防火墻與VPN技術(shù)課件

第5章防火墻與VPN技術(shù)1第5章防火墻與VPN技術(shù)5.1防火墻5.2VPN技術(shù)25.1防火墻什么是防火墻？防火墻是一類防范措施的總稱，它使得內(nèi)部網(wǎng)絡(luò)與Internet之間或者與其它外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪，用來保護內(nèi)部網(wǎng)絡(luò)。設(shè)置防火墻的目的：在內(nèi)部網(wǎng)和外部網(wǎng)之間設(shè)立唯一通道提供內(nèi)、外兩個網(wǎng)絡(luò)間的訪問控制通過一定的安全策略防止發(fā)生網(wǎng)絡(luò)安全事件引起的危害35.1防火墻Internet網(wǎng)關(guān)外部過濾器內(nèi)部過濾器不安全網(wǎng)絡(luò)安全網(wǎng)絡(luò)防火墻的基本組成框架55.1防火墻防火墻具備的功能：針對個人終端和端口提供信息流過濾對網(wǎng)絡(luò)信息流進行稽核和監(jiān)控WhodoWhat?Why?Where?WhenandHow?65.1防火墻(1)外網(wǎng)：一般為Internet，非受信網(wǎng)絡(luò)(2)內(nèi)網(wǎng)：一般為Intranet，受信網(wǎng)絡(luò)(3)非軍事化區(qū)：DMZ是英文“demilitarizedzone”的縮寫，中文名稱為“隔離區(qū)”，也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。75.1防火墻Internet不安全網(wǎng)絡(luò)安全網(wǎng)絡(luò)業(yè)務(wù)Web服務(wù)器放在防火墻之內(nèi)的配置圖防火墻+路由器Web服務(wù)器85.1防火墻防火墻的作用保護主系統(tǒng)的安全過濾不安全的、易受攻擊的服務(wù)，如NFS、ICMP控制對網(wǎng)點系統(tǒng)的訪問集中身份認證、安全訪問等軟件，降低成本提供網(wǎng)絡(luò)使用率的統(tǒng)計數(shù)字，可供分析或告警提供實施和執(zhí)行網(wǎng)絡(luò)訪問安全策略105.1防火墻防火墻的基本組成：安全操作系統(tǒng)、過濾器、網(wǎng)關(guān)、域名服務(wù)、Email處理。125.1防火墻包過濾式防火墻Internet包過濾防火墻+路由器Intranet優(yōu)點：對用戶來說是透明的，處理速度快，易于維護，進行網(wǎng)絡(luò)及維護缺點：不能鑒別不同的用戶和防止IP地址盜用，配置繁瑣145.1防火墻防火墻的分類應(yīng)用層網(wǎng)關(guān)型：分析連線內(nèi)容是否符合應(yīng)用協(xié)定的標(biāo)準(zhǔn)。Internet優(yōu)點：比包過濾式防火墻更為安全、可靠，詳細記錄所有訪問狀態(tài)信息Intranet內(nèi)部服務(wù)器等代理服務(wù)器路由器155.1防火墻防火墻的分類狀態(tài)監(jiān)測防火墻：使用一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件模塊，稱為監(jiān)測引擎，是第三代防火墻技術(shù)原理：監(jiān)測引擎軟件在不影響網(wǎng)絡(luò)正常運行的前提下，采用抽取有關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實施監(jiān)測，抽取狀態(tài)信息，并動態(tài)的保存起來，作為執(zhí)行安全策略的參考，根據(jù)這些狀態(tài)信息，可對防火墻外界用戶的訪問操作進行“行為分析”，對“正常行為”放過，攔截“不正常行為”。165.1防火墻“行為分析”：鑒別行為是否正常。計算機世界是現(xiàn)實世界的映射或反映！現(xiàn)實世界、現(xiàn)實生活中的“行為分析”以“資本的行為分析”為例175.1防火墻資本的本性：英國工會活動家、政治家鄧格寧說：“資本害怕沒有利潤或利潤太少，就像自然害怕真空一樣。一旦資本有了適當(dāng)?shù)睦麧?，資本就膽大起來，如果有10%的利潤，它就保證到處被使用；有20%的利潤，它就活躍起來；有50%的利潤，它就鋌而走險；為了100%的利潤，它就敢踐踏一切人間法律；有300%的利潤，它就敢犯任何罪，甚至冒絞首的危險?！?/p>

185.1防火墻廉價藥廠商不生產(chǎn)心臟病手術(shù)中常用廉價藥魚精蛋白的斷貨似乎并不是個例，一位市民近日跑遍煙臺全城都買不到治療皮膚病的廉價老藥。2011年9月，記者調(diào)查了解到，有的廉價老藥斷了貨，有的價格猛漲變得不再廉價，這讓老百姓很不習(xí)慣。不過藥店和廠家說，他們也有苦衷。知情人士指出，目前醫(yī)藥供銷上下游鏈條里已沒有廉價老藥生存的空間。

從治療白血病的復(fù)方磺胺甲噁唑注射針劑、環(huán)磷酰胺針劑，到緩解胃病的復(fù)方胃友、雙層胃友等，這些應(yīng)急救命或者日常必備的藥物，因為價格“過于”低廉，而沒有廠家愿意生產(chǎn)，在廣州正逐步走向急缺、退市的局面。205.1防火墻防火墻的優(yōu)缺點：優(yōu)點1.遏制來自Internet各種路線的攻擊2.借助網(wǎng)絡(luò)服務(wù)選擇，保護網(wǎng)絡(luò)中脆弱的易受攻擊的服務(wù)3.監(jiān)視整個網(wǎng)絡(luò)的安全性，具有實時報警提醒功能4.作為部署NAT的邏輯地址5.增強內(nèi)部網(wǎng)中資源的保密性，強化私有權(quán)215.1防火墻防火墻的局限需要過多的人工審查和記錄無法防范防火墻漏洞攻擊無法防范來自內(nèi)部網(wǎng)的攻擊無法防止傳送病毒無法防范數(shù)據(jù)驅(qū)動型的攻擊（惡意代碼的攻擊）235.1防火墻網(wǎng)絡(luò)攻擊行為：10次以上試密碼、端口掃描、服務(wù)掃描……對網(wǎng)絡(luò)有害信息的“疏導(dǎo)”技術(shù)——“蜜網(wǎng)技術(shù)”蜜網(wǎng)是一個“誘捕網(wǎng)絡(luò)”，屬于主動型的防御系統(tǒng)。245.2VPN技術(shù)問題的提出（VPN的需求來源）：地理分散的分支機構(gòu)，如跨國公司、連鎖店、地區(qū)辦事處、分銷點、各地子公司等。兩種解決方式：從電信公司租用專用的通信信道，如DDN(DigitalDataNetwork)專線投資構(gòu)建EDI(ElectronicDataInterchange

)或電子商務(wù)平臺通過DSL（DigitalSubscriberLine,數(shù)字用戶線）或其它寬帶方式接入網(wǎng)絡(luò)265.2VPN技術(shù)虛擬專用網(wǎng)VPN(VirtualPrivateNetwork)通過一個公共網(wǎng)絡(luò)(Internet)建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道，它是對企業(yè)內(nèi)部網(wǎng)(Intranet)的擴展。275.2VPN技術(shù)VPN提供如下功能：加密數(shù)據(jù)：保證通過公網(wǎng)傳輸?shù)男畔⒉恍孤?。信息認證和身份認證：保證信息的完整性、合法性，鑒別用戶的身份。提供訪問控制：不同的用戶有不同的訪問權(quán)限。285.2VPN技術(shù)VPN的基礎(chǔ)——隧道協(xié)議第2層隧道協(xié)議PPTP(PointtoPointTunnelingProtocol)，由3Com、Access、Ascend、Microsoft、ECITelematics公司共同制定，客戶機/服務(wù)器模式L2F(Layer2Forwarding)，由Cisco公司提出，可在ATM、幀中繼、IP網(wǎng)上建立VPN通信方式L2TP(Layer2TunnelingProtocol)，由Cisco公司提出，綜合PPTP和L2F的優(yōu)點，向IETF(InternetEngineeringTaskForce)提交標(biāo)準(zhǔn)化申請305.2VPN技術(shù)315.2VPN技術(shù)第3層隧道協(xié)議IPSec(InternetProtocolSecurity)，由IETFRFC2401-2409定義，是一個與互聯(lián)網(wǎng)密鑰交換IKE(InternetKeyExchange)有關(guān)的框架協(xié)議，主要用于基于防火墻的VPN系統(tǒng)GRE(GenericRoutingEncapsulation)，由IETFRFC1701/1702定義，規(guī)定了怎樣用一種網(wǎng)絡(luò)層協(xié)議去封裝另一種網(wǎng)絡(luò)層協(xié)議的方法325.2VPN技術(shù)隧道的基本組成一個隧道啟動器一個路由網(wǎng)絡(luò)(Internet)一個可選的隧道交換機一個或多個隧道終結(jié)器335.2VPN技術(shù)場點到場點VPNVPN應(yīng)用實例1345.2VPN技術(shù)L2TP+IPSECVPNVPN應(yīng)用實例2355.2VPN技術(shù)IPSec

IPSEC協(xié)議不是一個單獨的協(xié)議，它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，包括以下主要協(xié)議：AH（AuthenticationHeader）：認證頭標(biāo)---為IP通信提供數(shù)據(jù)源認證、數(shù)據(jù)完整性和防重播保證，它能保護通信免受篡改，但不能防止竊聽，適合用于傳輸非機密數(shù)據(jù)。ESP（EncapsulatingSecurityPayload）：封裝安全凈載 ---ESP為IP數(shù)據(jù)包提供完整性檢查、認證和加密，可以看作是“超級AH”，因為它提供機密性并可防止篡改。IKE（InternetKeyExchange）：Internet密鑰交換協(xié)議 ---負責(zé)協(xié)商安全關(guān)聯(lián)和建立隧道365.2VPN技術(shù)IPSec有兩種工作模式：

隧道模式（Tunnel） 可以對IP頭和IP數(shù)據(jù)進行加密認證，即協(xié)議使IP包通過隧道傳輸。

傳輸模式（Transport） 可以對IP數(shù)據(jù)進行加密認證，即協(xié)議為高層數(shù)據(jù)提供基本的保護。375.2VPN技術(shù)選擇VPN解決方案：認證方法：PKI支持的加密算法：三重DES、AES支持的認證算法：MD5、SHA1支持的IP壓縮算法：DEFI、ATE、LZS易于部署兼容分布式或個人防火墻的可用性385.2VPN技術(shù)VPN的適用范圍：位置眾多，特別是單個用戶和遠程辦公室站點多用戶/站點分布范圍廣，彼此距離遠帶寬和時延要求相對不高對線路保密性和可用性有一定要求VPN不適用的范圍：非常重視傳輸數(shù)據(jù)的安全性性能第一位采用不常見的專用協(xié)議，不能在IP隧道中傳送實時的多媒體通信395.2VPN技術(shù)VPN的分類：1.按VPN的部署模式分類：端到端(endtoend)模式供應(yīng)商——企業(yè)(Provider-Enterprise)模式內(nèi)部供應(yīng)商(Intra-Provider)模式2.按VPN的服務(wù)類型分類：遠程接入VPN（AccessVPN）企業(yè)內(nèi)聯(lián)網(wǎng)VPN（IntranetVPN）企業(yè)外聯(lián)網(wǎng)VPN（ExtranetVPN）40AccessVPN流動員工、遠程辦公人員使用AccessVPN通過公用網(wǎng)絡(luò)與企業(yè)的內(nèi)部網(wǎng)絡(luò)建立專用的網(wǎng)絡(luò)連接41IntranetVPN通過公用網(wǎng)絡(luò)、使用專用連接把企業(yè)總部和各遠程分部（或分支）連接到內(nèi)部網(wǎng)絡(luò)注意：它只允許企業(yè)內(nèi)部員工訪問42Extran