收藏
下载资源 加入VIP免费专享

防火墙之理论与实务教学课件.ppt

上传人:牧羊曲112 文档编号:6491534 上传时间:2023-11-06 格式:PPT 页数:75 大小:1.56MB
返回 下载 相关 举报
防火墙之理论与实务教学课件.ppt_第1页
第1页 / 共75页
防火墙之理论与实务教学课件.ppt_第2页
第2页 / 共75页
防火墙之理论与实务教学课件.ppt_第3页
第3页 / 共75页
防火墙之理论与实务教学课件.ppt_第4页
第4页 / 共75页
防火墙之理论与实务教学课件.ppt_第5页
第5页 / 共75页
点击查看更多>>
资源描述

《防火墙之理论与实务教学课件.ppt》由会员分享,可在线阅读,更多相关《防火墙之理论与实务教学课件.ppt(75页珍藏版)》请在三一办公上搜索。

1、防火牆之原理與應用,Page 1,防火牆之理論與實務,臺華科技股份有限公司工程處經理 崔存得TEL:(06)202-8767,防火牆之原理與應用,Page 2,內容大綱,資訊安全與防火牆防火牆的基本型態防火牆的應用型態防火牆的常見功能防火牆的區域聯防觀念全方位的網路安全防火牆架構,防火牆之原理與應用,Page 3,資訊安全,系統安全,資料安全,資訊安全,Anti-VirusCryptographyPeer-to-Peer Security,FirewallAuthenticationAccess ControlIntrusion Detection,System ScanningIntrusi

2、on DetectionSecurity Management,網路安全,防火牆之原理與應用,Page 4,網路保全的基本招式,無為而治不做安全防護使用廠商原本就提供的最基本安全防護雲深不知處隱藏式保全藏起來,讓別人不知到以避免被攻擊鐵布衫主機保全加強每一台主機的保全金鐘罩網路保全對整個網路環境做保全防火牆、存取管理、認證方式、編碼加密,防火牆之原理與應用,Page 5,全方位資訊安全流程,1.風險評估Risk Assessment,2.制訂安全政策Security Policy,3.安全環境建置Implementation,4.人員教育訓練Training,5.安全稽核Auditing,7.

3、回報CERT,6.安全成效評估Evaluation,防火牆之原理與應用,Page 6,整體安全政策,防火牆只是企業整體安全政策的一部份企業需先訂定自己的安全政策,瞭解自己要保護的東西是什麼範圍有多大安全分析危機評估企業需求分析,防火牆之原理與應用,Page 7,防火牆系統,防火牆系統是一個網路安全系統(軟體+硬體),負責:安全政策執行網路路由轉換網路狀況管理,防火牆之原理與應用,Page 8,防火牆的原理(1/2),位於網路與網路之間的裝置謹慎地在一個控制點上限制網路之存取(Network Access Control)防止攻擊者接近防禦物,Firewall,防火牆之原理與應用,Page 9,

4、防火牆的原理(2/2),在兩個或多個網路間,用來強制執行網路安全政策的一個或一組系統限制封包的來往交換,包括來源及目的主機位址、通訊協定、服務、流通方向等,防火牆之原理與應用,Page 10,防火牆做得到的事,避免內部網路直接暴露在外形成內部網路與網際網路的咽喉點(Choke Point),是網路管理者落實安全政策的重點網路安全可以集中管理,有效控制了所有封包的來源、目的地、流向、及應用服務可以有效地記錄及監控企業與網際網路活動進階的防火牆尚可主動偵測防止入侵,並可稽核與阻擋非法存取,防火牆之原理與應用,Page 11,防火牆做不到的事,無法控管不經過它的連線無法辨出假造的封包無法確保連線的可

5、信度無法避免data-driven的攻擊無法防止內賊對內的侵害(traitors or idiots),防火牆之原理與應用,Page 12,安全政策基本原則,內定值是“拒絕”:沒有許可就是拒絕不安全狀態 Fail-Safe Stance“正面表列”較安全的策略較不易使用內定值是“允許”:沒有禁止就是允許“負面表列”較不安全的策略較易使用,防火牆之原理與應用,Page 13,Here We Are,資訊安全與防火牆防火牆的基本型態防火牆的應用型態防火牆的常見功能防火牆的區域聯防觀念全方位的網路安全防火牆架構,防火牆之原理與應用,Page 14,防火牆的基本型態,依實體區別軟體防火牆硬體防火牆依功

6、能區別封包過濾(Packet Filtering)應用層閘道(Application Gateway或Proxy)以上兩者的混合型,防火牆之原理與應用,Page 15,軟體防火牆,優點架設較具彈性擴充性較佳功能較其全方便搭配其他軟體缺點需搭配硬體架設整體效能較硬體防火牆差需補強原作業系統或使用專屬作業系統CheckPoint,BoderWare,Microsoft ISAS,Gauntlet,eTrust,SunScreen,CyberGuard,防火牆之原理與應用,Page 16,硬體防火牆,優點軟硬體整合性佳效能軟體防火牆佳專屬作業系統較安全缺點硬體擴充性較差管理功能需搭配其他軟體Cisc

7、o PIX,NetScreen,GNAT,Nokia,WebGuard,SonicWall,防火牆之原理與應用,Page 17,封包過濾(1/4),檢查每一個通過的封包,依據事先定義好的規則而執行放行或阻擋的工作依據封包標頭內容作檢查來源地的 IP 位址目的地的 IP 位址協定(TCP,UDP,ICMP,)TCP或UDP的來源埠TCP或UDP的目的埠ICMP的訊息種類依據封包到達時的介面,防火牆之原理與應用,Page 18,封包過濾(2/4),靜態封包過濾Static Packet Filtering,防火牆之原理與應用,Page 19,封包過濾(3/4),Service-dependent

8、filtering過濾一般已知的服務 http,smtp,ftp,telnetService-independent filtering過濾不符合 TCP/IP 規範的連線Source IP address spoofing attacksSource routing attacksTiny fragment attacks,防火牆之原理與應用,Page 20,封包過濾(4/4)Stateful Packet Inspection,DynamicStateTable,動態封包過濾Dynamic Packet Filtering,防火牆之原理與應用,Page 21,應用層閘道(1/4),又稱代理

9、者(Proxy)服務,是一個在防火牆主機上執行的特定應用程式防火牆主機提供服務連結的第一站Proxy 接受使用者對Internet 服務(HTTP,FTP,Telnet)請求,並依據此站台的安全策略,將此請求(允許/不允許)傳送給真正的服務,防火牆之原理與應用,Page 22,應用層閘道(2/4),企業內部網路,proxy伺服器,防火牆,Internet,真正的伺服器,外部主機,內部主機,proxy 客戶端,外部 PC,內部 PC,真正的伺服器,proxy 客戶端,防火牆之原理與應用,Page 23,應用層閘道(3/4),HTTP,TELNET,FTP,防火牆之原理與應用,Page 24,應用

10、層閘道(4/4),可過濾傳送的資料內容(Content)Content filtering可對使用者做認證User authentication可對不同的服務採取不同的安全政策FTP,WWW,E-mail,Telnet,.,防火牆之原理與應用,Page 25,封包過濾 vs.應用代理,封包過濾防火牆價格較低性能負荷小處理速度較快定義複雜容易出現因配置不當帶來問題允許封包直接通過容易造成資料內容式攻擊的潛在危險(如病毒)應用代理防火牆 安全不允許封包通過防火牆避免了service-independent式攻擊的發生 對所有服務都要有相對應的Proxy應用程序無法運用在加密過的資訊(如 SSL)速

11、度較慢不太適用于高速網路(ATM或Giga乙太網等)之間的應用,防火牆之原理與應用,Page 26,Here We Are,資訊安全與防火牆防火牆的基本型態防火牆的應用型態防火牆的常見功能防火牆的區域聯防觀念全方位的網路安全防火牆架構,防火牆之原理與應用,Page 27,防火牆應用結構,傳統切割網段應用結構NAT應用結構透明模式應用結構校園網路應用結構DMZ 應用結構,防火牆之原理與應用,Page 28,Legal IP:140.116.1.128 255.255.255.128,Mail,Web,Desktop,DNS,LAN,專線/ADSL 路由器,傳統切割網段應用結構,安裝防火牆所有內部

12、機器預設閘道器設定為防火牆內部IP,Firewall 內外皆用legal IP,140.116.1.1,140.116.1.230,|,|,防火牆之原理與應用,Page 29,Illegal IP:192.168.1.0 255.255.255.0,Mail,Web,Desktop,DNS,Server:使用 1 對 1 NAT,Desktop:使用多對 1 NAT,Firewall 內部(LAN)使用 Illegal IP適用於真實IP不多的單位(如 ADSL),LAN,專線/ADSL 路由器,NAT應用結構,192.168.1.2,192.168.1.X,192.168.1.3,防火牆之原

13、理與應用,Page 30,Legal IP:140.116.1.0,Legal IP:140.116.1.0 255.255.255.0,Mail,Web,Desktop,DNS,所有防火牆內部機器無視防火牆存在,LAN,專線/ADSL 路由器,透明模式應用結構,安裝防火牆所有內部機器都不需更改網路設定,防火牆之原理與應用,Page 31,安全防護,行政單位,專線/ADSL 路由器,Core RouteSwitch,單學術單位,資訊中心,宿舍,安全防護,管制,校園網路應用結構,安全防護,防火牆之原理與應用,Page 32,DMZ 應用結構(1/2),DMZ 非軍事區(De-Military Z

14、one)作為企業內部網路與外部網路的緩衝區制訂不同的保全政策 對外避免主機被入侵後危及內部網路對內可管制稽核內部人員存取主機,Firewall,Open Subnet,Internet,內部網路,DMZfor servers,防火牆之原理與應用,Page 33,Legal IP:203.69.233.24,Illegal IP:192.168.1.0 255.255.255.0,Firewall,Desktop,Desktop:使用多對 1 NAT,Mail,Web,Illegal IP:192.168.2.0 Server:使用 1 對 1 NAT,Firewall 內部(DMZ&LAN)使

15、用 Illegal IP,LAN,DMZ,專線/ADSL 路由器,DMZ 應用結構(2/2),防火牆之原理與應用,Page 34,Here We Are,資訊安全與防火牆防火牆的基本型態防火牆的應用型態防火牆的常見功能防火牆的區域聯防觀念全方位的網路安全防火牆架構,防火牆之原理與應用,Page 35,防火牆產品的常見功能(1/2),動態封包檢視(Dynamic Packet Filter)應用程式代理服務(Application Proxy)應用程式內容過濾功能(Application Filtering)使用者認證(User Authentication)網路安全防範機制(Network S

16、ystem Security),防火牆之原理與應用,Page 36,防火牆產品的常見功能(2/2),網路位址轉換(Network Address Translation)虛擬私有網路(Virtual Private Network)預警(Alert)即時監控記錄(Status Monitoring and Logging)監控記錄統計與分析(Accounting and Log Analysis),防火牆之原理與應用,Page 37,動態封包檢視,監控TCP/IP網路封包的行為建置於TCP/IP通訊協定的二、三層間,對於應用程式具備完全透通性建置於系統核心(Kernel),提供防火牆高效率的運

17、作,防火牆之原理與應用,Page 38,應用程式代理服務,提供HTTP、TELNET、FTP、SMTP、POP3等服務允許內外存取Proxy服務提供Application Filtering的過濾機制,防火牆之原理與應用,Page 39,應用程式內容過濾功能,Email信件的限制(SMTP)捨棄假來源地址的信件可設定傳送信件的大小可消除內部信件傳遞路徑資訊提供E-mail位址轉換功能檔案傳輸的限制(FTP)設定Read/Write權限設定可傳輸的檔名 Web的限制(HTTP)設定可否使用FTP、HTTP、GOPHER等權限設定HTML內容可否含有GET、POST使用Wildcard()設定UR

18、L Location的內容,防火牆之原理與應用,Page 40,使用者認證,密碼機制One-Time PasswordRADIUS,TACACS可限制工作時間是否多次登入使用來源主機及目的地主機使用的服務連線時間,防火牆之原理與應用,Page 41,網路安全防範機制(1/4),Denial of ServiceAnti-SpoofingPing of DeathPort ScanningSYN FloodingIP OptionsNon-First PacketEcho Bounce,防火牆之原理與應用,Page 42,網路安全防範機制(2/4),防火牆之原理與應用,Page 43,網路安全防

19、範機制(3/4),防火牆之原理與應用,Page 44,網路安全防範機制(4/4),防火牆之原理與應用,Page 45,Distributed Denial of Service,Internet,Hacker,防火牆之原理與應用,Page 46,知名阻斷服務攻擊,DOSBonk,Tear DropLANDJoltDDOSTrinooTFN,TFN2KStacheldraht新一代DOSCodeRedNimda,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd

20、3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0 400-,防火牆之原理與應用,Page 47,NAT 網路位址轉換(1/2),可增加內部網路的安全性並解決學校內合法IP位址不足之問題 一對一轉換對 Internet 服務的主機對應一個真實 IP多對一轉換一般個人電腦共同對應一個IP,防火牆之原理與應用,Page 48,NAT 網路位址轉換(2/2),Internet,WWW,PC,PC,防火牆之原理與應用,Page 49,VPN

21、虛擬私有網路(1/2),IPSec Tunneling技術使用DES or 3-DES加解密技術不同的VPN網路,採用不同的Key,防火牆之原理與應用,Page 50,VPN 虛擬私有網路(2/2),分公司或協力廠商,Firewall,Secured Net,Mobile User,Internet User,Firewall,Router,WWW,Secured Net,DMZ,Hacker,Internet,防火牆之原理與應用,Page 51,預警,主控台訊息警告發送警告信件傳呼指定的呼叫器(B.B.Call)傳送SNMP Trap給網管軟體使用者自訂之程式,防火牆之原理與應用,Page

22、52,即時監控記錄,即時監控記錄表規則號碼、時間、使用者、來源及目的地主機、服務使用通訊協定、存取權限、資料傳輸量、連線時間系統事件發生記錄表時間、事件種類、記錄說明系統狀態指示表結合多種資料庫,防火牆之原理與應用,Page 53,監控記錄統計與分析,記錄查詢暨網路使用排名網路單位排行使用者排行網路服務排行以長條圖或Pie Chart表示統計報表網路單位傳輸量統計報表使用者傳輸量統計報表網路服務傳輸量統計報表報表可列印或儲存成檔案以做Billing 之用網路流量時段分析,防火牆之原理與應用,Page 54,安全的網路防火牆架構,Firewall,Open Subnet,InternalPubl

23、icArea,InternalSecuredArea,Router,Internet,Firewall,Firewall,部門A,部門C,部門B,DMZfor publicservers,Firewall,防火牆之原理與應用,Page 55,防火牆選擇,是一個整體Intranet的保衛者必須要能補足網路作業系統之不足要提供使用者不同平台的選擇要能提供使用者完善的後續支援能力提供使用者完整的安全檢查功能提供使用者問題解決方案提供順暢的網路運作具備優異的價格效能比,一個好的防火牆應該,防火牆之原理與應用,Page 56,Here We Are,資訊安全與防火牆防火牆的基本型態防火牆的應用型態防火牆

24、的常見功能防火牆的區域聯防觀念全方位的網路安全防火牆架構,防火牆之原理與應用,Page 57,防火牆建置的迷思(1/2),Firewall,Router,Unsecured Net,Internet,Secured Net,WWW,Public servers 置於內部網路,Email,DNS,防火牆之原理與應用,Page 58,防火牆建置的迷思(2/2),Public servers 置於外部網路,Firewall,Router,Unsecured Net,Secured Net,WWW,Email,DNS,防火牆之原理與應用,Page 59,主機級防火牆的建置(1/3),Firewall,

25、Router,Unsecured Net,Secured Net,WWW,Email,DNS,防火牆之原理與應用,Page 60,主機級防火牆的建置(2/3),Firewall,Router,Unsecured Net,Internet,Secured Net,WWW,Email,DNS,防火牆之原理與應用,Page 61,主機級防火牆的建置(3/3),Firewall,Router,Unsecured Net,Internet,DMZ,WWW,Email,DNS,Secured Net,防火牆之原理與應用,Page 62,主機級防火牆的功能,動態封包過濾使用者授權控管防止假冒位址封包入侵防止

26、非法入侵攻擊自動修改安全政策線上即時監控即時影音告警監控記錄,防火牆之原理與應用,Page 63,主機級防火牆的特色,重點主機 加強管理,網路通透效能提高,大中小型機構保全,架設簡單安裝容易,防火牆之原理與應用,Page 64,主機級防火牆的運用,Co-location主機用戶因各種原因無法把 public servers 置於 防火牆 DMZ 之使用者中小企業者重要伺服器需要雙重保全之使用者,防火牆之原理與應用,Page 65,個人上網形態的改變,寬頻上網服務ADSLCable Modem優異的特性高速,成本低(flat rate)固定 IP,SOHO 族的最愛,防火牆之原理與應用,Page

27、 66,使用者陷入未知的危機(1/2),據研究顯示有1/4寬頻上網的電腦是不安全的。美國網路安全偵測網站Shields Up!以遠端偵測方式檢驗230萬人次的上網者,發現其中有65萬人次的電腦是容許別人進入,約佔28%,更有近8%人次的上網者檔案夾完全開放,容許任何人複製、甚至刪除裡頭的檔案2000/04/10,MSNBCPC 是網路安全的處女地,防火牆之原理與應用,Page 67,使用者陷入未知的危機(2/2),後門程式猖獗,使用者不知不覺間成為木馬屠城的受害者何謂後門程式(Back door)?是一隻惡意的常駐程式,可接受攻擊者事先或事後下達的指令,從事一切可能的破壞工作e.g.Back

28、Orifice、Trojan Horse 後門程式的感染途徑Email、網路下載、誤用除錯模式,防火牆之原理與應用,Page 68,個人級防火牆功能,保護使用者的隱私監控所有網路連線活動阻塞後門程式肆虐的管道抵禦駭客攻擊模式防止TCP/IP作業系統式的攻擊SYN flooding,Out Of Band,IP Conflict,Ping Of Death,Smurf防止特洛依木馬(Trojans Horse),Back Orifice,SMB Downgrade Attack,防火牆之原理與應用,Page 69,即時監控,顯示並監控所有網路連線(TCP/IP)活動及目前正在使用的應用程式所運用

29、的網路資源可隨時中斷任何可疑的連線,防火牆之原理與應用,Page 70,智慧型網路連線控管,可針對遠端電腦、存取服務、存取時段、動作等制定控管規則使用者可選擇依規則管制(By Rules)互動式學習若選擇依規則管制,當網路連線比對不到任何規則時,會跳出畫面詢問使用者,防火牆之原理與應用,Page 71,網路存取控管,檔案共享(File Sharing)與印表機共享(Printer Sharing)的控管根據遠端電腦、共享資源(檔案資源或印表資源的名稱)存取時段(可事先定義好工作時段、下班時段、)控管管制動作為:允許、禁止,防火牆之原理與應用,Page 72,郵件預覽過濾,可搭配原先使用的任何電

30、子郵件工具,並出現預覽畫面供您在真正接收電子郵件時先預覽,以節省郵件下載時間及頻寬可依需求設定過濾條件(如郵件大小、寄件者、收件者、內容),並提供您選擇兩種過濾方式(自動刪除及標明記號後自行刪除)有效過濾垃圾郵件、廣告郵件、檔案過大郵件,防火牆之原理與應用,Page 73,系統記錄,針對網路連線、資源共享、預警事件、系統設定等活動,任選摘要式記錄或詳細記錄兩種模式記錄下來,供必要時可參考追蹤,防火牆之原理與應用,Page 74,Here We Are,資訊安全與防火牆防火牆的基本型態防火牆的應用型態防火牆的常見功能防火牆的區域聯防觀念全方位的網路安全防火牆架構,防火牆之原理與應用,Page 75,全方位的網路安全防火牆架構,Firewall,InternalPublicArea,InternalSecuredArea,Router,Internet,Firewall,Firewall,部門A,部門C,部門B,DMZfor publicservers,Firewall,Mobile User,Internet User,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号