防火墻與入侵檢測(cè)(一)防火墻基礎(chǔ)知識(shí)_第1頁
防火墻與入侵檢測(cè)(一)防火墻基礎(chǔ)知識(shí)_第2頁
防火墻與入侵檢測(cè)(一)防火墻基礎(chǔ)知識(shí)_第3頁
防火墻與入侵檢測(cè)(一)防火墻基礎(chǔ)知識(shí)_第4頁
防火墻與入侵檢測(cè)(一)防火墻基礎(chǔ)知識(shí)_第5頁
已閱讀5頁,還剩54頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

防火墻與入侵檢測(cè)課程簡(jiǎn)介授課形式課程講授+上機(jī)實(shí)習(xí)成績(jī)給定辦法期末考試成績(jī)70%到課、課堂作業(yè)、上機(jī)實(shí)習(xí)30%上課時(shí)間2-16周周三5-6節(jié)實(shí)驗(yàn)第十二、十三、十四、十五周地點(diǎn)授課10J317上機(jī)12J214授課班級(jí)網(wǎng)絡(luò)0901、0902、0903、09Q1網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的軟件、硬件及其存儲(chǔ)的數(shù)據(jù)處于保護(hù)狀態(tài),網(wǎng)絡(luò)系統(tǒng)不會(huì)由于偶然的或者惡意的沖擊而受到破壞,網(wǎng)絡(luò)系統(tǒng)能夠連續(xù)可靠地運(yùn)行。網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、信息論等多研究領(lǐng)域的綜合性學(xué)科。凡是涉及網(wǎng)絡(luò)系統(tǒng)的保密性、完整性、可用性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究?jī)?nèi)容。網(wǎng)絡(luò)安全2009年網(wǎng)民遭遇安全事件的情況網(wǎng)絡(luò)安全網(wǎng)民遭遇安全事件的誘因網(wǎng)絡(luò)安全安全事件帶來的損失網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全事件帶來的直接財(cái)產(chǎn)損失情況網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全研究?jī)?nèi)容密碼技術(shù)防火墻技術(shù)入侵檢測(cè)計(jì)算機(jī)病毒學(xué)網(wǎng)絡(luò)安全管理規(guī)范密碼技術(shù)能完整地解決信息安全性中的機(jī)密性、數(shù)據(jù)完整性、認(rèn)證、身份識(shí)別以及不可抵賴等問題中的一個(gè)或多個(gè)。密碼技術(shù)不能解決所有的網(wǎng)絡(luò)安全問題,它需要與信息安全的其他技術(shù)如訪問控制技術(shù)、網(wǎng)絡(luò)監(jiān)控技術(shù)等互相融合,形成綜合的信息網(wǎng)絡(luò)安全保障。防火墻建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù),越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中。特征:網(wǎng)絡(luò)位置特性內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)都必須經(jīng)過防火墻工作原理特性只有符合安全策略的數(shù)據(jù)才能通過防火墻先決條件防火墻自身應(yīng)具有非常強(qiáng)的扛攻擊能力入侵檢測(cè)80%以上的入侵來自于網(wǎng)絡(luò)內(nèi)部由于性能的限制,防火墻通常不能提供實(shí)時(shí)的入侵檢測(cè)能力,對(duì)于來自內(nèi)部網(wǎng)絡(luò)的攻擊,防火墻形同虛設(shè)入侵檢測(cè)是對(duì)防火墻及其有益的補(bǔ)充在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前檢測(cè)到入侵攻擊,并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊在入侵攻擊過程中,能減少入侵攻擊所造成的損失在被入侵攻擊后,收集入侵攻擊的相關(guān)信息,作為防范系統(tǒng)的知識(shí),添加到知識(shí)庫中,增強(qiáng)防范能力,避免系統(tǒng)再次受到入侵。計(jì)算機(jī)病毒學(xué)病毒是指“編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”反病毒技術(shù)病毒預(yù)防技術(shù)病毒檢測(cè)技術(shù)病毒清除技術(shù)網(wǎng)絡(luò)安全管理規(guī)范信息網(wǎng)絡(luò)安全策略實(shí)體可信、行為可控、資源可管、事件可查、運(yùn)行可靠信息網(wǎng)絡(luò)管理機(jī)制誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)安全事件響應(yīng)機(jī)制網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全研究?jī)?nèi)容密碼技術(shù)防火墻技術(shù)入侵檢測(cè)計(jì)算機(jī)病毒學(xué)網(wǎng)絡(luò)安全管理規(guī)范防火墻篇第1章防火墻基礎(chǔ)知識(shí)第2章防火墻的關(guān)鍵技術(shù)第3章主流防火墻的部署與實(shí)現(xiàn)第4章防火墻廠商及產(chǎn)品介紹第5章防火墻的發(fā)展趨勢(shì)第一章防火墻基礎(chǔ)知識(shí)構(gòu)造比較全面的關(guān)于防火墻的知識(shí)框架防火墻基礎(chǔ)知識(shí)防火墻的定義--什么是防火墻防火墻的位置--所處的邏輯位置和物理位置防火墻的理論特性和實(shí)際功能防火墻的規(guī)則--防火墻的靈魂--“過濾規(guī)則”防火墻的分類--多種分類方法防火墻的定義

從廣泛、宏觀的意義上說,防火墻是隔離在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一個(gè)防御系統(tǒng)。

AT&T的工程師WilliamCheswick和StevenBellovin給出了防火墻的明確定義,他們認(rèn)為防火墻是位于兩個(gè)網(wǎng)絡(luò)之間的一組構(gòu)件或一個(gè)系統(tǒng),具有以下屬性:防火墻是不同網(wǎng)絡(luò)或者安全域之間信息流的唯一通道,所有雙向數(shù)據(jù)流必須經(jīng)過防火墻。只有經(jīng)過授權(quán)的合法數(shù)據(jù),即防火墻安全策略允許的數(shù)據(jù)才可以通過防火墻。防火墻系統(tǒng)應(yīng)該具有很高的抗攻擊能力,其自身可以不受各種攻擊的影響。簡(jiǎn)而言之,防火墻是位于兩個(gè)(或多個(gè))網(wǎng)絡(luò)間,實(shí)施訪問控制策略的一個(gè)或一組組件集合。

防火墻的物理位置

從設(shè)備部署位置上看,防火墻要部署在本地受保護(hù)區(qū)域與外部網(wǎng)絡(luò)的交界點(diǎn)上。從具體的實(shí)現(xiàn)上看,防火墻運(yùn)行在任何要實(shí)現(xiàn)訪問控制功能的設(shè)備上。下圖為防火墻在網(wǎng)絡(luò)中的常見位置:防火墻的邏輯位置

防火墻的邏輯位置指的是防火墻與網(wǎng)絡(luò)協(xié)議相對(duì)應(yīng)的邏輯層次關(guān)系。處于不同網(wǎng)絡(luò)層次的防火墻實(shí)現(xiàn)不同級(jí)別的網(wǎng)絡(luò)過濾功能,表現(xiàn)出來的特性也不同。所有防火墻均依賴于對(duì)ISOOSI/RM網(wǎng)絡(luò)七層模型中各層協(xié)議所產(chǎn)生的信息流進(jìn)行檢查。一般說來,防火墻越是工作在ISOOSI/RM模型的上層,能檢查的信息就越多,其提供的安全保護(hù)等級(jí)就越高。防火墻與網(wǎng)絡(luò)層次關(guān)系如下表所示:ISOOSI/RM七層模型防火墻級(jí)別應(yīng)用層網(wǎng)關(guān)級(jí)表示層會(huì)話層傳輸層電路級(jí)網(wǎng)絡(luò)層路由器級(jí)數(shù)據(jù)連路層網(wǎng)橋級(jí)物理層中繼器級(jí)防火墻的理論特性和實(shí)際功能防火墻面對(duì)的安全威脅防火墻的理論特性防火墻的實(shí)際功能防火墻面對(duì)的安全威脅

通過更改防火墻配置參數(shù)和其它相關(guān)安全數(shù)據(jù)而展開的攻擊。攻擊者利用高層協(xié)議和服務(wù)對(duì)內(nèi)部受保護(hù)網(wǎng)絡(luò)或主機(jī)進(jìn)行的攻擊。繞開身份認(rèn)證和鑒別機(jī)制,偽裝身份,破壞已有連接。任何通過偽裝內(nèi)部網(wǎng)絡(luò)地址進(jìn)行非法內(nèi)部資源訪問的地址欺騙攻擊。未經(jīng)授權(quán)訪問內(nèi)部網(wǎng)絡(luò)中的目標(biāo)數(shù)據(jù)。用戶對(duì)防火墻等重要設(shè)備未經(jīng)授權(quán)的訪問。破壞審計(jì)記錄。防火墻的理論特性1創(chuàng)建阻塞點(diǎn)

根據(jù)美國(guó)國(guó)家安全局制定的《信息保障技術(shù)框架》,防火墻適用于網(wǎng)絡(luò)系統(tǒng)的邊界(networkboundary),屬于用戶內(nèi)部網(wǎng)絡(luò)邊界安全保護(hù)設(shè)備。所謂網(wǎng)絡(luò)邊界就是采用不同安全策略的兩個(gè)網(wǎng)絡(luò)連接位置。防火墻就是在網(wǎng)絡(luò)的外邊界或周邊,在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立的唯一一個(gè)安全控制檢查點(diǎn),通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流,實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計(jì)和控制。從而實(shí)現(xiàn)防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò),禁止存在安全脆弱性的服務(wù)進(jìn)出網(wǎng)絡(luò),并抵抗來自各種路線的攻擊,進(jìn)而提高被保護(hù)網(wǎng)絡(luò)的安全性,降低風(fēng)險(xiǎn)。這樣一個(gè)檢查點(diǎn)被稱為阻塞點(diǎn)。這是防火墻所處網(wǎng)絡(luò)位置特性,同時(shí)也是一個(gè)前提。如果沒有這樣一個(gè)供監(jiān)視和控制信息的點(diǎn),系統(tǒng)管理員要在大量的地方來進(jìn)行監(jiān)測(cè)。在某些文獻(xiàn)里,防火墻又被稱為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的單聯(lián)系點(diǎn)。需要注意的是,雖然存在著許多的多接入點(diǎn)網(wǎng)絡(luò),但是每個(gè)出口也都要有防火墻設(shè)備,因此從邏輯上看,防火墻還是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的唯一聯(lián)系點(diǎn)。防火墻的理論特性2強(qiáng)化網(wǎng)絡(luò)安全策略,提供集成功能

防火墻設(shè)備所處的位置,正好為系統(tǒng)提供了一個(gè)多種安全技術(shù)的集成支撐平臺(tái)。通過相應(yīng)的配置,可以將多種安全軟件,譬如口令檢查、加密、身份認(rèn)證、審計(jì)等,集中部署在防火墻上。與分散部署方案相比,防火墻的集中安全管理更經(jīng)濟(jì)、更加有效,簡(jiǎn)化了系統(tǒng)管理人員的操作,從而強(qiáng)化了網(wǎng)絡(luò)安全策略的實(shí)行。防火墻的理論特性3實(shí)現(xiàn)網(wǎng)絡(luò)隔離

防火墻將網(wǎng)絡(luò)劃分成內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)兩個(gè)不同的部分,因此網(wǎng)絡(luò)隔離就成為防火墻的基本功能。防火墻通過將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)相互隔離來確保內(nèi)部網(wǎng)絡(luò)的安全,同時(shí)限制局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響,降低外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)一些統(tǒng)計(jì)數(shù)據(jù)的探測(cè)能力。限制來自外部網(wǎng)絡(luò)的訪問防火墻基礎(chǔ)功能之一就是限制信息包進(jìn)入網(wǎng)絡(luò)。防火墻針對(duì)每一個(gè)進(jìn)入內(nèi)部網(wǎng)絡(luò)的企圖都要根據(jù)依照安全策略制訂的規(guī)則進(jìn)行過濾,即授權(quán)檢查。如果該行為屬于系統(tǒng)許可的行為則予以放行,否則將拒絕該連接企圖。防火墻的這種功能實(shí)現(xiàn)了對(duì)系統(tǒng)資源的保護(hù),防止了針對(duì)機(jī)密信息的泄漏、盜竊和破壞性為。限制網(wǎng)絡(luò)內(nèi)部未經(jīng)授權(quán)的訪問傳統(tǒng)防火墻難于覺察內(nèi)部的攻擊和破壞行為?,F(xiàn)代防火墻則加強(qiáng)了對(duì)內(nèi)部訪問數(shù)據(jù)的監(jiān)控,主要表現(xiàn)就是一切都嚴(yán)格依照預(yù)先制訂的系統(tǒng)整體安全策略,限制內(nèi)部網(wǎng)絡(luò)未經(jīng)授權(quán)的訪問。防火墻的理論特性4記錄和審計(jì)內(nèi)聯(lián)網(wǎng)絡(luò)和外聯(lián)網(wǎng)絡(luò)之間的活動(dòng)

由于防火墻處在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)相連接的阻塞點(diǎn),所以它可以對(duì)所有涉及內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)存取與訪問的行為進(jìn)行監(jiān)控。當(dāng)防火墻發(fā)現(xiàn)可疑的行為時(shí),可以進(jìn)行及時(shí)的報(bào)警,并提供網(wǎng)絡(luò)是否受到破壞以及攻擊的詳細(xì)信息。對(duì)于內(nèi)部用戶的誤操作防火墻也將進(jìn)行嚴(yán)格的監(jiān)控,預(yù)防內(nèi)部用戶的破壞行為。此外,防火墻還能進(jìn)行網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)操做。以上提及的防火墻的操作和數(shù)據(jù)都將被詳細(xì)地記錄到日志文件(logfile)中并提交給網(wǎng)絡(luò)管理員進(jìn)行分析和審計(jì)。防火墻的日志文件既記錄正常的網(wǎng)絡(luò)訪問行為又記錄非正常的網(wǎng)絡(luò)行為。對(duì)日志文件的分析和審計(jì)可以使管理員清楚地了解防火墻的安全保護(hù)能力和運(yùn)行情況;優(yōu)化防火墻,使其更加有效地工作;準(zhǔn)確地識(shí)別入侵者并采取行之有效的措施;及時(shí)地對(duì)非法行為及其造成的后果做出反應(yīng);為網(wǎng)絡(luò)的優(yōu)化和建設(shè)提供必要的數(shù)據(jù)支撐。管理員需要關(guān)注的問題不是網(wǎng)絡(luò)是否會(huì)受到攻擊,而是網(wǎng)絡(luò)何時(shí)會(huì)受到攻擊。因此要求管理員要及時(shí)地響應(yīng)報(bào)警信息并經(jīng)常性地審查防火墻日志記錄。防火墻的理論特性5自身具有非常強(qiáng)的抵御攻擊的能力

由于防火墻是一個(gè)關(guān)鍵點(diǎn),所以其自身的安全性就顯得尤為重要。一旦防火墻失效,則內(nèi)部網(wǎng)絡(luò)將完全曝光于外部入侵者的目光之下,網(wǎng)絡(luò)的安全將受到嚴(yán)重的威脅!一般來說,防火墻是一臺(tái)安裝了安全操作系統(tǒng)且服務(wù)受限的堡壘主機(jī)。即防火墻自身的操作系統(tǒng)符合相應(yīng)的軟件安全級(jí)別;除了必要的功能外,防火墻不開設(shè)任何多余的端口。這些措施在相當(dāng)程度上增強(qiáng)了防火墻抵御攻擊的能力,但這種安全性也只是相對(duì)的。防火墻的實(shí)際功能1包過濾

網(wǎng)絡(luò)通信通過計(jì)算機(jī)之間的連接實(shí)現(xiàn),而連接則是由兩臺(tái)主機(jī)之間相互傳送的若干數(shù)據(jù)包組成。防火墻的基本功能之一就是對(duì)由數(shù)據(jù)包組成的邏輯連接進(jìn)行過濾,即包過濾。數(shù)據(jù)包的過濾參數(shù)有很多,最基本的是通信雙方的IP地址和端口號(hào)。隨著過濾技術(shù)的不斷發(fā)展,各層網(wǎng)絡(luò)協(xié)議的頭部字段以及通過對(duì)字段分析得到的連接狀態(tài)等等內(nèi)容都可以作為過濾技術(shù)考察的參數(shù)。包過濾技術(shù)也從早期的靜態(tài)包過濾機(jī)制發(fā)展到動(dòng)態(tài)包過濾、狀態(tài)檢測(cè)等機(jī)制??偟恼f來,現(xiàn)在的包過濾技術(shù)主要包括針對(duì)網(wǎng)絡(luò)服務(wù)的過濾以及針對(duì)數(shù)據(jù)包本身的過濾。防火墻的實(shí)際功能2代理

代理技術(shù)是與包過濾技術(shù)截然不同的另外一種防火墻技術(shù)。這種技術(shù)在防火墻處將用戶的訪問請(qǐng)求變成由防火墻代為轉(zhuǎn)發(fā),外部網(wǎng)絡(luò)看不見內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu),也無法直接訪問內(nèi)部網(wǎng)絡(luò)的主機(jī)。在防火墻代理服務(wù)中,主要有兩種實(shí)現(xiàn)方式:一是透明代理(Transparentproxy),指內(nèi)部網(wǎng)絡(luò)用戶在訪問外部網(wǎng)絡(luò)的時(shí)候,本機(jī)配置無需任何改變,防火墻就像透明的一樣;二是傳統(tǒng)代理,其工作原理與透明代理相似,所不同的是它需要在客戶端設(shè)置代理服務(wù)器。相對(duì)于包過濾技術(shù),代理技術(shù)可以提供更加深入細(xì)致的過濾,甚至可以理解應(yīng)用層的內(nèi)容,但是實(shí)現(xiàn)復(fù)雜且速度較慢。防火墻的實(shí)際功能3網(wǎng)絡(luò)地址轉(zhuǎn)換

網(wǎng)絡(luò)地址轉(zhuǎn)換功能現(xiàn)在已經(jīng)成為防火墻的標(biāo)準(zhǔn)功能之一。通過這項(xiàng)功能可以很好地屏蔽內(nèi)部網(wǎng)絡(luò)的IP地址,對(duì)內(nèi)部網(wǎng)絡(luò)用戶起到保護(hù)作用;同時(shí)可以用來緩解由于網(wǎng)絡(luò)規(guī)模需速增長(zhǎng)而帶來的地址空間短缺問題;此外還可以消除組織或機(jī)構(gòu)在變換ISP時(shí)帶來的重新編址的麻煩。下面描述一下從內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)建立連接時(shí)NAT工作的過程:

1)防火墻對(duì)收到的內(nèi)部訪問請(qǐng)求進(jìn)行過濾,決定允許該訪問請(qǐng)求通過還是拒絕。

2)NAT機(jī)制將請(qǐng)求中的源IP地址轉(zhuǎn)換為防火墻處可以利用的一個(gè)公共IP地址。

3)將變動(dòng)后的請(qǐng)求信息轉(zhuǎn)發(fā)往目的地。當(dāng)從目的地返回的響應(yīng)信息到達(dá)防火墻的接口時(shí),防火墻執(zhí)行如下步驟:

1)NAT將響應(yīng)數(shù)據(jù)包中的目的地址轉(zhuǎn)換為發(fā)出請(qǐng)求的內(nèi)部網(wǎng)絡(luò)主機(jī)的IP地址。

2)將該響應(yīng)數(shù)據(jù)包發(fā)往發(fā)出請(qǐng)求的內(nèi)部網(wǎng)絡(luò)主機(jī)。防火墻的實(shí)際功能4虛擬專用網(wǎng)VPN在不安全的公共網(wǎng)絡(luò),例如Internet,上建立一個(gè)邏輯的專用數(shù)據(jù)網(wǎng)絡(luò)來進(jìn)行信息的安全傳遞,目前已經(jīng)成為在線交換信息的最安全的方式之一。但是傳統(tǒng)的防火墻不能對(duì)VPN的加密連接進(jìn)行解密檢查,所以是不允許VPN通信通過的,VPN設(shè)備也是作為單獨(dú)產(chǎn)品出現(xiàn)的。現(xiàn)在越來越多的廠家將防火墻和VPN集成在一起,將VPN作為防火墻的一種新的技術(shù)配置。多數(shù)防火墻支持VPN加密標(biāo)準(zhǔn),并提供基于硬件的加密,這使得防火墻速度不減但功能更加合理。防火墻的實(shí)際功能5用戶身份認(rèn)證

防火墻要對(duì)發(fā)出網(wǎng)絡(luò)訪問連接請(qǐng)求的用戶和用戶請(qǐng)求的資源進(jìn)行認(rèn)證,確認(rèn)請(qǐng)求的真實(shí)性和授權(quán)范圍。系統(tǒng)整體安全策略確定了防火墻執(zhí)行的身份認(rèn)證級(jí)別。與此相應(yīng)的是防火墻一般支持多種身份認(rèn)證方案,譬如RADIUS、Kerberos、TACACS/TACACS+、用戶名+口令、數(shù)字證書等等。防火墻的實(shí)際功能6記錄、報(bào)警、分析與審計(jì)

防火墻對(duì)于所有通過它的通信量以及由此產(chǎn)生的其它信息要進(jìn)行記錄,并提供日志管理和存儲(chǔ)方法。具體內(nèi)容如下:自動(dòng)報(bào)表、日志報(bào)告書寫器:防火墻實(shí)現(xiàn)報(bào)表自動(dòng)化輸出和日志報(bào)告功能。簡(jiǎn)要列表:防火墻按要求進(jìn)行報(bào)表分類打印的功能。自動(dòng)日志掃描:防火墻的日志自動(dòng)分析和掃描功能。圖表統(tǒng)計(jì):防火墻進(jìn)行日志分析后以圖形方式輸出統(tǒng)計(jì)結(jié)果。報(bào)警機(jī)制是在發(fā)生違反安全策略的事件后,防火墻向管理員發(fā)出提示通知的機(jī)制,各種現(xiàn)代通信手段都可以使用,包括E-mail、呼機(jī)、手機(jī)等。分析與審計(jì)機(jī)制用于監(jiān)控通信行為,分析日志情況,進(jìn)而查出安全漏洞和錯(cuò)誤配置,完善安全策略。防火墻的日志記錄量往往比較大,通常將日志存儲(chǔ)在一臺(tái)專門的日志服務(wù)器上。防火墻的實(shí)際功能7管理功能

防火墻的管理功能是將防火墻設(shè)備與系統(tǒng)整體安全策略下的其它安全設(shè)備聯(lián)系到一起并相互配合、協(xié)調(diào)工作的功能,是實(shí)現(xiàn)一體化安全必不可少的要素。一般說來,防火墻的管理包括下列方面:根據(jù)網(wǎng)絡(luò)安全策略編制防火墻過濾規(guī)則。配置防火墻運(yùn)行參數(shù)??梢酝ㄟ^本地Console口配置、基于不同協(xié)議的遠(yuǎn)程網(wǎng)絡(luò)化配置等方式進(jìn)行。實(shí)現(xiàn)防火墻日志的自動(dòng)化管理。就是實(shí)現(xiàn)日志文件的記錄、轉(zhuǎn)存、分析、再配置等過程的自動(dòng)化和智能化。防火墻的性能管理。包括動(dòng)態(tài)帶寬管理、負(fù)載均衡、失敗恢復(fù)等技術(shù)。也可以通過本地或者遠(yuǎn)程多種方式實(shí)現(xiàn)。防火墻的實(shí)際功能8其他特殊功能

除了上面描述的技術(shù)功能外,許多廠家為了顯示各自產(chǎn)品的與眾不同,還在防火墻中加入了很多其它的功能,比如病毒掃描,有的防火墻具有防病毒功能,可以發(fā)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)中包含的危險(xiǎn)信息;信息過濾,指防火墻能夠過濾URL、HTTP攜帶的信息、JavaApplet、JavaScript、ActiveX以及電子郵件中的Subject、To、From域等網(wǎng)絡(luò)應(yīng)用信息內(nèi)容;用戶的特定權(quán)限設(shè)置,包括使用時(shí)間、郵件發(fā)送權(quán)限、件傳輸權(quán)限、使用的主機(jī)、所能進(jìn)行的互聯(lián)網(wǎng)應(yīng)用等等,這些內(nèi)容依據(jù)用戶需求不同而不同。防火墻的規(guī)則規(guī)則的作用:系統(tǒng)的網(wǎng)絡(luò)訪問政策。規(guī)則內(nèi)容的分類:高級(jí)政策;低級(jí)政策。規(guī)則的特點(diǎn):規(guī)則是系統(tǒng)安保策略的實(shí)現(xiàn)和延伸;

與網(wǎng)絡(luò)訪問行為緊密相關(guān);在嚴(yán)格安全管理和充分利用網(wǎng)絡(luò)之間取得較好的平衡;防火墻可以實(shí)施各種不同的服務(wù)訪問政策。規(guī)則的設(shè)計(jì)原則:拒絕訪問一切未予特許的服務(wù);允許訪問一切未被特別拒絕的服務(wù)。規(guī)則的順序問題:必須仔細(xì)考慮規(guī)則的順序,防止出現(xiàn)系統(tǒng)漏洞。防火墻的分類按防火墻采用的主要技術(shù)劃分按防火墻的具體實(shí)現(xiàn)劃分按防火墻部署的位置劃分按防火墻的形式劃分按受防火墻保護(hù)的對(duì)象劃分按防火墻的使用者劃分按防火墻采用的主要技術(shù)劃分包過濾型代理型包過濾型包過濾型防火墻工作在ISO7層模型的傳輸層以下,根據(jù)數(shù)據(jù)包頭部各個(gè)字段進(jìn)行過濾,包括源地址、端口號(hào)以及協(xié)議類型等。包過濾方式不針對(duì)具體的網(wǎng)絡(luò)服務(wù)而是針對(duì)數(shù)據(jù)包本身進(jìn)行過濾,適用于所有網(wǎng)絡(luò)服務(wù)。目前大多數(shù)的路由器設(shè)備都集成了數(shù)據(jù)包過濾的功能,具有很高的性價(jià)比。包過濾方式也有明顯的缺點(diǎn):過濾判別條件有限,安全性不高;過濾規(guī)則數(shù)目的增加會(huì)極大地影響防火墻的性能;很難進(jìn)行對(duì)用戶身份進(jìn)行驗(yàn)證;對(duì)安全管理人員素質(zhì)要求高。包過濾型防火墻包括以下幾種類型:靜態(tài)包過濾防火墻動(dòng)態(tài)包過濾防火墻狀態(tài)檢測(cè)(StatefulInspection)防火墻代理型代理型防火墻工作在ISO7層模型的最高層——應(yīng)用層。它完全阻斷了網(wǎng)絡(luò)訪問的數(shù)據(jù)流:它為每一種服務(wù)都建立了一個(gè)代理,內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間沒有直接的服務(wù)連接,都必須通過相應(yīng)的代理審核后再轉(zhuǎn)發(fā)。代理型防火墻的優(yōu)點(diǎn)是:工作在應(yīng)用層上,可以對(duì)網(wǎng)絡(luò)連接的深層的內(nèi)容進(jìn)行監(jiān)控;它事實(shí)上阻斷了內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連接,實(shí)現(xiàn)了內(nèi)外網(wǎng)絡(luò)的相互屏蔽,避免了數(shù)據(jù)驅(qū)動(dòng)類型的攻擊。代理型防火墻的缺點(diǎn)是:速度相對(duì)較慢,當(dāng)網(wǎng)關(guān)處數(shù)據(jù)吞吐量較高時(shí),防火墻就會(huì)成為瓶頸。代理型防火墻有如下幾種類型:應(yīng)用網(wǎng)關(guān)(ApplicationGateway)電路級(jí)網(wǎng)關(guān)(CircuitProxy)自適應(yīng)代理(Adaptiveproxy)按防火墻的具體實(shí)現(xiàn)劃分多重宿主主機(jī)篩選路由器屏蔽主機(jī)屏蔽子網(wǎng)其他實(shí)現(xiàn)結(jié)構(gòu)多重宿主主機(jī)

多重宿主主機(jī)是放在內(nèi)網(wǎng)與外網(wǎng)接口上的一臺(tái)堡壘主機(jī)。它最少有兩個(gè)網(wǎng)絡(luò)接口:一個(gè)與內(nèi)網(wǎng)相連,另外一個(gè)與外網(wǎng)相連。內(nèi)、外網(wǎng)之間禁止直接通信,需通過多重宿主主機(jī)上應(yīng)用層數(shù)據(jù)共享或者應(yīng)用層代理服務(wù)來完成。主要有以下兩種類型:雙重宿主主機(jī)雙重宿主主機(jī)用于在內(nèi)、外網(wǎng)之間進(jìn)行尋徑并通過其上的共享數(shù)據(jù)服務(wù)提供網(wǎng)絡(luò)應(yīng)用。要求用戶必須通過賬號(hào)和口令登錄到主機(jī)上才能使用這些服務(wù)。雙重宿主主機(jī)要求主機(jī)自身有較強(qiáng)的安全性;要支持多種服務(wù)、多個(gè)用戶的訪問需求;要能管理其上的大量用戶賬號(hào)。因此雙重宿主主機(jī)既是系統(tǒng)安全的瓶頸又是系統(tǒng)性能的瓶頸,維護(hù)起來也很困難。雙重宿主網(wǎng)關(guān)雙重宿主網(wǎng)關(guān)通過運(yùn)行其上的各種代理服務(wù)器來提供網(wǎng)絡(luò)服務(wù)。雙重宿主網(wǎng)關(guān)與雙重宿主主機(jī)相比,從結(jié)構(gòu)上說并沒有變化,同時(shí)代理服務(wù)器的服務(wù)響應(yīng)比雙重宿主主機(jī)的數(shù)據(jù)共享慢一些,靈活性較差。篩選路由器

篩選路由器又稱為包過濾路由器、網(wǎng)絡(luò)層防火墻、IP過濾器或篩選過濾器,通常是用一臺(tái)放置在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的路由器來實(shí)現(xiàn)。它對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析,并按照一定的信息過濾規(guī)則對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行限制,允許授權(quán)信息通過,拒絕非授權(quán)信息通過。篩選濾路由器具有速度快、提供透明服務(wù)、實(shí)現(xiàn)簡(jiǎn)單等優(yōu)點(diǎn)。同時(shí)也有安全性不高、維護(hù)和管理比較困難等缺點(diǎn)。篩選路由器只適用于非集中化管理、無強(qiáng)大的集中安全策略、網(wǎng)絡(luò)主機(jī)數(shù)目較少的組織或機(jī)構(gòu)。屏蔽主機(jī)

這種防火墻由內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一臺(tái)過濾路由器和一臺(tái)堡壘主機(jī)構(gòu)成。它強(qiáng)迫所有外部主機(jī)與堡壘主機(jī)相連接,而不讓它們與內(nèi)部主機(jī)直接相連。為了達(dá)到這個(gè)目的,過濾路由器將所有的外部到內(nèi)部的連接都路由到了堡壘主機(jī)上,讓外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問通過堡壘主機(jī)上提供的相應(yīng)代理服務(wù)器進(jìn)行。對(duì)于內(nèi)部網(wǎng)絡(luò)到外部不可信網(wǎng)絡(luò)的出站連接則可以采用不同的策略:有些服務(wù)可以允許繞過堡壘主機(jī),直接通過過濾路由器進(jìn)行連接;而其它的一些服務(wù)則必須經(jīng)過堡壘主機(jī)上的運(yùn)行該服務(wù)的代理服務(wù)器實(shí)現(xiàn)。這種防火墻的安全性相對(duì)較高:它不但提供了網(wǎng)絡(luò)層的包過濾服務(wù),而且提供了應(yīng)用層的代理服務(wù)。其主要缺陷是:篩選路由器是系統(tǒng)的單失效點(diǎn);系統(tǒng)服務(wù)響應(yīng)速度較慢;具有較大的管理復(fù)雜性。屏蔽子網(wǎng)

屏蔽子網(wǎng)與屏蔽主機(jī)在本質(zhì)上是一樣的,它對(duì)網(wǎng)絡(luò)的安全保護(hù)通過兩臺(tái)包過濾路由器和在這兩臺(tái)路由器之間構(gòu)筑的子網(wǎng),即非軍事區(qū)來實(shí)現(xiàn)。在非軍事區(qū)里放置堡壘主機(jī),還可能有公用信息服務(wù)器。與外部網(wǎng)絡(luò)相連的過濾路由器只允許外部系統(tǒng)訪問非軍事區(qū)內(nèi)的堡壘主機(jī)或者公用信息服務(wù)器。與內(nèi)部網(wǎng)絡(luò)相連接的過濾路由器只接受從堡壘主機(jī)來的數(shù)據(jù)包。內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的直接訪問是被嚴(yán)格禁止的。相對(duì)于其它幾種防火墻而言,屏蔽子網(wǎng)的安全性是最高的,它為此付出的代價(jià)是:經(jīng)過多級(jí)路由器和主機(jī),網(wǎng)絡(luò)服務(wù)性能下降;管理復(fù)雜度較大。其他實(shí)現(xiàn)結(jié)構(gòu)

其他結(jié)構(gòu)的防火墻系統(tǒng)都是上述幾種結(jié)構(gòu)的變形,主要有:一個(gè)堡壘主機(jī)和一個(gè)非軍事區(qū)、兩個(gè)堡壘主機(jī)和兩個(gè)非軍事區(qū)、兩個(gè)堡壘主機(jī)和一個(gè)非軍事區(qū)等等,目的都是通過設(shè)定過濾和代理的層次使得檢測(cè)層次增多從而增加安全性。按防火墻部署的位置劃分單接入點(diǎn)的傳統(tǒng)防火墻混合式防火墻分布式防火墻單接入點(diǎn)的傳統(tǒng)防火墻

防火墻最普通的表現(xiàn)形式。位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)相交的邊界,獨(dú)立于其它網(wǎng)絡(luò)設(shè)備,實(shí)施網(wǎng)絡(luò)隔離?;旌鲜椒阑饓?/p>

混合式防火墻依賴于地址策略將安全策略分發(fā)給各個(gè)站點(diǎn),由各個(gè)站點(diǎn)實(shí)施這些規(guī)則。其代表產(chǎn)品為CHECKPOINT公司的FIREWALL-1防火墻。它通過裝載到網(wǎng)絡(luò)操作中心上的多域服務(wù)器來控制多個(gè)防火墻用戶模塊。多域服務(wù)器有多個(gè)用戶管理加載模塊,每個(gè)模塊都有一個(gè)虛擬IP地址,對(duì)應(yīng)著若干防火墻用戶模塊。安全策略通過多域服務(wù)器上的用戶管理加載模塊下發(fā)到各個(gè)防火墻用戶模塊。防火墻用戶模塊執(zhí)行安全規(guī)則,并將數(shù)據(jù)存放到對(duì)應(yīng)的用戶管理加載模塊的目錄下。多域服務(wù)器可以共享這些數(shù)據(jù),使得防火墻多點(diǎn)接入成為可能。混合式防火墻將網(wǎng)絡(luò)流量分擔(dān)給多個(gè)接入點(diǎn),降低了單一接入點(diǎn)的工作強(qiáng)度,安全性、管理性更強(qiáng)。但網(wǎng)絡(luò)操作中心是系統(tǒng)的單失效點(diǎn)。分布式防火墻

分布式防火墻是一種較新的防火墻實(shí)現(xiàn):防火墻是在每一臺(tái)連接到網(wǎng)絡(luò)的主機(jī)上實(shí)現(xiàn)的,負(fù)責(zé)所在主機(jī)的安全策略的執(zhí)行、異常情況的報(bào)告,并收集所在主機(jī)的通信情況記錄和安全信息;同時(shí),設(shè)置一個(gè)網(wǎng)絡(luò)安全管理中心,按照用戶權(quán)限的不同向安裝在各臺(tái)主機(jī)上的防火墻分發(fā)不同的網(wǎng)絡(luò)安全策略,此外還要收集、分析、統(tǒng)計(jì)各個(gè)防火墻的安全信息。這種防火墻的優(yōu)點(diǎn)突出:可以使每一臺(tái)主機(jī)得到最合適的保護(hù),安全策略完全符合主機(jī)的要求;不依賴于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu),加入網(wǎng)絡(luò)完全依賴于密碼標(biāo)志而不是IP地址。分布式防火墻的不足在于:難于實(shí)現(xiàn);安全數(shù)據(jù)收集困難;網(wǎng)絡(luò)安全中心負(fù)荷過重。按防火墻的形式劃分軟件防火墻

軟件防火墻產(chǎn)品形式是軟件代碼,它不依靠具體的硬件設(shè)備,而純粹依靠軟件來監(jiān)控網(wǎng)絡(luò)信息。軟件防火墻固然有安裝、維護(hù)簡(jiǎn)單的優(yōu)點(diǎn),但對(duì)于安裝平臺(tái)的性能要求較高。獨(dú)立硬件防火墻

硬件防火墻則需要專用的硬件設(shè)備,一般采用ASIC技術(shù)架構(gòu)或者網(wǎng)絡(luò)處理器,它們都為數(shù)據(jù)包的檢測(cè)進(jìn)行了專門的優(yōu)化。從外觀上看,獨(dú)立硬件防火墻與集線器、交換機(jī)或者路由器類似,只是只有少數(shù)幾個(gè)接口,分別用于連接內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)。模塊化防火墻

目前很多的路由器都已經(jīng)集成了防火墻的功能,這種防火墻往往作為路由器的一個(gè)可選配的模塊存在。當(dāng)用戶選擇路由器的時(shí)候,可以根據(jù)需要選購(gòu)防火墻模塊來實(shí)現(xiàn)自身網(wǎng)絡(luò)的安全防護(hù),這可以大大降低網(wǎng)絡(luò)設(shè)備的采購(gòu)成本。按受防火墻保護(hù)的對(duì)象劃分單機(jī)防火墻單機(jī)防火墻的設(shè)計(jì)目的是為了保護(hù)單臺(tái)主機(jī)網(wǎng)絡(luò)訪問操作的安全。單機(jī)防火墻一般是以裝載到受保護(hù)主機(jī)的硬盤里的軟件程序的形式存在的,也有做成網(wǎng)卡形式的單機(jī)防火墻存在,但是不是很多。受到載機(jī)性能所限,單機(jī)防火墻性能不會(huì)很高,無法與網(wǎng)絡(luò)防火墻相比。網(wǎng)絡(luò)防火墻網(wǎng)絡(luò)防火墻的設(shè)計(jì)目的是為了保護(hù)相應(yīng)網(wǎng)絡(luò)的安全。網(wǎng)絡(luò)防火墻一般采用軟件與硬件相結(jié)合的形式,也有純軟件的防火墻存在。網(wǎng)絡(luò)防火墻處于受保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)相接的節(jié)點(diǎn)上,對(duì)于網(wǎng)絡(luò)負(fù)載吞吐量、過濾速度、過濾強(qiáng)度等參數(shù)的要求比單機(jī)防火墻要高。目前大部分的防火墻產(chǎn)品都是網(wǎng)絡(luò)防火墻。按防火墻的使用者劃分企業(yè)級(jí)防火墻企業(yè)級(jí)防火墻的設(shè)計(jì)目的是為企業(yè)聯(lián)網(wǎng)提供安全訪問控制服務(wù)。此外,根據(jù)企業(yè)的安全要求,企業(yè)級(jí)防火墻還會(huì)提供更多的安全功能。譬如,企業(yè)為了保證客戶訪問的效率,第一時(shí)間響應(yīng)客戶的請(qǐng)求,一般要求支持千兆線速轉(zhuǎn)發(fā);為了與企業(yè)伙伴之間安全地交換數(shù)據(jù),要求支持VPN;為了維護(hù)企業(yè)利益,要對(duì)進(jìn)出企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行深度過濾等等??梢哉f,防火墻產(chǎn)品功能的花樣翻新與企業(yè)需求的多種多樣是直接相關(guān)的,防火墻所有功能都會(huì)在企業(yè)的安全需求中找到。個(gè)人防火墻個(gè)人防火墻主要用于個(gè)人使用計(jì)算機(jī)的安全防護(hù),實(shí)際上與單機(jī)防火墻是一樣的概念,只是看待問題的出發(fā)點(diǎn)不同而已。使用防火墻的好處

防火墻允許網(wǎng)絡(luò)管理員定義一個(gè)“檢查點(diǎn)”來防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)并抵抗各種攻擊,增加了網(wǎng)絡(luò)的安全性。防火墻通過過濾存在著安全缺陷的網(wǎng)絡(luò)服務(wù)來降低受保護(hù)網(wǎng)絡(luò)遭受攻擊的威脅。防火墻可以增強(qiáng)受保護(hù)節(jié)點(diǎn)的保密性,強(qiáng)化私有權(quán)。防火墻有能力較精確地控制對(duì)內(nèi)部子系統(tǒng)的訪問。防火墻系統(tǒng)具有集中安全性。在防火墻上可以很方便地監(jiān)視網(wǎng)絡(luò)的通信流,并產(chǎn)生告警信息。防火墻是審計(jì)和記錄網(wǎng)絡(luò)行為最佳的地方。防火墻可以作為向客戶發(fā)布信息的地點(diǎn)。防火墻為系統(tǒng)整體安全策略的執(zhí)行提供了重要的實(shí)施平臺(tái)。防火墻的不足

限制網(wǎng)絡(luò)服務(wù)對(duì)內(nèi)部用戶防范不足不能防范旁路連接不適合進(jìn)行病毒檢測(cè)無法防范數(shù)據(jù)驅(qū)動(dòng)型攻擊無法防范所有的威脅防火墻配置比較困難無法防范內(nèi)部人員泄露機(jī)密信息防火墻對(duì)網(wǎng)絡(luò)訪問速度有影響單失效點(diǎn)相關(guān)標(biāo)準(zhǔn)國(guó)外的信息安全標(biāo)準(zhǔn)可信計(jì)算機(jī)安全評(píng)價(jià)標(biāo)準(zhǔn)TCSEC標(biāo)準(zhǔn)于1970年由美國(guó)國(guó)防科學(xué)委員會(huì)提出,并于1985年12月由美國(guó)國(guó)防部公布。TCSEC是計(jì)算機(jī)系統(tǒng)安全評(píng)估的第一個(gè)正式標(biāo)準(zhǔn),對(duì)信息安全標(biāo)準(zhǔn)化建設(shè)具有重要的意義,又被稱為“橘皮書”。TCSEC的重點(diǎn)在于提供對(duì)敏感信息的機(jī)密性保護(hù)。它將系統(tǒng)安全概括為六個(gè)方面:安全策略、標(biāo)識(shí)、識(shí)別、責(zé)任、保證和持續(xù)的保護(hù)。整個(gè)標(biāo)準(zhǔn)分成兩大部分:一是安全等級(jí)的劃分,二是該準(zhǔn)則開發(fā)的目的、原理和美國(guó)政府的政策,同時(shí)提供了隱蔽通道、強(qiáng)訪問控制和安全測(cè)試的開發(fā)指南。其中使用最為廣泛的就是第一部分——安

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論