第5章防火墙的构造与选择.ppt

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第,5,章 防火墙的构造与选择,5.1,防火墙概述,5.2,防火墙的原理,5.3,防火墙的选择和使用,5.4,分布式防火墙技术,2,5.1,防火墙概述,5.1.1,防火墙的概念,5.1.2,防火墙设计的基本原则,3,5.1.1,防火墙的概念,防火墙,是指隔离在本地网络与外界网络之间的一道或一组执行控制策略的防御系统。,它对网络之间传输的数据包依照一定的安全策略进行检查，以决定通信是否被允许，对外屏蔽内部网的信息、结构和运行状况，并提供单一的安全和审计的安装控制点，从而达到保护内部网络的信息不被外部非授权用户

2、访问和过滤不良信息目的。,5.1,防火墙概述,4,5.1,防火墙概述,5.1.2,防火墙设计的基本原则,防火墙的姿态,机构的整体安全策略,防火墙的费用,防火墙的基本构件和拓扑结构,防火墙的维护和管理方案,5,5.2,防火墙的原理,5.2.1,防火墙设计的基本准则,5.2.2,防火墙的组成,5.2.3,防火墙不能对付的安全威胁,5.2.4,防火墙的分类,6,5.2.1,防火墙设计的基本准则,一切未被允许的就是禁止的。,如果防火墙采取第一个准则，那么需要确定所有可以被提供的服务以及它们的安全性，然后，开放这些服务，并将所有其他未被列入的服务排除在外，禁止访问。优点是可以造成一种十分安全的环境，其缺

3、点在于用户所能使用的服务范围受到很大限制。,一切未被禁止的就是允许的。,如果防火墙采取第二个准则，需要确定那些被认为是不安全的服务，禁止其访问；而其他服务则被认为是安全的，允许访问。这种方法构成了一种更为灵活的应用环境，可以为用户提供更多的服务，其缺点在于很难提供可靠的安全防护。,5.2,防火墙的原理,7,5.2.2,防火墙的组成,5.2,防火墙的原理,E-mail,处理,域名服务,网关代理认证,SOCKS,过 滤 器,因特网,Internet,内部网,Intranet,安全操作系统,E-mail,域名询问,高级协议访问,IP,级数据,防火墙主要包括五部分,:,安全操作系统、过滤器、网关、域名

4、服务和,E-mail,处理。,8,1,安全操作系统,防火墙本身必须建立在安全操作系统所提供的安全环境中,安全操作系统可以保护防火墙的代码和文件免遭入侵者攻击。这些防火墙的代码只允许在给定的主机系统上执行，这种限制可以减少非法穿越防火墙的可能性。,2,过滤器,防火墙的主要目的是控制数据包,只允许合法流通过，它要对专用网和,Internet,之间传送的每一数据组进行干预。过滤器则执行由防火墙管理机构制定的一组规则，检验各数据组，决定是否允许放行。这些规则按,IP,地址、端口号码和各类应用等参数确定。,5.2,防火墙的原理,9,5.2,防火墙的原理,3,网关,应用网关,(Application Ga

5、teway),可以在,TCP/IP,应用级上控制信息流和认证用户。应用网关的功能常常由代理服务器提供。在专用网中的一个用户联机到一个代理服务器，代理服务器对用户认证，而后使用户和,Internet,中远端服务器联机。,SOCKS,（套接层）服务器也对通过防火墙提供网关支持，代理服务器和,SOCKS,服务器之间的主要差别是前者要求改变用户接入,Internet,服务器的方式，但不需要修正客户机的软件；而后者则相反。,4,域名服务和函件处理,防火墙还可能包括有域名服务和函件处理。域名服务使专用网的域名与,Internet,相隔离，专用网中主机的内部,IP,地址不至于暴露给,Internet,中的用

6、户。函件处理能力保证专用网中用户和,Internet,用户之间的任何函件交换都必须经过防火墙处理。,10,5.2,防火墙的原理,5.2.3,防火墙不能对付的安全威胁,1,防火墙不能防范来自内部的攻击,2,防火墙不能防范不经由防火墙的攻击,3,防火墙不能防止受到病毒感染的软件或文件的传输,4,防火墙不能防止数据驱动式攻击,11,5.2,防火墙的原理,5.2.4,防火墙的分类,1,包过滤型防火墙,是最简单的防火墙。它的处理对象,IP,包,其功能是处理通过网络的,IP,包的信息,实现进出网络的安全控制。,应用数据包过滤（,packet filtering,）技术在网络层对数据包进行选择，只有通过检查

7、的,IP,包才能正常转发出去。其选择的依据是访问控制表,ACL,（,Access Control List,），通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或通过检查它们的组合来决定是否允许该数据包通过。实现原理如图所示。,12,5.2,防火墙的原理,包过滤型防火墙的优缺点,优点：,逻辑简单，价格便宜，易于安装和使用,网络性能和透明性好。,缺点：,数据包的源地址、目的地址以及,IP,的端口号都在数据包的头部，易被窃听或假冒，形成各种安全漏洞。,大多过滤器中过滤规则的数目有限制，且随着规则数目的增加，性能受影响。,包过滤的规则可能比较复杂，且不易验证其正确性。,由

8、于缺少上下文关联信息，不能有效过滤某些协议。,大多不能对用户身份进行验证，很容易受到“地址欺骗型”攻击。,大多对安全管理人员素质要求高,13,5.2,防火墙的原理,2,应用网关型防火墙,应用级网关（,Application Level Gateways,）是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常装在专用工作站系统上，其实现原理如图所示。,14,5.2,防火墙的原理,3,代理服务型防火墙,代理服务型防火墙是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，

9、其特点是将所有跨越防火墙的网络通信线路分为两段。,代理,服务器,代理,客户机器,客户机,服务器,请求,转发应答,应答,防火墙代理,转发请求,间,代理获得客户机和服务器之间通信的全部控制权,15,5.2,防火墙的原理,代理服务型防火墙的优缺点,优点：,最突出的优点就是安全。由于它工作于最高层，所以它可以对网络中任何一层数据通信进行筛选保护，而不是像包过滤那样，只是对网络层的数据进行过滤。,缺点：,最大缺点就是速度相对比较慢，当用户对内外部网络网关的吞吐量要求比较高时，代理防火墙就会成为内外部网络之间的瓶颈。,大多是基于主机的，价格比较贵，安装和使用比数据包过滤的防火墙复杂。,16,5.3,防火墙

10、的选择和使用,5.3.1,防火墙的选择原则,5.3.2,防火墙产品的分类,5.3.3,防火墙产品的介绍,17,5.3.1,防火墙的选择原则,网络的安全性主要是指网络信息的安全性和网络路由的安全性。网络路由的安全性保障了网络信息的安全性，而网络路由的安全性通常可由防火墙实现。所以选择防火墙首先要确定网络信息的保护策略，然后对防火墙进行评价、分析，最后决定采用什么样的防火墙。,1,要考虑网络结构,2,要考虑到业务应用系统需求,3,要考虑用户及通信流量规模方面的需求,4,要考虑到可靠性、可用性、易用性等方面的需求,5.3,防火墙的选择和使用,18,5.3.2,防火墙产品的分类,按组成结构而言，将防火

11、墙产品分为以下三种：,软件防火墙,软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。,硬件防火墙,硬件防火墙是指所谓的硬件防火墙。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于,PC,架构。,芯片级防火墙,基于专门的硬件平台，没有操作系统。专有的,ASIC,芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。,5.3,防火墙的选择和使用,19,5.3.3,防火墙产品的介绍,1 Checkpoint Firewall-1

12、防火墙,2,SonicWALL,系列防火墙,3,NetScreen,防火墙,4,Alkatel,Internet Devices,系列防火墙,5,北京天融信公司网络卫士防火墙,6 NAI Gauntlet,防火墙,7 Cisco PIX,防火墙,5.3,防火墙的选择和使用,20,Checkpoint Firewall-1,防火墙,是一个综合的、模块化的安全套件，它是一个基于策略的解决方案。,CP Firewall-1,套件提供单一的、集中的分布式安全策略，跨越,Unix,、,NT,、路由器、交换机和其他外围设备，提供大量的,API,，有,100,多个解决方案和,OEM,厂商的支持。,由,3,

13、个交互操作的组件构成：控制组件、加强组件和可选组件。这些组件既可以运行在单机上，也可以部署在跨平台系统上。,操作在操作系统的核心层进行，而不是在应用程序层，这样可以使系统达到最高性能的扩展和升级。,支持基于,Web,的多媒体和基于,UDP,的应用程序，并采用多重验证模板和方法。,支持几乎所有平台，但价格偏高。,5.3,防火墙的选择和使用,21,SonicWALL,系列防火墙,SonicWALL,系列防火墙是在,NASDAQ,上市的美国,SONICWALL,公司的著名网络安全产品，是目前全球销量最大的硬件防火墙和市场占有率最高的硬件,VPN,产品。,SonicWALL,采用软硬件一体化设计，在高

14、性能硬件平台上，利用先进的防火墙技术和,SonicWALL,专有的安全高效的实时操作系统。,采用世界领先的加密算法、身份认证技术以及网络防病毒技术，是一个强大的，集应用级防火墙、入侵报警、内容过滤、,VPN,、网络防病毒等多种安全策略为一体的，稳定可靠的高性能网络安全系统。,具有优秀的性价比。,5.3,防火墙的选择和使用,22,NetScreen,防火墙,是,NetScreen,科技公司推出的一种新型的网络安全硬件产品，具有,Trusted,（可信端口）、,Untrusted,（非信任端口）、,Optional,（可选端口）三个,J-45,网络接口，配有,PCMCIA,插槽，支持,10MB,、

15、20MB,、,40MB,和,150MB,快闪存储器。,优势之一是采用了新的体系结构，可以有效地消除传统防火墙实现数据加盟时的性能瓶颈，能实现最高级别的,IP,安全保护。,在执行效率和带宽处理的能力上性能优越。,Alkatel,Internet Devices,系列防火墙,采用独有的,ASIC,设计和基于,Intel,的,FreeBSD Unix,平台，使用简单易行，配置简单。,率先提供了,100MB,的吞吐能力和无用户数限制，并支持,64000,个并发会话，有效地消除了软件防火墙的性能瓶颈，达到了安全和性能的统一。,5.3,防火墙的选择和使用,23,北京天融信公司网络卫士防火墙,是我国第一套

16、自主版权的防火墙系统，目前在我国电信、电子、教育、科研等单位广泛使用。它由防火墙和管理器组成。其中，防火墙由多个模块组成，包括包过滤、应用代理、,NAT,、,VPN,、防攻击等功能模块，各模块可分离、裁剪和升级，以满足不同用户的需求。,在体系结构上，网络卫士采用了集中控制下的分布式客户机,/,服务器结构，性能好、配置灵活。采用了领先一步的,SSN,（安全服务器网络）技术，安全性高于其他防火墙普遍采用的,DMZ,（隔离区）技术。,NAI Gauntlet,防火墙,使用完全的代理服务方式提供广泛的协议支持以及高速的吞吐能力，很好地解决了安全、性能及灵活性之间的协调问题。,Gauntlet,防火墙的

17、新型自适应代理技术还允许单个安全产品，如安全脆弱性扫描器、病毒安全扫描器和入侵防护传感器之间实现更加灵活的集成。,5.3,防火墙的选择和使用,24,Cisco PIX,防火墙,是最具代表性的硬件防火墙，属状态检测型。由于它采用了自有的实时嵌入式操作系统，因此减少了黑客利用操作系统,BUG,攻击的可能性。,就性能而言，,Cisco PIX,是同类硬件防火墙产品中最好的，对,100BaseT,可达线速。,但是，其优势在软件防火墙面前便不呈现不明显了。其缺陷主要有三：其一价格昂贵，其二升级困难，其三是管理烦琐复杂。,5.3,防火墙的选择和使用,25,5.4,分布式防火墙技术,5.4.1,分布式防火墙

18、的产生,5.4.2,传统边界式防火墙的固有欠缺,5.4.3,分布式防火墙的主要特点,5.4.4,分布式防火墙的主要优势,5.4.5,分布式防火墙的基本原理,5.4.6,分布式防火墙的主要功能,26,5.4.1,分布式防火墙的产生,传统意义上的边界防火墙用于限制被保护企业内部网络与外部网络（通常是互联网）之间相互进行信息存取、传递操作。,分布式防火墙是一种主机驻留式的安全系统，用以保护企业网络中的关键结点服务器、数据及工作站免受非法入侵的破坏。,分布式防火墙把,Internet,和内部网络均视为“不友好的”。,分布式防火墙克服了操作系统所具有的已知及未知的安全漏洞，如,DoS,(,拒绝服务,),

19、应用及口令攻击。从而使操作系统得到强化。分布式防火墙对每个服务器都能进行专门的保护。,5.4,分布式防火墙技术,27,5.4.2,传统边界式防火墙的固有欠缺,网络应用受到结构性限制,内部安全隐患仍在,效率较低和故障率高,5.4,分布式防火墙技术,28,5.4.3,分布式防火墙的主要特点,主机驻留,嵌入操作系统内核,类似于个人防火墙,适用于服务器托管,5.4,分布式防火墙技术,29,5.4.4,分布式防火墙的主要优势,更强的系统安全性,提高了系统性能,系统的扩展性好,实施了主机策略,应用更为广泛，支持,VPN,通信,5.4,分布式防火墙技术,30,5.4.5,分布式防火墙的基本原理,首先由制定

20、防火墙接入控制策略的中心通过 编译器将策略语言诉描述转换成内部格式，形成策略文件；,然后中心采用系统管理工具把策略文件分发给各台“内部”主机；“内部”主机将从两方面来判定是否接受收到的包，一是根据,IP,安全协议，二是根据服务器端的策略文件,。,5.4,分布式防火墙技术,31,5.4.6,分布式防火墙的主要功能,Internet,访问控制,应用访问控制,网络状态监控,黑客攻击的防御,日志管理,系统工具,5.4,分布式防火墙技术,32,本章小结,本章介绍了防火墙的构造与选择方法。,防火墙是指隔离在本地网络与外界网络之间的一道或一组执行控制策略的防御系统。,防火墙的设计都要遵照两个基本原则，即：未被允许的必禁止，未被禁止的均允许。,选择防火墙时考虑的原则包括：网络结构，业务应用系统需求，用户及通信流量规模方面的需求，以及可靠性、可用性、易用性等方面的需求。,防火墙产品的分类因标准不同而异，按照产品可以分为软件防火墙、硬件防火墙和软硬一体化的防火墙；按照适用对象可以分为企业级防火墙与个人防火墙；按照产品等级可以分为包过滤型、应用网关型和服务代理型防火墙；按照发展过程则可以分为传统边界防火墙、分布式防火墙、嵌入式防火墙等。,33,Thanks,！,