防火墙概述课件

第6章 防火墙技术与应用.第6章 防火墙技术与应用.1学习目标了解防火了解防火墙的基本概念的基本概念掌握防火掌握防火墙的主要功能和缺陷的主要功能和缺陷深入理解防火深入理解防火墙的工作原理和机制的工作原理和机制掌握防火掌握防火墙的分的分类了解防火了解防火墙的基本部署的基本部署掌握防火掌握防火墙的基本指的基本指标.学习目标了解防火墙的基本概念.2引导案例:随着随着计算机信息技算机信息技术的日益的日益发展与完善，互展与完善，互联网技网技术的普及和的普及和发展，展，给教育信息化工作的开展教育信息化工作的开展提供了很多的便利，网提供了很多的便利，网络成成为教育信息化的重要教育信息化的重要组成部分。然而，网成部分。然而，网络的快速的快速发展也展也给黑客提供黑客提供了更多的危及了更多的危及计算机网算机网络信息安全的手段和方法，信息安全的手段和方法，网网络信息安全成信息安全成为人人们关注的焦点。上海市某教关注的焦点。上海市某教委委计算机网算机网络连接形式多接形式多样、终端分布不均匀且端分布不均匀且具有开放性特点，容易受到攻具有开放性特点，容易受到攻击。因此，如何。因此，如何针对该教委建立一个安全、高效的网教委建立一个安全、高效的网络系系统，最，最终为广大广大师生提供全面服生提供全面服务，成，成为了迫切需要解决了迫切需要解决的的问题。.引导案例:随着计算机信息技术的日益发展与完善，互联网3本章内容防火防火墙墙概述概述 6.1防火防火墙墙的的类类型型 6.2防火防火墙墙的体系的体系结结构构 6.3防火防火墙墙配置配置 6.4防火防火墙产墙产品介品介绍绍 6.5.本章内容防火墙概述 6.1防火墙的类型 6.2防火墙4古时候，建造和使用木质结构的房屋，为了在火灾发生时，防止火势蔓延，人们将坚固的石块堆砌在房屋周围形成一道墙作为屏障，这种防护构筑物被称之为防火墙。在今天的网络世界里，人们借用了防火墙这个概念，把隔离在内部网络和外界网络之间的一道防御系统称为防火墙。它在内部网和外部网之间构造一个保护层，并迫使所有的连接和访问都通过这一保护层，以便接受检查。只有被授权信息流才能通过保护层，进入内部网，从而保护内部网免受非法入侵。防火防火墙墙概述概述 6.1.古时候，建造和使用木质结构的房屋，为了在火灾5防火墙是内部网络和外部网络之间的第一道闸门，被用来保护计算机网络免受非授权人员的骚扰和黑客的入侵。防火墙在网关位置过滤各种进出网络的数据，以保护内部网络的主机。.防火墙是内部网络和外部网络之间的第一道闸门，被用来保护计算机66.1.1 防火墙的概念 防火防火墙（Firewall）是指隔离在内部网络与外部网络之间的一道防御系统，它能挡住来自外部网络的攻击和入侵，保障内部网络的安全。.6.1.1 防火墙的概念 防火墙（Firewall）是7UF3500/3100防火墙应用 三端口NAT模式交交换机机路由器路由器集集线器器防火防火墙UF3500/3100UF3500/3100WWW WWW 服服务器器MailMail服服务器器PCPCPCPCFTP FTP 服服务器器.UF3500/3100防火墙应用 8在网在网络中，硬件防火中，硬件防火墙是一种用来加是一种用来加强网网络之之间访问控制的特殊网控制的特殊网络互互联设备，如路由器、，如路由器、网关等。网关等。它它对两个或多个网两个或多个网络之之间传输的数据包和的数据包和连接接方式按照一定的安全策略方式按照一定的安全策略进行行检查，以决定网，以决定网络之之间的通信是否被允的通信是否被允许。其中被保其中被保护的网的网络称称为内部网内部网络，另一方，另一方则称称为外部网外部网络或公用网或公用网络。它能有效地控制内部。它能有效地控制内部网网络与外部网与外部网络之之间的的访问及数据及数据传送，从而送，从而达到保达到保护内部网内部网络的信息不受外部非授的信息不受外部非授权用用户的的访问和和过滤不良信息的目的。不良信息的目的。.在网络中，硬件防火墙是一种用来加强网络之间访问控制的特殊网络9从实现方式上看，防火墙可以分为硬件防火墙和软件防火墙两类：硬件防火墙是通过硬件和软件的结合来达到隔离内、外部网络的目的；软件防火墙是通过纯软件的方式来实现的.从实现方式上看，防火墙可以分为硬件防火墙和软件防火墙两类：.10防火墙可以是硬件.防火墙可以是硬件.11防火防火墙也可以是也可以是软件件.防火墙也可以是软件.121.相关概念外 部 网 络，防 火 墙 之 外 的 网 络，如Internet，默认为风险区域。内部联网(Intranet)，防火墙之内的网络，一般为局域网，如某个公司或组织的专用网络，网络访问限制在组织内部。军事缓冲区域，简称DMZ，该区域是介于内部网络和外部网络之间的网络段，常放置公共服务设备，向外提供信息服务。.1.相关概念外部网络，防火墙之外的网络，如Internet，13吞吐量，在不丢包的情况下单位时间内通过防火墙数据包的数量，这是衡量防火墙性能的重要指标。最大连接数，该数据更贴近网络的实际情况，网络中大多数连接数是指所建立的一个虚拟通道。这也是衡量防火墙的一个重要指标。堡垒主机，一种被强化的可以防御进攻的计算机，被暴露于互联网之上，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某一个主机上解决问题，从而省时省力，不考虑其他主机的安全目的。.吞吐量，在不丢包的情况下单位时间内通过防火墙数据包的数量，这14包过滤，在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤规则，检查数据流中的每个数据包，根据数据包的源地址、目的地址及端口等信息来确定是否允许数据包通过。代理服务器，代表内部网络用户向外部网络中的服务器进行连接请求的程序。状态检测技术，状态监测模块在不影响网络安全、正常工作的前提下，采用抽取相关数据的方法对网络通信的各个层次实行检测，并作为安全决策的依据。.包过滤，在网络层中对数据包实施有选择的通过，依据系统事先设定15虚拟专用网，在公用网络中配置的专用网络。漏洞，系统中的安全缺陷，漏洞可以导致入侵者获取信息并导致不正确的访问。数据驱动攻击，入侵者把一些具有破坏性的数据藏匿在普通数据中传送到互联网主机上，当这些数据被激活时就会发生数据驱动攻击。IP地址欺骗，一种突破防的火墙系统的常用方法。入侵者通过伪造的IP发送地址产生虚假的数据包，乔装成来自内部网络数据。.虚拟专用网，在公用网络中配置的专用网络。.16在安全区域划分的基在安全区域划分的基础上，通上，通过一种网一种网络安全安全设备，控制安全区域，控制安全区域间的通信，就能的通信，就能实现隔离有害通信隔离有害通信的作用，的作用，进而可以阻断网而可以阻断网络攻攻击。这种安全种安全设备的功的功能能类似于防火使用的似于防火使用的墙，因而人，因而人们就把就把这种安全种安全设备俗称俗称为“防火防火墙”，它一般安装在不同的安全区域，它一般安装在不同的安全区域边界界处，用于网，用于网络通信安全控制，由通信安全控制，由专用硬件或用硬件或软件系件系统组成。成。.在安全区域划分的基础上，通过一种网络安全设备，控制安全区17防火防火墙是由一些是由一些软、硬件、硬件组合而成的网合而成的网络访问控控制器，它根据一定的安全制器，它根据一定的安全规则来控制流来控制流过防火防火墙的的网网络包，如禁止或包，如禁止或转发，能，能够屏蔽被保屏蔽被保护网网络内部内部的信息、拓扑的信息、拓扑结构和运行状况，从而起到网构和运行状况，从而起到网络安全安全屏障的作用。防火屏障的作用。防火墙一般用来将内部网一般用来将内部网络与与Internet或者其他外部网或者其他外部网络互相隔离，限制网互相隔离，限制网络互互访，保，保护内部网内部网络的安全，如的安全，如图所示。所示。2.防火墙的安全策略.防火墙是由一些软、硬件组合而成的网络访问控制器，它根据一18 防火防火墙部署安装示意部署安装示意图.防火墙部署安装示意图.19防火防火墙根据网根据网络包所提供的信息包所提供的信息实现网网络通信通信访问控制：如果网控制：如果网络通信包符合网通信包符合网络访问控制策略，就允控制策略，就允许该网网络通信包通通信包通过防火防火墙，否，否则不允不允许。防火。防火墙的的安全策略有两种安全策略有两种类型，即：型，即：(1)(1)只允只允许符合安全符合安全规则的包通的包通过防火防火墙，其他，其他通信包禁止。通信包禁止。即除非明确允即除非明确允许，否，否则禁止。禁止。(2)禁止与安全禁止与安全规则相冲突的包通相冲突的包通过防火防火墙，其他，其他通信包都允通信包都允许。即除非明确禁止，否即除非明确禁止，否则允允许。.防火墙根据网络包所提供的信息实现网络通信访问控制：如果网20图8-2 防火防火墙工作示意工作示意图.图8-2 防火墙工作示意图.21防火墙的发展简史防火防火墙墙发发展史展史2.2.第二代防火第二代防火墙墙用用户户化的防火化的防火墙墙3.3.第三代防火第三代防火墙墙建立在通用操作系建立在通用操作系统统上的防火上的防火墙墙 4.4.第四代防火第四代防火墙墙具有安全操作系具有安全操作系统统的防火的防火墙墙1.1.第一代防火第一代防火墙墙基于路由器的防火基于路由器的防火墙墙.防火墙的发展简史防火墙2.第二代防火墙用户化的防火墙22防火防火墙简单的可以用路由器、交的可以用路由器、交换机机实现，复，复杂的就要用的就要用一台一台计算机，甚至一算机，甚至一组计算机算机实现。按照。按照TCP/IPTCP/IP协议的的层次，次，防火防火墙的的访问控制可以作用于网控制可以作用于网络接口接口层、网、网络层、传输层、应用用层，首先依据各，首先依据各层所包含的信息判断是否遵循安全所包含的信息判断是否遵循安全规则，然后控制网然后控制网络通信通信连接，如禁止、允接，如禁止、允许。防火。防火墙简化了网化了网络的的安全管理。如果没有它，网安全管理。如果没有它，网络中的每个主机都中的每个主机都处于直接受攻于直接受攻击的范的范围之内。之内。为了保了保护主机的安全，就必主机的安全，就必须在每台主机上安装在每台主机上安装安全安全软件，并件，并对每台主机都要定每台主机都要定时检查和配置更新。和配置更新。6.1.2 防火防火墙的功能与缺陷的功能与缺陷.防火墙简单的可以用路由器、交换机实现，复杂的就要用一台计231.防火墙的基本功能包包过滤这是防火是防火墙的基本功能，的基本功能，现在的防火在的防火墙已已经有最初的地址、端口判定控制，有最初的地址、端口判定控制，发展到展到判断通信判断通信报文文协议头的各部分，以及通信的各部分，以及通信协议的的应用用层命令、内容、用命令、内容、用户特征、用特征、用户规则甚至状甚至状态监测等。等。将防火将防火墙设置置为只有只有预先被允先被允许的服的服务和和用用户才能通才能通过防火防火墙，禁止未授，禁止未授权的用的用户访问受保受保护的网的网络，降低被保，降低被保护网网络受非受非法攻法攻击的的风险。.1.防火墙的基本功能包过滤.24限制网限制网络访问。防火。防火墙只允只允许外部网外部网络访问受保受保护网网络的指定主机或网的指定主机或网络服服务，通常受保，通常受保护网网络中的中的MailMail、FTPFTP、WWWWWW服服务器等可器等可让外部网外部网络访问，而其他而其他类型的型的访问则予以禁止。防火予以禁止。防火墙也用来限也用来限制受保制受保护网网络中的主机中的主机访问外部网外部网络的某些服的某些服务，例如某些不良网址。例如某些不良网址。.限制网络访问。防火墙只允许外部网络访问受保护网络的指定主机或25网网络访问审计和和预警。警。审计和和预警是防火警是防火墙的在的在配置好相关参数后作出的配置好相关参数后作出的丢弃、拒弃、拒绝或接受的重或接受的重要措施，防火要措施，防火墙的的审计和和预警机制在防火警机制在防火墙体系体系中很重要。中很重要。防火防火墙是外部网是外部网络与受保与受保护网网络之之间的惟一网的惟一网络通道，可以通道，可以记录所有通所有通过它的它的访问并提供网并提供网络使使用情况的用情况的统计数据。依据防火数据。依据防火墙的日志，可以掌的日志，可以掌握网握网络的使用情况，例如网的使用情况，例如网络通信通信带宽和和访问外外部网部网络的服的服务数据。防火数据。防火墙的日志也可用于入侵的日志也可用于入侵检测和网和网络攻攻击取取证。.网络访问审计和预警。审计和预警是防火墙的在配置好相关参数后作26由于网络上的数据流量是比较大的，这里主要有两种解决方式：将日志挂接在内网的一台专门存放日志的服务器上；将日志直接存放在防火墙本身的服务器上。.由于网络上的数据流量是比较大的，这里主要有两种解决方式：将日27远程管理，管理界面一般完成程管理，管理界面一般完成对防火防火墙的的配置、管理和配置、管理和监控等工作。管理界面的控等工作。管理界面的设计直接关系到防火直接关系到防火墙的易用性和安全性。的易用性和安全性。目前防火目前防火墙主要有两种主要有两种远程管理界面：程管理界面：Web界面和界面和GUI界面。界面。.远程管理，管理界面一般完成对防火墙的配置、管理和监控等工作。28NAT技技术，该技技术能能够透明的透明的对所有内部地址做所有内部地址做转换，使外部网，使外部网络无法了解内部网无法了解内部网络的内部的内部结构，构，同同时使用使用NAT的网的网络与外部网与外部网络的的连接只能有内接只能有内部网部网络发起，起，这极大的提高了内部网极大的提高了内部网络的安全性。的安全性。同同时NAT技技术另外一个另外一个显著的用途是解决了著的用途是解决了IP地地址址匮乏的乏的问题。.NAT技术，该技术能够透明的对所有内部地址做转换，使外部网络29代理代理透明代理，主要是在内网主机需要透明代理，主要是在内网主机需要访问外网主机外网主机时，不需要做任何，不需要做任何设置，完全意置，完全意识不到防火不到防火墙的的存在而完成内外网的通信，但其基本原理是防火存在而完成内外网的通信，但其基本原理是防火墙截取内网主机与外网的通信，由防火截取内网主机与外网的通信，由防火墙本身完本身完成与外网的通信，然后把成与外网的通信，然后把结果果传回回给内网主机。内网主机。传统代理，与透明代理代理，与透明代理类似，不同的是它需要在似，不同的是它需要在客客户端端设置代理服置代理服务器，代理可以器，代理可以实现较高的安高的安全性，不足之全性，不足之处是响是响应缓慢。慢。.代理.30MAC与与IP地址地址绑定，主要用于防止受控的内部用定，主要用于防止受控的内部用户通通过更更换IP地址地址访问外网，因其外网，因其实现简单，内，内部只需要两个命令就可以部只需要两个命令就可以实现，所以，所以绝大多数防大多数防火火墙都提供了都提供了该项功能。功能。.MAC与IP地址绑定，主要用于防止受控的内部用户通过更换IP31流量控制和流量控制和统计分析、流量分析、流量计费流量控制可以分流量控制可以分为基于基于IP地址的控制和基于用地址的控制和基于用户的控制。的控制。防火防火墙可以控制网可以控制网络带宽的分配使用，的分配使用，实现部分部分网网络质量服量服务(QoS)(QoS)保障。保障。流量流量统计是建立在流量控制基是建立在流量控制基础之上的，一般防之上的，一般防火火墙对基于基于IP、服、服务、时间、协议等等进行行统计，并可以与管理界面并可以与管理界面实现挂接，挂接，实时或一或一统计报表表的形式的形式输出出结果。果。.流量控制和统计分析、流量计费.32URL级信息信息过滤通常是代理模通常是代理模块的一部分，的一部分，许多防火多防火墙将其功能将其功能单独独的提取出来，但是的提取出来，但是实现是跟代理模是跟代理模块结合起来的。合起来的。它用来控制内部网它用来控制内部网络对某些站点的某些站点的访问，如禁止某些，如禁止某些站点、禁止站点、禁止访问站点下的某些目站点下的某些目录、只允、只允许访问某些某些站点或其下目站点或其下目录等。等。.URL级信息过滤.332.防火墙缺陷尽管防火尽管防火墙有有许多防范功能，但它也有一些力不多防范功能，但它也有一些力不能及的地方，因能及的地方，因为防火防火墙只能只能对通通过它的网它的网络通通信包信包进行行访问控制，所以控制，所以对未未经过它的网它的网络通信通信就无能就无能为力了。例如，如果允力了。例如，如果允许从内部网从内部网络直接直接拨号号访问外部网外部网络，则防火防火墙就失效了，攻就失效了，攻击者者通通过用用户拨号号连接直接接直接访问内部网内部网络，绕过防火防火墙控制，也能造成潜在的攻控制，也能造成潜在的攻击途径。途径。.2.防火墙缺陷尽管防火墙有许多防范功能，但它也有一些力不能34防火防火墙可以阻断攻可以阻断攻击，但是不能消，但是不能消灭攻攻击源源 互互联网上的病毒、木网上的病毒、木马、恶意意试探等造成的攻探等造成的攻击行行为络绎不不绝。如果防火。如果防火墙的安全策略的安全策略设置得当，就置得当，就可以阻断可以阻断这类攻攻击，但是不能，但是不能够清除攻清除攻击源。源。.防火墙可以阻断攻击，但是不能消灭攻击源.35防火防火墙不能抵抗最新的未不能抵抗最新的未设置策略的高置策略的高级漏漏洞洞 如同如同杀毒毒软件，件，总是先出是先出现病毒，病毒，杀毒毒软件件经过分析特征代分析特征代码以后，将特征代以后，将特征代码加入到加入到特征特征库中才能中才能给将其将其查杀。防火。防火墙的各种策的各种策略也是在略也是在该攻攻击方式方式经过专家分析后家分析后给出其出其特征而特征而设置的。也就是置的。也就是说防火防火墙的安全性具的安全性具有滞后性。有滞后性。.防火墙不能抵抗最新的未设置策略的高级漏洞.36防火防火墙并并发连接数限制容易接数限制容易导致致拥塞或者溢塞或者溢出出 由于需要判断并处理流经防火墙的每一个数据包，所以防火墙在某些流量大，并发请求多的情况下，很容易造成拥塞，称为整个网络性能影响的瓶颈。而当防火墙溢出的时候，整个防线就如同虚设，原本被禁止的连接也能够通过。.防火墙并发连接数限制容易导致拥塞或者溢出.37防火墙对服务器合法开放的端口的攻击大多无法阻止；攻击者利用服务器提供的服务进行缺陷攻击，由于这些行为在防火墙看来是“合理合法”的，因此会被误判。.防火墙对服务器合法开放的端口的攻击大多无法阻止；.38防火墙对待内部主动发起连接的攻击一般无法阻止外紧内松是一般局域网的特点，或许一道严密防守的防火墙内部网络是一片混乱的也是可能的，通过发送带有木马的URL等方式，然后由感染木马的主机主动对攻击者连接。另外防火墙对内部主机间的攻击行为，爱莫能助。.防火墙对待内部主动发起连接的攻击一般无法阻止.39防火墙本身也会出现问题和受到攻击 防火墙也是一个OS，也有其硬件和如图案件系统，因此也就不可避免的会有BUG，其本身也会有软硬件方面的故障。.防火墙本身也会出现问题和受到攻击.40防火墙不能防范人为因素的攻击；防火墙不能防止内奸或用户误操作造成的威胁，防火墙也不能防止用户由于口令泄露而遭受攻击。.防火墙不能防范人为因素的攻击；.41防火墙不能防止数据驱动式的攻击。有些表面看起来无害的数据通过邮件或复制到内部网的主机上被执行，就会发生数据驱动式攻击。如一种数据驱动式的攻击造成主机修改与系统安全有关的配置文件，从而使入侵者下次更加容易攻击该系统。.防火墙不能防止数据驱动式的攻击。.42除此之外，防火除此之外，防火墙还有一些脆弱点，例如有一些脆弱点，例如:*防防火火墙不不能能完完全全防防止止感感染染病病毒毒的的软件件或或文文件件传输。防防火火墙是是网网络通通信信的的瓶瓶颈，因因为已已有有的的病病毒毒、操操作作系系统以以及及加加密密和和压缩二二进制制文文件件的的种种类太太多多，以以致致于于不不能能指指望望防防火火墙逐逐个个扫描描每每个文件个文件查找病毒，而只能在每台主机上安装反病毒找病毒，而只能在每台主机上安装反病毒软件。件。*防防火火墙不不能能完完全全防防止止后后门攻攻击。防防火火墙是是粗粗粒粒度度的的网网络访问控控制制，某某些些基基于于网网络隐蔽蔽通通道道的的后后门能能绕过防防火火墙的的控控制制，例如例如http tunnel等。等。.除此之外，防火墙还有一些脆弱点，例如:.431、NetScreen 208 FirewallNetScreen公司推出的一种新型的网络安全硬件产品。内置ASIC技术，其安全设备具有低延时、高效的IPSEC加密和防火墙功能，可以无缝地部署到任何网络。设备安装和操控也非常容易，可以通过多种管理界面包括内置的WEBUI界面、命令行界面或NetScreen中央管理方案进行管理。2、Cisco Secure PIX 515-E FIREWALLCISCO家族中的专用防火墙设施，通过端到端安全服务的有机组合，提供了很高的安全性，适合那些仅需要与自己企业网进行双向通信的远程站点，或由企业网在自己的企业防火墙上提供所有的WEB服务的情况。该防火墙与普通的CPU密集型专用代理服务器不同，它采用非UNIX、安全、实时的内置系统，可以提供扩展和重新配置IP网络的特性，同时不引起IP地址短缺问题。6.1.3 常见的防火墙.1、NetScreen 208 Firewall6.1.3 443、天融信网络卫士NGFW4000-S防火墙北京天融信公司的网络卫士是我国第一套自主版权的防火墙系统，是我国首创的核检测防火墙。它由防火墙和管理器组成，集中了包过滤防火墙、应用代理、网络地址转换（NAT）、用户身份鉴别、虚拟专用网、WEB页面保护、用户权限控制、安全审计、攻击检测、流量控制与计费等功能。4、东软NetEye 4032防火墙该系统在性能、可靠性、管理性等方面大大提高。其基于状态包过滤的刘过滤体系结构，保证从数据链路层到应用层的安全高性能过滤，可以进行应用级插件的及时升级，攻击方式的及时响应，实现动态的网络安全保障，适合于中小型企业的网络安全需要。.3、天融信网络卫士NGFW4000-S防火墙.45