网络安全培训教程--防火墙篇

1、 李胜磊副总经理博士李胜磊副总经理博士西安交大捷普网络科技有限公司西安交大捷普网络科技有限公司网络安全培训教程-防火墙篇传统防火墙的概念传统防火墙的概念网络安全培训教程-防火墙篇两个安全域之间通信流的唯一通道安全域1Host A Host B 安全域2Host C Host D 根据访问控制规则决定进出网络的行为IT 领域防火墙的概念领域防火墙的概念网络安全培训教程-防火墙篇网络安全培训教程-防火墙篇 防火墙的功能n隔离网络n防范攻击网络安全培训教程-防火墙篇网络安全培训教程-防火墙篇网络安全培训教程-防火墙篇防火墙的局限性 n限制有用的网络服务n无法防护内部网络用户的攻击n无法防范通过防火墙

2、以外的其他途径的攻击n数据驱动型攻击对服务的入侵n数据的保密n无法完全防止病毒文件网络安全培训教程-防火墙篇基于路由器的防火墙基于通用操作系统的防火墙防火墙工具套防火墙的发展历程防火墙的发展历程基于安全操作系统的防火墙网络安全培训教程-防火墙篇防火墙的分类 n包过滤型防火墙n代理型防火墙n复合型防火墙n基于状态检测的包过滤防火墙网络安全培训教程-防火墙篇包过滤型防火墙工作原理网络安全培训教程-防火墙篇安全网域Host C Host D 数据包数据包数据包数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包控制策略数据包过滤依据主要是TCP/IP报头里面的信息，不能对应用层数据进

3、行处理分组过滤判断信息分组过滤原理分组过滤原理网络安全培训教程-防火墙篇包过滤型防火墙n优点 高性能 简单 对用户透明 费用低n缺点 管理维护困难 低安全性 存在安全漏洞 访问控制力度小 性能和规模成反比网络安全培训教程-防火墙篇代理型防火墙工作原理网络安全培训教程-防火墙篇安全网域Host C Host D 数据包数据包数据包数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包数据包应用代理可以对数据包的数据区进行分析，并以此判断数据是否允许通过控制策略分组过滤判断信息应用代理判断信息应用代理原理应用代理原理网络安全培训教程-防火墙篇代理型防火墙n优点 安全性好 访问控制力度

4、好 n缺点 限制新应用 对用户不透明（透明代理） 性能差网络安全培训教程-防火墙篇基于状态监测的包过滤技术网络安全培训教程-防火墙篇安全网域Host C Host D 数据包数据包数据包数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包数据包状态检测可以结合前后数据包里的数据信息进行综合分析决定是否允许该包通过控制策略分组过滤判断信息应用代理判断信息数据状态检测状态检测原理状态检测原理网络安全培训教程-防火墙篇状态监测技术的特点n优点 性能好 安全性好n缺点 不能保护应用层的弱点网络安全培训教程-防火墙篇防火墙体系结构防火墙体系结构网络安全培训教程-防火墙篇内部网络外部网络包

5、过滤器进行包过滤筛选路由器筛选路由器网络安全培训教程-防火墙篇内部网络外部网络双宿主主机v 多宿主主机多宿主主机网络安全培训教程-防火墙篇堡垒主机进行规则配置，只允许外部主机与堡垒主机通讯对内部其他主机的访问必须经过堡垒主机缺点：v 堡垒主机与其他主机在同一个子网v 一旦堡垒主机被攻破或被越过，整个内网和 堡垒主机之间就再也没有任何阻挡。不允许外部主机直接访问除堡垒主机之外的其他主机过滤器被屏蔽主机被屏蔽主机网络安全培训教程-防火墙篇内部网络外部网络堡垒主机内部筛选路由器外部筛选路由器禁止内外网络直接进行通讯内外部网络之间的通信都经过堡垒主机内部网络外部网络堡垒主机被屏蔽子网被屏蔽子网网络安全

6、培训教程-防火墙篇v 安全内核v访问控制v 内容安全v IP与MAC绑定v 安全远程管理v 多种管理方式v 灵活接入v 授权认证v 双机热备v 安全审计v 加密v 端口映射v 流量控制v 规则模拟测试v 入侵检测v 本地 & 远程管理v NAT转换 & IP复用v 多端口结构v 安全联动v 双系统v 网络管理v 基于源地址、目的地址v 基于源端口、目的端口v 基于用户v 基于时间v 基于流量v 基于时间的控制v 用户级权限控制防火墙防火墙的功能原理防火墙的功能原理网络安全培训教程-防火墙篇Host C Host D 数据包数据包数据包数据包数据包查找对应的控制策略拆开数据包进行分析根据策略决定

7、如何处理该数据包数据包控制策略v 基于源IP地址v 基于目的IP地址v 基于源端口v 基于目的端口v 基于时间v 基于IP旗标v 基于用户v 基于流量可以灵活的制定的控制策略灵活的访问控制灵活的访问控制网络安全培训教程-防火墙篇Host C Host D 在防火墙上制定基于时间的访问控制策略上班时间不允许访问Internet上班时间可以访问公司的网络Internet基于时间的访问控制基于时间的访问控制网络安全培训教程-防火墙篇Host C Host D Host B Host A 受保护网络Internet预先可在防火墙上设定用户Chenaf123Chenaf123YesLiwy883No不管

8、那台电脑都可以用相同的用户名来登陆防火墙只需在防火墙设置该用户的规则即可基于用户的访问控制基于用户的访问控制网络安全培训教程-防火墙篇v 应用控制可以对常用的高层应用做更细的控制v 如HTTP的GET、POST、HEADv 如FTP的GET、PUT等内部网络外部网络防火墙内部接口外部接口根据策略检查应用层的数据符合策略内容安全内容安全网络安全培训教程-防火墙篇InternetHost A Host BHost CHost D00-50-04-BB-71-A600-50-04-BB-71-BCBIND 199

9、.168.1.2 To 00-50-04-BB-71-A6BIND To 00-50-04-BB-71-BCIP与MAC地址绑定后，不允许Host B假冒Host A的IP地址上网防火墙允许Host A上网IP与与MAC绑定（用户）绑定（用户）网络安全培训教程-防火墙篇受保护网络Internet如果防火墙支持透明模式，则内部网络主机的配置不用调整Host A Host CHost DHost B同一网段透明模式下，这里不用配置IP地址透明模式下，这里不用配置IP

10、地址Default Gateway=防火墙相当于网桥，原网络结构没有改变透明接入透明接入网络安全培训教程-防火墙篇受保护网络InternetHost A Host CHost DHost BDefault Gateway=防火墙相当于一个简单的路由器67路由接入路由接入网络安全培训教程-防火墙篇混合接入混合接入网络安全培训教程-防火墙篇Host C Host D Host B

11、Host A 受保护网络Internet预先可在防火墙上设定用户Chenaf123验证通过则允许访问Chenaf123YesLiwy883Nov 用户身份认证v 根据用户控制访问身份认证身份认证网络安全培训教程-防火墙篇Host C Host D Host B Host A 受保护网络Internet带宽管理带宽管理网络安全培训教程-防火墙篇Host C Host D Host B Host A 受保护网络日志服务器Internet TCP TCP TCP2

12、0 TCP TCP日志信息：通过LEP协议向日志服务器输出日志信息日志容错日志容错网络安全培训教程-防火墙篇Host C Host D Host B Host A 受保护网络InternetSNMP管理管理网络安全培训教程-防火墙篇Host C Host D Host B Host A 受保护网络InternetIDS黑客发起攻击发送通知报文验证报文并采取措施发送响应报文识别出攻击行为阻断连接或者报警等安全联动安全联动网络安全培训教程-防火墙篇内部网外网或者不信任域Eth 0Eth 0Eth1Eth1Eth

13、2Eth2心跳线Active FirewallStandby Firewall检测Active Firewall的状态发现出故障，立即接管其工作 正常情况下由主防火墙工作主防火墙出故障以后，接管它的工作双机热备双机热备网络安全培训教程-防火墙篇Host A Host BHost CHost DInternet安全网域Host G Host H 写入日志写入日志一旦出现安全事故可以查询此日志信息审计信息审计网络安全培训教程-防火墙篇Host C Host D Ho

14、st B Host A 受保护网络InternetHost C Host D Host B Host A 受保护网络判断是否需要加密对数据加密或认证判断是否需要解密 解密数据是VPN功能功能网络安全培训教程-防火墙篇Internetv 公开服务器可以使用私有地址v 隐藏内部网络的结构WWW FTP MAIL DNS MAP ：80 TO ：80MAP ：21 TO 202.102.1

15、.3：21MAP ：53 TO ：53MAP ：25 TO ：25端口映射端口映射网络安全培训教程-防火墙篇Host C Host D Host B Host A 受保护网络Host A的流量已达到 10MHost A的流量已达到 极限值30M阻断Host A的连接Internet流量控制流量控制网络安全培训教程-防火墙篇Host C Host D Host B Host A 受保护网络Internetv 同一台主机对受保护网络内的主机频繁

16、扫描v 同一主机对受保护网内的主机建立多个连接v 其他对网内主机的攻击行为将根据用户策略采取措施执行用户自定义的策略入侵检测入侵检测网络安全培训教程-防火墙篇Internet串口线本地管理员使用超级终端与防火墙建立连接远程管理员通过Telnet、浏览器或GUI程序与防火墙建立连接本地本地&远程管理远程管理网络安全培训教程-防火墙篇4Host A受保护网络Host C Host D 15防火墙Eth2：3Eth0：源地址：1目地址：4源地

17、址：目地址：4v 隐藏了内部网络的结构v 内部网络可以使用私有IP地址v 公开地址不足的网络可以使用这种方式提供IP复用功能NAT转换转换&IP复用复用网络安全培训教程-防火墙篇 防火墙的技术要素n安全访问控制n正/反向地址翻译n用户身份认证n安全审计系统n抗攻击能力n接口调试网络安全培训教程-防火墙篇 防火墙的技术要素n简单网管功能n高可用性n带宽管理n内容过滤nDHCP服务器n多媒体支持：MSN/SIP/H323网络安全培训教程-防火墙篇灵活的访问控制基于如下的控制n源/目标地址n源/目标端口n协议n日期、时间nMAC

18、地址n带宽管理网络安全培训教程-防火墙篇多种认证方式提供如下认证方式nRadiusnTacacsnSecureIDnLDAP网络安全培训教程-防火墙篇安全审计功能记录日志的方式n本地文件n本地缓存n控制台n远程控制台n远程日志主机网络安全培训教程-防火墙篇支持多种代理支持如下的代理nHTTPnFTPnSMTPnTELNET网络安全培训教程-防火墙篇内容过滤功能内容过滤功能nActiveXnJavaScriptnJava AppletnURL地址过滤网络安全培训教程-防火墙篇多种管理方式1、控制台2、SSH远程登陆3、WEB管理器4、GUI管理器网络安全培训教程-防火墙篇VPN功能模块（可选）n采用IPSec协议n提供手工/IKE自动密钥协商n支持DES、3DES、AES、BlowFishn支持MD5、SHA1、SHA2n支持X.509数字证书n支持至少30000条隧道网络安全培训教程-防火墙篇高可用性模块（可选）n切换时间小于一秒n支持多防火墙的高可用性n支持多防火墙的负载均衡n支持VRRP协议n多种失效事件的检测n多种报警方式n安全信