《防火墙技术与产品.ppt》由会员分享,可在线阅读,更多相关《防火墙技术与产品.ppt(111页珍藏版)》请在三一办公上搜索。
1、,防火墙技术与产品,防火墙概念防火墙特征防火墙功能协议与服务防火墙技术内容防火墙体系结构防火墙实现策略对防火墙技术与产品发展的介绍对防火墙技术的展望,内容提要,防火墙(Firewall),为什么需要防火墙,所有软件都是有错的通常情况下99.99%无错的程序很少会出问题同安全相关的99.99%无错的程序可以确信会被人利用那0.01%的错误0.01%安全问题等于100%的失败,Why Security is Harder than it Looks,内部网特点,组成结构复杂各节点通常自主管理信任边界复杂,缺乏有效管理有显著的内外区别机构有整体的安全需求最薄弱环节原则,为什么需要防火墙,保护内部不受
2、来自Internet的攻击为了创建安全域为了增强机构安全策略,防火墙概念,防火墙是指设置在不同网络或网络安全域(公共网和企业内部网)之间的一系列部件的组合。它是不同网络(安全域)之间的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有很高的抗攻击能力,它是提供信息安全服务,实现网络和信息安全的基础设施。,防火墙特征,保护脆弱和有缺陷的网络服务集中化的安全管理加强对网络系统的访问控制加强隐私对网络存取和访问进行监控审计,保护脆弱和有缺陷的网络服务一个防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防
3、火墙,所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。,防火墙特征,防火墙特,集中化的安全管理通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。,加强对网络系统的访问控制一个防火墙的主要功能是对整个网络的访问控制。比如防火墙可以屏蔽部分主机,使外部网络无法访问,同样可以屏蔽部分主机的特定服务,使得外部网络可以访问该主机的其它服务,但无法访问该主机的
4、特定服务。防火墙不应向外界提供网络中任何不需要服务的访问权,这实际上是安全政策的要求了。控制对特殊站点的访问:如有些主机或服务能被外部网络访问,而有些则需被保护起来,防止不必要的访问。,防火墙特征,加强隐私隐私是内部网络非常关心的问题。一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。,防火墙特征,对网络存取和访问进行监控审计如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进
5、行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。,防火墙特征,协议 ISO/OSI协议分层,应用层,表示层,会话层,传输层,数据链路层,物理层,网络层,数据链路层,协议 ISO/OSI协议分层,物理层:涉及在物理信道上传输原始比特,处理与物理传输介质有关的机械的、电气的和过程的接口。数据链路层:分为介质访问控制(MAC)和逻辑链路控制(LLC)两个子层。MAC子层解决广播型网络中多用户竞争信道使
6、用权问题。LLC的主要任务是将有噪声的物理信道变成无传输差错的通信信道,提供数据成帧、差错控制、流量控制和链路控制等功能。网络层:负责将数据从物理连接的一端传到另一端,即所谓点到点,通信主要功能是寻径,以及与之相关的流量控制和拥塞控制等。,协议 ISO/OSI协议分层,传输层:主要目的在于弥补网络层服务与用户需求之间的差距。传输层通过向上提供一个标准、通用的界面,使上层与通信子网(下三层)的细节相隔离。传输层的主要任务是提供进程间通信机制和保证数据传输的可靠性。会话层:主要针对远程终端访问。主要任务包括会话管理、传输同步以及活动管理等。表示层:主要功能是信息转换,包括信息压缩、加密、与标准格式
7、的转换(以及上述各操作的逆操作)等等。应用层:提供最常用且通用的应用程序,包括电子邮件(E-mail)和文电传输等。,应用层表示层会话层传输层网络层数据链路层物理层,FTP、TELNET NFSSMTP、SNMP XDR RPC TCP、UDP IPEthernet、PDN、IEEE802.3、IEEE802.4、IEEE802.5及其它,ICMP,ARP RARP,OSI参考模型,Internet协议簇,OSI参考模型与Internet协议簇,协议TCP/IP协议分层,应用层,传输层,网间网层,网络接口层,协议TCP/IP协议分层,应用层:向用户提供一组常用的应用程序,比如文件传输访问、电子
8、邮件、远程登录等。用户完全可以在“网间网”之上(即传输层之上),建立自己的专用应用程序,这些专用应用程序要用到TCP/IP,但不属于TCP/IP。传输层(TCP/UDP):提供应用程序间(即端到端)的可靠(TCP)或高效(UDP)的通信。其功能包括:格式化信息流及提供可靠传输。传输层还要解决不同应用程序的识别问题。网间网层(IP):负责相邻计算机之间的通信。其功能包括:处理来自传输层的分组发送请求;处理输入数据包;处理ICMP报文。网络接口层:TCP/IP协议的最低层,负责接收IP数据报并通过网络发送,或者从网络上接收物理帧,抽出IP数据包,交给IP层。,TCP/IP服务,SMTP-Simpl
9、e Mail Transfer Protocol,用于发送、接收电子邮件。TELNET-可以远程登陆到网络的每个主机上,直接使用他的资源。FTP-File Transfer Protocol,用于文件传输。DNS-Domain Name Service,被 TELNET、FTP、WWW及其它服务所用,可以把主机名字转换为 IP 地址。WWW-World Wide Web,是 FTP、gopher、WAIS及其它信息服务的结合体,使用超文本传输协议(http)。,TCP/IP服务,RPC-远程过程调用服务。如 NFS-Network File System,可允许系统共享目录与磁盘。NIS-Ne
10、twork Information Services,网络信息服务容许多个系统共享数据库,如 password file容许集中管理。X Window System:一个图形化的窗口系统。Rlogin、rsh、及 其它“r”服务。运用相互信任的主机的概念,在其它系统上可以执行命令且不要求 password。,TCP/IP服务,IP,IP协议的主要内容包括无连接数据报传送、数据报寻径及差错处理三部分。IP层作为通信子网的最高层,屏蔽底层各种物理网络的技术环节,向上(TCP层)提供一致的、通用性的接口,使得各种物理网络的差异性对上层协议不复存在。IP数据报分为报头和数据区两部分,IP报头由IP协议
11、处理,是IP协议的体现;数据体则用于封装传输层数据或差错和控制报文(ICMP)数据,由TCP协议或ICMP协议处理。,TCP,TCP是传输层的重要协议之一,提供面向连接的可靠字节流传输。面向连接的TCP要求在进行实际数据传输前,必须在信源端与信宿端建立一条连接。且面向连接的每一个报文都需接收端确认,未确认报文被认为是出错报文,出错的报文协议要求出错重传。TCP采用可变窗口进行流量控制和拥塞控制以保证可靠性。分组是TCP传输数据的基本单元,分TCP头和TCP数据体两大部分。,UDP,UDP是传输层的重要协议之一;基于UDP的服务包括NIS、NFS、NTP及DNS等。UDP不是面向连接的服务,几乎
12、不提供可靠性措施;因此,基于UDP的服务具有较高的风险。,TCP与UDP端口,一个TCP或UDP连接由下述要素唯一确定:源IP地址、目的地IP地址、源端口、目的地端口。TCP或UDP用协议端口标识通信进程,端口是一种抽象的软件结构(包括一些数据结构和I/O缓冲区)。应用程序(即进程)通过系统调用与某些端口建立连接后,传输层传给该端口的数据被相应进程所接收。接口又是进程访问传输服务的人口点。每个端口拥有一个叫端口号的16位整数标识符,用于区分不同端口。TCP和UDP软件分别可以提供65536个不同的端口。端口有两部分,一部分是保留端口(端口号小于1024,对应于服务器进程),一部分是自由端口(以
13、本地方式分配)。,某些服务进程通常对应于特定的端口。如SMTP为25,X WINDOWS为6000。客户使用端口号及目的地IP地址初始化与一个特定主机或服务的连接。,TCP与UDP端口,防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型,总体来讲可分为三大类:分组过滤应用代理电路中继,防火墙技术内容,分组过滤(Packet filtering):作用在网络层和传输层,它根据分组包头源地址,目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。应用代理(Application Proxy):也叫应用网关(
14、Application Gateway),它作用在应用层,其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。电路中继(Circuit Relay)也叫电路网关(Circuit Gateway)或TCP代理(TCP Proxy),其工作原理与应用代理类似,不同之处是该代理程序是专门为传输层的TCP协议编制的。,防火墙技术内容,防火墙技术内容分组过滤,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,物理层,数据链路层,网络层,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,外部网络
15、主机,内部网络主机,分组过滤型防火墙,一个分组过滤型防火墙通常能根据IP分组的以下各项过滤:源IP地址目标IP地址TCP/UDP源端口TCP/UDP目标端口协议类型,防火墙技术内容分组过滤,防火墙技术内容分组过滤,分组过滤防火墙应用示例,优点:透明的防火墙系统高速的网络性能易于配置支持网络内部隐藏,防火墙技术内容分组过滤,缺点:易于IP地址假冒记录日志信息不充分源路由攻击设计和配置一个真正安全的分组过滤规则比较困难分组过滤防火墙并不能过滤所有的协议极小分片设数据包攻击无法防止数据驱动式攻击,防火墙技术内容分组过滤,防火墙技术内容应用代理,应用层,表示层,会话层,传输层,网络层,数据链路层,物理
16、层,物理层,数据链路层,网络层,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,外部网络主机,内部网络主机,应用代理型防火墙,应用层,表示层,会话层,传输层,防火墙技术内容应用代理,外部Telnet服务器,内部Telnet服务器,日志系统,Telnet代理,FTP代理,认证系统,应用网关,一个Telnet代理的例子,一个Telnet应用代理的过程用户首先Telnet到应用网关主机,并输入内部目标主机的名字(域名、IP地址)应用网关检查用户的源IP地址等,并根据事先设定的访问规则来决定是否转发或拒绝然后用户必须进行是否验证(如一次一密等高级认证设备)应用网关中的代理服务器为用户建立在
17、网关与内部主机之间的Telnet连接代理服务器在两个连接(用户/应用网关,代理服务器/内部主机)之间传送数据应用网关对本次连接进行日志记录,防火墙技术内容应用代理,优点:在网络连接建立之前可以对用户身份进行认证所有通过防火墙的信息流可以被记录下来易于配置支持内部网络的信息隐藏与分组过滤规则相比简单易于控制和管理,防火墙技术内容应用代理,缺点:对每种类型的服务都需要一个代理网络性能不高防火墙对用户不透明客户应用可能需要修改需要多个防火墙主机,防火墙技术内容应用代理,防火墙技术内容电路中继,拓扑结构同应用程序网关相同接收客户端连接请求,代理客户端完成网络连接在客户和服务器间中转数据通用性强,防火墙
18、几种典型配置方案,双宿主方案屏蔽主机方案单宿主堡垒主机双宿主堡垒主机屏蔽子网方案,防火墙的配置,几个概念堡垒主机(Bastion Host):对外部网络暴露,同时也是内部网络用户的主要连接点双宿主主机(dual-homed host):至少有两个网络接口的通用计算机系统DMZ(Demilitarized Zone,非军事区或者停火区):在内部网络和外部网络之间增加的一个子网,配置方案一,双宿主堡垒主机方案所有的流量都通过堡垒主机优点:简单,配置方案二,屏蔽主机方案:单宿主堡垒主机只允许堡垒主机可以与外界直接通讯优点:两层保护:包过滤+应用层网关;灵活配置 缺点:一旦包过滤路由器被攻破,则内部网
19、络被暴露,配置方案三,屏蔽主机方案:双宿主堡垒主机从物理上把内部网络和Internet隔开,必须通过两层屏障优点:两层保护:包过滤+应用层网关;配置灵活,配置方案四,屏蔽子网防火墙优点:三层防护,用来阻止入侵者外面的router只向Internet暴露屏蔽子网中的主机内部的router只向内部私有网暴露屏蔽子网中的主机,防火墙实现策略,对防火墙系统而言,共有两层网络安全策略:网络服务访问策略:是高层策略,定义了受保护网络明确允许和明确拒绝的网络服务,分析网络服务的可用性(包括可用条件)、风险性等。防火墙设计策略:是低层策略,描述了防火墙如何根据高层的网络服务访问策略中定义的策略来具体地限制访问
20、和过滤服务。,网络服务访问策略不允许外部网络或Internet访问内部网络,但允许内部网络访问外部网络或Internet。允许外部网络或Internet访问部分内部网络,这些特定的网络服务是经过严格选择和控制的,如一些信息服务器、电子邮件服务器或域名服务器等等。,防火墙实现策略,防火墙设计策略 防火墙设计策略必须针对具体的防火墙,它定义过滤规则等,以实现高层的网络服务策略。这个策略在设计时必须考虑到防火墙本身的性能、限制及具体协议如TCP/IP。常用的两种基本防火墙设计策略是:允许所有除明确拒绝之外的通信或服务(很少考虑,因为这样的防火墙可能带来许多风险和安全问题。攻击者完全可以使用一种拒绝策
21、略中没有定义的服务而被允许并攻击网络)拒绝所有除明确允许之外的通信或服务(常用,但操作困难,并有可能拒绝网络用户的正常需求与合法服务),防火墙实现策略,作为一个安全策略的设计者,应懂得以下问题的要点:哪些Internet服务是本网络系统打算使用或提供的?(如TELNET、FTP、HTTP)这些Internet服务在哪或哪个范围内使用?(如在本地网内、整个Internet或拨号服务等)可能有哪些额外或临时的服务或需求?(如加密、拨入服务等)提供这些服务和访问有哪些风险和总的花费?,防火墙实现策略,对防火墙技术与产品发展的介绍,防火墙技术是建立在现代通信网络技术和信息安全技 术基础上的应用性安全技
22、术,越来越多地应用于专用 网络与公用网络的互联环境之中,尤其以接入Internet网络为最甚。Internet的迅猛发展,使得防火墙产品在短短的几年内异军突起,很快形成了一个产业:据不完全统计,在国际上防火墙产品销售从1995年的不到1万套,猛增到1997年底的10万套。据国际权威商业调查机构的预测,防火墙市场将以173的复合增长率增长,到2000年将达150万套,市场营业额将从1995年的1.6亿美元上升到2000年的9.8亿美元。,防火墙发展历程第一阶段:基于路由器的防火墙第二阶段:用户化的防火墙工具套第三阶段:建立在通用操作系统上的防火墙第四阶段:具有安全操作系统的防火墙,对防火墙技术与
23、产品发展的介绍,第一代防火墙产品的特点是:利用路由器本身对分组的解析,以访问控制表(access list)方式实现对分组的过滤;过滤判决的依据可以是:地址、端口号、IP旗标及其它 网络特征;只有分组过滤的功能,且防火墙与路由器是一体的,对 安全要求低的网络可采用路由器附带防火墙功能的方法,对安全性要求高的网络则可单独利用一台路由器作防火墙。,第一阶段:基于路由器的防火墙,第一阶段:基于路由器的防火墙,第一代防火墙产品的不足之处为:路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。路由器上的分组过滤规则的设置和配置存在安全隐患。攻击者可以“假冒”地址,由于信息在网络上是以明文
24、传送的,黑客可以在网络上伪造假的路由信息欺骗防火墙。防火墙的规则设置会大大降低路由器的性能。,第二阶段:用户化的防火墙工具套,作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:将过滤功能从路由器中独立出来,并加上审计和告警功能;针对用户需求,提供模块化的软件包;软件可通过网络发送,用户可根据需要构造防火墙;与第一代防火墙相比,安全性提高了,价格降低了。,第二阶段:用户化的防火墙工具套,不足之处:配置和维护过程复杂、费时;对用户的技术要求高;全软件实现,安全性和处理速度均有局限;实践表明,使用中出现差错的情况很多。,第三阶段:建立在通用操作系统上的防火墙,具有以下特点:是批量上市的专用防火
25、墙产品;包括分组过滤或者借用路由器的分组过滤功能;装有专用的代理系统,监控所有协议的数据和指令;保护用户编程空间和用户可配置内核参数的设置;安全性和速度大为提高。,第三阶段:建立在通用操作系统上的防火墙,存在的问题:作为基础的操作系统及其内核往往不为防火墙管理者所知,由于原码的保密,其安全性无从保证;由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责;从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击。用户必须依赖两方面的安全支持:一是防火墙厂商、一是操作系统厂商。,第四阶段:具有安全操作系统的防火墙,具有以下特点:防火墙厂商
26、具有操作系统的源代码,并可实现安全内核;对安全内核实现加固处理:即去掉不必要的系统特性,加固内核,强化安全保护;对每个服务器、子系统都作了安全处理,一旦黑客攻破了一个服务器,它将会被隔离在此服务器内,不会对网络的其它部份构成威胁;在功能上包括了分组过滤、应用网关、电路级网关,且具有加密与鉴别功能;透明性好,易于使用。,第四代防火墙的主要技术与功能,第四代防火墙产品将网关与安全系统合二为一,具有以下技术与功能特点:双端口或三端口的结构透明的访问方式灵活的代理系统多级的过滤技术网络地址转换技术,Internet网关技术 安全服务器网络(SSN)用户鉴别与加密 用户定制服务 审计和告警,双端口或三端
27、口的结构,新一代防火墙产品具有两个或三个独立 的网卡,内外两个网卡可不作IP转化而串接于内部网与外部网之间,另一个网卡可专用于对服务器的安全保护。,透明的访问方式,以前的防火墙在访问方式上要么要求用户作系统登录,要么需要通过SOCKS等库路径修改客户机的应用。第四代防火墙利用了透明的代理系统技术,从而降低了系统登录固有的安全风险和出错概率。,灵活的代理系统,代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块。第四代防火墙采用了两种代理机制,一种用于代理从内部网络到外部网络的连接,采用网络地址转换(NAT)技术来解决,另一种用于代理从外部网络到内部网络的连接。采用非保密的用户定制代理或保密
28、的代理系统技术来解决。,多级的过滤技术,为保证系统的安全性和防护水平,第四代防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒的IP源地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。,网络地址转换技术,第四代防火墙利用NAT技术能透明地对所有内部地址作转换,使外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的IP地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。,Internet网关
29、技术,由于是直接串连在网络之中,第四代防火墙必须支持 用户在Internet互连的所有服务,同时还要防止与Internet服务有关的安全漏洞。故它要能以多种安全的应用服务器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。在域名服务方面,第四代防火墙采用两种独立的域名 服务器。在匿名FTP方面,服务器只提供对有限的受保护 的部份目录的只读访问。,安全服务器网络(SSN),为适应越来越多的用户向Internet上提供服务时对服务器保护的需要,第四代防火墙采用特别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器
30、既是内部网的一部份,又与内部网关完全隔离。这就是安全服务器网络(SSN)技术,对SSN上的主机既可单独管理,也可设置成通过FTP、Telnet等方式从内部网上管理。,用户鉴别与加密,为了降低防火墙产品在Telnet、FTP等服务和远程管理上的安全风险,鉴别功能必不可少,第四代防火墙采用一次性使用的口令字系统来作为用户的鉴别手段。,用户定制服务,为满足特定用户的特定需求,第四代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用TCP,出站UDP、FTP、SMTP等类,如果某一用户需要建立一个数据库的代理,便可利用这些支持,方便设置。,审计和告警,第四代防火墙产品的审计和告警功能十
31、分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接请求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、域名服务器等。告警功能会守住每一个TCP或UDP探寻,并能以发出邮件、声响等多种方式报警。,第四代防火墙的抗攻击能力,作为一种安全防护设备,防火墙在网络中自然是众多攻击者的目标,故抗攻击能力也是防火墙的必备功能,在 Internet环境中针对防火墙的攻击方法主要有:抗IP假冒攻击抗特洛伊木马攻击抗口令字探寻攻击抗网络安全性分析抗邮件诈骗攻击,抗IP假冒攻击 IP假冒是指一个非法的主机假冒内部的主机地址,骗取
32、服务器的“信任”,从而达到对网络的攻击目的。由于第四代防火墙知道网络内外的IP地址,它会丢弃所有来自网络外部但却有内部地址的分组,再之防火墙已将网内的实际地址隐蔽起来,外部用户很难知道内部的IP地址,因而难以攻击。,第四代防火墙的抗攻击能力,抗特洛伊木马攻击 特洛伊木马能将病毒或破坏性程序传入计算机网络,且通常是将这些恶意程序隐蔽在正常的程序,尤其是热门程序或游戏之中,一些用户下载并执行这一程序,其中的病毒便会发作。第四代防火墙是建立在安全的操作系统之上的,其安全内核中不能执行下载的程序,故而可防止特洛伊木马的发生。必须指出的是,防火墙能抗特洛伊木马的攻击并不表明受其保护的某个主机也能防止这类
33、攻击。事实上,内部用户可通过防火墙下载程序,并执行下载的程序。,第四代防火墙的抗攻击能力,抗口令字探寻攻击 在网络中探寻口令字的方法很多,最常见的是口令字嗅探和口令字解密。嗅探是通过监测网络通信,截获用户传给服务器的口令字,记录下来,以便使用;解密是指采用强力攻击、猜测或截获含有加密口令字的文件,并设法解密。此外,攻击者还常常利用一些常用口令字直接登录。第四代防火墙采用了一次性口令字和禁止直接登录防火墙的措施,能有效防止对口令字的攻击。,第四代防火墙的抗攻击能力,抗网络安全性分析 网络安全性分析工具本是供管理人员分析网络安全性之用的,一旦这类工具用作攻击网络的手段,则能较方便地探测到内部网络的
34、安全缺陷和弱点所在,目前,SATAN软件可以从网上免费获得,Internet Scanner 可从市面上购买,这些分析工具给网络安全构成了直接威胁。第四代防火墙采用了地址转换技术,将内部网络隐蔽起来,使网络安全分析工具无法从外部对内部网作分析。,第四代防火墙的抗攻击能力,抗邮件诈骗攻击 邮件诈骗也是越来越突出的攻击方式,第四代防火墙不接收任何邮件,故难以采用这种方式对它攻击,同样值得一提的是,防火墙不接受邮件,并不表示它不让邮件通过,实际上用户仍可收发邮件,内部用户要防邮件诈骗,最终的解决办法是对邮件加密。,第四代防火墙的抗攻击能力,防火墙的不足之处,不能对绕过防火墙的攻击提供保护不能防范内部
35、的攻击不能对病毒感染的程序和文件的传输提供保护不能防范全新的威胁当使用端加密时其作用会受到很大的限制对用户不完全透明,可能带来传输延迟、瓶颈及单点失效。,对防火墙技术的展望:几点趋势,防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展;过滤深度不断加强,从目前的地址、服务过滤,发展到 URL(页面)过滤,关键字过滤和对Active X、Java等的过滤,并逐渐有病毒扫除功能。单向防火墙(又叫网络二极管)将作为一种产品门类而出现;,利用防火墙建立专用网(VPN)是较长一段时间的用户使用的主流,IP的加密需求越来越强,安全协议的开发是一大热点;对网络攻击的检测和告警将成为防火墙的重
36、要功能;安全管理工具不断完善,特别是可疑活动的日志分析工具等将成为防火墙产品中的一部分。,对防火墙技术的展望:几点趋势,对防火墙技术的展望:需求的变化,根据上述趋势,人们选择防火墙的标准将集中在以下几个方面:易于管理性;应用透明性;鉴别与加密功能;操作环境和硬件要求;VPN的功能与CA的功能;接口的数量;成本。,对防火墙技术的展望:安全应用网关,作为企业内部集中的安全应用网关,集成了以下功能防火墙VPN内容过滤防病毒入侵检测,防火墙设计的一般原则,确定安全策略明确企业的出口:Internet,合作伙伴,上下级单位;明确各出口的主要应用内部网安全级别的划分内部网需要保护的网段和数据,并明确其级别
37、若与Internet相连,则明确主要目的;是否有信息发布明确威胁的主要来源:外部、内部安全方案的选择防火墙产品选型,防火墙配置策略的基本准则,一切未被允许的就是禁止的。防火墙缺省封锁所有的信息流,然后对希望提供的服务逐项开放。优点:实用,安全,可靠性高。按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配从头到尾的匹配方式匹配成功马上停止立刻使用该规则的”接受、禁止、拒绝”,防火墙的选型功能,产品类型包过滤、基于通用操作系统的防火墙、基于专用操作系统的防火墙LAN接口防火墙能保护的网络类型,如ethernet、fast ethernet支持的最大LAN接口数服务器平台
38、:防火墙运行的平台协议支持支持的非IP协议VPN,防火墙的选型功能,访问控制通过防火墙的包过滤设置在应用层提供代理支持在传输层提供代理支持用户操作的代理类型支持网络地址转换(NAT)支持硬件口令、智能卡防御功能内容过滤,病毒扫描,防DOS攻击,阻止ActiveX、Java、Cookie、JavaScript入侵加密支持认证支持安全特性提供入侵实时报警及防范识别/记录/防止企图进行IP地址欺骗管理功能,防火墙的选型性能,吞吐量(Throughput)-指以待测设备不丢弃数据帧位前提的最大速率;时延(Latency)-根据设备类型不同有不同的定义;丢包率(Frame loss rate)-指在稳定
39、负载下,应由网络设备传输,但由于资源缺乏而被丢弃的帧的百分比;缓冲能力(背对背 Back-to-back Frame)-指从空闲状态开始,以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧,当出现第一个帧丢失时,发送的帧数;系统恢复能力(System recovery)复位(Reset),对防火墙的更高要求,高性能软件操作系统和应用系统的体系结构上国外设计专用系统,比较精小,效率高硬件软件运算硬件化,将主要的运算(查表运算是防火墙的主要运算工作)做成芯片提高系统CPU的处理能力,增大内存容量高稳定可靠性比较重要,主要体现在软件和硬件上;国外在硬件方面有很好的经验和配套能力,系统
40、在硬件方面的可靠性比较高;国内:硬件方面使用PC机和工控机,使用比较低端的网卡,没有独立专用的硬件平台,对防火墙的更高要求,高应用适应能力即体现在产品使用的灵活性方面支持SNMP网络管理协议网络应用方面,国外比较好的防火墙可以支持上千种网络应用;,防火墙的配置模式,Internet/公网,内部网,路由器,控制台,服务器,服务器,服务器,主机,主机,内外网络隔离 截取IP包,根据安全策略控制其进/出 双向网络地址转换(NAT)基于一次性口令对移动访问进行身份识别和控制 IPMAC捆绑,防止IP地址的滥用,安全记录 通信事件记录 操作事件记录 违规事件记录 异常情况告警,移动用户,拨号用户,局域网
41、用户,防火墙,(内部地址),(内部地址),路由器,HTTP服务器,DNS服务器,Email服务器,防火墙,DMZ区(Demilitarized Zone),内部专用网络,防火墙管理器,外部网络,安装方式之一,安装方式之二,安装方式之三,Active/Active,Active/Active/Full Mesh,Active/Passive,安装方式之四,防火墙网络地址转换,内部网络地址,外部网络/Internet地址,网络地址转换,Internet,内部网,WWW Server,E_Mail Server,FTP Server,防火墙,重定向(反向NAT),00:88:CC:A0:2C:4D,
42、88:88:88:88:88:88,PASS,NO,IP包,IP包,IP/MAC 地址对应,安全日志,记录用户访问的开始和终止时间记录用户的通信事件,例如主机地址、访问时间、协议等信息记录安全管理员的操作事件记录违规事件,国外典型的防火墙产品,Checkpoint公司,是软件防火墙领域的领导者;使用状态检测技术;Checkpoint 防火墙是一个综合的、模块化的安全套件,它是一个基于策略的解决方案,提供集中管理、访问控制、授权、加密、网络地址转换、内容显示服务和服务器负载平衡等功能。主要用在保护内部网络资源、保护内部进程资源和内部网络访问者验证等领域;,Checkpoint SVN,保护 Fi
43、reWall-1 SmartDefense FireWall-1 SmallOffice Safe solutions,连接 VPN-1 Pro VPN-1 Net VPN-1 SmallOffice VPN-1 SecureClient VPN-1 SecuRemote,管理SmartCenterSmartCenter ProSmartDashboardSmartMapSmartUpdateProvider-1,性能ClusterXLPerformance PackFloodGate-1VPN-1 Accelerator Cards,基于多种标准定义授权,Checkpoint SVN,Che
44、ck Point的特点,国外典型的防火墙产品(续),Cisco PIX防火墙包过滤防火墙,采用自适应安全算法(ASA);采用高性能的Intel处理器和嵌入式操作系统,采用集成的软件和硬件平台,是一种专用的防火墙产品;操作系统是专有的、实时的IOS操作系统;在安全性能和数据流的处理性能等方面要高于路由器防火墙或软件防火墙;无法对应用层的数据进行过滤;PIX防火墙系统PIX501,506E,515E,525,535,国外典型的防火墙产品,Netscreen防火墙新型的网络安全硬件产品,完全基于硬 件ASIC芯片,其在性能上比软件防火墙高很多;采用了新的体系结构,可有效地消除传统防火墙实现数据加密时
45、的性能瓶颈,能实现最高级的安全保护;集防火墙、VPN、流量控制于一身;有电信级的防火墙:Netscreen 5000防火墙;,国外典型的防火墙产品(续),Symantec Gateway security5400防火墙,Symantec Gateway security5400防火墙,国内典型的防火墙产品,天融信网络卫士防火墙:是我国第一套自主产权的防火墙系统;它由防火墙和管理器组成,其中防火墙由多个模块组成,包括包过滤、应用代理、NAT、VPN、防攻击等功能模块;采用集中控制的分布式客户机/服务器结构;采用了SSN(安全服务器)技术,其安全性能高于其他防火墙的DMZ技术;,国内外典型的防火墙产品,其它防火墙产品:北大青鸟网关防火墙东方龙马安氏防火墙中科网威“长城”防火墙东大阿尔派NetEye防火墙华堂防火墙CA eTrust FirewallFortiNet公司的FortiGate防火墙.,谢谢!,