防火墙技术课件

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,防火墙原理,Presented by:sunyanghua,某某公司 信息部,防火墙原理Presented by:sunyang,目录,1,、网络风险与常见攻击,2,、防火墙基础,3,、防火墙基本结构,4,、部署防火墙关键因素,5,、我公司防火墙应用,6,、参考材料,目录1、网络风险与常见攻击,1,、网络风险与常见攻击,网络复杂的结构和用户,业务需求需开放服务,主机系统服务漏洞,TCP/IP,协议的开放弱点,各类攻击工具易获得,安全教育不足,1、网络风险与常见攻击网络复杂的结构和用户,1,、网络风险与常见攻击,1、网络风险与常见攻击,1,、网络风险与常见攻击,一个典型的攻击者工具包,网络扫描器,口令破解,报文监听,特洛伊木马程序,修改系统日志的工具,隐藏活动的工具,自动修改系统配置文件的工具,1、网络风险与常见攻击一个典型的攻击者工具包,1,、网络风险与常见攻击,常见攻击,1,、拒绝服务攻击（,Denial of Service-DOS,）,死亡之,ping,（,64KB,的,ICMP,包，导致,TCP/IP,协议栈崩溃，接收方死机）,泪滴,teardrop,（伪造,IP,碎片内容，导致,TCP/IP,协议栈崩溃）,UPD,洪水（产生大量无用数据流，恶意占用带宽和主机处理能力）,SYN,洪水（利用,TCP,的,ACK,机制，使主机拒绝有效连接请求）,LAND,攻击（伪造源地址和目的地址相同的,SYN,包，主机接收大量空连接）,Smurf,攻击（修改,ICMP,应答地址为受害网络地址，大量广播包阻塞网络）,畸形消息攻击（修改应用层数据包，造成操作系统服务崩溃）,2,、利用型攻击,口令猜测,特洛伊木马,缓冲区溢出,1、网络风险与常见攻击常见攻击,1,、网络风险与常见攻击,常见攻击,3,、信息收集型攻击,扫描技术（地址扫描、端口扫描）,操作系统探测（利用,NT,与,Unix,的,TCP/IP,堆栈实现不同，获取主机操作系统）,网络服务探测（利用,DNS,和,LDAP,协议认证缺陷，获取网络和用户信息）,4,、假消息攻击,DNS,缓存污染（,DNS,交换不认证身份，修改,DNS,信息，使主机发往错误地址）,伪造电子邮件（,SMTP,不对发送者身份确认，伪造邮件，附加木马程序）,1、网络风险与常见攻击常见攻击,1,、网络风险与常见攻击,如何解决：,正确应用防火墙为核心的网络边界安全设施,1、网络风险与常见攻击如何解决：,2,、防火墙基础,防火墙定义,百度百科：,是一项协助确保信息安全的设备，会依照特定的规则，允许或限制传输的数据通过。防火墙可以是一台专属的硬件也可是架设在一般硬件上的一套软件。,Rich Kosinski(Internet Security,公司总裁）,防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问。换句话说，防火墙是一道门槛，控制进,/,出两个方向的通信。,2、防火墙基础防火墙定义,2,、防火墙基础,防火墙发展历程,1986,年,Digital,推出第一台商用防火墙。,第一代：包过滤路由器。,如,ACL,。审计功能弱，过滤规则复杂，降低路由性能。,第二代：代理服务器。,应用级。每一网络应用设计一代理，纯软件，延迟大，安全性低。,第三代：基于通用,OS,。,OS,自身的安全性能导致防火墙安全能力不足。,第四代：专用硬件和安全,OS,。,专用防火墙,OS,，增强系统自身安全性；高处理能力，集成多功能。,2、防火墙基础防火墙发展历程,2,、防火墙基础,IP,报头,&TCP,报头,2、防火墙基础IP报头&TCP报头,2,、防火墙基础,防火墙的基本功能,应用程序代理,包过滤&状态检测,用户认证,NAT,VPN&,带宽管理,日志,IDS,与报警,内容过滤,2、防火墙基础防火墙的基本功能应用程序代理包过滤&状态检测用,2,、防火墙基础,防火墙种类,包过滤防火墙,包过滤防火墙对所接收的每个数据包做允许,/,拒绝的决定。防火墙审查每个数据包以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给,IP,转发过程的包头信息，包头信息中包括,IP源地址,、,IP目标地址,、协议类型（,TCP包、UDP包和ICMP包）,、,TCP或UDP包的目的端口,、,TCP或UDP包的源端口,、,ICMP消息类型,、,TCP包头的ACK位,、,TCP包的序列号、IP校验和等,。,如：,HTTP,（,80,）,FTP,（,21,）,SMTP,（,25,）,Telnet,（,23,）,2、防火墙基础防火墙种类包过滤防火墙,2,、防火墙基础,防火墙种类,包过滤防火墙,2、防火墙基础防火墙种类包过滤防火墙,2,、防火墙基础,防火墙种类,包过滤防火墙,优点：,速度快，性能高,对用户透明,缺点：,维护比较困难(需要对,TCP/IP,了解 限制策略,or,宽松策略）,安全性低（,IP,欺骗、小碎片攻击等）,不了解主机间会话关系,不能根据状态信息进行控制,不能处理网络层以上的信息,无法对网络上流动的信息提供全面的控制,规则配置存在安全隐患，易存在失误,2、防火墙基础防火墙种类包过滤防火墙优点：缺点：,2,、防火墙基础,防火墙种类,代理防火墙,代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。不允许通信直接经过外部网和内部网。,将所有跨越防火墙的网络通信链路分为两段。,防火墙内外计算机系统间应用层的“链接”，由两个终端代理服务器上的“链接”来实现。,外部计算机的网络链路只能到达代理服务器，从而起到了隔离内外计算机系统的作用。,2、防火墙基础防火墙种类代理防火墙代理服务是运行在防火墙主,2,、防火墙基础,防火墙种类,代理防火墙,代理防火墙最突出的特点是，将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用。此外，代理防火墙在发现被攻击的迹象时，将向网络管理员发出警报，并保留攻击现场。也就是说，在代理服务中，内部各站点之间的连接被切断了，代理服务在幕后操纵着各站点间的连接。,2、防火墙基础防火墙种类代理防火墙,2,、防火墙基础,防火墙种类,代理防火墙,优点：,更细粒度的监测、审计和控制,应用层规则易配置,缺点：,有限的连接性，一种代理仅对应一种服务,部分协议无法实现，如,RPC,等,应用层造成防火墙性能下降，速度慢,升级,/,维护复杂,Application,Presentation,Session,Transport,DataLink,Physical,Network,DataLink,Physical,Application,Presentation,Session,Transport,DataLink,Physical,Application,Presentation,Session,Transport,Network,Network,Telnet,HTTP,FTP,2、防火墙基础防火墙种类代理防火墙优点：缺点：Applic,2,、防火墙基础,防火墙种类,状态检测技术,防火墙,状态检测技术是包过滤技术的延伸，经常被称为“动态数据包过滤”。在网络层拦截输入包，并利用足够的企图连接的状态信息作出决策。使用各种状态表（,state tables,）来追踪活跃的,TCP,会话。由用户定义的访问控制列表（,ACL,）决定允许建立哪些会话（,session,），只有与活跃会话相关联的数据才能穿过防火墙。,2、防火墙基础防火墙种类状态检测技术防火墙,2,、防火墙基础,防火墙种类,状态检测技术,防火墙,1,防火墙检查数据包是否是一个已经建立并且正在使用的通信流的一部分。,2,根据所使用的协议，决定对数据包的检查程度。,3,如果数据包和连接表的各项都不匹配，那么防火墙就会检测数据包是否与它所配置的规则集相匹配。,4,在数据包检测后，防火墙就会将该数据包转发到它的目的地址，并且防火墙会在其连接表中为此次对话创建或者更新一个连接项，防火墙将使用这个连接项对返回的数据包进行校验。,2、防火墙基础防火墙种类状态检测技术防火墙,2,、防火墙基础,防火墙种类,状态检测技术,防火墙,状态检测技术防火墙是对包过滤防火墙技术、代理服务防火墙技术的折中，它的速度和灵活性没有包过滤机制好，但比代理服务技术好。它的应用级安全不如代理服务技术强，但又比包过滤的机制的高。这种结合是对包过滤技术和代理服务技术的折中。,2、防火墙基础防火墙种类状态检测技术防火墙,2,、防火墙基础,防火墙种类,NAT,技术,解决私有网络连接到互联网,IP,地址编号问题，,NAT,不是为防火墙而设计，但其在解决,IP,地址短缺的同时提供了内部主机地址隐藏的特性，使其成为防火墙核心技术之一。,2、防火墙基础防火墙种类NAT技术,2,、防火墙基础,防火墙种类,NAT,技术,实现方式有静态地址翻译、动态地址翻译、端口地址翻译,NAT,技术不仅用于解决地址转换，也可用于负载均衡。,RFC1918:Private IP Networks.,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,2、防火墙基础防火墙种类NAT技术10.0.0.0/8,3,、防火墙基本结构,屏蔽路由器,(,screening router,),作用在网络层（,IP,层），按照一定的安全策略，对进出内部网络的信息进行分析和限制，实现报文过滤功能。该防火墙优点在于速度快等，但安全性能差。这种防火墙的最大弱点是依靠一个单一的部件来保护系统，一旦部件出现问题，会使网络的大门敞开，而用户可能还不知道。,网络层,链路层,物理层,外部网络,内部网络,3、防火墙基本结构屏蔽路由器(screening route,3,、防火墙基本结构,双宿主主机,(Dual-Homed Host Firewall),用一台装有两块网卡的堡垒主机成防火墙。堡垒主机上运行着防火墙软件，可以转发应用程序，提供服务等。内外网络之间的,IP,数据流被双宿主主机完全切断。用堡垒机取代路由器执行安全控制功能。入侵者进入堡垒主机，则内部网透明。,3、防火墙基本结构双宿主主机(Dual-Homed Host,3,、防火墙基本结构,屏蔽主机防火墙,(Screened Host Firewall),堡垒主机与内部网相连，用屏蔽路由器连接到外部网上，屏蔽路由器作为第一道防线，堡垒主机作为第二道防线。这确保了内部网络不受未被授权的外部用户的攻击。该防火墙系统提供的安全等级比前面两种防火墙系统要高，主要用于企业小型或中型网络。,3、防火墙基本结构屏蔽主机防火墙(Screened Host,3,、防火墙基本结构,屏蔽子网防火墙,(Screened Subnet Firewall),在内部网络和外部网络之间建立一个被隔离的子网，这个子网可有堡垒主机和公用服务器组成，用两台屏蔽路由器将这一子网分别与内部网络和外部网络分开。内部网络和外部网络均可访问屏蔽子网，但禁止它们穿过屏蔽子网进行通信，从而进一步实现屏蔽主机的安全性。,DMZ:demilitarized zone,3、防火墙基本结构屏蔽子网防火墙(Screened Subn,4,、部署防火墙关键因素,自身安全性,专用硬件,+,安全,OS,通用,OS,防火墙专用,OS,专为网络安全设计，没有不必要的服务，无需打补丁和加固；而通用,OS,提供大量服务，需大量补丁，攻击方式多。,良好的防火墙系统包含防火墙产品，防火墙运行平台和环境，防火墙安全控制策略，防火墙审计策略，防火墙管理手段。,4、部署防火墙关键因素自身安全性,4,、部署防火墙关键因素,性能,并发连接数,转发速率,可靠,部件可靠,冗余设计 如电源热备份、系统