1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,1,2008,shilei,网络安全,第六章:防火墙技术,1,1,防火墙概述,在信任网络与非信任网络之间,通过预定义的安全策略,对内外网通信强制实施访问控制的安全应用设备。,不可信网络,和服务器,可信网络,防火墙,路由器,Internet,Intranet,可信用户,不可信用户,DMZ,1,1,防火墙概述,内部网络,内部网络,2,内部网络,1,防火墙的功能:,实现内部网与,internet,的隔离;,不同安全级别内部网之间的隔离。,一切未被允许的就是禁止的!,Internet,1,防火墙的功能,防火墙是网络安全的屏障,
2、防火墙可以强化网络安全策略,对网络存取和访问进行监控审计,防止内部信息的外泄,1,防火墙的基本特性,内部网络和外部网络之间的,所有网络数据流都必须经过防火墙,只有符合安全策略的,数据流才能通过防火墙,防火墙自身应具有,非常强的抗攻击免疫力,1,常用概念,外部网络(外网):防火墙之外的网络,一般为,Internet,,默认为风险区域。,内部网络(内网):防火墙之内的网络,一般为局域网,默认为安全区域。,非军事化区(,DMZ,):为了配置管理方便,内网中需要向外网提供服务的服务器(如,WWW,、,FTP,、,SMTP,、,DNS,等)往往放在,Internet,与内部网络之间一个单独的网段,这个网
3、段便是非军事化区。,包过滤,也被称为数据包过滤,是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤规则,检查数据流中的每个数据包,根据数据包的源地址、目标地址以及端口等信息来确定是否允许数据包通过。,代理服务器,是指代表内部网络用户向外部网络中的服务器进行连接请求的程序,1,防火墙能做什么?,转发正常的通信行为,禁止未经授权的访问,网络地址转换(,NAT,),VPN,网关,记录通过防火墙的通信活动,1,防火墙的技术发展,防火墙技术几乎与路由器同时出现,采用了包过滤技术,1989,年,贝尔实验室推出了电路层防火墙,同时提出了应用层防火墙(代理防火墙)的初步结构。,1992,年,,US
4、C,信息科学院开发出了基于动态包过滤技术的防火墙,后来演变为状态检测技术。,1994,年,以色列开发出了第一个采用这种技术的商业化的产品。,1,基于路由器的防火墙,将过滤功能从路由器中独立出来,并加上审计和告警功能,针对用户需求,提供模块化的软件包,软件可通过网络发送,用户可根据需要构造防火墙,与第一代防火墙相比,安全性提高了,价格降低了,利用路由器本身对分组的解析,进行分组过滤,过滤判断依据:地址、端口号、,IP,旗标及其它网络特征,防火墙与路由器合为一体,只有过滤功能,适用于对安全性要求不高的网络环境,是批量上市的专用防火墙产品,包括分组过滤或者借用路由器的分组过滤功能,装有专用的代理系统
5、监控所有协议的数据和指令,保护用户编程空间和用户可配置内核参数的设置,安全性和速度大为提高。,防火墙厂商具有操作系统的源代码,并可实现安全内核,去掉了不必要的系统特性,加固内核,强化安全保护,在功能上包括了分组过滤、应用网关、电路级网关,增加了许多附加功能:加密、鉴别、审计,透明性好,易于使用,基于安全操作系统的防火墙,基于通用操作系统的防火墙,防火墙工具套,防火墙的技术发展,1,防火墙的种类,分组过滤,/,包过滤,状态检测,应用代理,1,防火墙的技术发展,包过滤防火墙,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,外网,防火墙,内网,应用层,表示层,会话层,传输层,网络层,数
6、据链路层,物理层,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,数据包,包过滤引擎,1,防火墙的技术发展,IP,包,检测包头,检查路由,安全策略:过滤规则,路由表,包过滤防火墙,转发,符合,不符合,丢弃,IP,包源地址,IP,包目的地址,TCP/UDP,端口,1,Telnet,例子,1,SMTP,例子,1,包过滤防火墙的特点,实现容易,数据吞吐率较高,对应用完全透明,对会话内容无法监控,安全性能较低,易配置,1,防火墙的技术发展,应用代理防火墙,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,外网,防火墙,内网,应用层,表示层,会话层,传输层,网络层,数据链路层,物理
7、层,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,数据包,1,应用代理防火墙的特点,可以对应用层数据进行处理,双向通信必须经过应用代理,禁止,IP,转发,处理速度慢,对数据包的检测能力比较强,难于配置,1,防火墙的技术发展,状态检测包过滤防火墙,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,外网,防火墙,内网,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,状态检测引擎,1,防火墙的技术发展,IP,包,检测包头,下一步,处理,安全策略:过滤规则,会话连接状态缓存表,状态检测包过滤防火墙,不符合,
8、丢弃,符合,符合,IP,包源地址,/,目的地址,TCP/UDP,源端口,TCP,会话连接状态,1,状态包过滤防火墙的特点,可以对网络数据进行更细粒度的检测,数据吞吐率较高,对会话内容的处理不够,可重组会话,记录会话状态,1,防火墙的技术发展,产品现状,状态检测包过滤,技术,应用代理,技术,1,防火墙硬件平台的发展,X86,平台,开发难度小,灵活性好,升级方便,处理性能较低,投资少,开发周期短,1,防火墙硬件平台的发展,ASIC,平台,处理性能很高,灵活性很差,几乎无法升级,投资很大,开发周期很长,开发难度大,1,防火墙硬件平台的发展,NP,平台,处理性能较高,投资较大,开发周期较长,开发难度大
9、开发灵活性高,1,三种技术路线比较,技术路线,比较项目,通用,CPU,ASIC,NP,技术成熟度,成熟,成熟,基本成熟,投资成本,低,很高,较高,开发周期,短,很长,较长,处理性能,低,很高,高,灵活性,好,很差,好,总结,技术成熟,开发难度低,处理性能上不去,处理性能很高,开发周期长,/,投资大,灵活性差,处理性能高,灵活性好,投资较小,/,周期较短,1,防火墙硬件平台的发展,包过滤,防火墙,应用代理,防火墙,状态检测,包过滤,应用代理,通用处理器平台,基于,ASIC,基于,NP,1,防火墙关键技术,2.1,访问控制,2.3,端口映射,2.2NAT,2.4VPN,1,访问控制,1,NAT,
10、技术,Internet,202.202.99.56,Host C,内部网络,Host A,Host B,192.168.0.3,192.168.0.5,数据,IP,报头,数据,IP,报头,源地址:,192.168.0.3,目地址:,202.202.99.56,源地址:,10.50.10.88,目地址:,202.202.99.56,eth1:,192.168.0.2,eth2:,10.50.10.88,1,端口映射,Internet,WWW,192.168.1.11,FTP,192.168.1.22,MAIL,192.168.1.33,DNS,192.168.1.44,192.168.1.2,输
11、入:,202.102.10.8,202.102.10.8,192.168.1.11:80-202.102.10.8:80,192.168.1.22:21-202.102.10.8:21,192.168.1.33:25-202.102.10.8:25,192.168.1.44:53-202.102.10.8:53,1,VPN,Internet,WWW,192.168.1.11,FTP,192.168.1.22,MAIL,192.168.1.33,DNS,192.168.1.44,192.168.1.2,VPN,客户端,10.50.10.88,202.102.10.8,VPN,规则,Permit
12、10.50.10.1-192.168.1.1,1,VPN,1,防火墙评价指标,性能,功能,可靠性,易用性,1,评价防火墙性能的六个指标,性能指标,定 义,重要程度,吞吐量,单位时间内通过防火墙的数据包数量(不丢包),最大并发连接数,防火墙可同时维护的网络连接数,背靠背,防火墙对网络数据包的缓存能力,新建连接速率,防火墙建新连接的快慢程度,延迟,防火墙处理和转发数据包所需要的时间,丢包率,丢包数占发送包总数的比例(吞吐量范围内),1,防火墙的部署,外部网络,DMZ,内部网络,防火墙,Web Server,Mail Server,1,防火墙的部署,纯路由,1,防火墙的部署,纯透明,1,防火墙的部署,混合,1,典型应用,1,典型应用,1,分布式防火墙,1,个人防火墙介绍,个人防火墙是软件防火墙中比较常见的一种,可为个人计算机提供简单的防火墙功能。目前常用的个人防火墙有:,Norton Personal Firewall,、天网个人防火墙、瑞星个人防火墙等。个人防火墙是安装在个人,PC,上,而不是放置在网络边界,因此,个人防火墙关心的不是一个网络到另外一个网络的安全,而是单个主机和与之相连接的主机或网络之间的安全。,1,个人防火墙介绍,1,1,1,1,1,1,1,1,1,
浙ICP备2021020529号-1 | 浙B2-20240490 
