搜索
防火墙培训1发展史和技术原理天融信2020年4月4日目录12防火墙是什么?历史与趋势防火墙架构4防火墙功能35常见部署方式1防火墙是什么?目录防火墙的定义防火墙是什么?Internet一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。两个安全域之间通信流的唯一通道UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为内部网防火墙的外观防火墙是什么?机架式分布式防火墙机盒式万兆防火墙机盒式千兆防火墙桌面式百兆防火墙通过在安全边界部署防火墙,可以实比VLAN、路由器更为强大、有效的访问控制功能;大大提高抗攻击的能力,实现边界防护。防火墙的分类防火墙是什么?软件防火墙硬件防火墙按形态分类按保护对象分类Internet保护整个网络保护单台主机网络防火墙单机防火墙Internet软件防火墙&硬件防火墙防火墙是什么?InternetInternet硬件防火墙软件防火墙操作系统平台安全性性能稳定性网络适应性分发升级成本硬件防火墙基于精简专用OS高高较高强不易较容易Price=firewall+Server软件防火墙基于庞大通用OS较高较高高较强非常容易容易Price=Firewall1、仅获得Firewall软件,需要准备额外的OS平台2、安全性依赖低层的OS3、网络适应性弱(主要以路由模式工作)4、稳定性高5、软件分发、升级比较方便1、硬件+软件,不用准备额外的OS平台2、安全性完全取决于专用的OS3、网络适应性强(支持多种接入模式)4、稳定性较高5、升级、更新不太灵活单机防火墙&网络防火墙防火墙是什么?Internet单机防火墙网络防火墙1、保护单台主机2、安全策略分散3、安全功能简单4、普通用户维护5、安全隐患较大6、策略设置灵活1、保护整个网络2、安全策略集中3、安全功能复杂多样4、专业管理员维护5、安全隐患小6、策略设置复杂单机防火墙网络防火墙产品形态软件硬件或者软件安装点单台独立的Host网络边界处安全策略分散在各个安全点对整个网络有效保护范围单台主机一个网段管理方式分散管理集中管理功能功能单一功能复杂、多样管理人员普通计算机用户专业网管人员安全措施单点安全措施全局安全措施结论单机防火墙是网络防火墙的有益补充,但不能代替网络防火墙为内部网络提供强大的保护功能单机防火墙网络防火墙12防火墙是什么?历史与趋势目录防火墙的发展史历史与趋势访问控制机制的演变1、路由器—ACL访问控制列表2、包过滤防火墙—根据IP五元组判断能否通过3、状态监测防火墙—根据应用判断能否通过4、应用代理防火墙—根据应用判断能否通过5、多检测机制防火墙—根据多个IP包判断整体应用后判断能否通过6、多功能集成网关(下一代防火墙)—嵌入多种防护功能,经过多层过滤后判断能否通过防火墙的发展史历史与趋势1.简单包过滤防火墙2.状态检测包过滤防火墙3.应用代理防火墙4.包过滤与应用代理复合型防火墙5.核检测防火墙包过滤防火墙定义历史与趋势数据包过滤(PacketFiltering)技术在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,即访问控制表(AccessControlList,ACL)包过滤防火墙分为静态包过滤、动态包过滤防火墙包检查器并不是检查数据包的所有内容,只检查报头(IP、TCP头部),通常只检查下列几项:•IP源地址•IP目标地址•TCP或UDP的源端口号•TCP或UDP的目的端口号•协议类型•ICMP消息类型•TCP报头中的ACK位•TCP的序列号、确认号•IP校验和数据包过滤检查信息IP报头TCP报头包过滤防火墙工作流程历史与趋势应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101只检查报头10100100100101001000001110011110111100100100101001000001110011110111101、简单包过滤防火墙不检查数据区2、简单包过滤防火墙不建立连接状态表3、前后报文无关4、应用层控制很弱包过滤防火墙优缺点历史与趋势优点逻辑简单对网有较强的透明性络性能的影响较小开销较小,设备便宜缺点无法对数据包的内容进行过滤审核在传输层或则是网络层上检测数据,不能在更高一层检测数据,比如能禁止和通过一个向内的HTTP请求,但不能判断这个请求是非法的还是合法的。防止欺骗攻击很难,特别是容易受到IP欺骗攻击所有可能用到的端口(尤其是1024的端口)都必需放开,增加了被攻击的可能性在复杂的网络中很难管理通常来说包过滤技术是防火墙技术中最低的。状态检测防火墙定义历史与趋势由动态包过滤防火墙演变而来,工作在传输层,使用各种状态表(statetables)来追踪活跃的TCP会话,它能够根据连接状态信息动态地建立和维持一个连接状态表,并且这个把这个连接状态表用于后续报文的处理。状态检测技术一般的检查点有:•检查数据包是否是一个已经建立并且正在使用的通信流的一部分。•如果数据包和连接表的各项都不匹配,那么防火墙就会检测数据包是否与它所配置的规则集相匹配。•在检测完毕后,防火墙会根据路由转发数据包,并且会在连接表中为此次对话创建或者更新一个连接项•防火墙通常对TCP包中被设置的FIN位进行检测、通过会话超时设置决定何时从连接表中删除某连接项。数据状态检测信息IP报头TCP报头状态检测防火墙工作流程历史与趋势应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101只检查报头10100100100101001000001110011110111100100100101001000001110011110111101、不检查数据区2、建立连接状态表3、前后报文相关4、应用层控制很弱建立连接状态表状态检测防火墙优缺点历史与趋势优点更高的安全性高效性应用范围广缺点不能对应用层数据进行控制不能产生高层日志配置复杂数据状态检测信息IP报头TCP报头应用代理防火墙定义历史与趋势应用代理(ApplicationProxy)也称为应用层网关(ApplicationGateway)工作在应用层,其核心是代理进程每一种应用对应一个代理进程,实现监视和控制应用层通信流自适应代理防火墙:在每个连接通信的开始仍然需要在应用层接受检测,而后面的包可以经过安全规则由自适应代理程序自动的选择是使用包过滤还是代理IP报头TCP报头数据应用代理检查信息代理应用进程应用服务器客户端发送请求转发请求请求响应转发响应应用代理防火墙工作流程历史与趋势应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101只检查数据10100100100101001000001110011110111100100100101001000001110011110111101、不检查IP报头2、不建立连接状态表3、网络层保护比较弱应用代理防火墙优缺点历史与趋势优点可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强代理完全控制会话,可以提供很详细的日志和安全审计功能可以隐藏内部网的IP地址,保护内部主机免受外部主机的进攻可以集成认证机制缺点最大缺点是要求用户改变自己的行为,或者在访问代理服务的每个系统上安装特殊的软件分析困难,实现困难每一种应用服务必须设计一个代理软件模块进行安全控制,并且应用升级时,一半代理服务程序也要升级影响用户网络速度(命令解释)不能防止SYN攻击复合型防火墙定义历史与趋势复合型防火墙是指综合了状态检测与应用代理的新一代的防火墙对整个报文进行访问控制和处理,具体检测内容由策略决定,如果策略是包过滤策略,则对TCP、IP报头进行检测,如果策略是应用代理策略,则对用户数据进行检测IP报头TCP报头数据复合型防火墙检查信息包过滤与应用代理复合型防火墙工作流程历史与趋势应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101检查整个报文内容10100100100101001000001110011110111100100100101001000001110011110111101、可以检查整个数据包内容2、根据需要建立连接状态表3、网络层保护强4、应用层控制细5、会话控制较弱建立连接状态表复合型防火墙优缺点历史与趋势优点可以检查整个数据包的内容根据需要建立连接状态表网络层保护强应用层控制细缺点会话控制较弱核检测防火墙定义历史与趋势对于简单包过滤防火墙、状态检测包过滤防火墙和应用代理防火墙,他们只是检查单个报文,所以只检查其中的一个报文,但是他们都不能把这些报文组合起来,形成一个会话来进行处理。对于核检测防火墙,它可以将不同报文,在防火墙内部,模拟成应用层客户端或服务器端,对整个报文进行重组,合成一个会话来进行理解,进行访问控制。可以提供更细的访问控制,同时能生产访问日志。可以看到,它的上下报文是相关的,它具备包过滤和应用代理防火墙的全部特点,还增加了对会话的保护能力。IP报头TCP报头数据核检测检查信息核检测防火墙工作流程历史与趋势应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击主服务器硬盘数据TCP开始攻击IP应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击主服务器硬盘数据检查多个报文组成的会话1010010010010100100000111001111011110010010010100100000111001111011110建立连接状态表TCP主服务器IPTCP硬盘数据IP开始攻击重写会话主服务器硬盘数据报文1报文2报文31、网络层保护强2、应用层保护强3、会话保护很强4、上下文相关5、前后报文有联系核检测防火墙优缺点历史与趋势优点网络层保护强应用层保护强会话层保护强前后报文有联系,可以关联进行出来缺点:不能防病毒传播不能防止一些未知的入侵或攻击防火墙技术比较历史与趋势综合安全性网络层保护应用层保护应用层透明整体性能处理对象简单包过滤防火墙状态检测包过滤防火墙应用代理防火墙复合型防火墙核检测防火墙单个包报头单个包报头单个包数据单个包全部一次会话发展趋势——多因子身份认证历史与趋势远程终端内网终端外部认证服务器Radius/LDAP/AD/TACACS防火墙AuthenticationAuthorization外网应用…内网应用OAERPCRM…“与/或”组合认证指纹IP地址时间动