防火墙概述课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,防火墙概述,3.1,防火墙的概念及作用,隔离在本地网络与外界网络之间的一道防御系统，是这一类防范措施的总称。,防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。,2,防火墙逻辑位置示意图:,3,防火墙,（FireWall）,的定义:,指的就是一种被放置在自己的计算机与外界网络之间的防御系统，从网络发往计算机的所有数据都要经过它的判断处理后，才会决定能不能把这些数据交给计算机，一旦发现有害数据，防火墙就会拦截下来，实现了对计算机的保护功能。,4,3.2 防火墙的分类与技术,防火墙的分类,:,根据物理特性:防火墙分为两大类，“硬件防火墙”和“软件防火墙”。,从技术上分为：“包过滤型”、“应用代理型”和“状态监视”三类,。,从结构上又分为：“单一主机防火墙”、“路由集成式防火墙”和“分布式防火墙”三类。,按工作位置分为“边界防火墙”、“个人防火墙”和“混合防火墙,”。,按防火墙性能分为：“百兆级防火墙”和“千兆级防火墙”两类。,5,防火的墙技术：,传统意义上的防火墙技术分为三大类，“包过滤”（Packet Filtering）、“应用代理”（Application Proxy）和“状态监视”（Stateful Inspection），无论一个防火墙的实现过程多么复杂，归根结底都是在这三种技术的基础上进行功能扩展的。,6,1、包过滤技术,包过滤是最早使用的一种防火墙技术，它的第一代模型是“静态包过滤”（Static Packet Filtering），使用包过滤技术的防火墙通常工作在OSI模型中的网络层（Network Layer）上，后来发展更新的“动态包过滤”（Dynamic Packet Filtering）增加了传输层（Transport Layer），简而言之，包过滤技术工作的地方就是各种基于TCP/IP协议的数据报文进出的通道，它把这两层作为数据监控的对象，对每个数据包的头部、协议、地址、端口、类型等信息进行分析，并与预先设定好的防火墙过滤规则（Filtering Rule）进行核对，一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候，这个包就会被丢弃。,7,2、,应用代理技术,一个完整的代理设备包含一个服务端和客户端，服务端接收来自用户的请求，调用自身的客户端模拟一个基于用户请求的连接到目标服务器，再把目标服务器返回的数据转发给用户，完成一次代理工作过程,。,采用“应用协议分析”技术工作在OSI模型的最高层应用层上，在这一层里能接触到的所有数据都是最终形式，也就是说，防火墙“看到”的数据和我们看到的是一样的，而不是一个个带着地址端口协议等原始内容的数据包，因而它可以实现更高级的数据检测过程。,8,3.状态监视技术,：,这是继“包过滤”技术和“应用代理”技术后发展的防火墙技术，它是CheckPoint技术公司在基于“包过滤”原理的“动态包过滤”技术发展而来的，与之类似的有其他厂商联合发展的“深度包检测”（Deep Packet Inspection）技术。这种防火墙技术通过一种被称为“状态监视”的模块，在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测，并根据各种过滤规则作出安全决策。,“状态监视”（Stateful Inspection）技术在保留了对每个数据包的头部、协议、地址、端口、类型等信息进行分析的基础上，进一步发展了“会话过滤”（Session Filtering）功能，在每个连接建立时，防火墙会为这个连接构造一个会话状态，里面包含了这个连接数据包的所有信息，以后这个连接都基于这个状态信息进行，这种检测的高明之处是能对每个数据包的内容进行监视，一旦建立了一个会话状态，则此后的数据传输都要以此会话状态作为依据，例如一个连接的数据包源端口是8000，那么在以后的数据传输过程里防火墙都会审核这个包的源端口还是不是8000，否则这个数据包就被拦截，而且会话状态的保留是有时间限制的，在超时的范围内如果没有再进行数据传输，这个会话状态就会被丢弃。状态监视可以对包内容进行分析，从而摆脱了传统防火墙仅局限于几个包头部信息的检测弱点，而且这种防火墙不必开放过多端口，进一步杜绝了可能因为开放端口过多而带来的安全隐患。,9,3.3,防火墙的功能,1、防火墙是网络安全的屏障,2、防火墙可以强化网络安全策略,3、对网络存取和访问进行监控审计,4、防止内部信息的外泄,10,防火墙的发展史：,第一代防火墙,第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packet filter）技术。下图表示了防火墙技术的简单发展历史。,第二、三代防火墙,1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙应用层防火墙（代理防火墙）的初步结构。,第四代防火墙,1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的第四代防火墙，后来演变为目前所说的状态监视（Stateful inspection）技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。,第五代防火墙,1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。,11,第一代：静态包过滤,这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”，即明确允许那些管理员希望通过的数据包，禁止其他的数据包。,12,3.4防火墙功能指标详解,产品类型：,从防火墙产品和技术发展来看，分为三种类型：基于路由器的包过滤防火墙、基于通用操作系统的防火墙、基于专用安全操作系统的防火墙。,LAN接口：,列出支持的LAN接口类型：防火墙所能保护的网络类型，如以太网、快速以太网、千兆以太网、ATM、令牌环及FDDI等。,13,支持的最大LAN接口数：指防火墙所支持的局域网络接口数目，也是其能够保护的不同内网数目。,服务器平台：防火墙所运行的操作系统平台（如Linux、UNIX、WinNT、专用安全操作系统等）。,协议支持,支持的非IP协议：除支持IP协议之外，又支持AppleTalk、DECnet、IPX及NETBEUI等协议。,建立VPN通道的协议：构建VPN通道所使用的协议，如密钥分配等，主要分为IPSec，PPTP、专用协议等。,可以在VPN中使用的协议：在VPN中使用的协议，一般是指TCP/IP协议。,加密支持,14,支持的VPN加密标准：VPN中支持的加密算法,例如数据加密标准DES、3DES、RC4以及国内专用的加密算法。,除了VPN之外，加密的其他用途：加密除用于保护传输数据以外，还应用于其他领域，如身份认证、报文完整性认证，密钥分配等。,提供基于硬件的加密：是否提供硬件加密方法，硬件加密可以提供更快的加密速度和更高的加密强度。,认证支持,支持的认证类型：是指防火墙支持的身份认证协议，一般情况下具有一个或多个认证方案，如RADIUS、Kerberos、TACACS/TACACS、口令方式、数字证书等。防火墙能够为本地或远程用户提供经过认证与授权的对网络资源的访问，防火墙管理员必须决定客户以何种方式通过认证。,列出支持的认证标准和CA互操作性：厂商可以选择自己的认证方案，但应符合相应的国际标准，该项指所支持的标准认证协议，以及实现的认证协议是否与其他CA产品兼容互通。,支持数字证书：是否支持数字证书。,访问控制,通过防火墙的包内容设置：包过滤防火墙的过滤规则集由若干条规则组成，它应涵盖对所有出入防火墙的数据包的处理方法，对于没有明确定义的数据包，应该有一个缺省处理方法；过滤规则应易于理解，易于编辑修改；同时应具备一致性检测机制，防止冲突。IP包过滤的依据主要是根据IP包头部信息如源地址和目的地址进行过滤，如果IP头中的协议字段表明封装协议为ICMP、TCP或UDP，那么再根据ICMP头信息（类型和代码值）、TCP头信息（源端口和目的端口）或UDP头信息（源端口和目的端口）执行过滤，其他的还有MAC地址过滤。应用层协议过滤要求主要包括FTP过滤、基于RPC的应用服务过滤、基于UDP的应用服务过滤要求以及动态包过滤技术等。,15,在应用层提供代理支持：指防火墙是否支持应用层代理，如HTTP、FTP、TELNET、SNMP等。代理服务在确认客户端连接请求有效后接管连接，代为向服务器发出连接请求，代理服务器应根据服务器的应答，决定如何响应客户端请求，代理服务进程应当连接两个连接（客户端与代理服务进程间的连接、代理服务进程与服务器端的连接）。为确认连接的唯一性与时效性，代理进程应当维护代理连接表或相关数据库（最小字段集合），为提供认证和授权，代理进程应当维护一个扩展字段集合。在传输层提供代理支持：指防火墙是否支持传输层代理服务。,允许FTP命令防止某些类型文件通过防火墙：指是否支持FTP文件类型过滤。,用户操作的代理类型：应用层高级代理功能，如HTTP、POP3。,支持网络地址转换(NAT)：NAT指将一个IP地址域映射到另一个IP地址域，从而为终端主机提供透明路由的方法。NAT常用于私有地址域与公有地址域的转换以解决IP地址匮乏问题。在防火墙上实现NAT后，可以隐藏受保护网络的内部结构，在一定程度上提高了网络的安全性。,支持硬件口令、智能卡：是否支持硬件口令、智能卡等，这是一种比较安全的身份认证技术。,16,防御功能,支持病毒扫描：是否支持防病毒功能，如扫描电子邮件附件中的DOC和ZIP文件，FTP中的下载或上载文件内容，以发现其中包含的危险信息。,提供内容过滤：是否支持内容过滤，信息内容过滤指防火墙在HTTP、FTP、SMTP等协议层，根据过滤条件，对信息流进行控制，防火墙控制的结果是：允许通过、修改后允许通过、禁止通过、记录日志、报警等。过滤内容主要指URL、HTTP携带的信息：Java Applet、javascript、ActiveX和电子邮件中的Subject、To、From域等。,能防御的DoS攻击类型：拒绝服务攻击(DoS)就是攻击者过多地占用共享资源，导致服务器超载或系统资源耗尽，而使其他用户无法享有服务或没有资源可用。防火墙通过控制、检测与报警等机制，可在一定程度上防止或减轻DoS黑客攻击。,阻止ActiveX、Java、Cookies、javascript侵入：属于HTTP内容过滤，防火墙应该能够从HTTP页面剥离JavaApplet、ActiveX等小程序及从Script、PHP和ASP等代码检测出危险代码或病毒，并向浏览器用户报警。同时，能够过滤用户上载的CGI、ASP等程序，当发现危险代码时，向服务器报警。,安全特性,支持转发和跟踪ICMP协议（ICMP代理）：是否支持ICMP代理，ICMP为网间控制报文协议。,提供入侵实时警告：提供实时入侵告警功能，当发生危险事件时，是否能够及时报警，报警的方式可能通过邮件、呼机、手机等。,提供实时入侵防范：提供实时入侵响应功能，当发生入侵事件时，防火墙能够动态响应，调整安全策略，阻挡恶意报文。,识别/记录/防止企图进行IP地址欺骗：IP地址欺骗指使用伪装的IP地址作为