5.防火墙及防病毒技术详解

• • • •
• • • •
15
2018/10/11
应用代理防火墙原理图
控制策略
安全网域 根据策略决定如何 处理该数据包 Host Host C D 数据包 数 据 包
查找对 应的控 制策略 拆开数据包
数据包
•IP报头
•TCP报头Βιβλιοθήκη Baidu
•数据
分组过滤判断 信息 应用代理判断 信息 应用代理可以对数据包的数据区进行分析 ，并以此判断数据是否允许通过
2018/10/11
16
状态/动态检测防火墙
• 状态检测技术：在包过滤的同时，检察数据包之间的关联性，数据包中 动态变化的状态码。跟踪通过防火墙的网络连接和包，使用一组附加的 标准，以确定是否允许和拒绝通信。
• 监测引擎技术：采用一个或若干个在网关上执行网络安全策略的软件模 块，抽取有关数据的方法对网络通信的各层实施监测，获得状态信息， 并动态地保存起来作为以后执行安全策略的参考。 • 当用户访问请求到达网关的操作系统前，状态监视器要抽取有关数据进 行分析，结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或 给该通信加密等处理动作。可以实现 拒绝携带某些数据的网络通 信，如带有附加可执行程序的传入电子消息，或包含ActiveX程序的Web 页面。
网络安全综合管理高级工程师
培训讲师：白滨 belite@126.com

防火墙及防病毒技术
2
2018/10/11
第一部分：防火墙技术
3
2018/10/11
防火墙的定义
传统的防火墙概念概念：防火墙被设计用来 防止火从大厦的一部分传播到另一部分
4
2018/10/11
I T 领域使用的防火墙概念
安全域1 Host A Host B 两个安全域之间通 信流的唯一通道 安全域2 Host C Host D
数据包
数据包
数 据 包
•IP报头
•TCP报头
•数据
分组过滤判断信息
过滤依据主要是TCP/IP报头里面的 信息，不能对应用层数据进行处理
2018/10/11
12
应用代理防火墙
• 应用程序代理防火墙接受来自内部网络特定用户应用程序的通 信，然后建立于公共网络服务器单独的连接。网络内部的用户不直接 与外部的服务器通信，所以服务器不能直接访问内部网的任何一部分。
•Source •Host A •Host B •Destination •Host C •Host C •Permit •Pass •Block •Protocol •TCP •UDP
控制策略
查找对应的 控制策略 安全网域 根据策略决定如 何处理该数据包 Host C Host D
拆开数据包
数据包
17
2018/10/11
状态检测示意图
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 应用层
表示层
会话层 传输层
网络层
数据链路层
物理 层
监测引擎
2018/10/11
18
状态/动态检测防火墙
• 优点： 检查IP包的每个字段的能力，并遵从基于包中信息的过滤规则。 识别带有欺骗性源IP地址包的能力。 包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火 墙，绕过是困难的。 基于应用程序信息验证一个包的状态的能力， 例如基于一个已经建立的FTP连 接，允许返回的FTP包通过。 基于应用程序信息验证一个包状态的能力，例如允许一个先前认证过的连接继 续与被授予的服务通信。 记录有关通过的每个包的详细信息的能力。基本上，防火墙用来确定包状态的 所有信息都可以被记录，包括应用程序对包的请求，连接的持续时间，内部和 外部系统所做的连接请求等。
防火墙在网络中的位置
防火墙放置于不同网络安全域之间
2018/10/11
8
包过滤防火墙的特点
•
第一代防火墙和最基本形式防火墙检查每一个通过 的网络包，或者丢弃，或者放行，取决于所建立的一套规则。 所以称为包过滤防火墙。
9
2018/10/11
包过滤防火墙
10
2018/10/11
包过滤防火墙
优点： 防火墙对每条传入和传出网络的包实行低水平控制。 防火墙可以识别和丢弃带欺骗性源IP地址的包。
• • • • • 缺点： 配置困难,因为包过滤防火墙的配置很复杂， 人们经常会忽略建立一些必要的规则，或者错误配置 了已有的规则，在防火墙上留下漏洞。 为特定服务开放的端口存在着危险，可能会被 用于其他传输。 可能还有其他方法绕过防火墙进入网络，例如 拨入连接。
11
2018/10/11
包过滤防火墙工作原理图
13
2018/10/11
应用代理防火墙
14
2018/10/11
应用代理防火墙
• • 优点： 指定对连接的控制，例如允许或拒绝基于服务器IP地址的访问，或者是 允许或拒绝基于用户所请求连接的IP地址的访问。 通过限制某些协议的传出请求，来减少网络中不必要的服务。 大多数代理防火墙能够记录所有的连接，包括地址和持续时间。这些信 息对追踪攻击和发生的未授权访问的事件事很有用的。 缺点： 必须在一定范围内定制用户的系统，这取决于所用的应用程序。 一些应用程序可能根本不支持代理连接。
5
防火墙发展
软件防火墙 软硬件结合防火墙 硬件防火墙
运行在通用操作系统上
机箱+CPU+防火墙软件
性能依靠于计算机CPU,内存等 采用专用或通用操作系统 极易造成网络带宽瓶颈 (20%--70%) 核心技术仍然为软件
用专用芯片处理数据包
使用专用的操作系统平台 高带宽，高吞吐量，真正线速防火 墙 安全与速度同时兼顾 性价比高 管理简单，快捷，具有良好的总体 成本低
•Source •Host A •Host B
•Destination •Host C •Host C
•Permit •Pass •Block
•Protocol •TCP •UDP
根据访问控制规则决 定进出网络的行为
一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是 不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒 绝、监视、记录）进出网络的访问行为。 2018/10/11
可以满足低带宽低流量环境下的 只能满足中低带宽要求 (20%--70%) 安全需要
高速环境下容易造成系统崩溃 有用户限制，性价比较低 在高流量环境下会造成堵塞 甚至系统崩溃
性价比不高
管理复杂，与系统有关 管理比较方便
6
2018/10/11
防火墙分类
包过滤防火墙 应用代理防火墙 状态检测防火墙
7
2018/10/11