防火墙原理-体系结构-系统设计.ppt

1、防火墙原理与系统设计1、防火墙原理Internet上没有人能免于攻击政府政府企业企业个人个人1.1 防火墙概述 1.1 防火墙概述 通常意义上的防火墙：通常意义上的防火墙：通常意义上的防火墙：通常意义上的防火墙：不同安全级别的网络或安全域之间的唯一通道不同安全级别的网络或安全域之间的唯一通道不同安全级别的网络或安全域之间的唯一通道不同安全级别的网络或安全域之间的唯一通道 只有被防火墙策略明确授权的通信才可以通过只有被防火墙策略明确授权的通信才可以通过只有被防火墙策略明确授权的通信才可以通过只有被防火墙策略明确授权的通信才可以通过 系统自身具有高安全性和高可靠性系统自身具有高安全性和高可靠性系统

2、自身具有高安全性和高可靠性系统自身具有高安全性和高可靠性注意区分个人防火墙注意区分个人防火墙注意区分个人防火墙注意区分个人防火墙 防火墙是位于两个防火墙是位于两个防火墙是位于两个防火墙是位于两个(或多个或多个或多个或多个)网络间，实施网络网络间，实施网络网络间，实施网络网络间，实施网络间访问控制的一组组件的集合。防火墙的英文名为间访问控制的一组组件的集合。防火墙的英文名为间访问控制的一组组件的集合。防火墙的英文名为间访问控制的一组组件的集合。防火墙的英文名为“FireWallFireWallFireWallFireWall”，它是最重要的网络防护设备之一。，它是最重要的网络防护设备之一。，它是

3、最重要的网络防护设备之一。，它是最重要的网络防护设备之一。1 1、基本概念、基本概念 网络边界网络边界网络边界网络边界即是采用不同安全策略的两个网络连即是采用不同安全策略的两个网络连即是采用不同安全策略的两个网络连即是采用不同安全策略的两个网络连接处，比如用户网络和因特网之间连接、和其他业接处，比如用户网络和因特网之间连接、和其他业接处，比如用户网络和因特网之间连接、和其他业接处，比如用户网络和因特网之间连接、和其他业务往来单位的网络连接、用户内部网络不同部门之务往来单位的网络连接、用户内部网络不同部门之务往来单位的网络连接、用户内部网络不同部门之务往来单位的网络连接、用户内部网络不同部门之间

4、的连接等。间的连接等。间的连接等。间的连接等。1.1 防火墙概述(1)(1)(1)(1)不同安全级别的网络或安全域之间的唯一通道不同安全级别的网络或安全域之间的唯一通道不同安全级别的网络或安全域之间的唯一通道不同安全级别的网络或安全域之间的唯一通道 防火墙的目的防火墙的目的防火墙的目的防火墙的目的就是在网络连接之间建立一个安就是在网络连接之间建立一个安就是在网络连接之间建立一个安就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙全控制点，通过允许、拒绝或重新定向经过防火墙全控制点，通过允许、拒绝或重新定向经过防火墙全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现

5、对进、出内部网络的服务和访问的的数据流，实现对进、出内部网络的服务和访问的的数据流，实现对进、出内部网络的服务和访问的的数据流，实现对进、出内部网络的服务和访问的审计和控制。审计和控制。审计和控制。审计和控制。1.1 防火墙概述(2)(2)(2)(2)只有被防火墙策略明确授权的通信才可以通过只有被防火墙策略明确授权的通信才可以通过只有被防火墙策略明确授权的通信才可以通过只有被防火墙策略明确授权的通信才可以通过1.1 防火墙概述(3)(3)(3)(3)系统自身具有高安全性和高可靠性系统自身具有高安全性和高可靠性系统自身具有高安全性和高可靠性系统自身具有高安全性和高可靠性 防火墙自身应具有非常强的

6、抗攻击免疫力。防火墙自身应具有非常强的抗攻击免疫力。防火墙自身应具有非常强的抗攻击免疫力。防火墙自身应具有非常强的抗攻击免疫力。防火墙自身具有非常低的服务功能，除了专门防火墙自身具有非常低的服务功能，除了专门防火墙自身具有非常低的服务功能，除了专门防火墙自身具有非常低的服务功能，除了专门的防火墙嵌入系统外，再没有其他应用程序在防火的防火墙嵌入系统外，再没有其他应用程序在防火的防火墙嵌入系统外，再没有其他应用程序在防火的防火墙嵌入系统外，再没有其他应用程序在防火墙上运行。墙上运行。墙上运行。墙上运行。一般采用一般采用一般采用一般采用LinuxLinuxLinuxLinux、UNIXUNIXUNI

7、XUNIX或或或或FreeBSDFreeBSDFreeBSDFreeBSD系统系统系统系统作为支撑作为支撑作为支撑作为支撑其工作的操作系统。其工作的操作系统。其工作的操作系统。其工作的操作系统。1.2 防火墙的功能防火墙的功能防火墙的功能 1 1 1 1）限定内部用户访问特殊站点。）限定内部用户访问特殊站点。）限定内部用户访问特殊站点。）限定内部用户访问特殊站点。2 2 2 2）防止未授权用户访问内部网络。）防止未授权用户访问内部网络。）防止未授权用户访问内部网络。）防止未授权用户访问内部网络。3 3 3 3）允许内部网络中的用户访问外部网络的服）允许内部网络中的用户访问外部网络的服）允许内部

8、网络中的用户访问外部网络的服）允许内部网络中的用户访问外部网络的服务和资源而不泄漏内部网络的数据和资源。务和资源而不泄漏内部网络的数据和资源。务和资源而不泄漏内部网络的数据和资源。务和资源而不泄漏内部网络的数据和资源。4 4 4 4）记录通过防火墙的信息内容和活动。）记录通过防火墙的信息内容和活动。）记录通过防火墙的信息内容和活动。）记录通过防火墙的信息内容和活动。5 5 5 5）对网络攻击进行监测和报警。）对网络攻击进行监测和报警。）对网络攻击进行监测和报警。）对网络攻击进行监测和报警。防火墙的防火墙的防火墙的防火墙的基本功能基本功能基本功能基本功能：访问控制访问控制访问控制访问控制l l

9、基于源基于源基于源基于源MACMACMACMAC地址地址地址地址l l 基于目的基于目的基于目的基于目的MACMACMACMAC地址地址地址地址l l 基于源基于源基于源基于源IPIPIPIP地址地址地址地址l l 基于目的基于目的基于目的基于目的IPIPIPIP地址地址地址地址l l 基于源端口基于源端口基于源端口基于源端口l l 基于目的端口基于目的端口基于目的端口基于目的端口 l l 基于方向基于方向基于方向基于方向l l 基于时间基于时间基于时间基于时间l l 基于用户基于用户基于用户基于用户l l 基于流量基于流量基于流量基于流量l l 基于内容基于内容基于内容基于内容1.2 防火墙

10、的功能路由功能路由功能路由功能路由功能NATNATNATNAT功能功能功能功能VPNVPNVPNVPN功能功能功能功能用户认证用户认证用户认证用户认证防火墙的防火墙的防火墙的防火墙的扩展功能扩展功能扩展功能扩展功能：带宽控制带宽控制带宽控制带宽控制日志审计日志审计日志审计日志审计流量分析流量分析流量分析流量分析1.2 防火墙的功能v1.防火墙能做什么？防火墙能做什么？v2.防火墙不能防范什么？防火墙不能防范什么？防火墙能做什么 防火墙并不能为网络防范一切，也不应该把它防火墙并不能为网络防范一切，也不应该把它作为对所有安全问题的一个最终解决方案，所作为对所有安全问题的一个最终解决方案，所以懂得哪

11、些工作是防火墙能做的非常重要：以懂得哪些工作是防火墙能做的非常重要：（1）实现安全策略）实现安全策略 （2）创建一个阻塞点）创建一个阻塞点 （3）记录网络活动）记录网络活动 （4）限制网络暴露）限制网络暴露1.实现安全策略 安全策略对哪些安全策略对哪些人和哪些行为被允人和哪些行为被允许做出规定。如一许做出规定。如一个常见的安全策略个常见的安全策略是允许任何人访问是允许任何人访问公司服务器上的公司服务器上的Web站点，但是站点，但是不允许不允许telnet登陆登陆到服务器上。到服务器上。1.实现安全策略 防火墙可以使用的两种基本的安全策略：防火墙可以使用的两种基本的安全策略：v规则规定拒绝哪些访

12、问，允许其余没规定的访问规则规定拒绝哪些访问，允许其余没规定的访问v规则规定允许哪些访问，拒绝其余没规定的访问规则规定允许哪些访问，拒绝其余没规定的访问 为了得到较高的安全性，一般采用第为了得到较高的安全性，一般采用第2个策略。个策略。2.创建一个阻塞点 防火墙在一个公司私有网络和分网间建立一个检查点。这种防火墙在一个公司私有网络和分网间建立一个检查点。这种实现要求所有的流量都要通过这个检查点。在该检查点防火实现要求所有的流量都要通过这个检查点。在该检查点防火墙设备就可以监视，过滤和检查所有进来和出去的流量。网墙设备就可以监视，过滤和检查所有进来和出去的流量。网络安全产业称这些检查点为阻塞点。

13、络安全产业称这些检查点为阻塞点。没有防火墙，分散管理，效率低下没有防火墙，分散管理，效率低下没有防火墙，分散管理，效率低下没有防火墙，分散管理，效率低下 使用防火墙，集中管理，高效率使用防火墙，集中管理，高效率使用防火墙，集中管理，高效率使用防火墙，集中管理，高效率3.记录网络活动 防火防火墙还能能够监视并监视并记录网络活动网络活动，并且提供，并且提供警警报功能。功能。通过防火墙记录的数据，管理员可通过防火墙记录的数据，管理员可以发现网络中的各种问题。以发现网络中的各种问题。例如，通过查看安例如，通过查看安例如，通过查看安例如，通过查看安全日志，管理员可全日志，管理员可全日志，管理员可全日志，

14、管理员可以找到非法入侵的以找到非法入侵的以找到非法入侵的以找到非法入侵的相关纪录，从而可相关纪录，从而可相关纪录，从而可相关纪录，从而可以做出相应的措施。以做出相应的措施。以做出相应的措施。以做出相应的措施。4.限制网络暴露 防火墙在你的网络周围创建了一个保护的边界。并且对防火墙在你的网络周围创建了一个保护的边界。并且对于公网隐藏了你内部系统的一些信息以增加保密性。当于公网隐藏了你内部系统的一些信息以增加保密性。当远程节点侦测你的网络时，他们仅仅能看到防火墙。远远程节点侦测你的网络时，他们仅仅能看到防火墙。远程设备将不会知道你内部网络的布局以及都有些什么。程设备将不会知道你内部网络的布局以及都

15、有些什么。例如，防火墙的例如，防火墙的例如，防火墙的例如，防火墙的NATNAT功能可以隐藏功能可以隐藏功能可以隐藏功能可以隐藏内部的内部的内部的内部的IPIP地址；地址；地址；地址；代理服务器防火墙代理服务器防火墙代理服务器防火墙代理服务器防火墙可以隐藏内部主机可以隐藏内部主机可以隐藏内部主机可以隐藏内部主机信息。信息。信息。信息。防火墙不能做什么 除了懂得防火墙能保护什么非常重要外，除了懂得防火墙能保护什么非常重要外，懂得防火墙不能保护什么也是同等重要：懂得防火墙不能保护什么也是同等重要：1.病毒与特洛伊木马病毒与特洛伊木马 2.社会工程社会工程 3.物理故障物理故障 4.不当配置和内部攻击

16、不当配置和内部攻击 防火墙不能做什么 总体来说，除了不能防止物理故障等错误外，总体来说，除了不能防止物理故障等错误外，防火墙本身并不能防范经过授权的东西，如防火墙本身并不能防范经过授权的东西，如内部员工的破坏等。内部员工的破坏等。例如，员工接收了一封包含木例如，员工接收了一封包含木例如，员工接收了一封包含木例如，员工接收了一封包含木马的邮件，木马是以普通程序马的邮件，木马是以普通程序马的邮件，木马是以普通程序马的邮件，木马是以普通程序的形式放在了附件里，防火墙的形式放在了附件里，防火墙的形式放在了附件里，防火墙的形式放在了附件里，防火墙不能避免该情况的发生。不能避免该情况的发生。不能避免该情况的发生。不能避免该情况的发生。2、防火墙体系结构222.防火墙体系结构v包过滤型防火墙包过滤型防火墙(Package Filtering Firewall)v双宿双宿/多宿主机防火墙多宿主机防火墙(Dual-Homed/Multi-Homed Host Firewall)v屏蔽主机防火墙屏蔽主机防火墙(Screened Host Firewall)v屏蔽子网防火墙屏蔽子网防火墙(Screened