《防火墻概述》PPT課件

1、第3章 防火墻入門本章重點：防火墻的概念及作用防火墻的分類防火的墻技術(shù)防火墻的功能防火墻技術(shù)的主要發(fā)展趨勢11.1防火墻的概念及作用 隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是這一類防范措施的總稱。 防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 2防火墻邏輯位置示意圖 :3防火墻（FireWall）的定義: 指的就是一種被放置在自己的計算機與外界網(wǎng)絡(luò)

2、之間的防御系統(tǒng)，從網(wǎng)絡(luò)發(fā)往計算機的所有數(shù)據(jù)都要經(jīng)過它的判斷處理后，才會決定能不能把這些數(shù)據(jù)交給計算機，一旦發(fā)現(xiàn)有害數(shù)據(jù)，防火墻就會攔截下來，實現(xiàn)了對計算機的保護功能。41.2 防火墻的分類與技術(shù)防火墻的分類 :根據(jù)物理特性:防火墻分為兩大類，“硬件防火墻”和“軟件防火墻”。從技術(shù)上分為：“包過濾型”、“應(yīng)用代理型”和“狀態(tài)監(jiān)視”三類 。從結(jié)構(gòu)上又分為：“單一主機防火墻”、“路由集成式防火墻”和“分布式防火墻”三類。按工作位置分為“邊界防火墻”、“個人防火墻”和“混合防火墻 ”。按防火墻性能分為：“百兆級防火墻”和“千兆級防火墻”兩類。 5防火的墻技術(shù) ： 傳統(tǒng)意義上的防火墻技術(shù)分為三大類，“包

3、過濾”（Packet Filtering）、“應(yīng)用代理”（Application Proxy）和“狀態(tài)監(jiān)視”（Stateful Inspection），無論一個防火墻的實現(xiàn)過程多么復(fù)雜，歸根結(jié)底都是在這三種技術(shù)的基礎(chǔ)上進行功能擴展的。61、包過濾技術(shù) 包過濾是最早使用的一種防火墻技術(shù)，它的第一代模型是“靜態(tài)包過濾”（Static Packet Filtering），使用包過濾技術(shù)的防火墻通常工作在OSI模型中的網(wǎng)絡(luò)層（Network Layer）上，后來發(fā)展更新的“動態(tài)包過濾”（Dynamic Packet Filtering）增加了傳輸層（Transport Layer），簡而言之，包過濾技

4、術(shù)工作的地方就是各種基于TCP/IP協(xié)議的數(shù)據(jù)報文進出的通道，它把這兩層作為數(shù)據(jù)監(jiān)控的對象，對每個數(shù)據(jù)包的頭部、協(xié)議、地址、端口、類型等信息進行分析，并與預(yù)先設(shè)定好的防火墻過濾規(guī)則（Filtering Rule）進行核對，一旦發(fā)現(xiàn)某個包的某個或多個部分與過濾規(guī)則匹配并且條件為“阻止”的時候，這個包就會被丟棄。 72、 應(yīng)用代理技術(shù) 一個完整的代理設(shè)備包含一個服務(wù)端和客戶端，服務(wù)端接收來自用戶的請求，調(diào)用自身的客戶端模擬一個基于用戶請求的連接到目標服務(wù)器，再把目標服務(wù)器返回的數(shù)據(jù)轉(zhuǎn)發(fā)給用戶，完成一次代理工作過程 。 采用“應(yīng)用協(xié)議分析”技術(shù)工作在OSI模型的最高層應(yīng)用層上，在這一層里能接觸到的所

5、有數(shù)據(jù)都是最終形式，也就是說，防火墻“看到”的數(shù)據(jù)和我們看到的是一樣的，而不是一個個帶著地址端口協(xié)議等原始內(nèi)容的數(shù)據(jù)包，因而它可以實現(xiàn)更高級的數(shù)據(jù)檢測過程。 83.狀態(tài)監(jiān)視技術(shù)：這是繼“包過濾”技術(shù)和“應(yīng)用代理”技術(shù)后發(fā)展的防火墻技術(shù)，它是CheckPoint技術(shù)公司在基于“包過濾”原理的“動態(tài)包過濾”技術(shù)發(fā)展而來的，與之類似的有其他廠商聯(lián)合發(fā)展的“深度包檢測”（Deep Packet Inspection）技術(shù)。這種防火墻技術(shù)通過一種被稱為“狀態(tài)監(jiān)視”的模塊，在不影響網(wǎng)絡(luò)安全正常工作的前提下采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各個層次實行監(jiān)測，并根據(jù)各種過濾規(guī)則作出安全決策。 “狀態(tài)監(jiān)視”（S

6、tateful Inspection）技術(shù)在保留了對每個數(shù)據(jù)包的頭部、協(xié)議、地址、端口、類型等信息進行分析的基礎(chǔ)上，進一步發(fā)展了“會話過濾”（Session Filtering）功能，在每個連接建立時，防火墻會為這個連接構(gòu)造一個會話狀態(tài)，里面包含了這個連接數(shù)據(jù)包的所有信息，以后這個連接都基于這個狀態(tài)信息進行，這種檢測的高明之處是能對每個數(shù)據(jù)包的內(nèi)容進行監(jiān)視，一旦建立了一個會話狀態(tài)，則此后的數(shù)據(jù)傳輸都要以此會話狀態(tài)作為依據(jù)，例如一個連接的數(shù)據(jù)包源端口是8000，那么在以后的數(shù)據(jù)傳輸過程里防火墻都會審核這個包的源端口還是不是8000，否則這個數(shù)據(jù)包就被攔截，而且會話狀態(tài)的保留是有時間限制的，在超時

7、的范圍內(nèi)如果沒有再進行數(shù)據(jù)傳輸，這個會話狀態(tài)就會被丟棄。狀態(tài)監(jiān)視可以對包內(nèi)容進行分析，從而擺脫了傳統(tǒng)防火墻僅局限于幾個包頭部信息的檢測弱點，而且這種防火墻不必開放過多端口，進一步杜絕了可能因為開放端口過多而帶來的安全隱患。 93、防火墻的功能1、防火墻是網(wǎng)絡(luò)安全的屏障 2 、防火墻可以強化網(wǎng)絡(luò)安全策略3 、對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計 4 、防止內(nèi)部信息的外泄 10防火墻的發(fā)展史：第一代防火墻 第一代防火墻技術(shù)幾乎與路由器同時出現(xiàn)，采用了包過濾（Packet filter）技術(shù)。下圖表示了防火墻技術(shù)的簡單發(fā)展歷史。第二、三代防火墻 1989年，貝爾實驗室的Dave Presotto和Howar

8、d Trickey推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。第四代防火墻 1992年，USC信息科學(xué)院的BobBraden開發(fā)出了基于動態(tài)包過濾（Dynamic packet filter）技術(shù)的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視（Stateful inspection）技術(shù)。1994年，以色列的CheckPoint公司開發(fā)出了第一個采用這種技術(shù)的商業(yè)化的產(chǎn)品。第五代防火墻 1998年，NAI公司推出了一種自適應(yīng)代理（Adaptive proxy）技術(shù)，并在其產(chǎn)品Gauntlet Firewall for NT中得以實現(xiàn)，給代理類型

9、的防火墻賦予了全新的意義，可以稱之為第五代防火墻。11第一代：靜態(tài)包過濾 這種類型的防火墻根據(jù)定義好的過濾規(guī)則審查每個數(shù)據(jù)包，以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于數(shù)據(jù)包的報頭信息進行制訂。報頭信息中包括IP源地址、IP目標地址、傳輸協(xié)議(TCP、UDP、ICMP等等)、TCP/UDP目標端口、ICMP消息類型等。包過濾類型的防火墻要遵循的一條基本原則是“最小特權(quán)原則”，即明確允許那些管理員希望通過的數(shù)據(jù)包，禁止其他的數(shù)據(jù)包。12防火墻功能指標詳解產(chǎn)品類型： 從防火墻產(chǎn)品和技術(shù)發(fā)展來看，分為三種類型：基于路由器的包過濾防火墻、基于通用操作系統(tǒng)的防火墻、基于專用安全操作系統(tǒng)的防火墻。

10、LAN接口： 列出支持的LAN接口類型：防火墻所能保護的網(wǎng)絡(luò)類型，如以太網(wǎng)、快速以太網(wǎng)、千兆以太網(wǎng)、ATM、令牌環(huán)及FDDI等。13支持的最大LAN接口數(shù)：指防火墻所支持的局域網(wǎng)絡(luò)接口數(shù)目，也是其能夠保護的不同內(nèi)網(wǎng)數(shù)目。服務(wù)器平臺：防火墻所運行的操作系統(tǒng)平臺（如Linux、UNIX、WinNT、專用安全操作系統(tǒng)等）。協(xié)議支持支持的非IP協(xié)議：除支持IP協(xié)議之外，又支持AppleTalk、DECnet、IPX及NETBEUI等協(xié)議。建立VPN通道的協(xié)議：構(gòu)建VPN通道所使用的協(xié)議，如密鑰分配等，主要分為IPSec，PPTP、專用協(xié)議等?？梢栽赩PN中使用的協(xié)議：在VPN中使用的協(xié)議，一般是指TC

11、P/IP協(xié)議。加密支持14支持的VPN加密標準：VPN中支持的加密算法,例如數(shù)據(jù)加密標準DES、3DES、RC4以及國內(nèi)專用的加密算法。除了VPN之外，加密的其他用途：加密除用于保護傳輸數(shù)據(jù)以外，還應(yīng)用于其他領(lǐng)域，如身份認證、報文完整性認證，密鑰分配等。提供基于硬件的加密：是否提供硬件加密方法，硬件加密可以提供更快的加密速度和更高的加密強度。認證支持支持的認證類型：是指防火墻支持的身份認證協(xié)議，一般情況下具有一個或多個認證方案，如RADIUS、Kerberos、TACACS/TACACS、口令方式、數(shù)字證書等。防火墻能夠為本地或遠程用戶提供經(jīng)過認證與授權(quán)的對網(wǎng)絡(luò)資源的訪問，防火墻管理員必須決定

12、客戶以何種方式通過認證。列出支持的認證標準和CA互操作性：廠商可以選擇自己的認證方案，但應(yīng)符合相應(yīng)的國際標準，該項指所支持的標準認證協(xié)議，以及實現(xiàn)的認證協(xié)議是否與其他CA產(chǎn)品兼容互通。支持數(shù)字證書：是否支持數(shù)字證書。訪問控制通過防火墻的包內(nèi)容設(shè)置：包過濾防火墻的過濾規(guī)則集由若干條規(guī)則組成，它應(yīng)涵蓋對所有出入防火墻的數(shù)據(jù)包的處理方法，對于沒有明確定義的數(shù)據(jù)包，應(yīng)該有一個缺省處理方法；過濾規(guī)則應(yīng)易于理解，易于編輯修改；同時應(yīng)具備一致性檢測機制，防止沖突。IP包過濾的依據(jù)主要是根據(jù)IP包頭部信息如源地址和目的地址進行過濾，如果IP頭中的協(xié)議字段表明封裝協(xié)議為ICMP、TCP或UDP，那么再根據(jù)ICM

13、P頭信息（類型和代碼值）、TCP頭信息（源端口和目的端口）或UDP頭信息（源端口和目的端口）執(zhí)行過濾，其他的還有MAC地址過濾。應(yīng)用層協(xié)議過濾要求主要包括FTP過濾、基于RPC的應(yīng)用服務(wù)過濾、基于UDP的應(yīng)用服務(wù)過濾要求以及動態(tài)包過濾技術(shù)等。15在應(yīng)用層提供代理支持：指防火墻是否支持應(yīng)用層代理，如HTTP、FTP、TELNET、SNMP等。代理服務(wù)在確認客戶端連接請求有效后接管連接，代為向服務(wù)器發(fā)出連接請求，代理服務(wù)器應(yīng)根據(jù)服務(wù)器的應(yīng)答，決定如何響應(yīng)客戶端請求，代理服務(wù)進程應(yīng)當連接兩個連接（客戶端與代理服務(wù)進程間的連接、代理服務(wù)進程與服務(wù)器端的連接）。為確認連接的唯一性與時效性，代理進程應(yīng)當維

14、護代理連接表或相關(guān)數(shù)據(jù)庫（最小字段集合），為提供認證和授權(quán)，代理進程應(yīng)當維護一個擴展字段集合。在傳輸層提供代理支持：指防火墻是否支持傳輸層代理服務(wù)。允許FTP命令防止某些類型文件通過防火墻：指是否支持FTP文件類型過濾。用戶操作的代理類型：應(yīng)用層高級代理功能，如HTTP、POP3。支持網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)：NAT指將一個IP地址域映射到另一個IP地址域，從而為終端主機提供透明路由的方法。NAT常用于私有地址域與公有地址域的轉(zhuǎn)換以解決IP地址匱乏問題。在防火墻上實現(xiàn)NAT后，可以隱藏受保護網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，在一定程度上提高了網(wǎng)絡(luò)的安全性。支持硬件口令、智能卡：是否支持硬件口令、智能卡等，這是一種

15、比較安全的身份認證技術(shù)。16防御功能支持病毒掃描：是否支持防病毒功能，如掃描電子郵件附件中的DOC和ZIP文件，F(xiàn)TP中的下載或上載文件內(nèi)容，以發(fā)現(xiàn)其中包含的危險信息。提供內(nèi)容過濾：是否支持內(nèi)容過濾，信息內(nèi)容過濾指防火墻在HTTP、FTP、SMTP等協(xié)議層，根據(jù)過濾條件，對信息流進行控制，防火墻控制的結(jié)果是：允許通過、修改后允許通過、禁止通過、記錄日志、報警等。過濾內(nèi)容主要指URL、HTTP攜帶的信息：Java Applet、 javascript、ActiveX和電子郵件中的Subject、To、From域等。能防御的DoS攻擊類型：拒絕服務(wù)攻擊(DoS)就是攻擊者過多地占用共享資源，導(dǎo)致服

16、務(wù)器超載或系統(tǒng)資源耗盡，而使其他用戶無法享有服務(wù)或沒有資源可用。防火墻通過控制、檢測與報警等機制，可在一定程度上防止或減輕DoS黑客攻擊。阻止ActiveX、Java、Cookies、javascript侵入：屬于HTTP內(nèi)容過濾，防火墻應(yīng)該能夠從HTTP頁面剝離JavaApplet、ActiveX等小程序及從Script、PHP和ASP等代碼檢測出危險代碼或病毒，并向瀏覽器用戶報警。同時，能夠過濾用戶上載的CGI、ASP等程序，當發(fā)現(xiàn)危險代碼時，向服務(wù)器報警。安全特性支持轉(zhuǎn)發(fā)和跟蹤ICMP協(xié)議（ICMP代理）：是否支持ICMP代理，ICMP為網(wǎng)間控制報文協(xié)議。提供入侵實時警告：提供實時入侵告

17、警功能，當發(fā)生危險事件時，是否能夠及時報警，報警的方式可能通過郵件、呼機、手機等。提供實時入侵防范：提供實時入侵響應(yīng)功能，當發(fā)生入侵事件時，防火墻能夠動態(tài)響應(yīng)，調(diào)整安全策略，阻擋惡意報文。識別/記錄/防止企圖進行IP地址欺騙：IP地址欺騙指使用偽裝的IP地址作為IP包的源地址對受保護網(wǎng)絡(luò)進行攻擊，防火墻應(yīng)該能夠禁止來自外部網(wǎng)絡(luò)而源地址是內(nèi)部IP地址的數(shù)據(jù)包通過。17管理功能：通過集成策略集中管理多個防火墻：是否支持集中管理，防火墻管理是指對防火墻具有管理權(quán)限的管理員行為和防火墻運行狀態(tài)的管理，管理員的行為主要包括：通過防火墻的身份鑒別，編寫防火墻的安全規(guī)則，配置防火墻的安全參數(shù)，查看防火墻的日

18、志等。防火墻的管理一般分為本地管理、遠程管理和集中管理等。提供基于時間的訪問控制：是否提供基于時間的訪問控制。支持SNMP監(jiān)視和配置：SNMP是簡單網(wǎng)絡(luò)管理協(xié)議的縮寫。本地管理：是指管理員通過防火墻的Console口或防火墻提供的鍵盤和顯示器對防火墻進行配置管理。遠程管理：是指管理員通過以太網(wǎng)或防火墻提供的廣域網(wǎng)接口對防火墻進行管理，管理的通信協(xié)議可以基于FTP、TELNET、HTTP等。支持帶寬管理：防火墻能夠根據(jù)當前的流量動態(tài)調(diào)整某些客戶端占用的帶寬。負載均衡特性：負載均衡可以看成動態(tài)的端口映射，它將一個外部地址的某一TCP或UDP端口映射到一組內(nèi)部地址的某一端口，負載均衡主要用于將某項服務(wù)（如HTTP）分攤到一組內(nèi)部服務(wù)器上以平衡負載。失敗恢復(fù)特性（failover)：指支持容錯技術(shù)，如雙機熱備份、故障恢復(fù)，雙電源備份等。18記錄和報表功能防火墻處理完整日志的方法：防火墻規(guī)定了對于符合條件的報文做日志，應(yīng)該提供日志信息管理和存儲方法。提供自動日志掃描：指防火墻是否具有日志的自動分析和掃描功能，這可以獲得更詳細的統(tǒng)計結(jié)果，達到事后分析、亡羊補牢的目的。提供自動報表、日志報告書寫器：防火墻實現(xiàn)的一種