信息安全管理第3章3.5安全防护技术剖析PPT课件下载推荐.pptx

1、防火墙是提供信息安全服务，实现网络和信息安全的基础设施。防火墙防火墙 firewall 是一个位于计算机和它所连接的网络之间的硬件或软件 防火墙的功能 集中管理。因特网防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户（如黑客、网络破坏者等）进人内部网络；禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。因特网防火墙能够简化安全管理，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。访问控制。防火墙是在两个网络通信时执行一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。

2、访问控制11010110Access list 192.168.1.3 to 202.2.33.2Access nat 192.168.3.0 to any passAccess 202.1.2.3 to 192.168.1.3 blockAccess default pass规则匹配成功防火墙的功能 内容控制。内容控制实质还是关键字过滤，内容过滤的速度取决于关键字模式的查找速度。内容过滤的关键就在于发现异常模式而切断连接，至于连接的切断模式也有各种方式，最好是能让用户知道是为什么被切断的。日志。网络管理员可以记录所有通过防火墙的重要信息。流量控制。流量控制是几乎任何防火墙都具备的功能，但各种

3、防火墙的流量控制的实现各种各样，能实现的控制能力也各有千秋。可以从流量限制、流量保障、QoS 三方面评价防火墙的流量控制能力。防火墙的功能防火墙能为管理人员提供对下列问题的答案：什么人在使用网络?他们什么时间，使用了什么网络资源?他们连接了什么站点?他们在网上做什么?谁要上网,但是没有成功?防火墙执行标准GB/T 18019-1999 信息技术包过滤防火墙安全技术要求GB/T 18020-1999 信息技术应用级防火墙安全技术要求GB/T 18336-2001 信息技术安全性评估准则GB/T 17900-1999 网络代理服务器的安全技术要求GB/T 18018-1999 路由器安全技术要求这

4、些标准从安全环境、安全目标、安全要求、基本原理等方面对防火墙的各种指标进行了规定。桌面型防火墙普通百兆防火墙防火墙+VPN高端百兆防火墙高端千兆防火墙 通过在安全边界部署防火墙，可以实比 VLAN、路由器更为强大、有效的访问控制功能；大大提高抗攻击的能力，实现边界防护。高端电信级千兆防火墙天融信防火墙产品系列线按形态分类软件防火墙硬件防火墙保护整个网络按保护对象分类网络防火墙保护单台主机单机防火墙防火墙的分类单机防火墙&网络防火墙1、保护单台主机2、安全策略分散3、安全功能简单4、普通用户维护5、安全隐患较大6、策略设置灵活单机防火墙网络防火墙1、保护整个网络2、安全策略集中3、安全功能复杂多

5、样4、专业管理员维护5、安全隐患小6、策略设置复杂单机防火墙单机防火墙网络防火墙网络防火墙产品形态产品形态软件软件硬件硬件安装点安装点每台独立的每台独立的 Host网络边界处网络边界处安全策略安全策略分散在各个安全点分散在各个安全点对整个网络有效对整个网络有效保护范围保护范围单台主机单台主机一个网段一个网段管理方式管理方式分散管理分散管理集中管理集中管理功能功能功能单一功能单一功能复杂、多样功能复杂、多样管理人员管理人员普通计算机用户普通计算机用户专业网管人员专业网管人员安全措施安全措施单点安全措施单点安全措施全局安全措施全局安全措施结论结论单机防火墙是网络防火墙的有益补充，但不能代替单机防火

6、墙是网络防火墙的有益补充，但不能代替网络防火墙为内部网络提供强大的保护功能网络防火墙为内部网络提供强大的保护功能防火墙分类软件防火墙&硬件防火墙硬件防火墙1、硬件+软件，不用准备额外的 OS 平台2、安全性完全取决于专用的 OS3、网络适应性强（支持多种接入模式）4、稳定性较高5、升级、更新不太灵活1、仅获得 Firewall 软件，需要额外的 OS 平台2、安全性依赖低层的 OS3、网络适应性弱4、稳定性高5、软件分发、升级比较方便操作系统平台安全性性能稳定性网络适应性分发升级成本硬件防火墙基于精简专用OS高高较高强不易较容易Firewall+Server软件防火墙基于庞大通用OS较高较高高

7、较强非常容易容易Firewall软件防火墙防火墙分类防火墙的类型1、包过滤防火墙2、状态检测防火墙3、应用代理防火墙防火墙分类包过滤防火墙数据包过滤（Packet Filtering）技术在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，即访问控制表（Access Control List，ACL）包过滤防火墙分为静态包过滤、动态包过滤防火墙包检查器并不是检查数据包的所有内容，只检查报头（IP、TCP 头部），通常只检查下列几项：IP 源地址IP 目标地址TCP 或 UDP 的源端口号TCP 或 UDP 的目的端口号协议类型ICMP 消息类型TCP 报头中的 ACK 位TCP 的序列

8、号、确认号IP 校验和数据包过滤检查信息IP 报头TCP 报头包过滤防火墙应用层表达层会话层传输层网络层链路层物理层网络层链路层物理层应用层表达层会话层传输层网络层链路层物理层包过滤防火墙的工作原理应用层TCP 层IP 层数据链路层数据链路层IP 层TCP 层应用层101111111000101101001010001110010111111100010110100101000111001101001011010010TCP11010010IP TCP11010010TCPIPETH11010010IP TCP11010010TCPIPETH11010010IP TCP11010010TCP1

9、1010010只检查报头1、简单包过滤防火墙 不检查数据区2、简单包过滤防火墙 不建立连接状态表3、前后报文无关4、应用层控制很弱包过滤防火墙优点逻辑简单对网络性能的影响较小，有较强的透明性开销较小，设备便宜缺点无法对数据包的内容进行过滤审核在传输层或则是网络层上检测数据，不能在更高一层检测数据，比如能禁止和通过一个向内的 HTTP 请求，但不能判断这个 请求是非法的还是合法的。防止欺骗攻击很难，特别是容易受到 IP 欺骗攻击所有可能用到的端口（尤其是 1024 的端口）都必需放开,增加了被攻击的可能性在复杂的网络中很难管理通常来说包过滤技术是防火墙技术中最低的状态检测防火墙由动态包过滤防火墙

10、演变而来，工作在传输层，使用各种状态表（state tables）来追踪活跃的 TCP 会话，它能够根据连接状态信息动态地建立和维持一个连接状态表，并且把这个连接状态表用于后续报文的处理。状态检测技术一般的检查点有：检查数据包是否是一个已经建立并且正在使用的通信流的一部分。如果数据包和连接表的各项都不匹配，那么防火墙就会检测数据包是否与它所配置的规则集相匹配。在检测完毕后，防火墙会根据路由转发数据包，并且会在连接表中为此次对话创建或者更新一个连接项防火墙通常对 TCP 包中被设置的 FIN 位进行检测、通过会话超时设置决定何时从连接表中删除某连接项。状态检测防火墙应用层表达层会话层传输层网络层

11、链路层物理层应用层表达层会话层传输层网络层链路层物理层应用层表达层会话层传输层网络层链路层物理层抽取各层的状态信息建立动态状态表状态检测防火墙的工作原理应用层TCP 层IP 层数据链路层数据链路层IP 层TCP 层应用层101111111000101101001010001110010111111100010110100101000111001101001011010010TCP11010010IP TCP11010010TCPIPETH11010010IP TCP11010010TCPIPETH11010010IP TCP11010010TCP11010010只检查报头1、不检查数据区2、建

12、立连接状态表3、前后报文相关4、应用层控制很弱建立连接状态表状态检测防火墙优点更高的安全性高效性应用范围广缺点不能对应用层数据进行控制不能产生高层日志配置复杂应用代理防火墙应用代理（Application Proxy）也称为应用层网关（Application Gateway）工作在应用层，其核心是代理进程每一种应用对应一个代理进程，实现监视和控制应用层通信流自适应代理防火墙：在每个连接通信的开始仍然需要在应用层接受检测，而后面的包可以经过安全规则由自适应代理程序自动的选择是使用包过滤还是代理IP 报头TCP 报头数据应用代理检查信息应用代理防火墙应用层表达层会话层传输层网络层链路层物理层应用层

13、表达层会话层传输层网络层链路层物理层应用层表达层会话层传输层网络层链路层物理层HTTPFTPSMTP应用代理防火墙的工作原理应用层TCP 层IP 层数据链路层数据链路层IP 层TCP 层应用层101111111000101101001010001110010111111100010110100101000111001101001011010010TCP11010010IP TCP11010010TCPIPETH11010010IP TCP11010010TCPIPETH11010010IP TCP11010010TCP11010010只检查数据1、不检查 IP、TCP 报头2、不建立连接状态表

14、3、网络层保护较弱防火墙简介优点可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强代理完全控制会话，可以提供很详细的日志和安全审计功能可以隐藏内部网的 IP 地址，保护内部主机免受外部主机的进攻可以集成认证机制缺点最大缺点是要求用户改变自己的行为，或者在访问代理服务的每个系统上安装特殊的软件分析困难，实现困难 每一种应用服务必须设计一个代理软件模块进行安全控制，并且应用升级时，一半代理服务程序也要升级影响用户网络速度（命令解释）不能防止 SYN 攻击复合型防火墙复合型防火墙是指综合了状态检测与应用代理的新一代的防火墙对整个报文进行访问控制和处理，具体检测内容由策略决定，如果策略

15、是包过滤策略，则对 TCP、IP报头进行检测，如果策略是应用代理策略，则对用户数据进行检测IP 报头TCP 报头数据复合型防火墙检查信息应用层TCP 层IP 层数据链路层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP 层IP 层数据链路层TCP101010101IP101010101TCPTCP101010101IPETH101010101检查整个报文内容1010010010010100100000111001111011110010010010100100000111001111011110建立连接状态表1 1、可以检查整个数据包内容、可以检查整个数据包内容2 2、根据需要建立连接状态表、根据需要建立连接状态表3 3、网络层保护强、网络层保护强4 4、应用层控制细、应用层控制细5 5、会话控制较弱、会话控制较弱复合型防火墙的工作原理复合型防火墙优点可以检查整个数据包的内容根据需要建立连接状态表网络层保护强应用层控制细缺点会话控制较弱windows7 防火墙的设置windows7 防火墙的设置windows7 防火墙的设置windo