网络安全 第12章 防火墙技术(二)1010

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第12章 防火墙原理与设计
一 二 三 四 五
防火墙概述 防火墙的类型和结构 静态包过滤防火墙 动态包过滤防火墙
电路级代理服务网关
第12章 防火墙原理与设计
六 应用级代理服务网关 状态检测防火墙 切换代理 空气隙防火墙

八 九

分布式防火墙
十一 防火墙的发展
十二 典型的防火墙产品
第12章 防火墙原理与设计
六 应用级代理服务网关 状态检测防火墙 切换代理 空气隙防火墙

八 九
十 十一
分布式防火墙
防火墙的发展与选择
十二 典型的防火墙产品
12.11.1 防火墙技术的发展趋势
网络安全是通过技术与管理相结合来 实现的,良好的网络管理加上优秀的防火 墙技术是提高网络安全性能的最好选择。 随着新的攻击手段的不断出现,以及 防火墙在用户的核心业务系统中占据的地 位越来越重要,用户对防火墙的要求越来 越高。
12.11.1 防火墙技术的发展趋势
为适应 Internet 的发展,未来防火
墙技术的发展趋势为:
智能化 :防火墙将从目前的静态防御策
略向具备人工智能的智能化方向发展;
高速度: 防火墙必须在运算速度上做相
应的升级,才不致于成为网络的瓶颈;
并行体系结构: 分布式并行处理的防火
墙是防火墙的另一发展趋势;
12.11.1 防火墙技术的发展趋势
多功能: 未来网络防火墙将在保密性、包
过滤、服务、管理和安全等方面增加更多更
强的功能;
专业化:电子邮件防火墙、FTP防火墙等针
对特定服务的专业化防火墙将作为一种产品
门类出现;
防病毒: 现在许多防火墙都内置了病毒和
内容扫描功能。
12.11.1 防火墙技术的发展趋势
综上所述,未来的防火墙将是智能化 、高速度、低成本、功能更加完善、管 理更加人性化的网络安全产品的主力军 。未来防火墙技术会全面考虑网络的安 全、操作系统的安全、应用程序的安全 、用户的安全和数据的安全的综合应用 。
12.11.1 防火墙技术的发展趋势
未来防火墙的发展思路: 防火墙将从目前对子网或内部网管理的方式向远 程上网集中管理的方式发展; 过滤深度不断加强,从目前的地址、服务过滤, 发展到URL(页面)过滤、关键字过滤和对Active X、Java等的过滤,并逐渐有病毒清除功能。
网络的防火墙产品还将把网络前沿技术,如Web页
面超高速缓存、虚拟网络和带宽管理等与其自身
结合起来
12.11.2
选择防火墙的基本原则
防火墙的选择
首先应该明确你的目的, 其次是想要达到什么级别的监测和控制。 第三是费用问题。
选择防火墙的基本标准
防火墙的管理难易度 防火墙自身的安全性 NCSC的认证标准 (国家电脑安全中心 ) 最好能弥补其他操作系统之不足 能否为使用者提供不同平台的选择 能否向使用者提供完善的售后服务
考虑企业的特殊需求
(1)IP转换(IP Address Translation) 进行IP转换有两个好处:其一是隐藏内部网络真正的IP, 这可以使黑客无法直接攻击内部网络;另一个好处是可以让 内部使用保留的IP,这对许多IP不足的企业是有益的。 (2)双重DNS 当内部网络使用没有注册的IP地址, 或是防火墙进行IP转换 时,DNS也必须经过转换,因为,同样的一个主机在内部的IP 与给予外界的IP将会不同,有的防火墙会提供双重DNS,有的 则必须在不同主机上各安装一个DNS. (3)虚拟专网(VPN) (4)扫毒功能 (5)特殊控制需求 有时候企业会有特别的控制需求,如限制特 定使用者才能发送E mail,FTP只能GET档案不能PUT档案, 限制同时上网人数,限制使用时间或BlockJava、ActiveX等 ,依需求不同而定。
12.11.3 防火墙的组合
一、建造防火墙时,一般很少采用单一的结构,通常是 多种结构的组合。一般有以下几种形式: 使用多堡垒主机; 合并内部路由器与外部路由器; 合并堡垒主机与外部路由器; 合并堡垒主机与内部路由器; 使用多台内部路由器; 使用多台外部路由器; 使用多个周边网络;
使用双重宿主主机与屏蔽子网。
12.11.3 防火墙的组合
二、网络安全产品的系统化:(联动机制)
防火墙与病毒产品的联动;
防火墙与IDS的联动 防火墙与认证系统的联动 防火墙与日志分析系统的联动
第12章 防火墙原理与设计
六 应用级代理服务网关 状态检测防火墙 切换代理 空气隙防火墙

八 九

分布式防火墙
十一 防火墙的发展与选择
十二
典型的防火墙产品
各类防火墙的优缺点
产品类型 优点 缺点 功能较弱、缺 乏技术支持 功能仍不够强 大需要安装到 用户 免费软件防火 免费、文件小、易于安 墙 装 商业个人软件 易于安装、价格相对较 防火墙 低、配臵简单 通常安装在专用主机上 ,提供了较高的安全性 商业企业软件 ;采用集中化管理,适 防火墙 用于大型网络;具有实 时检测能力以及其他管 理功能等
安装、配臵复 杂
各类防火墙的优缺点
缺点 价格昂贵、 较软件防火墙具有较 附属软件的 硬件防火墙 好的扩张性、处理速 更新和维护 度快 困难 综合软件防火墙和硬 混合防火墙 价格昂贵 件防火墙两者的优点
产品类型
优点
谢谢!
补充: 包过滤规则配置
包过滤在本地端接收数据包时,一般不保留 上下文,只根据目前数据包的内容做决定。根 据不同的防火墙的类型,包过滤可能在进入、 输出时或这两个时刻都进行。可以拟定一个要 接受的设备和服务的清单,一个不接受的设备 和服务的清单,组成访问控制表。
1 . 设臵步骤
配臵包过滤有三步: (1)必须知道什么是应该和不应该被允许的 ,即必须制定一个安全策略。 (2)必须正式规定允许的包类型、包字段的 逻辑表达。 (3)必须用防火墙支持的语法重写表达式。
补充: 包过滤规则配置
2. 按地址过滤
下面是一个最简单的数据包过滤方式,它按照源 地址进行过滤。比如说,认为网络202.110.8.0是一个 危险的网络,那么就可以用源地址过滤禁止内部主机 和该网络进行通信。下表是根据上面的政策所制定的 规则。 表:
规则
A B
过滤规则示例
源地址
内部网络 202.110.8 .0
方向
出 入
目标地址
202.110.8. 0 内部网络
动作
拒绝 拒绝
补充: 包过滤规则配置
很容易看出这种方式没有利用全部信息,所以是 不科学的,下面将要讲一种更为先进的过滤方式 — —按服务过滤。
3. 按服务过滤
假设安全策略是禁止外部主机访问内部的E-mail服 务器( SMTP,端口 25 ),允许内部主机访问外部主 机,实现这种的过滤的访问控制规则类似下表。 规则按从前到后的顺序匹配,字段中的“*”代表 任意值,没有被过滤器规则明确允许的包将被拒绝 。就是说,每一条规则集都跟随一条含蓄的规则, 就像下表中的规则C。这与一般原则是一致的:没有 明确允许的就被禁止。
补充: 包过滤规则配置
表:
A B C 进 出 双向 拒绝 允许 拒绝 M * *

* * *


注释 不信任 允许联接 缺省状态 25 * *
规则 方向 动作 源地址 源端口 目的地址 目的端口 E-mail * *
任何一种协议都是建立在双方的基础上的 ,信息流也是双向的。规则总是成对出现的, 而且在讲解规则时也是成对讲解的原因。
4.包过滤实例
无疑按服务过滤的安全性要比单纯按地址 过滤高。
补充: 包过滤规则配置
下面,将通过一个例子来讲解这种过滤方式。第一 ,假设处于一个子网络116.111.4.0,认为站点202.208.5 .6 上有黄色的 BBS,所以希望阻止网络中的用户访问该点 的BBS;再假设这个站点的BBS服务是通过Telnet方式提供 的,那么需要阻止到那个站点的出站Telnet服务,对于In ternet的其他站点,允许内部的网用户通过Telnet方式访 问,但不允许其他站点以Telnet方式访问网络。第二,为 了收发电子邮件,允许SMTP出站入站服务,邮件服务器是 IP地址为116.111.4.1。第三,对于WWW服务,允许内部网 用户访问Internet 上任何网络和站点,但只允许一个公司 的网络访问内部WWW服务器,内部WWW服务器的IP地址为11 6.111.4.5 ,因为你们是合作伙伴关系,那个公司的网络 为98.120.7.0。
补充: 包过滤规则配置
表: 过滤规则示例
规则 方向 A B C D E F G 出 入 出 入 出 入 入 源地址 116.111.4 .0 202.108.5 .6 116.111.4 .0 任意 116.111.4 .1 任意 任意 目标地址 202.108.5 .6 116.111.4 .0 任意 116.111.4 .0 任意 116.111.4 .1 116.111.4 .1 协议 源端口 目标端口 TCP TCP TCP TCP TCP TCP TCP >1023 23 >1023 23 >1023 25 >1023 23 >1023 23 >1023 25 >1023 25 ACK设置 任意 是 任意 是 任意 是 任意 动作 拒绝 任意 允许 允许 允许 允许 允许
补充: 包过滤规则配置
表: 过滤规则示例(续表)
规则 方向 I 出 源地址 116.111.4 .0 目标地址 任意 协议 源端口 目标端口 TCP >1023 80 ACK设置 任意 动作 允许
J
K L M

入 出 双向
任意
98.120.7. 0 116.111.4 .5 任意
116.111.4 .0
116.111.4 .5 98.120.7. 0 任意
TCP
TCP TCP 任意
80
>1023 80 任意
>1023
80 >1023 任意

任意 任意 任意
允许
允许 允许 拒绝
补充: 包过滤规则配置
在前面提到过规则的次序是十分重要的,而且路 由器实施规则的特点是当路由器找到匹配的规则后 就不再向下应用其他的规则,至于规则 B,实际上并 非毫无用处,规则B用来限制站点 202.108.5.6Telne t服务的返回包。试图建立Telnet联接时就会被阻塞 ,一般不会存在返回包,但高明的用户也可能想出 什么办法使联接成功,那时B规则也会有用,总之, 有些冗余对安全是有好处的。当用户以 Telnet 方式 访问除202.105.5.6之外的其他站点时,规则A、B不 匹配,所以应用 C、D 规则,内部主机被允许建立联 接,返回包也被允许入站。 规则 M是默认项,它实现的准则是“没有明确允 许就表示禁止”,主个原则在前面的安全策略制定 是提到过。
相关文档
最新文档