《周防火墙原理》PPT课件.ppt

网络管理与信息安全,防火墙概述与防火墙技术,2,什么是防火墙,防火墙是设置在不同网络或网络安全域之间的一系列部件的组合。在内部网和外部网之间建立起了一道防护屏障。防火墙工作原理互联网通信都是通过独立数据包的交换来完成的。包是互联网上信息传输的基本单位。每个数据包都包含目的主机的IP地址、端口号、源主机的IP地址及端口号。防火墙的任务就是检查每个通过防火墙的数据包。在这个包被计算机上运行的任何软件看到之前，防火墙有完全的否决权，可以禁止计算机接收互联网上的任何东西。,防火墙的发展,第一代防火墙：包过滤防火墙通过对数据包的源地址、目的地址、端口号等参数决定是否允许该数据包的通过。第二代防火墙：代理服务器外部网与内部网完全隔离，由代理服务器完成信息的传递，防止外部网对内部网的直接攻击。第三代防火墙：状态检测防火墙对数据包中每一层传输协议的状态进行检测和监控。第四代防火墙：安全技术集成系统全方位网络安全系统,3,防火墙的功能,访问控制根据通过防火墙数据包中地址、端口号、协议类型等进行过滤。白名单：允许访问的对象列表黑名单：禁止访问的对象列表防止外部攻击发现通过防火墙的攻击行为并加以阻止地址转换（NAT）将通过防火墙数据包中的IP地址进行转换，解决IP地址资源紧张和对内部主机进行隐藏保护日志与报警记录通过防火墙的一切信息，并进行审计，发现异常及时报警身份认证：新一代防火墙可对用户身份进行认证识别，允许合法用户通过。,4,5,防火墙的过滤功能,因为每个出入的数据包都含有发送者和接收者的IP地址，所以防火墙可以根据源主机IP地址及端口号和目的主机IP地址及端口号的“过滤”掉一些数据包。但防火墙不会尝试去理解它们所放行或拦截的包里面的数据，它的放行和拦截都是建立在源IP地址和目的IP地址上。,6,防火墙的优点,强化安全策略。可以仅仅容许“认可的”和符合规则的请求通过。有效地记录互联网上的活动。因为所有进出信息都必须通过防火墙，所以防火墙非常适用收集关于系统和网络使用及误用的信息。限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。,7,防火墙的缺点和不足,不能防范恶意的知情者。防火墙只能按规则进行阻拦和过滤，知情者可以绕过相应规则（如：更改端口号）。不能防范不通过它的连接。如：通过拨号、网线等直接连入内部网。无法防范数据驱动型的攻击。若把攻击程序作为邮件附件（数据）传入，防火墙无法阻拦。不能防范病毒。病毒是一种程序，在网络应用层传播。而防火墙工作于数据链路层和网络层。病毒程序对防火墙来说是正常数据包。,8,防火墙的基本种类,防火墙可分为：包过滤型、代理服务器型、状态包过滤型包过滤防火墙包过滤防火墙对源和目的口地址及端口的检查。它利用数据包的头信息(源IP地址、封装协议、端口号等)判定与过滤规则相匹配与否决定取舍。包过滤防火墙对应用层来说是透明的。优点：结构简单，配置容易，对网络速度影响小，对用户透明缺点：安全性不是很高，容易被突破,9,包过滤防火墙的特点,包过滤防火墙最主要的优点之一是，仅用一个放置在战略要地上的包过滤防火墙就可以保护整个网络，而且过滤效率高、成本低、易于安装和使用，但包过滤防火墙在机器中配置比较烦琐。由于包过滤是一种基于IP认证，因此不能识别相同IP地址的不同用户，不具备身份认证功能。过滤规则的设计存在矛盾关系，过滤规则简单，安全性差，过滤规则复杂，管理困难。一旦判断条件满足，防火墙内部网络的结构和运行状态便“暴露”在外来用户面前。,代理型防火墙,当代理服务器得到一个客户的联接请求时，它将核实客户请求，检查验证其合法性。如其合法，经过特定的安全化的Proxy应用程序处理联接请求，并将处理后的请求传递到目的服务器上，然后等待服务器应答，像一台客户机一样取回所需的信息，做进一步处理后，将答复交给发出请求的最终客户。代理型防火墙将内部系统与外界隔离开来，从外面只能看到代理型防火墙而看不到任何内部资源。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。优点：安全性高，隐藏内部信息，加强记录和审计功能缺点：配置复杂，对用户不能完全透明,10,代理服务器的特点,代理服务通常被认为是最安全的防火墙技术，它能进行安全控制又可以加速访问，能够有效地实现防火墙内外计算机系统的隔离，安全性好，还可用于实施较强的数据流监控过滤、记录和报告等功能能严格进行用户身份认证，从而能进行基于用户的网络访问控制，能允许用户“直接”访问互联网。其缺点是对于每一种应用服务都必须为其设计一个代理软件模块来进行安全控制，而每一种网络应用服务的安全问题各不相同，分析困难，因此实现也困难。代理服务对网络用户不透明，必须使用特殊的操作界面和方式：而且每个代理服务要求不同的服务器，使得网络服务有限，通用性和方便性较差。,11,12,防火墙的分组过滤原则,分组过滤技术遵循以下两种不同的原则。(1)未被明确允许的任何事情将被禁止这种原则假定防火墙应该禁止所有信息，而每一种期望的服务或应用都应是实现在逐一允许的基础上的。这种原则建立了一个非常安全的环境。(2)未被明确禁止的任何事情将被允许。这种原则假定防火墙应该转发所有的信息，任何可能存在的危险的服务都应逐一禁止。这种方案建立的是一个非常灵活的环境，能提供给用户更多的服务。但随着网络规模的扩大，很难保证网络的安全。以上两原则应根据具体需求而选用。,13,包过滤防火墙应用实例,某公司有一个C类地址，它不希望互联网上的其他站点对它进行访问。但是，该公司网中有一个子网用于和某大学合作开发项目，该大学有一个C类地址，并希望大学的各个子网都能访问子网。但是，只能访问子网，而不能访问公司的其他子网，这时所需的规则集合.,规则A所有属于的主机允许访问子网规则B子网的主机不能访问网络规则C子网可以访问网规则D表明其他情况均不允许。,14,防火墙产品的选择,思科防火墙产品ciscoPIXCiscoPIX525企业级防火墙设备类型：企业级防火墙并发连接数：280000网络吞吐量（Mpps）：370安全过滤带宽（MB）：100用户数限制：无用户数限制VPN支持：支持,15,CISCO防火墙常用命令,Showconfigure显示flash中的配置文件Writeterminal显示当前运行的配置Showhistory显示以前输入的命令行Showinterface查看关于接口的信息Showipaddress查看为网络接口分配了哪些IP地址Showmemory查看内存使用情况Showversion查看操作系统版本Enablepassword修改访问特权模式的口令Passwd为访问PIX的Telnet设置口令，默认为ciscoWriteerase清除flash存储器中的配置文件Writememory将RAM中的配置替换flash中现存的配置安全级别100，是最高安全级别，用于内部接口安全级别0，是最低安全级别，用于外部接口,16,配置通过PIX防火墙的访问（由外向内访问）两种方法可以允许从外向内访问1、对合法请求的响应；2、配置一个管道Conduit命令允许具有较低安全级别的接口流向具有较高安全级别的接口例：用static和conduit命令来只允许HTTP访问Static(inside,outside)00netmask55,17,KILL过滤网关,KILL过滤网关是国内第一家能同时对网络层、传输层、应用层数据分别进行过滤的新一代网络过滤设备。在网络层实现了传统防火墙基于IP地址、端口号等网络层特征的过滤；在传输层实现了基于HTTP、SMTP、SMB等应用协议特征的过滤，传输层恰恰是蠕虫攻击、黑客攻击数据的理想识别位置，KILL过滤网关从而可以有效地拦截蠕虫攻击数据；在应用层，KILL过滤网关能够对多种常用的网络协议（HTTP、SMTP、POP3、FTP等）进行深度分析并还原出的原始的传输数据，进行病毒检查、内容检查和蠕虫检查。三管齐下，有效保护用户的网络免受侵害。,18,过滤网关,高性能：构建在高性能的服务器硬件平台上，采用高效过滤算法，最大限度地提高过滤效率。百兆环境下，对网络传输速度的影响低于10%。蠕虫过滤：KILL过滤网关从多个层次来过滤蠕虫，在网络层和传输层过滤蠕虫利用漏洞的动态攻击数据，在应用层过滤利用正常协议（SMTP、HTTP、POP3、FTP等）传输的静态蠕虫代码。病毒过滤：能够对多种应用协议（SMTP、HTTP、POP3、FTP等）所传递的数据进行病毒过滤。内容过滤自带一个精心选择的特征库，可以过滤当前绝大多数的利用SMTP协议传播的带有广告、推销、宣传等性质的邮件。同时也支持对关键字、附件文件类型的过滤。垃圾邮件过滤：可以限制邮件的大小；限制同一邮件的收信地址数量；依据IP地址进行过滤；依据发信人、收信人地址进行过滤；过滤特征码自动升级,19,防火墙与杀毒软件的区别,杀毒软件和防火墙软件定位不同，安装反病毒软件之后，不能阻止黑客攻击，用户需安装防火墙类软件来保护系统安全。杀毒软件主要用来防病毒，防火墙软件用来防黑客攻击。病毒为可执行代码，黑客攻击为数据包形式。病毒通常自动执行，黑客攻击是被动的。病毒主要利用系统功能，黑客更注重系统漏洞。防火墙软件需要对具体应用进行规格配置。当遇到黑客攻击时反病毒软件无法对系统进行保护。防火墙不处理病毒。,防火墙产品的分类,物理特性上分类：软件防火墙：在计算机上运行防火墙软件硬件防火墙：使用专用芯片工作模式上分类：包过滤防火墙代理服务器防火墙部署位置上分类：单机（个人）防火墙网络（边界）防火墙,20,21,防火墙的配置,防火墙配置有3种：双穴主机方式、屏蔽主机方式和屏蔽子网方式。这3种方式有一个共同特点，就是都需要一台主机(通常被称为堡垒主机)。该主机充当应用程序转发者、通信登记者以及服务提供者的角色。双穴主机：堡垒主机充当网关，此主机需装两块网卡，并在其上运行防火墙软件。受保护网络与互联网络之间不能直接进行通信，而必须经过堡垒主机。它的特点是易于安装，所需的硬件设备较少，且容易验证其正确性。它的致命弱点是：一旦防火墙被破坏，堡垒主机实际上就变成了一台没有寻径功能的路由器，整个网络也就暴露了。,22,防火墙的配置屏蔽主机,屏蔽主机方式中的屏蔽路由器为保护堡垒主机的安全建立了一道屏障，它将所有进入的信息先送往堡垒主机，并且只接受来自堡垒主机的数据作为出去的数据。在屏蔽主机防火墙中，有两套系统；一个数据包过滤路由和一系列堡垒主机。将所有进入的信息先送往堡垒主机，并且只接受来自堡垒主机的数据作为出去的数据。可以有选择地允许那些值得信任的应用程序通过屏蔽路由器，但这种结构依赖屏蔽路由器和堡垒主机，只要有一个失败，整个网络就暴露了。,23,防火墙的配置屏蔽子网,屏蔽子网方式包含两个屏蔽路由器和一个堡垒主机。在公共网络和私有网络之间构成了一个隔离网，称之为停火区”(DMZ，DemilitarizedZone)，堡垒主机放置在“停火区”内。这种结构安全性好，只有当两个安全单元被破坏后，网络才被暴露，但是成本也很昂贵。从理论上说，这也是一种双穴主机方式的防火墙。不同的是，在屏蔽网关中需配置3个网络(受保护网络、隔离网和外部网络)之间的寻径功能，即先要闯入堡垒主机，再进入受保护网络中的某台主机，然后返回屏蔽路由器，分别进行配置。这对攻击者来说，显然是极其困难的。由于外部网络很难直接与受保护网络进行通信，因此，防火墙管理员不需指出受保护网络到外部网络之间的路由。这对于保护大型网络来说是一种很好的方法。,个人软件防火墙产品介绍,个人软件防火墙通常是安装在个人计算机上的一个软件，对进出本计算机的信息加以过滤，保护本计算机的网络安全。配置简单，对应用软件防护性强，抗攻击能力弱。典型产品有：天网防火墙、瑞星防火墙等。,24,天网个人防火墙的安装,启动安装程序选中“我接受此协议”,25,天网个人防火墙的安装,指定安装路径通常按默认路径即可建立程序组,26,天网个人防火墙的安装,完成安装自动启动配置向导,27,天网个人防火墙的安装,按不同的工作场合环境选择不同的安全级别。默认选择中级。,28,天网个人防火墙的安装,显示局域网配置信息,29,天网个人防火墙的安装,选择本机中允许访问网络的程序重新起动，完成安装,30,天网防火墙的使用,天网防火墙启动后，如果发现未注册的程序访问网络，弹出警告对话框，由使用者决定是否允许该程序访问网络。,31,天网防火墙的使用,基本工作环境及方式设定,32,天网防火墙的使用,在应用程序规则选项卡中，可以指定每一个程序允许或禁止访问网络,33,天网防火墙的使用,在IP规则设置选项卡中，可以设置各个协议访问网络的规则，包括：允许或禁止、协议类型、信息传输方向、对方IP地址等。,34,天网防火墙的使用,查看本机各应用程序对网络访问状况,35,实例：阻止ping,天网防火墙可以阻拦网络上其他计算机对本机使用ping命令，防止被人使用ping命令发现本机，也可防止黑客使用大量ping命令堵塞本机网络通道的攻击行为。演示,36,企业网络软件防火墙ISA,ISA是微软开发的面向中小企业的软件防火墙。ISAServer是建立在Windows操作系统上的一种可扩展的企业级防火墙和Web缓存服务器。ISAServer的多层防火墙可以保护网络资源免受病毒、黑客的入侵和未经授权的访问。在网络内安装ISAServer时，可以将其配置成防火墙，也可以配置成