防火墙原理与部署training@asiainfo.com亚信科技(中国)有限公司亚信学院本课程的基本内容•防火墙的原理与分类•防火墙系统的设计原则•防火墙的选择与维护•网络的安全系统设计防火墙的原理内容•Internet的安全风险•Internet的基本安全概念•防火墙的重要性•防火墙的基本概念•防火墙的基本功能•防火墙的局限性•防火墙的分类Internet的安全风险•纷繁复杂的Internet–网络复杂–用户层次复杂–情况瞬息变化•企业网络出于商业目的向公众开放•TCP/IP协议的自身弱点•攻击工具非常容易取得•安全教育严重不足一个典型的攻击者工具包•网络扫描器(networkscanner)•强力口令破解和常用字典口令破解•报文监听(sniffer)•特洛伊木马程序和运行库(Trojan)•选择性修改系统日志的工具•隐藏活动的工具•自动修改系统配置文件的工具•报告错误信息的检验和工具(boguschksum)Internet上没有人能免于攻击政府企业个人Internet的基本安全概念•资源和信息–Confidentiality–Integrity–Availability•接触资源和信息的人–Authentication–Authorization–Nonrepudiation防火墙的基本概念•什么是防火墙?–防火墙是在一个组织的网络和Internet之间执行安全策略的一个或一组系统。我们希望防火墙具有的功能•过滤不安全因素,拒敌于国门之外•加强安全认证,控制资源和信息的使用•在安全认证的基础上,实现访问授权•减轻主机安全控制和安全配置的负担•提前发现攻击意图,防患于未然•记录攻击者的行踪,为法律解决提供依据防火墙的基本功能•数据包过滤•服务代理•加密认证•记录和报警•VPN和带宽管理数据包的过滤•过滤的原理–数据传输的分层与报头的结构•物理链路层--Networkaccesslayer–以太网,FDDI,ATM•网络层--Internetlayer–IP•传输层--TransportLayer–TCPorUDP•应用层--ApplicationLayer–FTP,Telnet,HTTP–防火墙的过滤原理数据包的过滤ApplicationPresentationSessionTransportDataLinkPhysicalDataLinkPhysicalFirewallApplicationPresentationSessionTransportDataLinkPhysicalNetworkNetworkTransport物理层数据报头的结构•物理报头:以太网,FDDI,ATM等IP报头结构TCP数据报头过滤的种类•基于源IP地址和目标IP地址的过滤•基于协议和端口的过滤•配合其他设备实现基于url的过滤和病毒的过滤过滤讲解-TelnetServerClientFIREWALL服务方向包方向源地址目标地址包类型源端口目标端口ACK设置出流出内部外部TCPX23A出流入外部内部TCP23XY入流入外部内部TCPX23A入流出内部外部TCP23XY过滤讲解-Telnet规则方向源地址目标地址协议源端口目标端口ACK设置动作A出内部任意TCP102323任意YB入任意内部TCP231023是YC双向任意内部TCP任意任意任意N数据包过滤的优点•成本较低•对上层服务协议透明•处理速度相对较快,尤其是在一些专用防火墙设备上可以保证用户的接入速度。数据包过滤的缺点•当过滤策略较多的时候,不容易掌握,并且会降低数据包转发效率。•容易成为IPSpoofing技术的攻击对象•需要系统管理员具有较丰富的TCP/IP网络管理的经验•不能控制基于上层服务的攻击•在单独承担防火墙系统功能时,安全性较差设置过滤需要考虑的问题•过滤处理的速度•可以检查的内容•实现过滤规则的顺序•是否可以将规则独立的实施在每一个硬件设备的端口•记录•测试和验证功能代理•代理的原理–内部用户能够通过它来实现对外部网络的交互访问。•代理服务的种类–应用层代理服务–回路层代理服务代理服务的工作原理应用层代理服务应用层代理服务器(Proxy)ApplicationPresentationSessionTransportDataLinkPhysicalNetworkDataLinkPhysicalApplicationPresentationSessionTransportDataLinkPhysicalApplicationPresentationSessionTransportNetworkNetworkTelnetHTTPFTPFirewall应用层代理服务器的优点优点:相对较高的安全性可以实现访问的身份认证可以在应用层控制服务的等级,权限ApplicationPresentationSessionTransportNetworkDataLinkPhysical应用层代理服务器的缺点缺点:性能较差,速度慢每种访问服务需要单独的代理服务器用户不透明ApplicationPresentationSessionTransportNetworkDataLinkPhysical回路层代理服务全状态检测(StatefulInspection)ApplicationPresentationSessionTransportDataLinkPhysicalDataLinkPhysicalApplicationPresentationSessionTransportDataLinkPhysicalNetworkNetworkNetworkPresentationSessionTransportEngineINSPECTApplicationDynamicStateTablesStatefulInspection•优点–GoodSecurity–HighPerformance–FullApplication-layerAwareness–Scalability–Extensible–TransparencyApplicationPresentationSessionTransportNetworkDataLinkPhysical地址翻译-NAT(一)•RFC1918规定了私有地址–下面三类地址不能用于Internet主机地址地址翻译-NAT(二)•实现方式–静态地址翻译–动态地址翻译–端口地址翻译(PAT)•优点:节约地址资源,有一定的安全保护作用•缺点:有些服务不能支持NAT-静态地址翻译NAT-端口地址翻译记录•记录的重要性–分析记录提前发现安全隐患–分析记录提供入侵证据–分析记录提供相关事件报告•记录文档的保存–安全–便于检查其他功能•加密认证•VPN•带宽管理新一代网络防火墙•一种平台完成多种功能•实现对IP,TCP,Session,Application的全面检查(病毒/Url过滤)•多种记录和报警方式•开放平台可以和其他网络设备结合实现全面安全网络解决方案防火墙的局限性•防火墙不能防范未知的攻击方式(最新)–时刻关注TCP/IP攻击技术的发展•防火墙不能防范不经过防火墙的攻击–确认防火墙是对外的唯一连接•防火墙自身不能防范病毒–可以配合其他病毒监测设备实施病毒扫描和清除防火墙的分类(一)•应用功能–网关型防火墙–服务代理–加密认证–地址翻译–VPN和带宽管理防火墙的分类(二)•设备类型–软件防火墙•基于操作系统之上,对系统进行加固•强调功能全面,支持多种应用服务;•FW1,CheckpointCorp.•Borderware,SecureComputing•TISFW,TIS–硬件防火墙•专用操作系统,硬件结构简单,处理速度快。•PIX,Cisco•NetScreenNetScreenInc.防火墙的应用设计和维护课程内容•防火墙的设计原则•防火墙的安全策略•常见的防火墙设计•防火墙的日常维护安全不是PnP•了解防火墙产品的特性•了解网络对外的开放程度•了解恶意进攻手段现代信息安全系统•现代信息安全系统=–防火墙–+合适的安全策略–+全体人员的参与防火墙的应用设计原则•Affordability–我准备为安全支付多少费用?•Functionality–我是否还能使用我的资源?•CulturalCompatibility–是否符合人们的工作方式?•Legality–是否合法?防火墙的应用设计原则•几个问题–Whoisallowedtousetheresources?–Whatistheproperuseoftheresources?–Whomayhavesystemadministrationprivileges?–Whataretheusersrightsandresponsibilities?–Whatdoyoudowithsensitiveinformation?–Whathappenswhenthepolicyisviolated?防火墙的应用原则•两种缺省选择–没有被明确允许的即为禁止–没有被明确禁止的即为允许防火墙的安全策略•防火墙的物理安全•防火墙的认证加密•防火墙的过滤策略•防火墙的预警能力•防火墙的记录设置名词解释•堡垒主机(BastionHost)–一个高度安全的计算机系统。通常是暴露于外部网络,作为连接内部网络用户的桥梁,易受攻击。•双重宿主主机(Dual-homedHost)–有至少两个以上的网络接口的计算机系统•周边网络(PerimeterNetworkorDMZ)–在被保护的网络和外部网络之间增加的网络,提供安全的隔离带,也称为非军事区防火墙主要功能•过滤进、出网络的数据•管理进、出网络的访问行为•封堵某些禁止的业务•记录通过防火墙的信息内容和活动•对网络攻击进行检测和报警常见的防火墙系统设计内部工作子网与外网的访问控制进行访问规则检查发起访问请求合法请求则允许对外访问将访问记录写进日志文件合法请求则允许对外访问发起访问请求防火墙在此处的功能:1、工作子网与外部子网的物理隔离2、访问控制3、对工作子网做NAT地址转换4、日志记录Internet区域Internet边界路由器DMZ区域区域与外网的访问控制进行访问规则检查发起访问请求合法请求则允许对外访问将访问记录写进日志文件禁止对外发起连结请求发起访问请求防火墙在此处的功能:1、DMZ网段与外部子网的物理隔离2、访问控制3、对DMZ子网做MAP映射4、日志记录DMZ区域区的访问控制进行访问规则检查发起访问请求合法请求则允许对外访问将访问记录写进日志文件禁止对工作子网发起连结请求防火墙在此处的功能:1、DMZ网段与工作子网的物理隔离2、访问控制4、日志记录发起访问请求Internet区域Internet边界路由器DMZ区域进行一次性口令认证认证通过后允许访问内网防火墙在此处的功能:1、对拨号用户进行一次性口令认证2、控制拨号用户对内网的访问权限3、对拨号用户的访问做日志和审计将访问记录写进日志文件用户拨号内部工作子网管理子网一般子网内部专线DMZ区域进行规则检查将访问记录写进日志文件防火墙在此处的功能:1、将内部子网与连接下属机构的公网隔离开2、控制下属机构子网用户对总部内网的访问3、对下属机构网络与总部子网之间的通讯做日志和审计HostCHostD数据包