路徑修改客戶機的應用。第四代防火墻利用了透明的代理系統(tǒng)技術，從而降低了系統(tǒng)登錄固有的安全風險和出錯概率。 3靈活的代理系統(tǒng)代理系統(tǒng)是一種將

9、信息從防火墻的一側傳送到另一側的軟件模塊。第四代防火墻采用了兩種代理機制，一種用于代理從內部網(wǎng)絡到外部網(wǎng)絡的連接，另一種用于代理從外部網(wǎng)絡到內部網(wǎng)絡的連接。前者采用網(wǎng)絡地址轉換（NAT）技術來解決，后者采用非保密的用戶定制代理或保密的代理系統(tǒng)技術來解決。 第26頁，共40頁。4多級的過濾技術為保證系統(tǒng)的安全性和防護水平，第四代防火墻采用了三級過濾措施，并輔以鑒別手段。在分組過濾一級，能過濾掉所有的源路由分組和假冒的IP源地址；在應用級網(wǎng)關一級，能利用FTP、SMTP等各種網(wǎng)關，控制和監(jiān)測Internet提供的所用通用服務；在電路網(wǎng)關一級，實現(xiàn)內部主機與外部站點的透明連接，并對服務的通行實行嚴格

10、控制。5網(wǎng)絡地址轉換技術（NAT）第四代防火墻利用NAT技術能透明地對所有內部地址作轉換，使外部網(wǎng)絡無法了解內部網(wǎng)絡的內部結構，同時允許內部網(wǎng)絡使用自己編的IP地址和專用網(wǎng)絡，防火墻能詳盡記錄每一個主機的通信，確保每個分組送往正確的地址。第27頁，共40頁。6 Internet網(wǎng)關技術由于是直接串連在網(wǎng)絡之中，第四代防火墻必須支持用戶在Internet互連的所有服務，同時還要防止與Internet服務有關的安全漏洞。故它要能以多種安全的應用服務器（包括FTP、Finger、mail、Ident、News、WWW等）來實現(xiàn)網(wǎng)關功能。為確保服務器的安全性，對所有的文件和命令均要利用“改變根系統(tǒng)調用

11、（chroot）”作物理上的隔離。7、安全服務器網(wǎng)絡（SSN）利用保護策略對服務器實施保護，利用網(wǎng)卡將對外服務器作獨立網(wǎng)絡處理，與內部網(wǎng)關安全隔離。第28頁，共40頁。8用戶鑒別與加密為了降低防火墻產品在Telnet、FTP等服務和遠程管理上的安全風險，鑒別功能必不可少，第四代防火墻采用一次性使用的口令字系統(tǒng)來作為用戶的鑒別手段，并實現(xiàn)了對郵件的加密。 9用戶定制服務為滿足特定用戶的特定需求，第四代防火墻在提供眾多服務的同時，還為用戶定制提供支持，這類選項有：通用TCP，出站UDP、FTP、SMTP等類，如果某一用戶需要建立一個數(shù)據(jù)庫的代理，便可利用這些支持，方便設置。 第29頁，共40頁。1

12、0審計和告警第四代防火墻產品的審計和告警功能十分健全，日志文件包括：一般信息、內核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問、告警條件、管理日志、進站代理、FTP代理、出站代理、郵件服務器、域名服務器等。告警功能會守住每一個TCP或UDP探尋，并能以發(fā)出郵件、聲響等多種方式報警。 第30頁，共40頁。防火墻的基本組成結構 1屏蔽路由器 2雙宿堡壘主機 3屏蔽主機防火墻 4屏蔽子網(wǎng)防火墻第31頁，共40頁。 1屏蔽路由器又稱包過濾路由器，在一般路由器的基礎上增加了一些新的安全控制功能，是一個檢查通過它的數(shù)據(jù)包的路由器。屏蔽路由器示意圖第32頁，共40

13、頁。 2雙宿堡壘主機又稱應用型防火墻，在運行防火墻軟件的堡壘主機上運行代理服務器。雙宿堡壘主機示意圖第33頁，共40頁。3屏蔽主機防火墻屏蔽主機防火墻由包過濾路由器和堡壘主機（Bastion Host）組成，它所提供的安全性能要比包過濾防火墻系統(tǒng)要強，因為它實現(xiàn)了網(wǎng)絡層安全（包過濾）和應用層安全（代理服務）的結合。當入侵者在破壞內部網(wǎng)絡的安全性之前，必須首先突破這兩種不同的安全系統(tǒng)。屏蔽主機網(wǎng)關示意圖第34頁，共40頁。原理和實現(xiàn)過程 ：堡壘主機位于內部網(wǎng)絡上，而包過濾路由器則放置在內部網(wǎng)絡和外部網(wǎng)絡之間。在路由器上設置相應的規(guī)則，使得外部系統(tǒng)只能訪問堡壘主機。由于內部主機與堡壘主機處于同一個

14、網(wǎng)絡，內部系統(tǒng)是否允許直接訪問外部網(wǎng)絡，或者是要求使用堡壘主機上的代理服務來訪問外部網(wǎng)絡完全由企業(yè)的安全策略來決定。對路由器的過濾規(guī)則進行配置，使得其只接收來自堡壘主機的內部數(shù)據(jù)包，就可以強制內部用戶使用代理服務，從而加強內部用戶對外部Internet訪問的管理。第35頁，共40頁。 4屏蔽子網(wǎng)防火墻屏蔽子網(wǎng)防火墻利用兩臺屏蔽路由器把子網(wǎng)與內外部網(wǎng)絡隔離開，堡壘主機、信息服務器、Modem組，以及其他公用服務器放在該子網(wǎng)中，這個子網(wǎng)稱為“?；饏^(qū)”或“非軍事區(qū)”（DeMilitarised Zone，DMZ）屏蔽子網(wǎng)防火墻示意圖第36頁，共40頁。防火墻的物理位置1、服務器置于防火墻之內2、服務器置于防火墻之外3、服務器置于防火墻之上第37頁，共40頁。 內部網(wǎng)Web 服務器防火墻Internet1、 服務器置于防火墻之內 如圖所示，將Web服務器裝在防火墻內的好處是它得到了安全保護，