防火墙综合知识培训
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙的关键技术
防火墙基础知识
状态检测防火墙(Stateful-inspection)
状态检测是一种高级通信过滤。它检查应用层协议信息并且监控
基于连接的应用层协议状态。对于所有连接,每一个连接状态信 息都将被ASPF维护并用于动态地决定数据包是否被允许通过防
火墙或丢弃。
状态检测技术在网络层实现所有需要的防火墙能力,它既有包过 滤机制的速度和灵活,也有代理型防火墙安全的优点。
DMZ Server LAN 区域
接口2
Trust
区域
Untrust Internet
区域
Local 区域 LAN
PC
wk.baidu.com
PC 接口 1 接口3
外部网络
内部网络
根据防火墙的内部划分的安全区域关系,确定其所连接网络的安全区域
防火墙的关键术语
防火墙基础知识
域间(InterZone): 防火墙在引入域概念的同时也引入了域间概念;任何不同 的安全域之间形成域间关系,防火墙上大部分规则都是配置 在域间上,为了便于描述同时引入了域间方向的概念: inbound : 报文从低优先级区域进入高优先级区域为入方向; outbound : 报文从高优先级区域进入低优先级区域为出方向 ;
R
从192.110.10.0/24 来的数据包能通过
Internet Internet
办事
ACL 规则
从202.110.10.0/24来 的数据包不能通过
公司总部
未授权用户
防火墙的关键技术
防火墙基础知识
代理型防火墙(application gateway)
代理型防火墙使得防火墙做为一个访问的中间节点,对Client来说防火 墙是一个Server,对Server来说防火墙是一个Client,转发性能低; 此类防火墙安全性较高,但是开发代价很大。对每一种应用开发都需要 一个对应的代理服务,因此代理型防火墙不能支持很丰富的业务,只能 针对某些应用提供代理支持; 代理型防火墙很难组成双机热备的组网,因为状态无法保持同步;
防火墙基础知识
经过防火墙保护的网络之间的通信必须都经过防火墙。 只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。 防火墙本身必须具有很强的抗攻击、渗透能力。 防火墙可以保护内部网络的安全,可以使受保护的网络避免遭到外部网络 的攻击。硬件防火墙应该可以支持若干个网络接口,这些接口都是LAN接口(如 Ethernet、Token Ring、FDDI),这些接口用来连接几个网络。 在这些网络中进行的连接都必须经过硬件防火墙,防火墙来控制这些连接, 对连接进行验证、过滤。
防火墙基础知识
防火墙 = 硬件 + 软件 + 控制策略 宽松控制策略:除非明确禁止,否则允许。 限制控制策略:除非明确允许,否则禁止。 防火墙的特性: 内部和外部之间的所有网络数据流必须经过防火墙 只有被安全政策允许的数据包才能通过防火墙 防火墙本身要具有很强的抗攻击、渗透能力
什么叫防火墙
防火墙的基本特征:
保护,是避免IP地址假冒攻击的一种方式。
MAC和IP地址绑定功能一般应用在与二层交换机直接相连的 时候,可以防止假冒IP地址攻击,ARP Flood攻击,DHCP Flood攻击等,还可以应用于用户认证
防火墙的关键术语
防火墙基础知识
NAT(Network Address Translation,地址转换)是将IP数据报报
头中的IP地址转换为另一个IP地址的过程
数据报1: 源:192.168.1.3 目的:202.120.10.2 数据报1: 源:202.169.10.1 目的:202.120.10.2 Server 202.120.10.2
内容 过滤
用户认证
VPN
应用程序代理
包过滤&状态检测
IDS与 报警
NAT
日志
防火墙的基本功能模块
防火墙的局限性
防火墙基础知识
防火墙不是解决所有网络安全问题的万能药方,只是网络安全 政策和策略中的一个组成部分。
防外不防内(内网用户和内外串通); 不能防备全部的威胁,特别是新产生的威胁; 在提供深度检测功能以及防火墙处理转发性能上需要平衡; 当使用端-端加密时,即有加密隧道穿越防火墙的时候不能处理;
IP 报头 TCP/UDP 报头 数据
协议号 源地址 目的地址
源端口 目的端口
访问控制列表由这5个元 素来组成定义的规则
防火墙的关键技术
防火墙基础知识
对路由器需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,
根据比较的结果对数据包进行转发或者丢弃。
实现包过滤的核心技术是访问控制列表ACL。
Trust区域
防火墙的内部划分为多个区域,所有的转发接口都唯一的属于某个区域
防火墙的关键术语
防火墙基础知识
一般 防火墙上预定义了4个安全区域:本地区域Local(指防 火墙本身)、受信区域Trust、非军事化区域DMZ(Demilitarized Zone)、非受信区域Untrust,用户可以根据需要自行添加新的安全 区域
采用状态检测技术的防火墙产品是现在的主流
防火墙的关键技术
防火墙基础知识
状态检测防火墙工作原理(单通道协议)
在状态防火墙中会动态维护着一个Session表项,通过Session 表项来检测基于TCP/UDP连接的连接状态,动态地判断报文是否 可以通过,从而决定哪些连接是合法访问,哪些是非法访问。
防火墙的关键术语
目前的防火墙,在网络层可靠性组网中解决单点故障的组网不够灵活并
且存在应用限制; 防火墙本身可能会存在性能瓶颈,如抗攻击能力,会话数限制等;
防火墙的分类
防火墙基础知识
按照防火墙实现的方式,一般把防火墙分为如下几类: 包过滤防火墙(Packet Filtering) 包过滤利用定义的特定规则过滤数据包,防火墙直接获得数据包的IP源地 址、目的地址、TCP/ UDP的源端口、和TCP/UDP的目的端口。利用以上的 部分或者全部的信息按照规则进行比较,过滤通过防火墙的数据包。规则 的定义就是按照IP数据包的特点定义的,可以充分利用上述的四个条件定义 通过防火墙数据包的条件。 包过滤防火墙简单,但是缺乏灵活性。另外包过滤防火墙每包需要都进行 策略检查,策略过多会导致性能急剧下降。 代理型防火墙(application gateway) 代理型防火墙使得防火墙做为一个访问的中间节点,对Client来说防火墙是 一个Server,对Server来说防火墙是一个Client。代理型防火墙安全性较高, 但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的, 因此代理型防火墙不能支持很丰富的业务,只能针对某些应用提供代理支 持。 状态检测防火墙 状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接 的应用层协议状态。对于所有连接,每一个连接状态信息都将被ASPF维护 并用于动态地决定数据包是否被允许通过防火墙或丢弃。
反之则不能够;防火墙通过会话表还能提供许多新的功能,如加速
转发,基于流的等价路由,应用层流控等。
用户A初始化一个telnet会话 其它telnet报文被阻塞
创建Session表项
用户A的telnet会话返回报文被允许
防火墙的关键术语
多通道协议
防火墙基础知识
是指某个应用在进行通讯或提供服务时需要建立两个以上的会话
(通道),其中有一个控制通道,其他的通道是根据控制通道中双
方协商的信息动态创建的,一般我们称之为数据通道或子通道;多 通道协议在防火墙应用以及NAT设备的应用中需要特殊处理,因为 数据通道的端口是不固定的(协商出来的)其报文方向也是不固定 的 多通道协议的典型应用 这种典型应用有很多,最典型的是ftp,其他的一般都如很音频和视 频通讯有关如:H.323(包括T.120、RAS、Q.931和H.245等)、SIP、 MGCP,此外许多实时聊天通讯软件也是多通道协议的,如MSN, QQ,ICQ等.
PC 192.168.1.3
Eudemon Trust Untrust Eth0/0/0 Eth0/0/0 202.169.10.1 192.168.1.1
Internet
Server 192.168.1.2
数据报2: 源:202.120.10.2 目的:192.168.1.3
数据报2: 源:202.120.10.2 目的:202.169.10.1 PC 202.130.10.3
说明: 安全策略只能应用在安全区域之间(即配置在域间),从而 对分属不同安全区域的接口之间的信息流根据配置的安全策 略进行安全检查。 一个安全域间的某个方向上只能配置一条域间包过滤规则。
防火墙的关键术语
会话(Session)
防火墙基础知识
会话是状态防火墙的基础,每一个通过防火墙的会话都会在防火墙 上建立一个会话表项,以五元组(源目的IP地址、源目的端口、协 议号)为Key值;通过建立动态的会话表来可以提供高优先级域更 高的安全性,即如下图所示高优先级域可以主动访问低优先级域,
什么叫防火墙
防火墙基础知识
防火墙(Fire Wall):简单的说,网络安全的第一道防线,
是位于两个信任程度不同的网络之间(如企业内部网络和 Internet之间)的设备,它对两个网络之间的通信进行控制,通
过强制实施统一的安全策略,防止对重要信息资源的非法存取
和访问以达到保护系统安全的目的。
什么叫防火墙
防火墙综合知识培训
快速入门防火墙技术保障
防火墙基础知识 防火墙网络部署 防火墙配置要点
工程师
赵**
引言
防火墙基础知识
开放式的网络带来了许多不安全的隐患。在开放网络式的网 络上,我们周围存在着许多不能信任的计算机(包括在一个LAN之 间),这种这些计算机对我们私有的一些敏感信息造成了很大的威 胁。 在大厦的构造中,防火墙被设计用来防止火灾从大厦的一部 分传播到大厦的另一部分。我们所涉及的“防火墙”具有类似的目 的:“防止外部的危险传播到你的内部网络”。
防火墙的关键技术
防火墙基础知识
防火墙的关键技术
包过滤技术 代理技术 状态检测技术 网络地址翻译 NAT 虚拟专用网 VPN 应用协议特定的包过滤技术ASPF 双机热备技术 QOS技术 应用层流控技术包括P2P限流 防攻击技术,DPI技术
防火墙的关键技术
防火墙基础知识
包过滤防火墙(Packet Filtering)
此类防火墙布放在网络中的适当位置,利用数据包的五元组的部 分或者全部的信息,按照定义的规则ACL对通过的数据包进行过 滤。这是一种基于网络层的安全技术,对于应用层的黑客行为无 能为力。 包过滤防火墙简单,但是缺乏灵活性;包过滤防火墙每包需要都 进行策略检查,策略过多会导致性能急剧下降; 包过滤防火墙对于任何应用需要配置双方向的ACL规则,不能提 供差异性保护
防火墙能提供的功能
防火墙基础知识
监控和审计网络的存取和访问:过滤进出网络的数据,管理进出网络的访问行为, 封堵某些禁止的业务,记录通过防火墙的信息内容和活动,对网络攻击进行检测 和告警。 部署于网络边界,兼备提供网络地址翻译(NAT)、虚拟专用网(VPN)等功能 防病毒、入侵检测、认证、加密、远程管理、代理 …… 深度检测对某些协议进行相关控制 攻击防范,扫描检测等
连接受信网 络区域
连接不受信 网络区域
在连接受信网络区域和非受信网络区域之间 的区域,一般称为DMZ。
防火墙基础知识
防火墙在网络安全体系中的位置
门
监视器
入侵检测系统
加固的房间
系统加固、免疫
安全传输
加密、VPN
防火墙
监控室 安全管理中心
门禁系统 身份认证、访问控制
保安员 扫描器、漏洞查找
防火墙的功能
防火墙基础知识
域(Zone) 域是防火墙上引入的一个重要的逻辑概念;通过将接口加入域并在安 全区域之间启动安全检查(称为安全策略),从而对流经不同安全区域 的信息流进行安全过滤。常用的安全检查主要包括基于ACL和应用层状 态的检查
接口2 DMZ区域 Untrust区域 Local区域 接口1 接口3
NAT地址转换的基本过程
防火墙的关键术语
防火墙基础知识
MAC和IP地址绑定(Bind),指防火墙可以根据用户的配置,
在特定的IP地址和MAC地址之间形成关联关系。对于声称从
这个IP发送的报文,如果其MAC地址不是指定关系对中的地 址,防火墙将予以丢弃。发送给这个IP地址的报文,在通过
防火墙时将被强制发送给绑定的MAC地址,从而形成有效的