《网络安全技术与实践》第二篇 边界安全(1)

防火墙的功能与特性
（1）认证
防火墙产品作为对网络访问进行有效控制的信息安全 设备，在对用户的网络访问进行控制的时候，要使用 有效的用户认证技术来区分不同的用户身份，以适应 不同访问级别的用户对网络访问的不同权限。 防火墙的认证是指用户通过客户端软件，使用电子钥 匙、自动认证方式或用户手动认证方式向防火墙证明 自己的身份。只有当登录用户成功证明自己的身份， 该用户才可以成为防火墙系统认可的认证用户，从而 可以使用认证用户才能使用的网络服务。

木马入侵
二、边界安全概念
网络可看作一个独立的对象，它通过自身的属性，维持内部业 务的运转。网络的安全威胁来自网络内部与网络外部两个方面。内 网的安全问题是指内部网络的合法用户在使用网络资源的时候，发 生不合规范的操作与恶意的破坏，当然，内网的设备与系统自身的 健康，软、硬件的稳定性，网络配置的合理性，流量是否均衡也会 影响内网的安全。外网的安全问题是指外网的木马、病毒与网络攻 击行为对于内网的威胁与破坏。由于外网的威胁主要通过网络边界 完成，因此对于外网安全防护主要通过网络边界的安全手段来实现 。边界安全问题是指内网与外网互通时由外网引起的安全问题，是 指外网对于内网的入侵、病毒传播与攻击。对于网络边界的攻击， 安全防护是唯一的手段。对于外网的入侵，关键是对入侵的识别和 阻断，而如何区分正常非正常的业务申请则是边界安全防护的重点 与难点。
二、防火墙的功能与特性
防火墙系统是网络的第一道防线，一个企 业在决定使用防火墙保护内部网络的安全 时，首先需要了解一个防火墙系统应具备 的基本功能，这是用户选择防火墙产品的 依据和前提。一个成功的防火墙产品应该 具有认证、VPN、访问控制、数据加密、 攻击防御、管理、实时审计与自动日志、 包过滤等基本功能。
防火墙的功能与特性

（2）VPN
虚拟专用网 (Virtual Private Network)，简单地说就是利 用公共网络的基础设施传送私有信息，并通过一定的 技术手段保证数据的安全性，形成逻辑上的专用网络 。VPN 通过安全的数据通道将远程用户、公司分支机 构、公司业务伙伴等跟公司的企业网连接起来，构成 一个扩展的公司企业网。 VPN传输加密的数据信息是通过隧道协议实现。 目前较 为常见的隧道协议大致有两类：第二层隧道协议（ PPTP、L2F、L2TP）和第三层隧道协议（IPSec、 MPLS、SSL 等）。
2.按物理形态划分

硬件防火墙
硬件防火墙又可分为基于PC架构防火墙和基于专门硬 件平台的防火墙。 芯片级防火墙是基于专门硬件平台的防火墙，不使用 通常的操作系统，使用专门的ASIC芯片。此类的防 火墙速度比较快，处理能力比较强，性能也比较好 。这类防火墙最出名的厂商有NetScreen、FortiNet 、Cisco等，目前国内也有不少的防火墙采用这种架 构，由于这类防火墙采用的是专用OS（操作系统）, 防火墙本身的漏洞比较少，不过相对价格比较贵。
网络安全技术与实践（课件） 人民邮电出版社2012 年
蒋亚军 编著
《网络安全技术与实践》课件
制作人：蒋亚军
第二篇 网络边界安全
不同安全级别的网络存在着互联互通问题。政府要开 放办公，其内网就需要与外网相联；商业银行要支持网 上交易，其数据网也必须与互联网相连；企业要实现信 息资源的共享和管理，其办公网与生产网、办公网与互 联网的之间也存在连接问题；民航、铁路与交通部门要 实现网上定票与实时信息查询也存在信息网与互联网的 连接问题。不同安全级别的网络之间的互连就形成了网 络边界，网络边界是指内部安全网络与外部非安全网络 的分界线。由于网络中的泄密、攻击、病毒等侵害行为 主要是透过网络边界实现，网络边界实际上就是网络安 全的第一道防线
3.按技术分类
（1）包过滤型防火墙
包过滤型防火墙就是前面说的第“1”代防火墙，它工作在 OSI网络参考模型的网络层和传输层。包过滤方式是一种通用 、廉价和有效的安全手段。 在整个防火墙技术的发展过程中，包过滤技术出有两种不同 版本，称为“静态包过滤”和“动态包过滤”。动态包过滤防 火墙采用是动态设置包过滤规则，避免了静态包过滤所具有的 问题。这种技术后来发展成为包状态监测Stateful Inspection技术，采用这种技术的防火墙对通过其建立的每一 个连接都进行跟踪，并且根据需要动态地在过滤规则中增加或 更新条目。
3.按技术分类
（2）应用代理(Application roxy)防火墙
应用代理型防火墙是工作在OSI的最高层，即应 用层。其特点是完全"阻隔"了网络通信流，通过 对每种应用服务编制专门的代理程序，实现监视 和控制应用层数据流的作用。 在代理型防火墙技术的发展过程中，它也有两个 不同的版本，即：应用网关型代理防火和自适应 代理防火墙。
防火墙的功能与特性
（3）访问控制 防火墙的访问控制分为网络层的访问控制 和应用层的访问控制。所有防火墙都必须 具备网络层的访问控制功能，否则就不能 称其为防火墙。当然，大多数的路由器也 可以通过自身的ACL来实现网络层的访问 控制功能。
防火墙的功能与特性


NAT功能也非常重要，包括网络地址翻译（ NAT）和端口地址翻译（PAT）。NAT指将一 个IP地址域映射到另一个IP地址域，从而为终 端主机提供透明路由的方法。 NAT用于私有地址域与公有地址域的转换以解 决IP地址匮乏问题。在防火墙上实现NAT后， 可以隐藏受保护网络的内部结构，在一定程度 上提高了网络的安全性。利用IP/MAC绑定可 以阻止来自IP地址欺骗的攻击。
防火墙的功能与特性



是否提供HTTP协议的内容过滤？ 是否提供SMTP协议的内容过滤？ 是否提供FTP协议的内容过滤？ 是否提供应用层代理支持
提高内容安全性
性能低
Four score and seven years ago our BAD CONTENT BAD CONTENT NASTY THINGS NASTIER THINGS forefathers brought forth upon this BAD CONTENT a new
三、边界安全技术
边界安全实际上是指边界的接入安全，边界安全技 术是指面向互联网的边界安全体系，包括：边界路由 器、防火墙、入侵检测系统、入侵防御系统、UTM、 隔离网闸与VPN等技术。 本篇将透过五款典型边界安全产品的项目应用，介 绍相关网络边界安全产品的基本知识包括：产品应用 的技术、种类与功能，以及产品的部署与配置技术等 。
第1代防火墙
简单包过滤防火墙
第2代Hale Waihona Puke Baidu火墙
状态包过滤防火墙
10.1.0.1 10.2.0.0 源地址 目的地址 服务端 口
10.0.0.1 10.1.0.1 10.2.0.0 10.2.0.0 80 21
21 策略
ALLOW DENY
DENY 会话状态
合法 非法
第2.5代防火墙
1. 重新组装数据包 特点
2 2
非法字段
记录 !
3
我不是蠕虫！
OK
记录
3
/downloads/×××.rmvb
2.按物理形态划分

软件防火墙
软件防火墙以软件形式存在，不同类型的计算机（如：X86架 构、ASIC架构）要求安装不同类型的软件防火墙，不同的操 作系统（如：Windows、Linux）运行的也是不同的软件防火 墙。软件防火墙又分为网络软件防火墙与个人软件防火墙两 类。 网络软件防火墙一般安装在作为网关的网络服务器上，做堡垒 主机用，个人软件防火墙则安装在个人电脑上。网络版软件 防火墙最出名的莫过于Checkpoint，个人软件防火墙最出名 的是BitDefender。软件防火墙就像其它的软件产品一样需 要先在计算机上安装并做好配置才可使用，使用这类防火墙 ，要求网管对所工作的操作系统平台比较熟悉。
!!
liberty, and dedicated to the proposition that all…
第3代防火墙
网络蠕虫 FTP过滤 过滤
基于内容增量检测技术的防火墙
增量状态表
HTTP过滤 邮件过滤
会话ID
检测状态
会话策略
安全引擎
1
1
2 非法字段 Clean
重置
阻断 允许通过
http://www.×××.com.cn/index.html/
项目一
【实施目标】
1． 知识目标
防火墙
2． 技能目标

了解不同发展水平的防火墙 了解不同类型的防火墙 了解不同防火墙产品的特色 熟悉防火墙产品线 熟悉防火墙的部署 熟悉防火墙的功能指标 会选用典型的防火墙 会典型防火墙典部署 会典型防火墙的配置
知识点 1 防火墙的类型
1.按发展阶段划分
第0代防火墙
交换机访问控制列表－ACL 源地址 目的地址 策略 ALLOW DENY 策略 ALLOW 10.0.0.1/16 10.2.0.0/16 10.1.0.1/16 10.2.0.0/16 源地址 10.0.0.1 目的地址 10.2.0.0 服务端口 80
项目一 防火墙
【项目背景】
某企业有一个规模不大的计算机网络，其网 络拓扑图如下图3.1所示。因没有采取任何安全 防护措施，网络频繁受到攻击，员工在上班时经 常访问娱乐网站，下载一些大容量的文件，造成 网络拥塞。DMZ区域部署的WEB服务器常常有大量 的不明链接侵扰，严重影响其服务性能。为提高 网络的安全性能，公司要求采取网络安全措施， 拟投资5万元，解决上述安全问题。
一、边界安全问题

信息泄密
不同的网络之间实现资源共享过程中，如果没有授权的人也获得了他不该得 到的资源，就是信息泄露。

网络攻击
入侵者通过互联网与内网的边界进入内部网络，篡改存储的数据，实施破坏 ，或者通过某种技术手段降低网络性能，造成网络的瘫痪。

网络病毒
网络的业务互联，难免感染病毒，一旦在网络中发作，网络的业务将受到巨 大的冲击。
某公司的网络拓扑图
项目一 防火墙
【需求分析】
要解决网络安全问题首先要明确需求。项目 中提到网络WEB服务器受到攻击，常常有不明的 网络链接的侵扰，可以考虑选择对于应用层数据 报文有控制能力的安全设备进行控制，对于员工 下载一些大容量的文件，可以通过限制用户从 Internet上的下载带宽，保证带宽资源的合理利 用。要防止外网的攻击，选择的安全设备要具备 抗攻击的功能。
防火墙的功能与特性

防火墙应用层的访问控制功能是防火墙生产厂 家的实力比拼点。应用层协议过滤控制要求主 要包括FTP过滤、基于RPC的应用服务过滤、 基于UDP的应用服务过滤要求以及动态包过滤 技术等。很多基于免费操作系统实现的防火墙 虽然有状态监测模块（Linux、FreeBSD等内 核模块可支持状态监测），但对应用层的控制 却无法做得很好。在对应用层的控制上，选择 防火墙时可以考察以下几点。
防 火 墙 缓 存 区
禁止浏览内容
1 2 3 4
http://www.freebsd.com/downloads/Gettysburg
Five score and BAD CONTENT their foremathers brou
ght forth upon this continent a new nation, n liberty, and dedicated to the proposition that all
3. 按体系结构分类


（1）单主机防火墙 （2）分布式防火墙
4．按部署的位置分类
（1）边界防火墙 边界防火墙是最为传统的那种防火墙，安装在内、外部 网络的边界，所起的作用是对内、外部网络实施隔离， 保护好边界以内的网络。这类防火墙一般都是硬件类型 的，价格较贵，性能较好。 （2）个人防火墙 个人防火墙安装于单台主机中，防护的对象是单台主机 。这类防火墙应用于广大的个人 用户，通常为软件防火墙，价格最便宜，性能也相对较 差。
项目一 防火墙
【预备知识】
防火墙原是指建筑物之间用来防止火灾蔓延的防 火隔离墙，计算机网络中提到的防火墙是指隔离本地 网络与外界网络之间的一道防御系统，是指具有此类 功能的软件或硬件设备的总称。防火墙是通过控制和 监测网络之间的信息交换和访问行为来实现对网络安 全的有效管理的软件或设备。互联网上的防火墙是一 种非常有效的网络安全模型，通过它既可隔离风险区 域与安全区域，同时也不妨碍本地网与外部网之间的 信息访问。