《防火墙讲解》PPT课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
包过滤技术是通过设置具体的数据包过滤准
则来实现的,为了实现更强的过滤功能,必 须设置非常复杂的包过滤准则。大幅度降低 了数据包的过滤速度。 由于包过滤技术是工作在OSI模型的网络层 和传输层,对于高层的协议,都无法实现有 效的过滤
14
包过滤技术的缺点
包过滤技术一般只能实现基于主机和端口的
32
IDS的任务
监视、分析用户及系统活动
系统的构造和弱点的审计
识别已知进攻的活动模式并向相关人士报警
异常行为模式的统计分析 评估重要系统和数据文件的完整性 操作系统的审计跟踪管理,并识别用户违反安全
策略的行为
33
IDS的类型
基于主机的IDS
基于网络的IDS
34
基于主机的IDS(HIDS)的优点
16
代理技术
17
与包过滤技术不同,代理服务技 术工作在OSI模型中的应用层,而不 是前者的网络层
18
19
代理技术的优点
使用代理技术,可以实现基于用户级的身份
认证和访问控制。 由于代理服务器工作于客户机和真实的服务 器之间,可以完全控制两者之间的对话,从 而提供非常详细的日志功能。 在代理服务技术中,可以使用第三方的身份 认证系统和日志记录系统。从而提供这两方 面更为完善的功能
5
防火墙的分类
包过滤防火墙(Checkpoint和PIX为代表) 代理防火墙(NAI公司的防火墙为代表)
6
包过滤技术
7
8
9
10
11
பைடு நூலகம் 12
包过滤技术的优点
在网络中需要时时通信时,可以使用这种
方法。 对用户来说是完全透明的 可以通过普通的路由器实现
13
包过滤技术的缺点
29
入 侵 检 测 技 术
(I D S)
30
全球80%以上的入侵来自于内部
对入侵攻击的检测与防范,保障计算机系统、 网络系统、以及整个信息基础设施的安全已经成为 刻不容缓的重要课题。
31
IDS的概念
入侵检测是防火墙的合理补充
扩展了系统管理员的安全管理能力
提高了信息安全基础结构的完整性
NIDS发生故障不会影响业务的正常运行
风险小
近年内有向专门的设备发展的趋势
37
NIDS的弱点
只检查他直接连接网段的通信
很难实现一些需要大量计算与分析时间的攻
击检测 处理加密的会话过程较困难
38
NIDS存在的问题
基于网络的入侵检测系统不能处理加密后的
数据 资源和处理能力的局限性 还受到内存和硬盘的限制
39
结论
防火墙和IDS的结合将会大 大增强网络安全性
40
E N D
41
对分析“可能的攻击”非常有效 能够提供更详尽的相关信息
误报率低
35
HIDS的弱点
安装在需要保护的设备上 它依赖于服务器固有的日志与监视能力 全面部署主机入侵检测系统代价较大
36
基于网络的入侵检测产品(NIDS)的 优点
目前,大部分的入侵检测是基于网络的 不需要改变服务器等主机的配置
防 火 墙 基 础
1
黑客会对我们的网络感兴趣吗?
对黑客来说,只要看到一点点从系统漏洞发 出的光亮就会蠢蠢欲动 如何保护我们的网络?——防火墙
2
防火墙的概念
隔离在本地网络和外界网络之间的一道防御
系统 可以隔离风险区域与安全区域的连接 但不会妨碍人们对风险区域的访问
3
防火墙的功能
过滤不安全的服务和非法用户
26
问题分析
选购防火墙时未充分考虑到与其它安全产品 的联动功能,导致不能最大程度的发挥安全系统的 作用
27
解决办法
确认防火墙是否有IDS等其他安全产品 的联动功能
28
结论和忠告
具有保护网络安全的功能不仅仅是防火墙一种 产品,只有将多种安全产品无缝的结合起来,充分 利用它们各自的优点,才能最大限度的保证网络的 安全
控制对特殊站点的访问 提供监视Internet安全访问和预警的可靠节点
实现公司的安全策略
4
防火墙的功能
防止暴露内部网结构,可以在防火墙上布置
NAT,既可以保护内部网,又可以解决地址 空间紧张的问题 是审计和记录Internet使用费用的一个最佳地 点 在物理上设置一个单独的网段,放置WWW、 FTP和Mail服务器等
20
代理技术的优点
具有内部地址屏蔽及转换功能
使用代理技术可以简化包过滤规则的设定
21
代理技术的缺点
代理服务技术需要对每一种网络服务都必须
有特定的服务代理 通常,每一种网络服务的版本总是落后于现 实环境。因此,多种情况下,无法找到新的 网络服务的代理版本 由于彻底割断了内外部网络之间的直接连接, 使网络的性能受到很大影响。
22
23
其他技术
NAT技术
VPN技术 内容检查技术
加密技术
安全审计
身份认证
负载均衡
24
案例分析
25
问题描述
某公司购买了防火墙之后,紧接着又购买了 漏洞扫描和IDS(入侵检测)产品。当系统管理员 利用IDS发现入侵行为后必须每次都要手工调整防 火墙的安全策略,使管理工作量剧增,而且经常调 整安全策略,也会给整个网络带来不良影响。
过滤,无法实现针对用户和应用程序的过滤 当网络安全的方案十分复杂时,一般不采用 包过滤技术单独解决,原因主要包括:维护 的代价很高;数据包的限制规则十分复杂;
15
如果黑客伪装DNS服务器的地 址,那么它在理论上当然可以从附 着DNS的UDP端口发起攻击。只要 允许DNS查询和反馈包进入网络, 这个问题就必然存在。解决办法是 采用代理服务器。
则来实现的,为了实现更强的过滤功能,必 须设置非常复杂的包过滤准则。大幅度降低 了数据包的过滤速度。 由于包过滤技术是工作在OSI模型的网络层 和传输层,对于高层的协议,都无法实现有 效的过滤
14
包过滤技术的缺点
包过滤技术一般只能实现基于主机和端口的
32
IDS的任务
监视、分析用户及系统活动
系统的构造和弱点的审计
识别已知进攻的活动模式并向相关人士报警
异常行为模式的统计分析 评估重要系统和数据文件的完整性 操作系统的审计跟踪管理,并识别用户违反安全
策略的行为
33
IDS的类型
基于主机的IDS
基于网络的IDS
34
基于主机的IDS(HIDS)的优点
16
代理技术
17
与包过滤技术不同,代理服务技 术工作在OSI模型中的应用层,而不 是前者的网络层
18
19
代理技术的优点
使用代理技术,可以实现基于用户级的身份
认证和访问控制。 由于代理服务器工作于客户机和真实的服务 器之间,可以完全控制两者之间的对话,从 而提供非常详细的日志功能。 在代理服务技术中,可以使用第三方的身份 认证系统和日志记录系统。从而提供这两方 面更为完善的功能
5
防火墙的分类
包过滤防火墙(Checkpoint和PIX为代表) 代理防火墙(NAI公司的防火墙为代表)
6
包过滤技术
7
8
9
10
11
பைடு நூலகம் 12
包过滤技术的优点
在网络中需要时时通信时,可以使用这种
方法。 对用户来说是完全透明的 可以通过普通的路由器实现
13
包过滤技术的缺点
29
入 侵 检 测 技 术
(I D S)
30
全球80%以上的入侵来自于内部
对入侵攻击的检测与防范,保障计算机系统、 网络系统、以及整个信息基础设施的安全已经成为 刻不容缓的重要课题。
31
IDS的概念
入侵检测是防火墙的合理补充
扩展了系统管理员的安全管理能力
提高了信息安全基础结构的完整性
NIDS发生故障不会影响业务的正常运行
风险小
近年内有向专门的设备发展的趋势
37
NIDS的弱点
只检查他直接连接网段的通信
很难实现一些需要大量计算与分析时间的攻
击检测 处理加密的会话过程较困难
38
NIDS存在的问题
基于网络的入侵检测系统不能处理加密后的
数据 资源和处理能力的局限性 还受到内存和硬盘的限制
39
结论
防火墙和IDS的结合将会大 大增强网络安全性
40
E N D
41
对分析“可能的攻击”非常有效 能够提供更详尽的相关信息
误报率低
35
HIDS的弱点
安装在需要保护的设备上 它依赖于服务器固有的日志与监视能力 全面部署主机入侵检测系统代价较大
36
基于网络的入侵检测产品(NIDS)的 优点
目前,大部分的入侵检测是基于网络的 不需要改变服务器等主机的配置
防 火 墙 基 础
1
黑客会对我们的网络感兴趣吗?
对黑客来说,只要看到一点点从系统漏洞发 出的光亮就会蠢蠢欲动 如何保护我们的网络?——防火墙
2
防火墙的概念
隔离在本地网络和外界网络之间的一道防御
系统 可以隔离风险区域与安全区域的连接 但不会妨碍人们对风险区域的访问
3
防火墙的功能
过滤不安全的服务和非法用户
26
问题分析
选购防火墙时未充分考虑到与其它安全产品 的联动功能,导致不能最大程度的发挥安全系统的 作用
27
解决办法
确认防火墙是否有IDS等其他安全产品 的联动功能
28
结论和忠告
具有保护网络安全的功能不仅仅是防火墙一种 产品,只有将多种安全产品无缝的结合起来,充分 利用它们各自的优点,才能最大限度的保证网络的 安全
控制对特殊站点的访问 提供监视Internet安全访问和预警的可靠节点
实现公司的安全策略
4
防火墙的功能
防止暴露内部网结构,可以在防火墙上布置
NAT,既可以保护内部网,又可以解决地址 空间紧张的问题 是审计和记录Internet使用费用的一个最佳地 点 在物理上设置一个单独的网段,放置WWW、 FTP和Mail服务器等
20
代理技术的优点
具有内部地址屏蔽及转换功能
使用代理技术可以简化包过滤规则的设定
21
代理技术的缺点
代理服务技术需要对每一种网络服务都必须
有特定的服务代理 通常,每一种网络服务的版本总是落后于现 实环境。因此,多种情况下,无法找到新的 网络服务的代理版本 由于彻底割断了内外部网络之间的直接连接, 使网络的性能受到很大影响。
22
23
其他技术
NAT技术
VPN技术 内容检查技术
加密技术
安全审计
身份认证
负载均衡
24
案例分析
25
问题描述
某公司购买了防火墙之后,紧接着又购买了 漏洞扫描和IDS(入侵检测)产品。当系统管理员 利用IDS发现入侵行为后必须每次都要手工调整防 火墙的安全策略,使管理工作量剧增,而且经常调 整安全策略,也会给整个网络带来不良影响。
过滤,无法实现针对用户和应用程序的过滤 当网络安全的方案十分复杂时,一般不采用 包过滤技术单独解决,原因主要包括:维护 的代价很高;数据包的限制规则十分复杂;
15
如果黑客伪装DNS服务器的地 址,那么它在理论上当然可以从附 着DNS的UDP端口发起攻击。只要 允许DNS查询和反馈包进入网络, 这个问题就必然存在。解决办法是 采用代理服务器。