建立以防火墙为核心的网络安全体系

建立以防火墙为核心的网络安全体系北大青鸟环宇科技股份有限公司第一页，共五十六页。

基本概念

防火墙技术发展解决方案防火墙安全策略防火墙管理防火墙技术发展趋势第二页，共五十六页。起步于90年代初，是最早出现的且使用量最大的网络安全产品。作为一个中心“遏制点”，将局域网的安全管理集中起来。是标准的网间隔离设备，识别并屏蔽非法请求，有效防止跨越权限的数据访问。可与其它防火墙、IDS联动，并与VPN设备配合使用，建立层次防御体系。可扫描电子邮件和Web页面中的病毒和恶意代码。第三页，共五十六页。防火墙操作层次第四页，共五十六页。防火墙附加功能网络地址转换NAT动态主机配置协议DHCP加密功能如VPN主动内容过滤技术第五页，共五十六页。

基本概念

防火墙技术发展解决方案防火墙安全策略防火墙管理防火墙技术发展趋势第六页，共五十六页。包过滤防火墙状态检测防火墙应用代理网关防火墙混合型防火墙第七页，共五十六页。包过滤防火墙基于网络包的如下信息提供网络访问功能：源地址目的地址通信类型（具体的网络协议，经常在第2层是Ethernet，在第3层是IP)。第4层通信会话的一些特征，如会话的源与目的端口。来自哪块网卡，发往哪块网卡。第八页，共五十六页。包防火墙操作层次第九页，共五十六页。包防火墙的优点速度快灵活可以封锁拒绝服务及相关攻击是置于与不可信网络相连的最外边界之理想设备第十页，共五十六页。包防火墙简单布署图第十一页，共五十六页。包防火墙的缺点不能阻止利用具体应用的弱点或功能的攻击日志内容少不支持高级用户鉴别方案不能防止网络地址假冒攻击容易受配置不当的影响第十二页，共五十六页。结论包过滤防火墙非常适合于审计和用户鉴别不重要的高速环境。有利于实施高可用性及failover方案。第十三页，共五十六页。状态检测防火墙操作层次第十四页，共五十六页。状态检测防火墙建立连接状态表，记录外出的TCP连接及相应的高编号客户端口，以验证任何进入的通信是否合法。防火墙跟踪客户端口，而不是打开全部高编号端口给外部访问，因而更安全。具有包过滤防火墙的优缺点。目前的状态检测技术仅可用于TCP/IP网络。第十五页，共五十六页。应用代理网关防火墙操作层次第十六页，共五十六页。应用代理网关防火墙的优点日志能力强支持直接的用户鉴别可在一定程度上防止地址假冒攻击第十七页，共五十六页。应用代理网关防火墙的缺点降低了防火墙的吞吐率，不适合高带宽或实时应用。对新网络应用与协议的支持有限，大多数应用代理网关防火墙开发商提供通用代理以支持未定义的网络协议或应用，在一定程度上限制了应用代理网关架构优点的发挥。第十八页，共五十六页。典型的应用代理第十九页，共五十六页。专用代理服务器保留通信的代理控制，但不含有防火墙能力减轻防火墙的处理负载，执行专门的过滤、审计及Web和Email内容扫描第二十页，共五十六页。应用代理布署图第二十一页，共五十六页。混合型防火墙包过滤或状态检测防火墙实现基本的应用代理功能，以提供较好的网络通信审计与用户鉴别。应用代理网关防火墙实现基本的包过滤功能，更好地支持基于UDP的应用。在选择防火墙产品时，应以其支持的特征集而不是防火墙产品分类为依据。第二十二页，共五十六页。

基本概念防火墙技术发展

解决方案防火墙安全策略防火墙管理防火墙技术发展趋势第二十三页，共五十六页。布署防火墙的四个原则尽量简单物尽其用建立层次防护注意内部威胁（将内部Web、Email服务器或财务系统等重要系统置于内部防火墙后面或DMZ中）。第二十四页，共五十六页。DMZ网络第二十五页，共五十六页。设置DMZ的优点将外面可访问的服务器置于DMZ中，可减少远程攻击者使用这些服务器作为攻击专用网的带菌媒介的可能性。同时可专门控制用户对这些系统的访问权限。第二十六页，共五十六页。服务支路配置第二十七页，共五十六页。VPN第二十八页，共五十六页。VPN服务器的放置在大多数情况下，最好将VPN服务器放在防火墙上。如果将VPN服务器放在防火墙后面，即将穿过防火墙外出的VPN通信将被加密，防火墙就不能检查通信，执行访问控制、审计及扫描病毒等。第二十九页，共五十六页。Intranet/Extranet第三十页，共五十六页。基础构件：Hub&SwitchHub工作在物理层，为网络系统或资源提供物理上的悬挂点。Hub允许任何连在上面的设备监视网络通信，不易用于建立DMZ或防火墙环境。网络Switch工作在数据链路层，本质上是一个多端口桥，可传送全网络带宽给每一个端口。连接到Switch上的系统不能互相窃听，可用于实现DMZ网和防火墙环境。由于类似于DOS的攻击能使Switch用包淹没连接的网络，不能在防火墙外面用Switch提供通信隔离。Switch的子网隔离能力将影响IDS的布署与实现。第三十一页，共五十六页。IDS用于通报及在某些情况下阻止对网络系统或资源的未授权访问。许多IDS可与防火墙交互，实现联动。与IDS交互的防火墙能自动对察觉到的远程威胁作出反应，没有人工反应中的延迟。第三十二页，共五十六页。基于主机的IDS集成于操作系统中。能在高粒度层探测威胁。问题： 影响系统性能及稳定性；不能注意到基于网络的攻击， 如DOS。第三十三页，共五十六页。基于网络的IDS可以监视多个系统和资源。问题： 会漏掉分散在多个包中的攻击特征。 依赖于混杂模式网络接口。 易被攻击。 在遭到DOS攻击时，许多IDS失效。第三十四页，共五十六页。IDS布署图第三十五页，共五十六页。DNS内部域名服务器应与外部域名服务器分开（SplitDNS技术）。必须控制DNS允许的访问类型。第三十六页，共五十六页。DNS布署图第三十七页，共五十六页。防火墙环境中服务器的放置应考虑的因素：DMZ的个数、外部和内部对DMZ中服务器的访问要求、通信量及数据敏感程度。放置指南：用边界路由器/包过滤保护外部服务器；将内部服务器置于内部防火墙后面；隔离服务器，使得对服务器的攻击不影响网络中的其它计算机系统。第三十八页，共五十六页。服务器布署图第三十九页，共五十六页。

基本概念防火墙技术发展解决方案

防火墙安全策略防火墙管理防火墙技术发展趋势第四十页，共五十六页。防火墙策略防火墙策略指示防火墙怎样处理应用通信如Web、Email或telnet。描述怎样管理与更新防火墙。第四十一页，共五十六页。建立防火墙策略的步骤风险分析威胁脆弱性对策成本效益分析建立防火墙规则集第四十二页，共五十六页。测试防火墙策略1、根据定义的策略，检查防火墙配置。2、对防火墙进行实地配置测试。3、使用安全评估工具测试防火墙系统本身。第四十三页，共五十六页。防火墙实现方法第一种是硬件防火墙，如Netscreen防火墙，利用ASIC技术实现防火墙软件。这种防火墙速度快，且不受操作系统本身安全脆弱性的影响。第二种是基于PC构架、使用经过定制的通用操作系统的防火墙。这种防火墙可扩展性强，但易受操作系统本身脆弱性影响。第四十四页，共五十六页。防火墙维护与管理第一种机制是命令行界面配置。技术熟练的管理员配置防火墙，当出现紧急情况时可以作出快速反应。第二种机制是通过图形用户界面（包括基于Web的配置界面）配置防火墙。图形界面简单、配置快，但配置粒度有限。对于任何一种，必须保证防火墙管理信息的传输安全。对于基于是Web的界面，可使用SSL加密、用户ID和口令。第四十五页，共五十六页。

基本概念防火墙技术发展解决方案防火墙安全策略

防火墙管理防火墙技术发展趋势第四十六页，共五十六页。访问防火墙平台最常用的攻击方法是利用防火墙的远程管理资源。流行的控制方法：加密、强用户鉴别及用IP地址限制访问。第四十七页，共五十六页。防火墙平台操作系统１、去掉操作系统中不用的网络协议。２、去掉或关闭不用的网络服务或应用。３、去掉或关闭不用的用户或系统帐号。４、给操作系统打补丁。５、去掉或关闭服务器中不用的物理网络接口（网卡）。第四十八页，共五十六页。防火墙热恢复策略两种方法 １、采用网络Switch提供负载均衡及热恢复功能。Switch监视主防火墙的响应，在主防火墙出故障时将全部通信转移到备份防火墙。 ２、采用“心跳”机制。备份防火墙监视主防火墙的心跳，在主防火墙出故障时代替之。第四十九页，共五十六页。

基本概念防火墙技术发展解决方案防火墙安全策略防火墙管理

防火墙技术发展趋势第五十页，共五十六页。1、多级过滤在网络层，过滤掉全部源路由分组和假冒的IP源地址；在传输层，遵循过滤规则，过滤掉所有禁止出／入的协议和有害数据包；在应用层，利用等各种网关，控制和监视Internet提供的通用服务。第五十一页，共五十六页。２、形成安全体系将防火墙与IDS、VPN、病毒检测等相关安全产品联合起来，充分发挥各自的长处，协同配合，建立以防火墙为核心的网络安全防范体系，提升网络系统的安全性。第五十二页，共五十六页。第五十三页，共五十六页。３、网络安全设备的集中控管设置网络安全设备管理中心，按照统一的安全策略，构建安全防护与监控体系，统一监控管理防火墙、入侵检测、漏洞扫描、防病毒等网络安全产品，使之互相协同工作，进行数据相关性、综合性分析和处理，为机构的网络安全提供战略指导，达到整体、动态、立体的安全防护和监控目的。第五十四页，共五十六页。北大青鸟将在信息安全领域作出自己的贡献！

Thankyou！第五十五页，共五十六页。内容总结建立以防火墙为核心的。可扫描电子邮件和Web页面中的病毒和恶意代码。基于网络包的如下信息提供网络访问功能：。来自哪块网卡，发往哪块网卡。减轻防火墙的处理负载，执行专门的过滤、审计及Web