防火墙技术基本概念ppt课件.ppt

4 防火墙技术 在互联网中 防火墙是一种非常有效的网络安全模型 通过它可以隔离风险区域与安全区域之间的连接 同时不妨碍人们对风险区域的访问 防火墙是不同网络间信息的唯一出口 根据企业网的安全策略控制 允许 拒绝 监测出入网络间的信息流 提供安全防范保护功能 通过防火墙的配置与应用可以达到以下目的 限制他人进入内部网络 过滤不安全服务和非法用户 防止入侵者接近防御设施 限制他人访问特殊站点 用户需求与分析 预备知识 防火墙技术与应用 学习目标了解防火墙的基本概念 掌握防火墙的主要功能和缺陷 深入理解防火墙的工作原理和机制 掌握防火墙的分类了解防火墙的基本部署方式掌握防火墙的主要性能指标 1 防火墙的概念 防火墙 Firewall 指隔离在内部网络和外部网络之间的一道防御系统 它能挡住来自外部网络的攻击和入侵 保障内部网络的安全 1 防火墙的相关概念 与防火墙相关的几个常用概念 外部网络 外网 防火墙之外的网络 一般为internet 默认为风险区域 内部网络 内网 防火墙之内的网络 一般为局域网 默认为安全区域 非军事化区 DMZ 为了配置管理方便 内网中需要向外网提供服务的服务器 如WWW FTP SMTP DNS等 往往放在internet与内部网络之间一个单独的网段 这个网段便是非军事化区 1 防火墙的相关概念 2 防火墙的基本功能 路由静态路由策略路由RIPOSPFBGP交换GE FEVLAN 统一管理SNMPRMONTELNET SSL httpSFTP TFTPSYSLOG 安全ACLNATVPNP2P 2 防火墙的基本功能 攻击 病毒防护IPS入侵检测AV防病毒访问控制带宽限速网络应用访问控制URL过滤上网行为管理流量分析行业审计关键字过滤 2 防火墙的基本功能 包过滤 包过滤是防火墙的最基本功能 现在的防火墙已由最初的地址 端口判定控制 发展到判断通信报方协议头的各部分 以及通信协议的应用层命令 内容 用户认证 用户规则甚至状态检测等 防火墙根据网络配置和安全策略对相关数据完成分析后 审计和报警机制就要做出接受 拒绝 丢弃或加密等决定 审计用以监控通信行为完善安全策略 检查安全漏洞和错误配置 报警机制是在通信违反相关策略后 通过多种方式报告给管理人员 日志的管理 2 防火墙的基本功能 远程管理 管理界面一般完成对防火墙的配置 管理和监控工作 管理界面的设计直接关系到防火墙的易用性和安全性 目前防火墙主要有两种远程管理界面 WEB界面和GUI界面 对于硬件防火墙 一般还有串口配置模块或控制台控制界面 管理主机和防火墙之间的通信一般经过加密 国内普通采用自定义协议 2 防火墙的基本功能 流量分析 流量分析主要是对整个网络中的网络应用进行协议识别并分析 分析后以图形化界面展示出来让用户能够更直观地看到当前网络中的应用流量组成 行为审计 通过行为审计功能 可对内网用户的行为及用户访问的内容 网页浏览 网页搜索 文件传输 论坛发帖等等 进行监控并记录 关键字过滤 针对搜索引擎 论坛 邮件 IM等可能造成信息泄露和法律风险的应用 配置核心关键词进行精确控制 可将企业核心机密信息泄漏 违法信息发布风险降到最低 2 防火墙的基本功能 带宽限速 不同用户在网络中使用的网络带宽不一致 有些用户在网络应用中使用一些比较抢占带宽的软件 导致其他用户不能正常访问网络资源 对不同的用户进行不同的带宽限速控制 可以有效的利用网络带宽资源 访问控制 访问控制能够针对网络中一些影响办公抢占带宽的应用基于不同用户 时间的控制 以保证带宽的合理利用 访问控制可以基于用户 基于应用 基于时间来进行告警或阻断设置 2 防火墙的基本功能 URL过滤 URL UniformResourceLocator 统一资源定位符 过滤是一种网页过滤功能 支持根据IP地址 主机名和正则表达式对HTTP的请求报文进行过滤 URL过滤功能的实现依赖URL过滤规则数据库 用户可以灵活设置URL过滤规则进行URL过滤 MAC IP绑定 MAC IP绑定是指将用户主机的MAC地址和IP地址与所连接的设备端口进行绑定 该端口收到的报文 如若匹配绑定项则会转发 否则将丢弃报文 这样可以防止用户随意修改主机IP地址 导致管理不便的问题 2 防火墙的基本功能 Portal认证 Portal在英语中是入口的意思 Portal认证通常也称为Web认证 一般将Portal认证网站称为门户网站 用户可以主动访问已知的Portal认证网站 输入用户名和密码进行认证 这种开始Portal认证的方式称作主动认证 反之 如果用户试图通过HTTP访问其他外网 将被强制访问Portal认证网站 从而开始Portal认证过程 这种方式称作强制认证 未认证用户上网时 设备强制用户登录到特定站点 用户可以免费访问其中的服务 当用户需要使用互联网中的其它信息时 必须在门户网站进行认证 只有认证通过后才可以使用互联网资源 3 防火墙的分类 按照实现方式不同 软件防火墙 硬件防火墙 按过滤和检测方式分为 包过滤防火墙 状态检测防火墙 4 防火墙的主要性能指标 吞吐量时延丢包率并发连接数最大并发连接数建立速率 任务实施 实训一 软件防火墙 企业局域网可以采用硬件防火墙 但由于硬件防火墙价格非常高昂 个人用户和小型办公网络一般不采用 而是在直接连接Internet的计算机安装软件的个人防火墙 常用的软件防火墙有 WindowsXP自带的防火墙 天网个人防火墙和诺顿个人防火墙等 实训一 软件防火墙 ZA 也就是ZONEALARM OP 也就是outpost Tinypersonalfirewallpro Lns look n stop NortonPersonalFirewall 中文简称诺顿个人防火墙 大名鼎鼎的symantec公司出品 是一款智能型防火墙 使用简单 功能强大 McAfeePersonalFirewallPlus 卖咖啡 国产的天网 瑞星等 实训 软件防火墙 Windows防火墙 可以限制从其他计算机上发送来的信息 对未经允许而尝试连接的用户或程序 包括病毒和蠕虫 提供了一道屏障 Windows防火墙的功能 实训 软件防火墙 WindowsXP包含一个内置防火墙 称作Internet连接防火墙 ICF ICF是一个软件防火墙 在WindowsXP中 则只需打开ICF 即可使用Internet连接防火墙 启动方法 控制面板 windows防火墙 实训 天网防火墙的配置与应用 实训基础 天网防火墙个人版是由广州众达天网技术有限公司研发制作给个人计算机使用的网络安全程序工具 是国内外针对个人用户最好的中文软件防火墙之一 实训内容 使用天网防火墙 进行安全级别设置 在天网防火墙个人版上 进行自定义IP规则设置 使用天网防火墙的网络访问监控功能 使用天网防火墙的日志查看功能 实训 天网防火墙 实训二 硬件防火墙 1 NetScreen208Firewall NetScreen科技公司 已被Juniper公司收购 推出的NetScreen防火墙采用内置的ASIC技术 其安全设备具有低延时 高效的IPSec加密和防火墙功能 可以无缝地部署到任何网络 比较适合中型企业的网络安全需求 证券公司营业部防火墙解决方案 证券公司原来的网络拓扑结构 Internet 交换机 大户网吧 内部网 代理服务器 业务前置机 业务通信机 web服务器 证券公司营业部防火墙解决方案 证券公司改进后的网络拓扑 Internet 交换机 大户网吧 内部网 代理服务器 业务前置机 业务通信机 web服务器 交换机 任务三 防火墙的典型安装与部署 网络管理员可以通过多种方式管理网络卫士防火墙 包括本地管理和远程管理 本地管理通过Console口登录防火墙进行管理 远程管理可以通过telnet及SSH等多种方式登录防火墙进行配置管理 使用Console口登录防火墙 使用一条串口线 分别连接计算机的串口和防火墙的console口 运行 超级终端 即可通过命令行的方式对防火墙进行简单配置 用户在初次使用防火墙时 通常都会登录到防火墙更改防火墙的出厂配置 任务三 防火墙的典型安装与部署 任务三 防火墙的典型安装与部署 防火墙管理器软件一般安装在单独的管理主机上