防火墙技术及其应用PPT课件

争议及不足 • 使用不便认为防火墙给人虚假的安全感 • 对用户不完全透明可能带来传输延迟瓶颈及单点失效 • 不能替代墙内的安全措施
– 不能防范恶意的知情者 – 不能防范不通过它的连接 – 不能防范全新的威胁 – 不能有效地防范数据驱动式的攻击 – 当使用端-端加密时其作用会受到很大的限制
防火墙配置模式
多宿主主机
双宿主主机
所有的通信必须经过双宿主主机
❖ 通过应用代理 ❖ 通过登陆到双宿主主机上获得服务
缺点：如何保护双宿主 主机本身的安全
内部网络
❖ 禁止内外网络之间直接通信
外部网络
被屏蔽主机
缺点： ❖ 堡垒主机与其他主机在同一个子网 ❖ 一旦堡垒主机被攻破或被越过，整个内网和 堡垒主机之间就再也没有任何阻挡。
▪ 将过滤功能从路由器中独立出来，并加上审计和告警功能
▪ 针对用户需求，提供模块化的软件包 ▪ 软件可通过网络发送，用户可根据需要构造防火墙 ▪ 与第一代防火墙相比，安全性提高了，价格降低了
基于通用操作 系统的防火墙
基于安全操作 系统的防火墙
▪ 是批量上市的专用防火墙产品 ▪ 包括分组过滤或者借用路由器的分组过滤功能 ▪ 装有专用的代理系统，监控所有协议的数据和指令 ▪ 保护用户编程空间和用户可配置内核参数的设置 ▪ 安全性和速度大为提高。
打印机
Ethernet
路由器
交换机
广域网
局域网LAN
堆叠式HUB
为什么需要防火墙 • 保护内部不受来自Internet的攻击 • 为了创建安全域 • 为了增强机构安全策略
谁需要防火墙？
任何使用互联网的企业和公司都需要防火墙。
WWW 服务器
企业内部网络
路由器 防火墙
服务器
计算机终端
对防火墙的两大需求 • 保障内部网安全 • 保证内部网同外部网的连通
防火墙技术及其应用
主要内容 • 基本概念 • 防火墙配置模式 • 防火墙相关技术
防火墙定义
• 防火墙是位于两个(或多个)网络间实施网间 访问控制的一组组件的集合它满足以下条件
•–内部和外部之间的所有网络数据流必须 经过防火墙
•– 只有符合安全政策的数据流才能通过防 火墙
•– 防火墙自身应对渗透(peneration)免疫
屏蔽子网模式
屏蔽子网防火墙是目前较流行的一种结构，采用了两个包过滤路由器和 一个堡垒主机，在内外网络之间建立了一个被隔离的子网，定义为“非 军事区”，有时也称作周边网，用于放置堡垒主机，WEB服务器、 Mail服务器等公用服务器。内部网络和外部网络均可访问屏蔽子网，但 禁止它们穿过屏蔽子网通信。在这一配置中，即使堡垒主机被入侵者控 制，内部网仍受到内部包过滤路由器的保护。
TCP
Host B Host C Block UDP
根据访问控制规则决 定进出网络的行为
一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同 网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、 监视、记录）进出网络的访问行为。
为什么需要防火墙
Why Security is Harder than it Looks
所有软件都是有错的 通常情况下99.99%无错的程序很少会出问题
安全相关的99.99%无错的程序可以确信会被 人利用那0.01%的错误
0.01%安全问题等于100%的失败
内部网的特点
组成结构复杂
各节点通常自主管理
信任边界复杂，缺乏有效管理
有显著的内外区别
机构有整体的安全需求
最薄弱环节原则
防火墙系统四要素 • 安全策略 • 内部网 • 外部网 • 技术手段
防火墙技术发展过程
基于路由器的防火墙
• 利用路由器本身对分组的解析,进行分组过滤 • 过滤判断依据：地址、端口号、IP旗标及其它网络特征 • 防火墙与路由器合为一体，只有过滤功能 • 适用于对安全性要求不高的网络环境
防火墙工具套
过滤器
进行规则配置，只允许外部 主机与堡垒主机通讯
互联网
不允许外部主机直接访问除 堡垒主机之外的其他主机
对内部其他主机的访问 必须经过堡垒主机
堡垒主机
被屏蔽子网
内部筛选路由器
禁止内外网络直 接进行通讯
外部筛选路由器
内内部部网网络络
堡垒主机
堡垒主机 内外部网络之间的通信
堡垒主机安装在内部网络上，通常在路由器上设立过滤规则，并使这个 堡垒主机成为从外部网络唯一可直接到达的主机，这确保了内部网络不 受未被授权的外部用户的攻击。屏蔽主机防火墙实现了网络层和应用层 的安全，因而比单独的包过滤或应用网关代理更安全。 在这一方式下，过滤路由器是否配置正确是这种防火墙安全与否的关键， 如果路由表遭到破坏，堡垒主机就可能被越过，使内部网完全暴露。
▪ 防火墙厂商具有操作系统的源代码，并可实现安全内核 ▪ 去掉了不必要的系统特性，加固内核，强化安全保护 ▪ 在功能上包括了分组过滤、应用网关、电路级网关 ▪ 增加了许多附加功能：加密、鉴别、审计、NAT转换 ▪ 透明性好，易于使用
防火墙技术带来的好处 • 强化安全策略 • 有效地记录Internet上的活动 • 隔离不同网络限制安全问题扩散 • 是一个安全策略的检查站
防火墙简图
Filter
Filter
Inside
Gateway(s)
Outside
默认安全策略 • 没有明确禁止的行为都是允许的 • 没有明确允许的行为都是禁止的
防火墙体系结构 • 双宿/多宿主机模式(dual-homed/multihomed) • 屏蔽主机模式 • 屏蔽子网模式
双宿/多宿主机模式
堡垒主机是一种配置了安全防范措施的网络上的计算机，它为网络之间 的通信提供了一个阻塞点，也就是说如果没有堡垒主机，网络之间将不 能相互访问。 这种防火墙的特点是主机的路由功能是被禁止的，两个网络之间的通信 通过应用层代理服务来完成。如果一旦黑客侵入堡垒主机并使其具有路 由功能，防火墙将变得无用。
屏蔽主机模式
传统防火墙
概念：防火墙被设计用来防止火从大厦的一部分传播到另一部分
I T 领域使用的防火墙概念
安全域1 Host A Host B
两个安全域之间通 信流的唯一通道
安全域2 Host C Host D
Source Destination Permit Protocol
Host A Host C
Passபைடு நூலகம்