防火墙技术及应用-中国安全网
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全意识 内部人员的管理,权限分配和密码管理
错误的网络配置
安全措施实施的难度
信息安全和网络安全研究重点
信息安全: 机密性、鉴别、完整性和防抵赖性; 加密是其重点
网络安全:访问控制、可用性、审计管理等; 系统研究是其重点
数据通信网络拓扑结构
接入层: 包括DSL接入,以太网接入,光纤接入,拨号接入 边缘汇聚层: 主要采用千兆/百兆以太网三层交换机,或者BRAS设备,实现认证和计费. 核心汇聚层: 主要是千兆以太网交换机. 骨干层: 采用MSTP, DWDM等光纤技术进行传输.
Filtering based on: SIP/DIP Sport/Dport Protocol
Application Presentation
Session
Transport Network DataLink Physical Network DataLink Physical
Session
Transport Network
体系结构上的发展
系统功能上的发展
网络系统的风险和威胁
所有的软件都是有错的.
通常情况下99.99%的无错程序很少出现问题. 安全相关的99.99%的无错程序可以确信会有人利用那
0.01%的错误.
0.01%安全问题等于100%的失败.
无处不在的攻击
经济利益的驱使. 技术怪才们的成就感. 攻击的自动化,
数据通信安全教程
防火墙技术及应用
David liang
2005 -11 -08
Liangli_cn@hotmail.com
内容提要
网络系统安全 数据通信设备 防火墙基本概念 防火墙相关技术
Policy NAT ALG VPN
Attack detection and defense
防火墙技术发展趋势
远程化和协作化.
网络技术的普及也导致了攻击技术的广泛传播,包括攻击
方法和攻击工具
网络系统安全的复杂性
网络元素的复杂性
PC主机: 硬件系统 OS系统: linux/windows/solaris/winCE/Vxworks/IOS/ 应用软件: 交换设备/路由设备: 多种的网络协议:
管理模式的复杂性
防火墙分类- Application-Layer Gateway
Telnet FTP HTTP
Application Presentation
Application Presentation
Application Presentation
Session
Transport Network DataLink Physical
防火墙的基本概念
Internet
Untrusted Network
Trusted Network
Firewall
DMZ
非受信网络(外网):防火墙外的网络,例如Internet,一个公司的外部出口 网络.
受信网络(内网):防火墙内的网络,完全受保护的网络,例如一个公司的内部 网络.
中立区(DMZ):堡垒区、非军事化区,为了配置方便,内网中需要向外提供服 务的服务器通常放置在一个单独的网段,这个网段被称为中立区(DMZ).
网关:实现一种协议到另外一种协议的转换功能.
防火墙:作为一个网络接入到另外一个网络的安全控制点.
防火墙的定义
防火墙是位于两个(或多个)网络之间,实施网络间 控制的一组组件的集合,它满足以下条件: (1)内部和外部网络之间的数据都必须流经防火墙. (2)只有符合预先定义的安全策略的数据才能通过 防火墙. (3)防火墙能够具有自我免疫的能力,能够抵制各种 攻击. (4)防火墙具有完善的日志/报警/监控功能,良好的 用户接口
R
DataLink Physical
Firewall
PROS:
Application Independence High Performance Scalability
Low Security No Screening Above the Network Layer (No “State” or Application-Context Information)
数据通信设备
Hub集线器 连接多个网络设备,提供802.3协议的电气互联功能,不具有 交换功能.所有的用户共享带宽.
交换机 二层交换机:利用端口和MAC地址的映射关系进行数据报文的 转发. 三层交换机:具有二层交换机功能以及部分路由器的功能,实 现利用IP地址和MAC地址进行转发.
路由器 边缘路由器:路由表相对较小. 核心路由器:大容量的路由表,高的处理能力.
Session
Transport Network DataLink Physical
Session
Transport Network
R
Hale Waihona Puke Baidu
DataLink Physical
Application Gateway
PROS
CONS
Good Security Full Application-Layer Awareness
防火墙基本作用
Request Response
合理划分网络,设置访问控制点, 保护私有网络. 防止进攻者接近内部网络 限制内部用户的外部访问行为 对外部隐藏内部网络细节
Unsolicited Disallowed
Outside World
几个数字:
Private Network
提供内部网络和外部网络的连通
包过滤防火墙
工作在传输层和网络层.
状态检测包过滤防火墙
工作在传输层和网络层,除了进行数据包 安全规则匹配和过滤外,提供对于数据连 接的状态检测,这是目前主流的防火墙技 术(SPF: Stateful Packet Filtering)
防火墙分类-Packet Layer Filter
Application Presentation
30%:CERNET出口正常向国外访问流量占其带宽的30%
90%:受冲击波影响,CERNET出口流量占其带宽的90%
10:1:受冲击波影响,CERNET出口ICMP包与其他包的比为10:1 几近瘫痪……
防火墙的分类
应用层(代理)防火墙
工作在应用层,表示层或者连接层.
Application
Presentation Session Transport Network Data Link Physical
错误的网络配置
安全措施实施的难度
信息安全和网络安全研究重点
信息安全: 机密性、鉴别、完整性和防抵赖性; 加密是其重点
网络安全:访问控制、可用性、审计管理等; 系统研究是其重点
数据通信网络拓扑结构
接入层: 包括DSL接入,以太网接入,光纤接入,拨号接入 边缘汇聚层: 主要采用千兆/百兆以太网三层交换机,或者BRAS设备,实现认证和计费. 核心汇聚层: 主要是千兆以太网交换机. 骨干层: 采用MSTP, DWDM等光纤技术进行传输.
Filtering based on: SIP/DIP Sport/Dport Protocol
Application Presentation
Session
Transport Network DataLink Physical Network DataLink Physical
Session
Transport Network
体系结构上的发展
系统功能上的发展
网络系统的风险和威胁
所有的软件都是有错的.
通常情况下99.99%的无错程序很少出现问题. 安全相关的99.99%的无错程序可以确信会有人利用那
0.01%的错误.
0.01%安全问题等于100%的失败.
无处不在的攻击
经济利益的驱使. 技术怪才们的成就感. 攻击的自动化,
数据通信安全教程
防火墙技术及应用
David liang
2005 -11 -08
Liangli_cn@hotmail.com
内容提要
网络系统安全 数据通信设备 防火墙基本概念 防火墙相关技术
Policy NAT ALG VPN
Attack detection and defense
防火墙技术发展趋势
远程化和协作化.
网络技术的普及也导致了攻击技术的广泛传播,包括攻击
方法和攻击工具
网络系统安全的复杂性
网络元素的复杂性
PC主机: 硬件系统 OS系统: linux/windows/solaris/winCE/Vxworks/IOS/ 应用软件: 交换设备/路由设备: 多种的网络协议:
管理模式的复杂性
防火墙分类- Application-Layer Gateway
Telnet FTP HTTP
Application Presentation
Application Presentation
Application Presentation
Session
Transport Network DataLink Physical
防火墙的基本概念
Internet
Untrusted Network
Trusted Network
Firewall
DMZ
非受信网络(外网):防火墙外的网络,例如Internet,一个公司的外部出口 网络.
受信网络(内网):防火墙内的网络,完全受保护的网络,例如一个公司的内部 网络.
中立区(DMZ):堡垒区、非军事化区,为了配置方便,内网中需要向外提供服 务的服务器通常放置在一个单独的网段,这个网段被称为中立区(DMZ).
网关:实现一种协议到另外一种协议的转换功能.
防火墙:作为一个网络接入到另外一个网络的安全控制点.
防火墙的定义
防火墙是位于两个(或多个)网络之间,实施网络间 控制的一组组件的集合,它满足以下条件: (1)内部和外部网络之间的数据都必须流经防火墙. (2)只有符合预先定义的安全策略的数据才能通过 防火墙. (3)防火墙能够具有自我免疫的能力,能够抵制各种 攻击. (4)防火墙具有完善的日志/报警/监控功能,良好的 用户接口
R
DataLink Physical
Firewall
PROS:
Application Independence High Performance Scalability
Low Security No Screening Above the Network Layer (No “State” or Application-Context Information)
数据通信设备
Hub集线器 连接多个网络设备,提供802.3协议的电气互联功能,不具有 交换功能.所有的用户共享带宽.
交换机 二层交换机:利用端口和MAC地址的映射关系进行数据报文的 转发. 三层交换机:具有二层交换机功能以及部分路由器的功能,实 现利用IP地址和MAC地址进行转发.
路由器 边缘路由器:路由表相对较小. 核心路由器:大容量的路由表,高的处理能力.
Session
Transport Network DataLink Physical
Session
Transport Network
R
Hale Waihona Puke Baidu
DataLink Physical
Application Gateway
PROS
CONS
Good Security Full Application-Layer Awareness
防火墙基本作用
Request Response
合理划分网络,设置访问控制点, 保护私有网络. 防止进攻者接近内部网络 限制内部用户的外部访问行为 对外部隐藏内部网络细节
Unsolicited Disallowed
Outside World
几个数字:
Private Network
提供内部网络和外部网络的连通
包过滤防火墙
工作在传输层和网络层.
状态检测包过滤防火墙
工作在传输层和网络层,除了进行数据包 安全规则匹配和过滤外,提供对于数据连 接的状态检测,这是目前主流的防火墙技 术(SPF: Stateful Packet Filtering)
防火墙分类-Packet Layer Filter
Application Presentation
30%:CERNET出口正常向国外访问流量占其带宽的30%
90%:受冲击波影响,CERNET出口流量占其带宽的90%
10:1:受冲击波影响,CERNET出口ICMP包与其他包的比为10:1 几近瘫痪……
防火墙的分类
应用层(代理)防火墙
工作在应用层,表示层或者连接层.
Application
Presentation Session Transport Network Data Link Physical