防火墙基本知识课件

,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,单击此处编辑母版标题样式,xx,年,xx,月,xx,日,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,xx,年,xx,月,xx,日,09,年,04,月,防火墙基础知识,主要内容,防火墙基本知识,防火墙技术,防火墙选择,防火墙部署,防火墙基本知识,概念,防火墙的定义：,是在,两个网络,之间执行访问控制策略的一组硬件和软件系统，其目的是保护本地,网络的通信安全,。,防火墙的保护功能：,防火墙对内部网络的保护是,双向,的。从入的方向上，它阻止外面网络对本地网络的非法访问和入侵；从出的方向上，它控制本地网络对外部不良网络进行访问或者是未经允许的数据输出，防止内部信息的泄露。,DMZ,区,Trust,可信区域,DPtech,防火墙,Internet,Untrust,不可信区域,企业内部需要保护的区域,企业对外提供服务功能,属于缓冲区,外网，默认是不安全的,对外服务器,防火墙基本知识,防火墙的作用,防火墙可强迫所有进出信息都通过这个唯一狭窄的检查点，便于集中实施安全策略。,防火墙可以实行强制的网络安全策略，如：禁止不安全的协议,防火墙可以对网络存取和访问进行监控审计。如：对,P2P,流量的监管和限流。,使用内部防火墙还可以防止一个网段的问题传播到另一个网段。,防火墙主要是让网络“断”，默认所有数据都丢弃，只有合法的数据才能通过。,防火墙基本知识,防护,模型,防火墙主要是针对,4,层报文进行安全过滤，对,7,层应用层分析较少。,防火墙主要管理范围,主要内容,防火墙基本知识,防火墙技术,防火墙种类,防火墙发展,防火墙主要技术,防火墙选择,防火墙部署,典型配置案例,主要分为以下,3,种类型防火墙：,包 过 滤 防 火 墙 ：,根据一组规则允许,/,阻塞一些数据包。,应用代理型防火墙：,作为应用层代理服务器，提供安全防护。,状态检测型防火墙：,比包过滤防火墙具有更高的智能和安全性，会话成功建立连接以后记录状态信息并时时更新，所有会话数据都要与状态表信息相匹配；否则会话被阻断。,状态检测技术,防火墙技术发展介绍,现代防火墙基本为,3,种类型防火墙的综合体，即采用状态检测型包过滤技术，同时提供透明应用代理功能。,包过滤防火墙,基本概念：数据包过滤是指在网络中的适当位置对数据包实施,有选择的,通过。选择的,依据,就是系统内设置的,过滤规则,或称,访问控制表,。,包过滤操作过程：,包过滤规则必须被存储在包过滤,设备的端口,；,当数据包在端口到达时，包头被提取，同时包过滤设备检查,IP,、,TCP,、,UDP,等包头中的信息；,包过滤规则以特定的次序被存储，每一规则按照被存储的次序作用于包；,如果一条规则允许传输，包就被通过；如果一条规则阻止传输，包就被弃掉或进入下一条规则。,检,查,项,IP,包的源地址,IP,包的目的地址,TCP/UDP,源端口,IP,包,检测包头,检查路由,安全策略：过滤规则,路由表,包过滤防火墙,转发,符合,不符合,丢弃,包过滤防火墙,图示,包过滤防火墙,技术评价,优点：,速度快，吞吐率高（过滤规则较少时）,对应用程序透明（无帐号口令等,),缺点：,安全性低,不能过滤传输层以上的信息,不能监控链路状态信息,Client,Server,代理服务器,代理客户机,请求,应答,被转发的,请求,被转发的,应答,应用代理防火墙,双向通信必须经过应用代理，禁止,IP,直接转发；,只允许本地安全策略允许的通信信息通过；,应用代理防火墙,图示,代理服务器评价来自代理客户的请求并决定请求是否被认可。如果请求被认可，代理服务器便代表客户接触真正的服务器并且,转发,从代理客户到真正的服务器的请求以及真正的服务器到代理客户的响应。,安全策略,访问控制,优点：,可以将被保护网络内部的结构屏蔽起来,可以实施较强的数据流监控、记录。,可提供应用层的安全（身份验证等）,缺点：,灵活性通用性较差，只支持有限的应用。,不透明（用户每次连接可能要受到“盘问”）,代理服务的工作量较大，需要专门的硬件（工作站）来承担,应用代理防火墙,技术评价,基于状态的包过滤防火墙,状态检测技术对于新建立的连接，首先检查预先设置的安全规则，允许符合规则的连接通过，并记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要是符合状态表的，就可以通过。,可对各层的通信进行主动、实时的监控,重组会话，对应用进行细粒度检测,基于状态的包过滤防火墙,图示,IP,包,检测包头,下一步,处理,安全策略：过滤规则,会话连接状态缓存表,状态检测包过滤防火墙,符合,不符合,丢弃,符合,检,查,项,IP,包的源、目的地址、端口,TCP,会话的连接状态,上下文信息,特点：,安全性得到进一步提高,。,可监测无连接状态的远程过程调用和用户数据报之类的端口信息。,基于状态的包过滤防火墙,技术评价,主要内容,防火墙基本知识,防火墙技术,防火墙种类,防火墙发展,防火墙主要技术,防火墙选择,防火墙部署,防火墙技术与产品发展回顾,防火墙产品的,四个发展阶段（四代）,基于路由器的防火墙,用户化的防火墙工具套件,建立在通用操作系统上的防火墙,具有安全操作系统的防火墙,第一代：,基于路由器的防火墙,称为包过滤防火墙,特征：,以访问控制表方式实现包过滤,过滤的依据是,IP,地址、端口号和其它网络特征,只有包过滤功能，且防火墙与路由器合为一体,缺点：,路由协议本身具有安全漏洞,路由器上的包过滤规则的设置和配置复杂,攻击者可假冒地址,本质缺陷：防火墙的设置会大大降低路由器的性能（一对矛盾）,特征：,将过滤功能从路由器中独立出来，并加上审计和告警功能；,针对用户需求提供模块化的软件包；,纯软件产品,。,安全性提高，价格降低；,缺点：,配置和维护过程复杂费时；,对用户技术要求高；,全软件实现，安全性和处理速度均有局限；,第二代,:,用户化的防火墙工具套件,实现方式：软件、硬件、软硬结合。,问题：,作为基础的操作系统及其内核的安全性无从保证。,通用操作系统厂商不会对防火墙的安全性负责；,第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统漏洞的攻击。,用户必须依赖两方面的安全支持：防火墙厂商和操作系统厂商。,上述问题在基于,Windows/Linux,开发的防火墙产品中表现得十分明显。,第三代：,建立在通用操作系统上的防火墙,特点：,防火墙厂商具有操作系统的源代码，并可实现安全内核；这是一个安全厂商技术实力的体现,对安全内核实现加固处理：即去掉不必要的系统特性，强化安全保护，从而可以提供更高的处理性能,在功能上包括了分组过滤、代理服务，且具有加密与鉴别功能；,具有独立硬件技术的厂商，安全可靠性更高,第四代：,具有安全操作系统的防火墙,主流安全厂商属于第四代技术。,主要内容,防火墙基本知识,防火墙技术,防火墙种类,防火墙发展,防火墙主要技术,防火墙选择,防火墙部署,防火墙关键技术汇总,安全区域：,Zone,，防火墙最基本功能，将网络按照不同防护需求划分为隔离的区域,攻击防范：,对各种攻击进行识别和阻断，保障网络内部用户的数据安全,VPN,：,Virtual Private Network,，就是虚拟专用网，主要是保证在不可信的公网上建立用户的“专线”，通过加密实现逻辑上的专线建设，从而实现远程安全通信,NAT,：,Network Address Translation,，就是地址转换，主要用于保护内网组网架构和地址匮乏,状态检测：,保障应用链接是有内网用户发起，并且是按照 标准状态进行；对外部发起的任何访问都不响应,状态热备：,安全区域（,ZONE,）,安全区域：安全管理基本单位，通过划分不同区域，为其定级不同安全级别，从而执行相应的安全策略，主要是不同区域间的访问控制,将接口加入相应安全区域，即意味着与接口相连的网络接入本安全区域,Trust,、,Untrust,、,DMZ,为防火墙默认三个安全区域,防火墙,交换机,受信区域,Trust,非受信区域,Untrust,DMZ,区,受信区域,DMZ,区，可以访问,POP3,和,SMTP,服务,DMZ,受信区域，不可访问任何服务,应用服务器,非受信区域,DMZ,区，可以访问,POP3,和,SMTP,服务,DMZ,非受信区域，可以访问任何服务,非受信区域和受信区域之间不能互访,攻击防范,当前主要攻击,Land,攻击防范,Smurf,攻击防范,Fraggle,攻击防范,WinNuke,攻击防范,Ping of Death,攻击防范,Tear Drop,攻击防范,IP Spoofing,攻击防范,SYN Flood,攻击防范,ICMP Flood,攻击防范,UDP Flood,攻击防范,ARP,欺骗攻击防范,ARP,主动反向查询,TCP,报文标志位异常攻击防范,超大,ICMP,报文攻击防范,地址扫描的防范,端口扫描的防范,攻击按照不同划分标准，有不同分类。一般分为畸形报文（利用协议漏洞）、泛洪类（,Flood,，发起大量请求）、应用层（操作系统和软件漏洞），下面是当前知名攻击,攻击防范,各种网络攻击可以归结为：,侦测技术,：攻击前奏，通过扫描和探测来摸清目标的网络架构、漏洞、操作系统等，为下一步攻击作准备。,欺骗技术,：包括,IP,欺骗和,ARP,欺骗，用来隐蔽攻击行为,DOS/DDOS,（拒绝服务,/,分布式拒绝服务攻击）：主流攻击模式，利用系统异常和大量虚假报文，让目标无法继续提供正常服务，从而达到攻击目的,蠕虫、木马等病毒攻击,：应用层攻击，不仅仅是破坏目标应用，更是以获利为主要目的。,防火墙就是,阻断侦测、识破欺骗、阻断攻击,，实现对网络中安全威胁的防御。,虚拟专用网（,VPN,）,通过组合数据封装和加密技术，实现私有数据通过公共网络平台进行安全传输,，从而以经济、灵活的方式实现两个局域网络通过公共网络平台进行衔接，或者提供移动用户安全的通过公共网络平台接入内网。,中心站点,分支机构,合作伙伴,接入点,移动用户,SOHO,用户,VPN,逻辑通道,安全加密,网络地址转换技术（,NAT,）,NAT,就是将一个,IP,地址用另一个,IP,地址代替。,应用领域：,网络管理员希望隐藏内部网络的,IP,地址。,合法,Internet IP,地址有限，而且受保护网络往往有自己的一套,IP,地址规划（内网私有地址）,发出请求,应答发给,发出请求,发出请求,应答发给,应答发给,NAT,状态检测,根据协议的“状态机”识别各种协议的正确状态,一般包括,H323/MGCP/SIP/H248/RTSP/ICMP/FTP/DNS/PPTP/NBT/ILS,等,针对应用层协议包括,SMTP/HTTP/,Java/ActiveX/SQL注入攻击,状态检测,防火墙,用户,服务器,用户初始化到服,务器的一个会话,该用户会话的后,续数据包被允许,非用户建立外部,发起会话被拒绝,监控通信过程中的数据包,动态建立和删除访问规则,状态热备,为避免防火墙故障导致网络不通，一般部署两台相同防火墙进行状态同步,热备分为两种模式：主机,/,备机，主机,/,主机。两台防火墙互为对方的备份，通过“心跳”监控，当发现对方无法工作时，直接接管对方工作,接管的切换时间一般为毫秒级，这样才能保障网络业务不中断,DPtech A,DPtech,B,黑名单,系统表项,状态表项,黑名单,系统表项,状态表项,心跳监控,主要内容,防火墙基本知识,防火墙技术,防火墙选择,防火墙部署,典型配置案例,防火墙的选择关键指标,主要参考以下,3,种指标：,防火墙性能选择：吞吐量、最大并发连接数、每秒新建连接数,VPN,性能：加密性能、最大并发连接数,物理接口的选择：接口数量和速率，主要是考虑部署、,HA,和性能需求。,防火墙性能,主要参考以下,3,种性能指标：,1.,整机吞吐量：,指防火墙在状态检测机制下能够处理一定包长数据的最大转发能力，业界默认一般都采用大包衡量防火墙对报文的处理能力。,2.,最大并发连接数：,由于防火墙是针