《网络防火墙技术.ppt》由会员分享,可在线阅读,更多相关《网络防火墙技术.ppt(70页珍藏版)》请在三一办公上搜索。
1、Cryptography and Network Security,Firewall 防火墙技术,On the day that you take up your command,block the frontier passes,destroy the official tallies,and stop the passage of all emissaries.-The Art of War,Sun Tzu,是故政举之日,夷关折符,无通其使;是故始如处女,敌人开户;后如脱兔,敌不及拒。孙子兵法九地篇,四道防线,第一道防线:网络与系统接入控制 防止 第二道防线:用户管理与资源访问(数 据存取
2、)控制 阻止 第三道防线:病毒防范与动态安全管理。检测 第四道防线:灾难预防与系统恢复(备份)。纠正,第一道防线 网络与系统接入控制,主要解决信息系统计算机网络的边界安全与通信安全问题。主要解决“让不让进入”防(阻)止非法用户进入系统,内容,物理安全物理隔离技术防火墙技术VPN技术,物理安全,指以物理方法和技术保障网络信息系统的设备、线路和信息的安全和保密。物理安全是指在物理介质层次上对存储和传输的网络信息的安全保护。物理安全是网络信息安全的最基本保障。,物理安全,环境安全设备安全媒体安全主要防止:物理通路的损坏、窃听、攻击(干扰)等措施:抗干扰 防窃听,物理安全,基础设施安全:物理环境:场地
3、、计算机机房 物理保障:电力供应、灾难应急硬件设施:软件设施:操作系统、通信协议、应用软件、网管电磁兼容磁辐射保护,内外网物理隔离技术,只有一种真正安全的隔离手段,就是物理上断开连接。2000年1月,中国国家保密局主要应用对象:政府、军队、金融、铁路等,物理隔离,是指内部网络与外部网络在物理上没有相互连接的通道,两个系统在物理上完全独立。物理隔离:指在物理传导上、辐射上、存储上隔断两个网络。物理隔离的实现模型:客户端选择设备 网络选择器,用户级物理隔离技术,物理隔离技术大致分为三代:主要采用双网机的技术(双机)主要采用基于双网线的安全隔离卡技术(双硬盘物理隔离系统)主要采用基于单网线的安全隔离
4、卡技术加上网络选择器方法(单硬盘),网络级物理隔离,隔离集线器因特网信息转播服务器隔离服务器,Firewalls,1.防火墙基本概念 2.防火墙的类型 3.防火墙的体系结构 4.防火墙关键技术(VPN)5.防火墙的重要指标,一、Introduction,seen evolution of information systemsnow everyone want to be on the Internet and to interconnect networks has persistent security concernscant easily secure every system in
5、orgneed harm minimisation a Firewall usually part of this,系统访问控制:对进入系统的用户进行控制。主要解决信息系统计算机网络的边界安全和通信安全问题,决定网络连接的建立与否。“让不让进入”。,防火墙,防火墙指强加于两个网络之间边界处,保护内部网络免遭来自外部网络的威胁的系统或系统组合。,防火墙基本概念,企业内部网络和外部网络之间设置一个防火墙,阻止外部网络对内部网络进行访问控制的任何设备,实施网络之间的安全访问控制,确保企业内部网络的安全。它是网络间实施网间访问控制的一组组件。它通常是软件和硬件的组合体。根据一些规则来挑选想要或不想要的
6、地址。,What is a Firewall?,a choke point of control and monitoring interconnects networks with differing trustimposes restrictions on network servicesonly authorized traffic is allowed auditing and controlling accesscan implement alarms for abnormal behavioris itself immune to penetrationprovides perim
7、eter defence,基本功能:1)过滤进出网络的数据包。2)管理进出网络的访问行为。3)封堵某些禁止的访问行为。4)记录通过防火墙的信息内容和活动。5)对网络攻击进行检测和告警。,特性或设计目标:1)所有通信都必须经过防火墙。2)只有被授权的通信才能通过防火墙。3)防火墙本身对于渗透必须是免疫的。,防火墙保护内部网的主要优点,1)定义一个中心“扼制点”来防止非法用户进入内部网络。2)保护网络中脆弱的服务。3)在防火墙上可以很方便的监视网络的安全性,并产生报警。网络管理员必须审计并记录所有通过防火墙的重要信息。4)集中安全性。5)Internet防火墙可以作为部署NAT(网络地址变换)的逻
8、辑地址。6)增强保密性,强化私有权。7)Internet防火墙是审计和记录因特网使用量的一个最佳地方。8)因特网防火墙可以成为向客户发布信息的地点。,Firewall Limitations,cannot protect from attacks bypassing iteg sneaker net,utility modems,trusted organisations,trusted services(eg SSL/SSH)cannot protect against internal threatseg disgruntled employeecannot protect against
9、 transfer of all virus infected programs or filesbecause of huge range of O/S&file types,防火墙的主要缺陷:,1)无法防护来自内部网络用户的攻击。对内部网络用户来说形同虚设。2)无法防范防火墙以外(绕过了它)的其他途径的攻击。3)无法防止病毒感染过的程序和文件进出网络。,防火墙用以控制访问和加强站点安全策略的四项常用技术:1.服务控制技术2.方向控制3.用户控制4.行为控制,防火墙的姿态,Stance默认=丢弃 拒绝没有特别允许的任何事情默认=转发 允许没有特别拒绝的任何事情,二、防火墙的类型,包过滤防火墙
10、(门卫)应用级网关(代理、首长秘书)电路级网关(中继、接线员),Firewalls Packet Filters,simplest of components foundation of any firewall system examine each IP packet(no context)and permit or deny according to rules hence restrict access to services(ports)possible default policiesthat not expressly permitted is prohibited that n
11、ot expressly prohibited is permitted,包过滤路由器,又称网络层防火墙或IP过滤器。依据一套规则对收到的IP包进行处理,决定是转发还是丢弃。信息过滤规则:数据包头信息为基础。,典型的包过滤使用的信息,源IP地址目的IP地址源和目的传输层地址IP协议域接口,Firewalls Packet Filters,Firewalls Packet Filters,包过滤路由器的优点:简单、透明、速度快。缺点:1.无法防范对特定应用的攻击 2.可用信息有限,日志功能也有限。3.不支持高级用户认证方案。4.易受地址欺骗攻击 5.对由于不恰当设置导致的威胁脆弱,Attacks
12、 on Packet Filters,IP address spoofingfake source address to be trustedadd filters on router to blocksource routing attacksattacker sets a route other than defaultblock source routed packetstiny fragment attackssplit header info over several tiny packetseither discard or reassemble before check,状态检查
13、防火墙,动态分组过滤:维护一份连接表(状态表、状态检测)来监视通信会话的状态而不是简单的依靠标志的设置。状态过滤:状态检查防火墙的包过滤器通过建立外向TCP连接字典,加强了处理TCP通信的规则。针对专门协议的状态规则。在动态过滤基础上能够维护应用状态,而不是连接状态。,Firewalls Stateful Packet Filters,examine each IP packet in contextkeeps tracks of client-server sessionschecks each packet validly belongs to onebetter able to dete
14、ct bogus packets out of context,应用级网关,代理服务器建立在网络应用层上,因特网安全代理。如果网关无法执行某个应用程序的代理码,服务就无法执行,也不能通过防火墙发送。应用级上日志管理和通信过程审查容易。不足:每次连接中有多余的处理开销。,Firewalls-Application Level Gateway(or Proxy),Firewalls-Application Level Gateway(or Proxy),use an application specific gateway/proxy has full access to protocol use
15、r requests service from proxy proxy validates request as legal then actions request and returns result to user need separate proxies for each service some services naturally support proxying others are more problematic custom services generally not supported,电路级网关,不允许一个端到端的直接TCP连接;由网关建立两个TCP连接,一个连接网
16、关与网络内部的TCP用户,一个连接网关与网络外部的TCP用户。连接建立以后,网关起中继作用。具体应用:系统管理员信任内部用户的环境,SOCKS,Firewalls-Circuit Level Gateway,Firewalls-Circuit Level Gateway,relays two TCP connectionsimposes security by limiting which such connections are allowedonce created usually relays traffic without examining contentstypically use
17、d when trust internal users by allowing general outbound connectionsSOCKS commonly used for this,堡垒主机,混合型防火墙把过滤和代理服务等功能结合起来,所用主机称为堡垒主机。作为应用级网关和电路级网关的服务平台。一个可以承受攻击的硬件化系统,它安装于外来攻击者可进入被保护网络的通道上。是防火墙功能的重要组成部分。,Bastion Host,highly secure host system potentially exposed to hostile elements hence is secure
18、d to withstand this may support 2 or more net connectionsmay be trusted to enforce trusted separation between network connectionsruns circuit/application level gateways or provides externally accessible services,三、防火墙的体系结构,防火墙的配置:包过滤型双宿网关/多宿网关屏蔽主机屏蔽子网,包过滤路由器,使用单一的包过滤路由器或网关。,单宿主机防火墙,包括:一个包过滤路由器和一台堡垒主
19、机。路由器配置如下:1 对来自Internet的通信,只允许发往堡垒主机的IP包通过。2 对来自网络内部的通信,只允许经过了堡垒主机的IP包通过。堡垒主机:验证和代理功能。,Firewall Configurations,双宿主机防火墙,主机配置两块网卡“双穴”运行代理服务器代理服务双穴主机网关具有强大的身份认证系统双穴网关:在防火墙的配置中,双穴网关常用于阻断或过滤某些或全部试图在网络间的通信。,Firewall Configurations,优点:提供由IP层到应用层的保护,提供基于主机和用户的安全控制。缺点:堡垒主机的底座安全性和处理能力的要求很高。不能提供网络层的直接转发。,屏蔽主机防
20、火墙,屏蔽子网防火墙,由两个包过滤路由器和一个堡垒主机组成。被屏蔽子网被称为“停火区”或“非军事区”DMZ-DeMilitarized Zone 指位于连接整个网络的路由器与作为防火墙的主机之间那段受到部分保护的网络。,Firewall Configurations,优点:更有效地保护了受保护子网,黑客至少要攻破两道防线才进入内部网。,四、防火墙关键技术,包过滤技术代理技术电路级网关技术状态检查技术网络地址转换技术NAT安全审计技术安全内核技术等,包过滤技术,静态包过滤技术动态包过滤技术(状态检测),代理服务技术,在应用网关上运行应用代理程序,虚拟专用网(VPN),VPN被定义为通过一个公共网
21、络(如Internet)建立的临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。,虚拟专用网(VPN),VPN是指在公共网络中建立专用网络,数据通过安全的“加密通道”在公共网络中传输。VPN的基本原理是通过对IP包的封装及加密、认证等手段,从而达到保证安全的目的。,VPN分为三类:1 内部网VPN:总部和各个分支机构 2 远程访问VPN:总部和远地雇员之间 3 外联网VPN:公司与伙伴、供应商、投资商之间,VPN至少提供如下功能:数据加密信息认证和身份认证访问权限控制,特点:1 使用VPN专用网的构建将使费用大幅降低。2 VPN灵活性大3 VPN易于管理维护,VPN技术,隧道技术
22、加解密技术密钥管理技术身份认证技术访问控制技术,一个隧道的基本组成:一个隧道启动器一个路由网络(Internet)一个可选的隧道交换机一个或多个隧道交换器此外,还需一台或多台安全服务器。,五、防火墙的重要指标,防火墙的管理:本地管理远程管理,防火墙的功能:内容过滤NAT技术状态检测,防火墙的性能:吞吐量时延丢包率背对背包并发连接数,Evaluated Computer Systems,governments can evaluate IT systemsagainst a range of standards:TCSEC,IPSEC and now Common Criteriadefine a number of“levels”of evaluation with increasingly stringent checkinghave published lists of evaluated productsthough aimed at government/defense usecan be useful in industry also,Summary,have considered:firewallstypes of firewallsconfigurationsaccess controltrusted systems,
