计算机网络与信息安全课件-第7章-防火墙基础
防火墙培训ppt课件
应用技术-状态包过滤
安全规则
$%^*&()(%^*&*)(%^*&* )(%^*&*)(%^*&*)(%^*&* )(%^*&*)(%^*&*)(%^*&* )(%^*&*)(%^*&%^(&()*LJBVG )(%^*&*)(%^*&*RTY%^$% (*%$^($%:LJHL*^(&)*LHKJ %^(&()*LJBVGJ$$%GHLJJ )(%^*&*)(%^*&*)(%^*&* )(%^*&*)(%^*&%^(&()*LJBVG )(%^*&*)(%^*&*RTY%^$% (*%$^($%:LJHL*^(&)*LHKJ %^(&()*LJBVGJ$$%GHLJJ )(%^*&*)(%^*&*)(%^*&* )(%^*&*)(%^*&%^(&()*LJBVG )(%^*&*)(%^*&*RTY%^$% (*%$^($%:LJHL*^(&)*LHKJ %^(&()*LJBVGJ$$%GHLJJ )(%^*&*)(%^*&*)(%^*&* )(%^*&*)(%^*&%^(&()*LJBVG )(%^*&*)(%^*&*RTY%^$% (*%$^($%:LJHL*^(&)*LHKJ %^(&()*LJBVGJ$$%GHLJJ )(%^*&*)(%^*&*)(%^*&* )(%^*&*)(%^*&%^(&()*LJBVG )(%^*&*)(%^*&*RTY%^$% (*%$^($%:LJHL*^(&)*LHKJ %^(&()*LJBVGJ$$%GHLJJ )(%^*&*)(%^*&*)(%^*&* )(%^*&*)(%^*&%^(&()*LJBVG )(%^*&*)(%^*&*RTY%^$% (*%$^($%:LJHL*^(&)*LHKJ %^(&()*LJBVGJ$$%GHLJJ
计算机网络信息安全知识ppt课件
网络攻击事件频发 近年来,网络攻击事件不断增多,包括钓鱼攻击、 勒索软件、恶意代码等,给企业和个人带来了巨 大损失。
数据泄露风险加大 随着大数据技术的发展,海量数据的集中存储和 处理增加了数据泄露的风险,个人隐私和企业秘 密面临严重威胁。
网络安全法规不断完善 各国政府纷纷出台网络安全法规和政策,加强对 网络安全的监管和治理,网络安全法制建设不断 完善。
采用端到端加密技术,确保用户隐私信息的安全。
恶意链接检测
对用户发送的链接进行安全检测,防止恶意链接的传播。
文件传输安全
对传输的文件进行加密处理,确保文件传输过程中的安全性。
身份验证与授权
实施严格的身份验证和授权机制,防止未经授权的访问和操作。
06
恶意软件防范与处置方法
恶意软件分类及危害
恶意软件的分类
信息安全的重要性
信息安全对于个人、组织、企业乃至国家都具有重要意义,它涉及到个人隐私 保护、企业商业秘密、国家安全等方面,是数字化时代不可或缺的保障。
计算机网络面临的安全威胁
01
02
03
04
网络攻击
包括黑客攻击、病毒传播、蠕 虫感染等,旨在破坏网络系统 的正常运行或窃取敏感信息。
数据泄露
由于技术漏洞或人为因素导致 敏感数据泄露,如用户个人信
02
网络安全基础技术
防火墙技术原理与应用
防火墙基本概念
防火墙部署方式
防火墙策略配置
防火墙应用场景
定义、分类、工作原理
硬件防火墙、软件防火 墙、云防火墙
访问控制列表(ACL)、 NAT、VPN等
企业网络边界防护、数 据中心安全隔离等
入侵检测与防御系统(IDS/IPS)
01
《防火墙》课件
防火墙的原理与功能
原理
防火墙通过使用包过滤、状态检测和应用代理等技术,实现对网络通信的检查和保护。
功能
防火墙可以提供访问控制、数据包过滤、入侵检测和预防、安全日志记录等功能,以增强网 络安全。
局限
尽管防火墙能够提供有效的网络安全保护,但它并不是绝对安全的,仍然存在一些局限和薄 弱点。
常见的防火墙类型
2 管理
防火墙的管理涉及日常维护、安全策略更新、日志分析和漏洞修复等操作,以保证防火 墙的有效工作。
防火墙的优点和局限
优点
防火墙可以帮助防止未授权访问、减少网络攻击和 数据泄露,提高网络安全性。
局限
防火墙不能完全阻止所有的网络攻击,对某些高级 攻击和内部威胁可能无法提供足够的保护。
防火墙的应用实例和案例
《防火墙》PPT课件
欢迎来到《防火墙》PPT课件!在本课程中,我们将深入探讨防火墙的各个方 面,包括定义、原理与功能、类型、工作流程、配置与管理、优点和局限以 及应用实例和案例。
防火墙的定义
防火墙是一种网络安全技术,用于保护计算机网络免受未授权访问和恶意攻 击。它通过监视和控制网络流量,根据预定义的规则允许或阻止数据包的传 输。
1
数据包到达
防火墙接收传入或传出的数据包,准备进行检测和处理。
2
流量检测
防火墙根据预定义的规则和策略,检测数据包的来源、目的地和内容。
3
访问控制
根据检测结果,防火墙决定是否允许或阻止数据包的传输。
防火墙的配置与管理
1 配置
防火墙的配置包括规则定义、策略配置和网络拓扑的设置等,以满足具体的网络安全需 求。
1
实例
在企业内部网络中,防火墙可以用于保
案例
《防火墙知识》PPT课件_OK
电路级网关型防火墙:监视两条主机间的连接是否合法, 仅对有效的连接进行数据的复制、转发
优点:透明性高、隐藏网络内部信息 缺点:对建立连接后的传输内容不做检查
7
状态包检测技术:是一种基于连接的状态检测技术,将属于同一个 连接的所有数据包当作一个整体的数据流来看待,构成连接状态 表,通过规则表与状态表的配合,对表中的各个连接状态因素加 以识别。动态连接状态表的信息可以是以前的通信信息,也可以 是其它相关应用程序的信息。
3、防火墙系统管理 (1)集中式管理:主要是应对未来“分布式防火墙”的发展,集中管理便于施行统一的
管理策略,减少分散管理带来的负担,实现快速响应和快速防御 (2)审计功能和自动分析日志功能
13
可以更早的发现潜在的攻击及早进行预防,日志功能有助于管理员发现漏洞,及时的做 出安全策略的更改
(3)网络安全产品的系统化:通过建立一个“以防火墙为核心”的体系,对整个网络的 安全进行全方位的防护,可以将各种网络安全设备如IPS、IDS以及防病毒的产品与防 火墙进行结合
9
防火墙体系结构: (1)双重宿主主机:具有两个接口,同时可与内、外部主机进行 通信,是 内、外主机相互通信的跳板;可以安装有防火墙软件或者是代理 服务 器软件,实现对内外通信的策略控制 优点:体系建构简单,易实现 缺点:对外暴露,当被攻破后,整个内部网络安全得不到保障
10
(2)被屏蔽主机体系结构:使用屏蔽路由器将内、外网 络分开;屏蔽路由器主要用于数据包的过滤,处于路由 器后的堡垒主机是内外进行通信的唯一节点,需要有更 高的安全等级
15
缺点:实施和管理比较复杂
12
防火墙发展趋势
随着新的网络攻击的出现,防火墙技术也有一些新的发展趋势。这主要可以从包过滤技 术、防火墙体系结构和防火墙系统管理三方面来体现。
《防火墙技术》PPT课件
现代信息安全系统
•现代信息安全系统=
–防火墙 –+合适的安全策略 –+全体人员的参与
防火墙的应用设计原则
• Affordability
– 我准备为安全支付多少费用?
• Functionality
– 我是否还能使用我的资源?
• Cultural Compatibility
– 是否符合人们的工作方式?
地址翻译-NAT(一)
• RFC1918规定了私有地址
– 下面三类地址不能用于Internet主机地址
地址翻译-NAT(二)
• 实现方式
– 静态地址翻译 – 动态地址翻译 – 端口地址翻译(PAT)
• 优点:节约地址资源,有一定的安全保 护作用
• 缺点:有些服务不能支持
NAT-静态地址翻译
NAT-端口地址翻译
• 两种缺省选择
– 没有被明确允许的即为禁止 – 没有被明确禁止的即为允许
防火墙的安全策略
• 防火墙的物理安全 • 防火墙的认证加密 • 防火墙的过滤策略 • 防火墙的预警能力 • 防火墙的记录设置
名词解释
• 堡垒主机(Bastion Host)
– 一个高度安全的计算机系统。通常是暴露于 外部网络,作为连接内部网络用户的桥梁, 易受攻击。
回路层代理服务
全状态检测(Stateful Inspection)
Application Presentation
Session Transport Network DataLink Physical
Application Presentation
Session Transport Network
– TCP or UDP
计算机网络与信息安全课件-前言
前言网络安全学科对国家安全和经济建设有着极其重要的作用。
近年来,随着我国国民经济和社会信息化进程的全面加快,计算机网络在政治、军事、金融、商业等部门的广泛应用,网络与信息系统的基础性、全局性作用不断增强,全社会对计算机网络的依赖越来越大。
网络系统如果遭到破坏,不仅会引起社会混乱,还将带来经济损失。
网络安全已经成为国家安全的重要组成部分。
加快网络安全保障体系的建设、培养高素质的网络安全人才队伍,已经成为我国经济社会发展和信息安全体系建设中的一项长期性、全局性和战略性的任务。
目前,世界各国都积极开展了网络安全的研究和教育。
在欧美,网络安全的教育已大为普及。
美国的多所大学为政府和军事部门培养了大批专门的网络安全人才。
相比之下,我国的网络安全教育还略显滞后,专业教材相对匮乏。
为此,我们根据自己的科学实践,以多年来的科研成果为基础,结合网络安全的教学经验,形成了本书。
本书的结构本书内容全面,既涵盖网络安全的理论基础知识,又包括网络安全的实用技术和最近科研成果。
讲用结合,按照从一般到特殊的原则,每章在介绍相关理论基础知识的基础上,还将结合科研实践,对相关领域进行深入探讨。
本书各章节的主要内容如下:第一章简要介绍了信息安全的研究内容,并对网络体系结构知识进行了回顾和总结,尤其是TCP/IP的相关内容。
第二章详细讨论进程通信的相关内容。
计算机网络向用户提供的各种服务,都是建立在进程通信的基础上。
了解和掌握进程通信是极为必要的。
第三章从病毒的发展、病毒的原理、病毒的分类和病毒防治等方面全面介绍了病毒领域的相关知识。
第四章是密码学。
这是网络安全的核心内容之一。
本章全面讲授了对称密钥体制和非对称密钥体制,尤其深入探讨了当前最为流行一些密码算法的内在原理。
第五章则是围绕着公钥基础设施展开的。
在介绍基础理论的基础上,更侧重于深入讨论我们在本领域的一些最新成果。
第六章介绍的是实用安全协议。
围绕着TLS和IPSec这两个应用最为广泛的代表性协议,进行了深入讨论。
计算机网络安全与防火墙技术
实现难度较大,对系统资源有一定消耗;需要定期更新规则库以应对新出现的威胁。
缺点
04
CHAPTER
防火墙在网络安全中的应用
防火墙作为企业网络的第一道防线,可以有效阻止外部网络攻击,保护企业内部网络资源。
网络入口防御
通过防火墙,企业可以实现精细的访问控制策略,确保只有授权用户能够访问特定资源。
访问控制
远程管理。为了方便管理,可以选择支持远程管理的防火墙,以便随时随地进行配置和管理。
安全意识培训。网络安全不仅仅是技术问题,更与人的行为习习相关。因此,应该加强员工的安全意识培训,提高员工的安全意识,减少人为因素对网络安全的影响。
多层防御。防火墙虽然能够有效地防御网络攻击,但不应该单独依赖防火墙,还应该结合其他安全策略,构建多层防御体系,例如入侵检测、病毒防护、身份认证等。
安全策略的统一管理
03
分布式拒绝服务攻击防御
物联网设备容易成为分布式拒绝服务攻击的目标,防火墙可以有效识别并防御此类攻击,保障物联网网络的稳定运行。
01
设备安全防护
物联网设备往往存在安全隐患,防火墙可以对物联网设备进行安全防护,防止设备被攻击者利用。
02
数据传输安全
物联网中涉及大量数据传输,防火墙可以对数据传输过程进行加密和验证,确保数据传输的安全性。
安全策略配置
03
CHAPTER
防火墙技术深入
优点
处理速度快,对系统性能影响小;配置简单,易于使用。
工作原理
包过滤防火墙工作在网络层,通过检查数据包的源地址、目的地址、端口号等信息,与设定的访问控制规则进行匹配,决定是否允许数据包通过。
缺点
无法识别应用层内容,对于复杂攻击防御能力不足;容易受到IP欺骗等攻击。
信息系统安全课件《防火墙技术》
默认丢弃 默认允许转发
12
包过滤规则举例一
处理 阻塞
内部主机 *
端口 *
外部主机 *
端口 *
说明 默认丢弃
处理 内部主机 端口 外部主机 端口
说明
通过
*
*
*
*
默认转发
13
包过滤规则举例二
处理
内部主机 端口 外部主机
阻塞
*
*
A
通过
B
25
*
端口
说明
*
禁止外部主机
A与内网通讯
5
用户需要怎么样的防火墙?
在安全性方面要求固若金汤 在时效性方面要求实时响应 在可用性方面要求稳定运行 在可控性方面做到精确管理 在可扩性方面做到按需分配
6
防火墙的具体功能
1、包过滤 包过滤是防火墙所要实现的最基本功能,现在的防火墙已经由最 初的地址、端口判定控制,发展到判断通信报文协议头的各部分, 以及通信协议的应用层命令、内容、用户认证、用户规则甚至状 态检测等。要求能做到 防病毒扫描、提供内容过滤、能防御DoS 攻击、阻止 ActiveX、Java、Cookies、Javascript侵入。
6、MAC与IP地址的绑定
MAC与IP地址绑定起来,主要用于防止受控(不可访问外 网)的内部用户通过更换IP地址访问外网,该功能不是必需 的。
8
防火墙的具体功能
7、流量控制和统计分析、流量计费
流量控制可分为基于IP地址的控制和基于用户的控制。
8、VPN
构建不在同一地方的虚拟专用网,以前VPN是单独实现的。
34
防火墙常见体系结构三: 屏蔽主机防火墙(双宿堡垒主机)
第7章 信息安全基础-GG
病毒别名:尼姆亚、武汉男生,后又化身为“金猪报喜”,国外 称“熊猫烧香”
危险级别:★★★★★
病毒类型:蠕虫病毒,能够终止大量的反病毒软件和防火墙软件 进程。
影 响 系统 : Win 9x/ME、 Win 2000/NT 、Win XP 、 Win 2003 、 Win Vista
黑客入侵的步骤
一般分为三个阶段: 1.确定目标与收集相关信息; 2.获得对系统的访问权利; 3.隐藏踪迹。
黑客入侵的防范
1.确保防火墙、杀毒软件等开启,经常查毒、杀毒,并升 级病毒库到最新版本,正确设置参数,修复系统漏洞、关 掉一些没用的端口。
2.不要浏览不健康的网站。浏览网页时,弹窗类广告尽量 不要点击,可以设置阻止弹窗。
主要内容
防火墙的概念
两个安全域之间通 信流的唯一通道
内部网
Source Host A Host B
Destination Host C Host C
Permit Pass Block
Protocol TC控制规则决 定进出网络的行为
一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合, 它是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政策控 制(允许、拒绝、监视、记录)进出网络的访问行为。
•三种流行的 DDOS:SYN/ACK Flood 攻击、TCP 全连接攻击、 刷 Script 脚本攻击
案例:美国网络瘫痪事件 2016年10月21日,美国东海岸(世界最发达地区)发生
大面积瘫痪(大半个美国)的分布式拒绝服务(DDOS)攻击。
物联网破坏者 杭州制造
计算机网络安全-7
控制对系统的访问
Firewall可以提供对系统的访问控制。 Firewall可以提供对系统的访问控制。如允许 可以提供对系统的访问控制 从外部访问某些主机, 从外部访问某些主机,同时禁止访问另外的主 例如,Firewall允许外部访问特定的 允许外部访问特定的Mail 机。例如,Firewall允许外部访问特定的Mail Server和 Server和Web Server
强化网络安全策略
通过以防火墙为中心的安全方案配置, 通过以防火墙为中心的安全方案配置,能将所有安 全软件(如口令、加密、身份认证、审计等) 全软件(如口令、加密、身份认证、审计等)配置 在防火墙上。与将网络安全问题分散到各个主机上 在防火墙上。 相比,防火墙的集中安全管理更经济。 相比,防火墙的集中安全管理更经济。例如在网络 访问时, 访问时,一次一密口令系统和其它的身份认证系统 完全可以不必分散在各个主机上, 完全可以不必分散在各个主机上,而集中在防火墙 一身上
防火墙的位置
非信任的网络或主机 信任网络 防火墙 非信任的用户
Internet 内部网 非军事区
路由器 外网可以访问的主机 或网络 信任的用户
防火墙的实质
防火墙包含着一对矛盾(或称机制 : 防火墙包含着一对矛盾 或称机制):一方面它限制数据 或称机制 流通,另一方面它又允许数据流通。 流通,另一方面它又允许数据流通。由于网络的管理机 制及安全策略(security policy)不同,因此这对矛盾呈 不同, 制及安全策略 不同 现出不同的表现形式。 现出不同的表现形式。 存在两种极端的情形: 存在两种极端的情形:第一种是除了非允许不可的都被 禁止,第二种是除了非禁止不可都被允许。 禁止,第二种是除了非禁止不可都被允许。第一种的特 点是安全但不好用,第二种是好用但不安全, 点是安全但不好用,第二种是好用但不安全,而多数防 火墙都在两者之间采取折衷。 火墙都在两者之间采取折衷。 这里所谓的好用或不好用主要指跨越防火墙的访问效率。 这里所谓的好用或不好用主要指跨越防火墙的访问效率。 在确保防火墙安全或比较安全前提下提高访问效率是当 前防火墙技术研究和实现的热点。 前防火墙技术研究和实现的热点。
《防火墙介绍》课件
03
提供审计和日志记录功能
防火墙能够对所有通过它的数据流进行记录和日志,以便于对网络的使
用情况和系统的安全性进行有效的监控和审查。
防火墙的分类
根据使用方式可以分为软件防火墙和硬件防火墙
软件防火墙是安装在计算机系统上的防火墙软件,而硬件防火墙是专门设计的硬件设备,具有内置的防火墙功能 。
根据部署位置可以分为边界防火墙和内网防火墙
高的防火墙。
防火墙的配置步骤
01
02
03
04
硬件与软件安装
根据防火墙的型号和规格,进 行硬件的安装和软件的下载与
安装。
网络接口配置
配置防火墙的网络接口,包括 IP地址、子网掩码、默认网关
等。
安全策略设置
根据安全需求,设置防火墙的 访问控制列表、安全策略等。
监控与日志记录
开启防火墙的监控功能,配置 日志记录,以便于实时监测和
详细描述
在透明模式下,防火墙以透明代理的方式工作,无需对网络设备和主机进行任何特殊配置。防火墙只 需连接在交换机上,即可实现对网络流量的监控和管理。这种部署方式的优势在于不会改变原有网络 结构,无需进行复杂的配置和管理。
混合模式部署
总结词
结合路由模式和透明模式的优点,提供更加灵活和全 面的网络安全保障。
事后审计。
防火墙的配置策略
访问控制策略
根据网络使用需求,制定允许 或拒绝特定IP地址、端口、协
议等访问的控制策略。
流量管理策略
根据网络带宽和数据负载,合 理分配和管理网络流量,确保 关键业务不受影响。
入侵检测与防御策略
配置防火墙的入侵检测与防御 功能,实时监测和防御恶意攻 击。
内容过滤策略
根据法律法规和企业规定,配 置内容过滤策略,过滤不良信
防火墙ppt课件
传输同步以及活动管理等。
✓ 表示层:主要功能是信息转换,包括信息压缩、加密、与标
准格式的转换(以及上述各操作的逆操作)等等。
✓ 应用层:提供最常用且通用的应用程序,包括电子邮件(E-
mail)和文电传输等。
OSI参考模型与Internet协议簇
协议--TCP/IP协议分层
应用层 传输层 网间网层 网络接口层
协议--TCP/IP协议分层
✓ 应用层:向用户提供一组常用的应用程序,比如文件传输访问、电子邮件、
远程登录等。用户完全可以在“网间网”之上(即传输层之上),建立自 己的专用应用程序,这些专用应用程序要用到TCP/IP,但不属于TCP/IP。
TCP/IP服务(cont.)
SMTP - Simple Mail Transfer Protocol, 用于发送、接收电子邮 件。
TELNET - 可以远程登陆到网络的每个主机上,直接使用他的 资源。
FTP - File Transfer Protocol,用文件传输。 DNS - Domain Name Service, 被 TELNET、FTP、WWW及其它服
TCP与UDP端口
一个TCP或UDP连接由下述要素唯一确定:源IP地址、目的地IP地址、 源端口、目的地端口。
务所用,可以把主机名字转换为 IP 地址。 WWW - World Wide Web, 是 FTP、 gopher、WAIS及其它信息
服务的结合体,使用超文本传输协议 (http)。
IP
IP协议的主要内容包括无连接数据报传送、数据报寻径及差错 处理三部分。
IP层作为通信子网的最高层,屏蔽底层各种物理网络的技术环 节,向上(TCP层)提供一致的、通用性的接口,使得各种物 理网络的差异性对上层协议不复存在。
计算机网络安全基础-防火墙基础
WWW 内部WWW Mail DNS NhomakorabeaDMZ区域
一般子网
合法请求则允 许对外访问 边界路由器 Internet 区域 合法请求 则允许对 外访问 进 行 访 问 规 则 检查 将访问记录 写进日志文 件 发起访问请求
管理子网
发起访问 请求
Internet
重点子网
防火墙在此处的功能: 1、工作子网与外部子网的物理 隔离 2、访问控制 3、对工作子网做NAT地址转换 4、日志记录
设网络防火墙所引起的IP地址变动,方便网络管理
,并可以解决IP地址不足的问题。
网络地址转换技术(NAT)
• NAT(Network Address Translation):就是将 一个IP地址用另一个IP地址代替。 • 应用领域: – 网络管理员希望隐藏内部网络的IP地址。 – 内部网络的IP地址是无效的IP地址。合法 Internet IP地址有限,而且受保护网络往往 有自己的一套IP地址规划(非正式IP地址)
• 防火墙的实质是一对矛盾(或称机制): – 限制数据流通 – 允许数据流通 • 两种极端的表现形式: – 除了非允许不可的都被禁止,安全但不好 用。(限制政策) – 除了非禁止不可的都被允许,好用但不安 全。(宽松政策) 多数防火墙都在两种之间采取折衷。
防火墙实现层次
防火墙的基本功能模块
内容过滤 用户认证 应用程序代理 VPN
器,有效地监控了内部网和外部网之间的任何活动,
保证了内部网络的安全。 • 在物理上,防火墙通常是一组硬件设备——路由器、 主计算机,或者是路由器、计算机和配有软件的网络 的组合。 • 防火墙一般可分为多个部分,某些部分除了执行防火 墙功能外还执行其它功能。如:加密和解密——VPN。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第七章防火墙技术防火墙的本义是指古代构筑和使用木制结构房屋的时候,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称之为“防火墙”。
与防火墙一起起作用的就是“门”。
如果没有门,各房间的人将无法沟通。
当火灾发生时,这些人还须从门逃离现场。
这个门就相当于我们这里所讲的防火墙的“安全策略”,所以在此我们所说的防火墙实际并不是一堵实心墙,而是带有一些小门的墙。
这些小门就是用来留给那些允许进行的通信,在这些小门中安装了过滤机制。
网络防火墙是借鉴了古代真正用于防火的防火墙的喻义,它指的是隔离在本地网络与外界网络之间的一道防御系统。
防火墙可以使企业内部局域网(LAN)网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络,防止发生不可预测的、潜在破坏性的侵入。
典型的防火墙具有以下三个方面的基本特性:(1)内部网络和外部网络之间的所有网络数据流都必须经过防火墙这是防火墙所处网络位置特性,同时也是一个前提。
因为只有当防火墙是内、外部网络之间通信的唯一通道,才可以全面、有效地保护企业内部网络不受侵害。
根据美国国家安全局制定的《信息保障技术框架》,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。
所谓网络边界即是采用不同安全策略的两个网络的连接处,比如用户网络和Internet之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。
防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。
(2)只有符合安全策略的数据流才能通过防火墙防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速地从一条链路转发到另外的链路上去。
从最早的防火墙模型开始谈起,原始的防火墙是一台“双穴主机”,即具备两个网络接口,同时拥有两个网络层地址。
防火墙将网络流量通过相应的网络接口接收上来,按照协议栈的层次结构顺序上传,在适当的协议层进行访问规则和安全审查,然后将符合通过条件的报文从相应的网络接口送出,而对于那些不符合通过条件的报文则予以阻断。
因此,从这个角度上来说,防火墙是一个类似于桥接或路由器的、多端口的(网络接口>=2)转发设备,它跨接于多个分离的物理网段之间,并在报文转发过程之中完成对报文的审查工作。
(3)防火墙自身应具有非常强的抗攻击能力这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。
防火墙处于网络边缘,它就像一个边界卫士一样,每时每刻都要面对黑客的入侵,这样就要求防火墙自身要具有非常强的抗击入侵的能力。
其中防火墙操作系统本身的安全性是关键。
其次就是防火墙自身具有非常少的服务功能,除了专门的防火墙嵌入系统外,再没有其它应用程序在防火墙上运行。
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统以来,防火墙技术得到了飞速的发展。
目前有几十家公司推出了功能不同的防火墙系统。
第一代防火墙,又称包过滤防火墙,主要通过对数据包源地址、目的地址、端口号等参数的检查来决定是否允许该数据包通过,对其进行转发,但这种防火墙很难抵御IP地址欺骗等攻击,而且审计功能很差。
第二代防火墙,也称代理服务器,它可提供对网络服务层的控制,在外部网络向被保护的内部网络申请服务时充当代理的作用,这种方法可以有效地防止对内部网络的直接攻击,安全性较高。
第三代防火墙有效地提高了防火墙的安全性,称为状态监控功能防火墙,它可以对每一层的数据包进行检测和监控。
随着网络攻击手段和信息安全技术的发展,新一代的功能更加强大、安全性更好的防火墙已经问世,这个阶段的防火墙已超出了传统意义上防火墙的范畴,已经演变成一个全方位的安全技术集成系统,可称之为第四代防火墙,它可以抵御目前常见的网络攻击手段,如IP地址欺骗、特洛伊木马攻击、Internet蠕虫、口令探寻攻击、邮件攻击等等。
实际上,这种防火墙具有很多的IDS功能。
IDS与防火墙的相互配合使用,VPN和防火墙的相互配合使用将能提供更全面的安全性,也是防火墙发展的趋势。
7.1 防火墙功能及分类7. 1.1 防火墙的功能防火墙是网络安全的第一道防线。
防火墙在一个机构的私有网络和外部网络间建立一个检查点。
这种实现要求所有的流量都要通过这个检查点。
一旦这些检查点清楚地建立,防火墙设备就可以监视、过滤所有流入和流出的网络流量。
只有经过精心选择的数据包才能通过防火墙,所以网络环境变得更安全。
如防火墙可以禁止诸如众所周知的不安全的NFS 协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。
防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。
防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
防火墙可以强化网络安全策略。
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。
与将网络安全问题分散到各个主机上相比,防火墙的集中式安全管理在经济性方面占优势。
例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
防火墙可以对网络存取和访问进行监控审计。
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并记录在日志中,同时也能提供网络使用情况的统计数据。
当发生可疑动作时,防火墙还能进行适当的报警,并提供网络是否受到监听和攻击的详细信息;另外,收集一个网络的使用和误用情况也是非常重要的。
首先可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。
而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
防火墙可以防止内部信息的外泄。
防火墙在内部网络周围创建了一个保护的边界。
并且对于公网隐藏了内部系统的信息。
当远程节点侦测内部网络时,他们仅仅能看到防火墙。
内部细节如Finger,DNS等服务被很好地隐蔽起来。
Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。
Finger所显示的信息非常容易被攻击者所获悉并利用。
通过Finger攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。
防火墙同样可阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
另外,利用防火墙对内部网络的划分,可实现对内部网的重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
除了安全作用,防火墙还可以支持虚拟专用网(VPN)。
通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,通过Internet有机地联成一个整体。
不必使用昂贵的专用通信线路,而且通过使用IPsec等通信安全协议可保证信息在Internet上传递时的安全性。
7.1.2 防火墙的分类防火墙有许多种形式,有以软件形式运行在普通计算机上的,也有以固件形式设置在路由器之中的。
按照不同的角度可对防火墙做出不同的分类。
7.1.2.1 按照软硬件功能分配分类软件防火墙软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。
常用的“个人防火墙”也属于这类。
软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。
软件防火墙中具有代表性的产品是Checkpoint。
硬件防火墙这里说的硬件防火墙是指“所谓的硬件防火墙”。
之所以加上"所谓"二字是针对芯片级防火墙来说的。
它们最大的差别在于是否基于专用的硬件平台。
目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。
在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有Unix、Linux和FreeBSD系统。
值得注意的是,此类防火墙采用的是别人的内核,因此依然会受到操作系统本身的安全性影响。
芯片级防火墙芯片级防火墙基于专门的硬件平台。
专有的ASIC芯片使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。
做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。
这类防火墙采用固化于硬件的专用操作系统,防火墙本身的漏洞比较少,不过价格相对比较高昂。
7.1.2.2 按照检查协议深度分类包(packet)是网络上信息流动的单位,在网上传输的文件一般在发送端被划分成一系列包,经过网络上的中间站点转发,最终到达目的地,然后这些包中的数据又重新组成原来的信息。
每个包包括两部分:数据部分和包头,包头中含有源地址和目的地址等信息。
防火墙按照其分析网络包的协议深度可分为三种:包过滤防火墙、应用级网关和状态检测防火墙。
包过滤防火墙包过滤通过拦截数据包,检查包头,过滤掉不应转发的信息,放行合法数据包。
包过滤器又称为筛选路由器,它通过将包头信息和管理员设定的规则表比较,如果有一条规则不允许发送某个包,路由器将它丢弃。
规则表又称为访问控制表(Access Control Table)。
包过滤规则一般基于网络层之上的部分的或全部的包头信息,例如对于TCP包头信息为:1.IP协议类型2.IP源地址3.IP目的地址4.IP选择域的内容5.TCP源端口号6.TCP目的端口号7.TCP ACK标识。
另外,TCP的序列号、确认号,IP校验和、分片偏移也往往是要检查的内容。
这类防火墙几乎是与路由器同时产生的。
防火墙常常就是一个具备包过滤功能的简单路由器,包过滤是路由器的固有功能。
包过滤方式是一种通用、廉价和有效的安全手段。
之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能在很大程度上满足绝大多数企业安全要求。
包过滤对于拒绝一些TCP或UDP应用程序的IP地址进入或离开你的网络是很有效的。
举个例子,如果想禁止从Internet TELNET到你的内部网络设备中,你需要建立一条包过滤规则。
如果在包过滤防火墙的默认是允许所有都可访问,则一条禁止TELNET的包过滤规则如表7-1所示。
上表列出的信息告诉路由器丢弃所有从TCP 23端口出去和进来的数据包。
星号说明是该字段里的任何值。
在上面的例子中,如果一个数据包通过这条规则时,若源端口为23,那么它将立刻被丢弃。
如果一个数据包通过这条规则时,若目的端口为23时,则当规则中的第二条应用时它会被丢弃。
所有其它的数据包都允许通过。
其它一些Internet服务在一条规则里需要更多的项目。