1防火墙与VPN2主要内容防火墙基础防火墙主要技术防火墙的体系结构防火墙产品VPN3传统防火墙最初含义:防火墙被设计用来防止大火从建筑物的一部分传播到另一部分4网络安全中的防火墙位于两个信任程度不同的网络之间的软件或硬件设备的组合,作为一个安全网络的边界点它根据企业的安全策略对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问,以达到保护网络系统安全的目的防火墙是实现网络安全策略的有效工具之一,被广泛地应用到Internet与Intranet之间。5网络安全中的防火墙防火墙拓扑位置专用(内部)和公共(外部)网络之间网络的出口和入口处专用网络内部:关键的网段,如数据中心防火墙区域可信网络(内部)非可信网络(外部,Internet)DMZ(非军事区)DMZ中的系统通常为提供对外服务的系统增强信任区域中设备的安全性特殊的访问策略信任区域中的设备也会对DMZ中的系统进行访问6防火墙的位置示意图防火墙的安全模型Internet因特网防火墙企业网7防火墙的位置示意图防火墙的安全模型Internet因特网分部网络企业网部门子网8防火墙的特征两个信任程度不同的网络之间通信的唯一通道Internet方向源IP源端口目的IP目的端口协议动作inanyany外部anyDns_ip53udp/tcpPermitin内部anyDns_ip53udp/tcpPermit根据安全策略决定信息的通过与否;只有经过授权的信息防火墙才允许通过防火墙本身应该是安全的9防火墙的功能过滤不安全的服务和通信;禁止未授权用户访问内部网络;控制对内网的访问方式;屏蔽内部网络,防止内部信息的外泄;记录通过防火墙的信息内容和活动;对网络攻击进行检测和告警。10防火墙的局限性(1)不能防范恶意的内部用户的攻击(2)不能防范不通过防火墙的连接(3)不能防范未知的新的攻击(4)不能防范已传染病毒的文件的传送11使用防火墙的优缺点优点⑴网络安全的屏障,提高整个网络的安全性⑵能强化网络安全策略⑶有效地记录网络访问活动⑷对内部网络划分,实施重点保护缺点⑴管理配置复杂,容易造成安全漏洞⑵可能成为网络通信的瓶颈⑶应用代理防火墙必须不断设计新的代理⑷可能会限制某些有用的网络服务12防火墙主要技术包过滤技术代理服务技术状态检测技术地址翻译技术13包过滤技术包过滤技术是防火墙的第一代技术,也是一种最基本的实现技术包过滤通常由包过滤路由器在网络层上实现它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃包过滤防火墙是最简单的防火墙14包过滤基本原理5432154321计算机1AP2AP1计算机2应用程序数据应用层首部pdu10100110100101比特流110101110101应用程序数据pdu应用程序数据tcppdu应用程序数据iptcppdu应用程序数据tcp运输层首部ip网络层首部eth链路层首部T2链路层尾部15包过滤基本原理5432154321计算机1AP2AP1计算机2tcppdu应用程序数据ip只检查报头方向源IP源端口目的IP目的端口协议动作inanyany外部anyDns_ip53udp/tcpPermitin内部anyDns_ip53udp/tcpPermit查找安全策略决定转发还是丢弃16两类包过滤⑴按地址过滤包过滤路由器检查包头的地址信息,与过滤规则进行匹配,决定是否转发该数据包⑵按服务过滤根据安全策略决定允许或拒绝某种服务比如:禁止外部主机访问内部的DNS服务器,端口号5317如基于IP地址和服务设置ACL方向源IP源端口目的IP目的端口协议动作备注in内部ipanyanyanyudp/tcpDeny防止IP欺骗inanyany允许允许DNS服务inanyanyanyanyudp/tcpDeny禁止其他服务18包过滤技术的优缺点优点:一个放置在重要位置上的包过滤路由器即可保护整个网络对用户和应用程序透明效率高缺点:正确制定过滤规则非常复杂不识别用户,不能防止IP盗用19状态检测技术简单包过滤技术的不足:不能根据状态信息进行控制而TCP连接是有状态的状态检测技术:在包过滤的同时,检查数据包之间的关联性,数据包中动态变化的状态码状态检测技术是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,对接收到的数据包进行分析,判断其是否属于当前合法连接,从而进行动态的过滤20状态检测技术的工作原理21TCP连接状态的特征TCP连接进入不同的阶段具有不同的状态;TCP连接状态的转换要按一定的顺序进行;在TCP连接中客户机与服务器的状态不相同;TCP包中有6个标志位:FIN、SYN、RST、PSH、ACK、URG,其中一些不能同时存在,如SYN不能和FIN、RST、PSH同时存在。22状态检测技术优缺点优点减少检查工作量,提高效率连接状态可以简化规则的设置缺点:对应用层检测不够深入现代主流防火墙技术,速度快,配置方便,功能较多23代理技术代理技术是防火墙中使用较多的技术,也是一种安全性能较高的技术代理防火墙的概念源于代理服务器。所谓代理服务器是指代理内部网络用户与外部网络服务器进行信息交换的程序。它可以将内部用户的请示确认后送达外部服务器,同时将外部服务器的响应再回送给用户。24代理技术代理服务是运行在防火墙主机上的专门的应用程序,不允许通信直接经过外部网和内部网。将跨越防火墙的网络通信链路分为两段;外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用;代理防火墙主机可以是具有一个内部网接口和一个外部网接口的双穴主机,也可以是某个可访问Internet并可被内部主机访问的堡垒主机。25代理技术工作原理26代理技术工作原理直实服务器外部 响应转发请求Internet代理客户应用层代理服务代理服务器应用协议分析请求转发响应Intranet真实的客户端27代理服务分类代理服务可分为应用级代理与电路级代理:应用级代理是已知代理服务向某一应用提供的代理,它在应用协议中理解并解释命令。电路级代理是在客户和服务器之间不解释应用协议即建立回路。电路级代理的优点在于它能对各种不同的协议提供服务,28应用层代理技术的优缺点优点:理解应用协议,可以更细粒度的访问控制安全性相对高:把通信连路分成两个部分,不允许数据包直接传送而是通过双穴主机或堡垒主机间接传送缺点:每种应用要求不同的代理服务;要求对客户或程序进行修改;对某些服务不适合;速度相对比较慢,可能会成为内外部网络之间的瓶颈。29地址翻译技术IP地址的两种类型:专用地址——仅在机构内部使用而不需要申请10.0.0.0到10.255.255.255172.16.0.0到172.31.255.255192.168.0.0到192.168.255.255全球地址——全球惟一的IP地址,必须向因特网的管理机构申请。30地址翻译技术网络地址翻译(NAT),即将分组中的一个IP地址替换为另一个IP地址。设计目的增加私有组织的可用地址空间解决将现有的私有TCP/IP网络连接到互联网上的IP地址编号问题功能解决IP地址短缺隐藏内部网络结构和主机31网络地址翻译技术NAT的三种方式M-1:多个内部地址翻译到一个IP地址1-1:一个内部地址翻译到一个IP地址M-N:多个内部地址翻译到N个IP地址主要类型静态翻译动态翻译32防火墙体系结构防火墙体系结构一般有四种:1.包过滤路由器结构2.双穴主机结构3.屏蔽主机过构4.屏蔽子网结构33包过滤路由器结构一般由专门的包过滤路由器实现,位于Internet和内部网之间,在其上安装包过滤软件,实现包过滤功能。作为内外连接的唯一通道,要求所有的数据包都必须在此通过检查。屏蔽路由器Internet内部网34双穴主机结构由一台安装两个网卡的主机构建,两块网卡各自拥有不同的IP地址,并分别与内部网和Internet相连,双穴主机上运行防火墙软件。两块网卡间禁用路由选择功能,内外网络只能与双穴主机通信,而不能直接通信。Internet内部网双穴主机35屏蔽主机结构典型构成:包过滤路由器+堡垒主机。包过滤路由器配置在内部网和外部网之间,保证符合安全策略的外部系统对内部网络的访问只能经过堡垒主机。堡垒主机配置在内部网络上,是外部网络主机连接到内部网络主机的桥梁堡垒主机是防火墙系统中经过加固,安装了代理服务程序,但是没有IP转发功能的计算机,用于在内部网用户与外部服务器之间建立间接的连接,可被认为是应用网关。36堡垒主机内部网络Internet路由器防火墙客户机客户机服务器屏蔽主机结构防火墙37屏蔽子网结构典构成:两台包过滤路由器+DMZ两台包过滤路由器之间建立一个子网,用这一子网将内部网和外部网分开。DMZ:从内部网中分离出来一个独立的子网,在其中放置一些Internet上的用户所访问的系统,用于提供公共服务,是一个半保护的不真正安全的网络,也称为周边网络。堡垒主机位于DMZ中。38内部路由器对外服务器堡垒主机内部网络Internet防火墙外部路由器客户机客户机服务器客户机客户机周边网络DMZ屏蔽子网结构防火墙39三端口结构屏蔽子网防火墙FirewallInternetDMZInternalNetwork40典型的网络防火墙产品国外•CheckpointFireWall-11.CiscoPIX防火墙2.Netscreen防火墙1.国内:天融信网络卫士防火墙东软NetEye防火墙联想网御防火墙41个人防火墙网络防火墙的局限安装在网络边界不能防范内部攻击不能针对内部各主机实行个性化保护用户计算机问题用户宽带上网用户主机被入侵、被控制成为肉鸡用户隐私泄露42个人防火墙个人防火墙是一种能够保护个人计算机系统安全的软件,可以直接在用户计算机操作系统上运行,使用与网络防火墙相似的方式,检查到达防火墙两端的所有数据包,从而决定拦截这个包还是将其放行,以保护计算机免受攻击。现在流行的个人防火墙软件既可以基于IP规则过滤,也可以基于应用程序过滤数据。提高了主机安全性,是网络防火墙的有效补充。43常见个人防火墙天网个人防火墙瑞星个人防火墙江民反黑王金山网镖卡巴斯基个人防火墙诺顿个人防火墙费尔个人防火墙ARP防火墙WindowsICF……44天网个人防火墙由国内的天网实验室()开发的个人防火墙,它根据设定的安全规则,可以提供访问控制、应用选通、信息过滤等功能,可以防范网络入侵和攻击,防止信息泄漏。天网个人防火墙主要功能对访问请求实时监控可灵活设置IP安全规则提供应用程序访问网络权限设置功能全面的日志记录功能报警功能45天网个人防火墙的主面板应用程序规则IP规则管理系统设置应用程序状态日志当前安全级别接通/断开网络46应用程序安全规则设置可以设置应用程序安全规则,对应用程序数据包进行低层分析和拦截,以决定是否拦截此应用程序的网络连接请求。对于任何应用程序发送和接受数据包的行为,防火墙都会截获,并弹出报警窗口。47应用程序访问网络权限设置通过单击某安全规则的“选项”按钮,可以设置应用程序可以使用的协议、端口,并设置不符合条件时所采用的操作。48IP规则设置IP规则的设置是对主机中的每一个数据包进行控制。缺省安装下,天网防火墙的IP安全规则已经相当完善了。用户可以自行添加、修改、删除IP规则。49系统设置系统