防火墻演示文稿

防火墻演示文稿當(dāng)前第1頁\共有57頁\編于星期五\16點(diǎn)防火墻當(dāng)前第2頁\共有57頁\編于星期五\16點(diǎn)本章要求了解防火墻的定義、發(fā)展歷史、目的、功能、局限性等掌握包過濾、應(yīng)用代理、電路級代理和NAT代理等工作原理、技術(shù)特點(diǎn)和實(shí)現(xiàn)方式；掌握防火墻的規(guī)則配置方法熟悉防火墻的常見體系結(jié)構(gòu)當(dāng)前第3頁\共有57頁\編于星期五\16點(diǎn)本節(jié)主要內(nèi)容一、防火墻概述二、防火墻技術(shù)分析三、防火墻部署當(dāng)前第4頁\共有57頁\編于星期五\16點(diǎn)建筑業(yè)中的防火墻建筑業(yè)中的防火墻用在建筑單位間，防止火勢的蔓延。當(dāng)前第5頁\共有57頁\編于星期五\16點(diǎn)IT領(lǐng)域中的防火墻在網(wǎng)絡(luò)安全領(lǐng)域中，防火墻用來指應(yīng)用于內(nèi)部網(wǎng)絡(luò)（局域網(wǎng)）和外部網(wǎng)絡(luò)（Internet）之間的，用來保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法訪問和破壞的網(wǎng)絡(luò)安全系統(tǒng)。

當(dāng)前第6頁\共有57頁\編于星期五\16點(diǎn)防火墻功能示意兩個(gè)不同網(wǎng)絡(luò)安全域間通信流的唯一通道，對流過的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行檢查，阻止攻擊數(shù)據(jù)包通過。安全網(wǎng)域一安全網(wǎng)域二當(dāng)前第7頁\共有57頁\編于星期五\16點(diǎn)防火墻主要功能過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);防止不安全的協(xié)議和服務(wù)；管理進(jìn)、出網(wǎng)絡(luò)的訪問行為；記錄通過防火墻的信息內(nèi)容與活動(dòng)；對網(wǎng)絡(luò)攻擊進(jìn)行檢測與告警;防止外部對內(nèi)部網(wǎng)絡(luò)信息的獲取提供與外部連接的集中管理；當(dāng)前第8頁\共有57頁\編于星期五\16點(diǎn)防火墻不能防范的攻擊來自內(nèi)部的安全威脅；病毒開放應(yīng)用服務(wù)程序的漏洞；特洛伊木馬；社會工程；不當(dāng)配置當(dāng)前第9頁\共有57頁\編于星期五\16點(diǎn)衡量防火墻三大要求安全內(nèi)部和外部間所有數(shù)據(jù)必須通過防火墻只有符合安全策略的數(shù)據(jù)流才能通過防火墻防火墻自身要安全管理良好的人機(jī)交互界面提供強(qiáng)勁的管理及擴(kuò)展功能速度當(dāng)前第10頁\共有57頁\編于星期五\16點(diǎn)防火墻發(fā)展歷程主要經(jīng)歷了三個(gè)階段：基于路由器的防火墻基于通用操作系統(tǒng)的防火墻基于安全操作系統(tǒng)的防火墻當(dāng)前第11頁\共有57頁\編于星期五\16點(diǎn)防火墻基本結(jié)構(gòu)防火墻構(gòu)成四要素：外部網(wǎng)內(nèi)部網(wǎng)安全策略技術(shù)手段當(dāng)前第12頁\共有57頁\編于星期五\16點(diǎn)本節(jié)主要內(nèi)容一、防火墻概述二、防火墻技術(shù)分析三、防火墻部署當(dāng)前第13頁\共有57頁\編于星期五\16點(diǎn)防火墻分類按實(shí)現(xiàn)技術(shù)分類：包過濾型代理型防火墻按體系結(jié)構(gòu)分類：雙宿/多宿主機(jī)防火墻屏蔽主機(jī)防火墻屏蔽子網(wǎng)防火墻混合結(jié)構(gòu)當(dāng)前第14頁\共有57頁\編于星期五\16點(diǎn)包過濾防火墻包過濾防火墻在決定能否及如何傳送數(shù)據(jù)包之外，還根據(jù)其規(guī)則集，看是否應(yīng)該傳送該數(shù)據(jù)包普通路由器當(dāng)數(shù)據(jù)包到達(dá)時(shí)，查看IP包頭信息，根據(jù)路由表決定能否以及如何傳送數(shù)據(jù)包

當(dāng)前第15頁\共有57頁\編于星期五\16點(diǎn)靜態(tài)包過濾防火墻傳輸層傳輸層傳輸層

當(dāng)前第16頁\共有57頁\編于星期五\16點(diǎn)路由與包過濾路由進(jìn)行轉(zhuǎn)發(fā)，過濾進(jìn)行篩選源地址目標(biāo)地址協(xié)議是否允許HostASeverXTCPYESHostASeverXUDPNOHostA外部網(wǎng)絡(luò)目標(biāo)路由SeverX接口1……………………SeverX當(dāng)前第17頁\共有57頁\編于星期五\16點(diǎn)包過濾所檢查的內(nèi)容源和目的的IP地址

IP選項(xiàng)

IP的上層協(xié)議類型（TCP/UDP/ICMP）

TCP和UDP的源及目的端口

ICMP的報(bào)文類型和代碼

我們稱這種對包頭內(nèi)容進(jìn)行簡單過濾的方式為靜態(tài)包過濾當(dāng)前第18頁\共有57頁\編于星期五\16點(diǎn)包過濾配置包過濾防火墻配置步驟：知道什么是應(yīng)該和不應(yīng)被允許，制定安全策略規(guī)定允許的包類型、包字段的邏輯表達(dá)用防火墻支持的語法重寫表達(dá)式當(dāng)前第19頁\共有57頁\編于星期五\16點(diǎn)規(guī)則制定的策略規(guī)則制定的基本策略：允許任何訪問，除非規(guī)則特別地禁止

拒絕任何訪問，除非被規(guī)則特別允許

允許拒絕允許拒絕當(dāng)前第20頁\共有57頁\編于星期五\16點(diǎn)規(guī)則制定的策略過濾的兩種基本方式按服務(wù)過濾：根據(jù)安全策略決定是否允許或拒絕某一種服務(wù)按規(guī)則過濾：檢查包頭信息，與過濾規(guī)則匹配，決定是否轉(zhuǎn)發(fā)該數(shù)據(jù)包當(dāng)前第21頁\共有57頁\編于星期五\16點(diǎn)依賴于服務(wù)的過濾多數(shù)服務(wù)對應(yīng)特定的端口，如要封鎖輸Telnet、SMTP的連接，則Router丟棄端口值為23和25的所有數(shù)據(jù)包。典型的過濾規(guī)則有以下幾種：只允許進(jìn)來的Telnet會話連接到指定的內(nèi)部主機(jī)只允許進(jìn)來的FTP會話連接到指定的內(nèi)部主機(jī)允許所有出去的Telnet會話

允許所有出去的FTP會話拒絕從某些指定的外部網(wǎng)絡(luò)進(jìn)來的所有信息當(dāng)前第22頁\共有57頁\編于星期五\16點(diǎn)按規(guī)則過濾有些類型的攻擊很難用基本包頭信息加以鑒別，因?yàn)楠?dú)立于服務(wù)。如果防范則需要定義規(guī)則1）源IP地址欺騙攻擊入侵者從偽裝成源自一臺內(nèi)部主機(jī)的一個(gè)外部地點(diǎn)傳送一些信息包；這些信息包似乎像包含了一個(gè)內(nèi)部系統(tǒng)的源IP地址。如果這些信息包到達(dá)Router的外部接口，則舍棄每個(gè)含有這個(gè)源IP地址的信息包，就可以挫敗這種源欺騙攻擊。當(dāng)前第23頁\共有57頁\編于星期五\16點(diǎn)按規(guī)則過濾2）源路由攻擊攻擊者為信息包指定一個(gè)穿越Internet的路由，這類攻擊企圖繞過安全措施，并使信息包沿一條意外(疏漏)的路徑到達(dá)目的地?？梢酝ㄟ^舍棄所有包含這類源路由選項(xiàng)的信息包方式，來挫敗這類攻擊。3）殘片攻擊入侵者利用IP分段特性生成一個(gè)極小的片斷并將TCP報(bào)頭信息肢解成一個(gè)分離的信息包片斷，使數(shù)據(jù)包繞過用戶定義的過濾規(guī)則。黑客希望過濾路由器只檢查第一分段，而允許其它分段通過。通過舍棄所有協(xié)議類型為TCP、IP報(bào)頭中FragmentOffset=1的數(shù)據(jù)包，即可挫敗殘片的攻擊。當(dāng)前第24頁\共有57頁\編于星期五\16點(diǎn)推薦的規(guī)則任何進(jìn)入內(nèi)網(wǎng)的數(shù)據(jù)包不能將內(nèi)部地址作為源地址任何進(jìn)入內(nèi)網(wǎng)的數(shù)據(jù)包必須將內(nèi)部地址作為目標(biāo)地址任何離開內(nèi)網(wǎng)的數(shù)據(jù)包必須將內(nèi)部地址作為源地址任何離開內(nèi)網(wǎng)的數(shù)據(jù)包不能將內(nèi)部地址作為目標(biāo)地址任何進(jìn)入或離開內(nèi)網(wǎng)的數(shù)據(jù)包不能把一個(gè)私有地址或者/8作為源或目標(biāo)地址當(dāng)前第25頁\共有57頁\編于星期五\16點(diǎn)靜態(tài)包過濾的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：速度快價(jià)格低對用戶透明缺點(diǎn)：配置難把握防范能力低沒有用戶身份驗(yàn)證機(jī)制當(dāng)前第26頁\共有57頁\編于星期五\16點(diǎn)動(dòng)態(tài)包過濾動(dòng)態(tài)包過濾是CheckPoint的一項(xiàng)稱為“

StatefulInspection”的專利技術(shù)，也稱狀態(tài)檢測防火墻。動(dòng)態(tài)包過濾防火墻不僅以一個(gè)數(shù)據(jù)包的內(nèi)容作為過濾的依據(jù)，還根據(jù)這個(gè)數(shù)據(jù)包在信息流位置加以判斷。動(dòng)態(tài)包過濾防火墻可阻止未經(jīng)內(nèi)網(wǎng)請求的外部通信，而允許內(nèi)網(wǎng)請求的外部網(wǎng)站傳入的通信。當(dāng)前第27頁\共有57頁\編于星期五\16點(diǎn)動(dòng)態(tài)包過濾防火墻當(dāng)前第28頁\共有57頁\編于星期五\16點(diǎn)使用動(dòng)態(tài)包過濾制定的規(guī)則Denyipfrom$internaltoanyinviaeth0Denyipfromnot$internaltoanyinviaeth1Allow$internalaccessanydnsbyudpkeepstateAllow$InternalacessanywwwbytcpkeepstateAllow$internalaccessanyftpbytcpkeepstateDenyipfromanytoany當(dāng)前第29頁\共有57頁\編于星期五\16點(diǎn)動(dòng)態(tài)包過濾的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：基于應(yīng)用程序信息驗(yàn)證一個(gè)包狀態(tài)的能力記錄通過的每個(gè)包的詳細(xì)信息缺點(diǎn)：造成網(wǎng)絡(luò)連接的遲滯系統(tǒng)資源要求較高當(dāng)前第30頁\共有57頁\編于星期五\16點(diǎn)防火墻分類：包過濾代理型防火墻：應(yīng)用代理型代理型防火墻：電路代理型代理型防火墻：NAT當(dāng)前第31頁\共有57頁\編于星期五\16點(diǎn)代理服務(wù)技術(shù)代理服務(wù)技術(shù)能夠?qū)⑺锌缭椒阑饓Φ木W(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的連接，由兩個(gè)代理服務(wù)器之間的連接來實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。當(dāng)前第32頁\共有57頁\編于星期五\16點(diǎn)應(yīng)用代理防火墻工作在應(yīng)用層對所有規(guī)則內(nèi)允許的應(yīng)用程序作中轉(zhuǎn)轉(zhuǎn)發(fā)犧牲了對應(yīng)用程序的透明性當(dāng)前第33頁\共有57頁\編于星期五\16點(diǎn)應(yīng)用代理防火墻應(yīng)用代理防火墻當(dāng)前第34頁\共有57頁\編于星期五\16點(diǎn)應(yīng)用代理應(yīng)用代理工作原理示意緩沖文件應(yīng)用請求回復(fù)應(yīng)用請求回復(fù)當(dāng)前第35頁\共有57頁\編于星期五\16點(diǎn)應(yīng)用代理防火墻應(yīng)用代理服務(wù)器的安全性屏蔽內(nèi)網(wǎng)用戶與外網(wǎng)的直接通信，提供更嚴(yán)格的檢查提供對協(xié)議的控制，拒絕所有沒有配置的連接提供用戶級控制，可近一步提供身份認(rèn)證等信息當(dāng)前第36頁\共有57頁\編于星期五\16點(diǎn)應(yīng)用代理的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：可以隱藏內(nèi)部網(wǎng)絡(luò)的信息；可以具有強(qiáng)大的日志審核；可以實(shí)現(xiàn)內(nèi)容的過濾；缺點(diǎn)：價(jià)格高速度慢

失效時(shí)造成網(wǎng)絡(luò)的癱瘓當(dāng)前第37頁\共有57頁\編于星期五\16點(diǎn)防火墻分類：包過濾代理型防火墻：應(yīng)用代理型代理型防火墻：電路代理型代理型防火墻：NAT當(dāng)前第38頁\共有57頁\編于星期五\16點(diǎn)電路級代理電路級代理因此可以同時(shí)為不同的服務(wù)，如WEB、FTP、TELNET提供代理服即SOCKS代理，它工作在傳輸層。當(dāng)前第39頁\共有57頁\編于星期五\16點(diǎn)應(yīng)用代理應(yīng)用代理工作在應(yīng)用層，對于不同的服務(wù)，必須使用不同的代理軟件。應(yīng)用代理內(nèi)部主機(jī)WEB服務(wù)FTP服務(wù)WEBFTP當(dāng)前第40頁\共有57頁\編于星期五\16點(diǎn)電路級代理優(yōu)缺點(diǎn)優(yōu)點(diǎn)：隱藏內(nèi)部網(wǎng)絡(luò)信息配置簡單，無需為每個(gè)應(yīng)用程序配置一個(gè)代理缺點(diǎn)：多數(shù)電路級網(wǎng)關(guān)都是基于TCP端口配置，不對數(shù)據(jù)包檢測，可能會有漏洞當(dāng)前第41頁\共有57頁\編于星期五\16點(diǎn)防火墻分類：包過濾代理型防火墻：應(yīng)用代理型代理型防火墻：電路代理型代理型防火墻：NAT當(dāng)前第42頁\共有57頁\編于星期五\16點(diǎn)NAT防火墻NAT定義NAT（NetworkAddressTransla-

tion）網(wǎng)絡(luò)地址翻譯最初設(shè)計(jì)目的是用來增加私有組織的可用地址空間和解決將現(xiàn)有的私有TCP/IP網(wǎng)絡(luò)連接到網(wǎng)上的IP地址編號問題當(dāng)前第43頁\共有57頁\編于星期五\16點(diǎn)NAT防火墻NAT提供的功能內(nèi)部主機(jī)地址隱藏網(wǎng)絡(luò)負(fù)載均衡網(wǎng)絡(luò)地址交疊當(dāng)前第44頁\共有57頁\編于星期五\16點(diǎn)NAT（網(wǎng)絡(luò)地址翻譯）根據(jù)內(nèi)部IP地址和外部IP地址的數(shù)量對應(yīng)關(guān)系，NAT分為：基本NAT：簡單的地址翻譯M-1，多個(gè)內(nèi)部網(wǎng)地址翻譯到1個(gè)IP地址M-N，多個(gè)內(nèi)部網(wǎng)地址翻譯到N個(gè)IP地址池當(dāng)前第45頁\共有57頁\編于星期五\16點(diǎn)NAT的優(yōu)缺點(diǎn)優(yōu)點(diǎn)管理方便并且節(jié)約IP地址資源。隱藏內(nèi)部IP地址信息。僅當(dāng)向某個(gè)外部地址發(fā)送過出站包時(shí)，NAT才允許來自該地址的流量入站。

缺點(diǎn)外部應(yīng)用程序卻不能方便地與NAT網(wǎng)關(guān)后面的應(yīng)用程序聯(lián)系。當(dāng)前第46頁\共有57頁\編于星期五\16點(diǎn)本節(jié)主要內(nèi)容一、防火墻概述二、防火墻技術(shù)分析三、防火墻布署當(dāng)前第47頁\共有57頁\編于星期五\16點(diǎn)防火墻布置簡單包過濾路由雙宿/多宿主機(jī)模式屏蔽主機(jī)模式屏蔽子網(wǎng)模式當(dāng)前第48頁\共有57頁\編于星期五\16點(diǎn)包過濾路由內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)包過濾路由器優(yōu)點(diǎn)：配置簡單缺點(diǎn)：日志沒有或很少，難以判斷是否被入侵規(guī)則表會隨著應(yīng)用變得很復(fù)雜單一的部件保護(hù)，脆弱當(dāng)前第49頁\共有57頁\編于星期五\16點(diǎn)雙宿/多宿主機(jī)模式堡壘主機(jī)：關(guān)鍵位置上用于安全防御的某個(gè)系統(tǒng)，攻擊者攻擊網(wǎng)絡(luò)必須先行攻擊的主機(jī)。雙宿/多宿主機(jī)防火墻又稱為雙宿/多宿網(wǎng)關(guān)防火墻，它是一種擁有兩個(gè)或多個(gè)連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻，通常用一臺裝有兩塊或多塊網(wǎng)卡的堡壘主機(jī)做防火墻，兩塊或多塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連當(dāng)前第50頁\共有57頁\編于星期五\16點(diǎn)雙宿/多宿主機(jī)模式內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)應(yīng)用代理服務(wù)器完成：對外屏蔽內(nèi)網(wǎng)信息設(shè)置訪問控制對應(yīng)用層數(shù)據(jù)嚴(yán)格檢查當(dāng)前第51頁\共有57頁\編于星期五\16點(diǎn)優(yōu)點(diǎn)：配置簡單檢查內(nèi)容更細(xì)致屏蔽了內(nèi)網(wǎng)結(jié)構(gòu)缺點(diǎn)：應(yīng)用代理本身的安全性當(dāng)前第52