防火墙基础知识介绍

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

防火墙基础知识介绍防火墙基础•防火墙的定义–边界设备–安全域之间的唯一出入口–一套的安全策略–一系列的防范措施–一种有效的网络安全模型防火墙基础•防火墙的作用–保护内部网络–限制内部人员对外的访问–建立安全通道–制定安全策略防火墙基础•防火墙模型OSI/RM防火墙应用层网关级表示层会话层传输层电路级网络层路由器级数据链路层网桥级物理层中继器级防火墙基础•防火墙的基本安全策略–拒绝没有特别允许的任何事情–允许没有特别拒绝的任何事情防火墙基础•对防火墙技术的评价–好处•集中的网络安全•可作为中心“扼制点”•产生安全报警•监视并记录Internet的使用•NAT的理想位置•服务器的理想位置防火墙基础•对防火墙技术的评价–不足•无法防范通过防火墙以外的其它途径的攻击•无法防范来自内部的攻击•防火墙无法防范数据驱动型的攻击防火墙基础•防火墙技术现状–综合类技术的防火墙,非单独的包过滤或者应用代理–对数据进行加解密–在TCP/IP协议层进行各项安全控制防火墙关键技术概述•包过滤技术–过滤包头信息–根据路由规则拒绝或允许数据包转发–与服务有关的过滤–与服务无关的过滤防火墙关键技术概述•包过滤技术–优点•在标准路由器软件中包含•费用少–缺点•定义数据包过滤器会比较复杂•随着过滤器数目的增加,路由器的吞吐量会下降•IP包过滤器可能无法对网络上流动的信息提供全面的控制防火墙关键技术概述•代理技术–应用网关技术–堡垒主机–优点•对服务进行全面的控制•支持可靠的用户认证•容易配置和管理–缺点•要求用户安装代理客户端防火墙关键技术概述•状态监测技术–根据分组的属性和状态表进行网络传输控制决策–优点•检测模块支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充•可以监测RPC、和UDP之类的端口信息–缺点•不能根据实际传输的数据内容进行判断•配置比较复杂、会降低网络速度防火墙关键技术概述•地址转换技术(NAT)–内部外部地址转换,隐藏内部IP地址–单向NAT–双向NAT防火墙关键技术概述•VPN技术–虚拟专用网•在公共网络中建立专用网络,数据通过安全的“加密管道”在公共网络中传播。•保证数据的真实性•保证数据的完整性•保证通道的机密性•提供动态密匙交换功能•提供安全防护措施和访问控制防火墙关键技术概述•VPN技术–虚拟专网标准•IPSec、PPTP、L2TP–优点•是性能价格比比较高的安全方式•大多数的VPN产品可以在网络连接中透明地配置,而不需要修改网络或客户端的配置•IPSecVPN是最安全和流行的选择–不足•应用时间还不是很长•不同厂商的执行方式不同防火墙的体系结构•包过滤路由器–完成数据包转发的基本路由功能–利用包过滤规则控制数据包的通过防火墙的体系结构•双重宿主主机结构双宿堡垒主机有两个网络接口,但是主机在两个端口之间直接转发信息的功能(其能旁路代理服务)被关掉了。这种物理结构强行将让所有去往内部网络的信息经过堡垒主机,并且在外部用户被授予直接访问信息服务器的权利时,提供附加的安全性。防火墙的体系结构•屏蔽主机结构–采用了包过滤路由器和堡垒主机组成。它实现了网络层安全(包过滤)和应用层安全(代理服务)。所以入侵者在破坏内部网络的安全性之前,必须首先渗透两种不同的安全系统。防火墙的体系结构•DMZ或屏蔽子网结构–定义了“非军事区”(DMZ)网络,支持网络层和应用层安全功能。在一般情况下对DMZ配置成使用Internet和内部网络系统能够访问DMZ网络上数目有限的系统,而通过DMZ网络直接进行信息传输是严格禁止的。常见的防火墙产品介绍•CheckPoint简介–CheckPointFireWall1,软件防火墙,可以与其他硬件捆绑(Nokia)–支持广泛的应用程序–开放式结构设计为扩充新的应用程序提供了便利–集中管理下的分布式客户机/服务器结构–网络安全的新模式——StatefulInspection技术常见的防火墙产品介绍•CheckPoint简介–远程网络访问的安全保障(FireWall-1SecuRemote)•鉴定•SecuRemote远程加密功能•虚拟专用网络•集成的、易操作的密钥管理程序–实时报警–集成管理常见的防火墙产品介绍•CiscoPIX简介–Cisco自己开发的防火墙操作系统–PIX运行了代理ARP,给外部网络层IP地址指定数据链路MAC地址–对TCP信息包的序列编号进行随机化处理,防止IP地址欺骗常见的防火墙产品介绍•NetScreen简介–控制允许或拒绝访问的基于地址的信息–以硬件为基础,将防火墙虚拟专用网VPN和流量管理系统等几类功能集成在一起–使用一个内部设计的专用集成电路(ASIC)–可以作为部署NAT目的地址转换的逻辑地址,因此可以用来有效解决网络地址匮乏的问题–是具有安全可靠的身份认证检测、实用的策略管理控制机制、灵活的四种应用模式、DMZ区的设计、负载平衡、流量控制、虚拟专用网等概念的新一代硬件网络防火墙。常见的防火墙产品介绍•NetScreen简介–NetScreen产品•netscreen-5:提供5M带宽的吞吐能力,支持10-25个用户的连接。具有防火墙和VPN功能。•NetScreen-10:提供10M带宽的吞吐能力。•NetScreen-100:提供100M带宽的吞吐能力。•NetScreen-1000:提供100M带宽的吞吐能力。•NetScreenGlobalManagerForWindowsNT:具有对NetScreen完整的Internet解决方案进行集中的管理的能力。对防火墙的攻击•IP地址欺骗–突破防火墙系统最常用的方法–伪造的IP发送地址产生虚假的数据分组,乔装成来自内部站的分组过滤器,对防火墙的攻击•TCP序号攻击–是绕过基于分组过滤方法的防火墙系统的最有效和最危险的方法之一–这种攻击基于在建立TCP连续时使用的三步握手序号–它假定利用前面叙述过的IP地址欺骗可以从外部把伪造的IP分组送入内部计算机系统对防火墙的攻击•IP分段攻击–采用数据分组分段的办法,数据包发送后,并不立即重新组装单个的分段,而是把它们路由到最终目的地,只在这时才把它们放在一块给出原始的IP分组–被分段的分组是对基于分组过滤防火墙系统的一个威胁,它们把它们的路由判决建立在TCP端口号的基础上,因为只有第一个分段标有TCP端口号,而没有TCP号的分段是不能被滤除的。–可以使用修改过的TCP实现来分析不完整的分段序列,藉此绕过防火墙系统对防火墙的攻击•基于附加信息的攻击–使用端口80(HTTP端口)传送内部信息给攻击者–这种攻击完全可以通过防火墙实现,因为防火墙允许HTTP通过且又没有一套完整的安全办法确定HTTP报文和非HTTP报文之间的差异。对防火墙的攻击•基于堡垒主机web服务器的攻击–把堡垒主机web服务器转变成避开防火墙内外部路由器作用或影响的系统。–它也可用于发动针对下一层保护的攻击,观察或破坏防火墙网络内的网络通信量,或者在防火墙只有一个路由器的情况下完全绕过防火墙•IP隧道攻击–IP隧道攻击即在端口80(或者其它任意防火墙允许信息包通过的端口)发送能产生穿过防火墙的IP隧道的程序。对防火墙的攻击•计算机病毒攻击–计算机病毒是一种把自身附加在程序之上对原先程序加以改变的代码段。它只是在程序开始运行时执行,然后复制其自身,并在复制中影响其他程序。病毒可以以多种形式穿越防火墙,比如通过email、比如通过客户机的浏览器等等。对防火墙的攻击•特洛伊木马攻击–特洛伊木马是藏匿在某一合法程序内完成伪装预定功能的代码段。它可作为藏匿计算机病毒、蠕虫或其他恶意程序的方式,但多数时间被用于绕过诸如防火墙这样的安全屏障对防火墙的攻击•报文攻击–利用重定向报文进行攻击–重定向报文可改变路由器,路由器根据这些报文建议主机走另一条“更好”的路径。–利用重定向报文把连接转向一个黑客或攻击者控制的主机,或使所有报文通过他们控制的主机来转发防火墙的其他功能•防火墙负载均衡技术–单一的防火墙引入会导致新的新的单一故障点,所以在高负载且非常重要的服务器前端,我们还应该使用防火墙负载衡技术防火墙的其他功能•防火墙的VPN功能–采用TCP/IP安全技术,借助现有的Internet网络环境,在公共网络信道上建立的逻辑上的企业专用网络–目的是为了在不安全的信道上实现安全信息传输,保证企业内部信息在Internet上传输时的机密性和完整性,同时使用鉴别对通过Internet进行的数据传输进行确认防火墙的其他功能•防火墙与IDS联动功能–天融信TOPSEC-开放式的应用安全接口–绿盟EOI开放协议谢谢!

1 / 41
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功