信息安全系统工程防火墙.pptx

一、防火墙概述防火墙是建立在内外网络边界上的过滤封锁机制，它的作用是在保证网络畅通的情况下，防止不希望的、未经授权的通信进出被保护的内部网络，通过边界控制强化内部网络的安全政策。防火墙概述（续）如果没有防火墙，则整个内部网络的安全性完全依赖于每个主机也就是说，网络的安全水平是由最低的那个安全水平的主机决定的，这就是所谓的“木桶原理”，木桶能装多少水由最低的地方决定。网络越大，对主机进行管理使它们达到统一的安全级别水平就越不容易。如果采用了防火墙，内部网络中的主机将不再直接暴露给来自Internet的攻击因此，对整个内部网络的主机的安全管理就变成了防火墙的安全管理，这样就使安全管理变得更为方便，易于控制，也会使内部网络更加安全。防火墙的设计目标1、所有进出被保护网络的通信必须通过防火墙；2、所有通过防火墙的通信必须经过安全策略的过滤或者防火墙的授权；3、防火墙本身应该具有很强的抵抗攻击能力。防火墙的功能主要功能：1、访问控制功能；2、内容控制功能；3、全面的日志功能；4、集中管理功能；5、自身的安全和可用性。附加功能：1、流量控制；2、网络地址转换（Network Address Translation—NAT）；3、虚拟专用网（Virtual Private Network—VPN）。防火墙的边界保护机制防火墙的安放位置是可信网络和不可信网络的边界，它所保护的对象是网络中有明确闭合边界的网段注意：“可信网络”和“不可信网络”是相对的；一般说来内部网络是可信的，Internet是不可信的；但在内部网络中，还可能划分可信和不可信网络，比如财务部网络需要特殊保护，则财务部网络是可信网络，而其他内部网络就变成不可信网络。防火墙是一种边界保护，它对可信网络内部之间的访问无法控制，仅对穿过边界的访问进行控制防火墙面临的潜在的攻击防火墙放在可信网络的边界，直接面对的是不可信网络可能的攻击，面临Internet中的恶意访问者的攻击。恶意破坏者主要有以下几种可能的攻击：1） 入侵内部网络：包括没有授权地访问内部网络，盗取信息。比如进行地址欺骗，不可信网络的用户伪装成可信网络的地址，从而绕过系统的认证实现进入被攻击系统；或者通过在内部网络中安装木马程序，实现对内部机器的控制。2） 针对防火墙的攻击，使其失去功能：包括各种协议漏洞攻击和碎片攻击，使防火墙死机或者失去本身应有功能。3） 拒绝服务攻击：此种攻击现在非常普遍，对网络的危害非常大，是防火墙较难阻挡的攻击之一。拒绝服务攻击的方式1） Syn Flood： 该攻击以多个随机的源主机地址向目的主机发送SYN包，而在收到目的主机的SYN ACK后并不回应；这样，目的主机就为这些源主机建立了大量的连接队列，而且由于没有收到ACK一直维护着这些队列，造成了资源的大量消耗而不能向正常请求提供服务。 2）Smurf： 该攻击向一个子网的广播地址发一个带有特定请求（如ICMP回应请求）的包，并且将源地址伪装成想要攻击的主机地址；子网上所有主机都回应广播包请求而向被攻击主机发包，使该主机受到攻击。3）Land based、Ping of Death、Teardrop、Ping Sweep、Ping Flood…….防火墙的局限性1、防火墙不能防范不经防火墙的攻击；2、防火墙不能防止感染了病毒的软件或文件的传输；3、防火墙不能防止数据驱动式攻击；有些表面看起来无害的数据通过电子邮件发送或者其他方式复制到内部主机上，一旦被执行就形成攻击。一个数据型攻击可能导致主机修改与安全相关的文件，使得入侵者很容易获得对系统的访问权。4、防火墙不能防范恶意的内部人员侵入；5、防火墙不能防范不断更新的攻击方式防火墙制定的安全策略是在已知的攻击模式下制定的，所以对全新的攻击方式缺少阻止功能。防火墙的分类从防火墙实现的技术方式分：包过滤防火墙；应用层网关防火墙；电路层网关防火墙；状态检测防火墙。从形态上分：软件防火墙；硬件防火墙硬件防火墙是将防火墙软件安装在专用的硬件平台和专有操作系统（有些硬件防火墙甚至没有操作系统）之上，以硬件形式出现，如Cisco的PIX防火墙。有的还使用一些专有的ASIC硬件芯片负责数据包的过滤，性能更好。防火墙的访问效率和安全需求防火墙是网络的开放性和安全的控制性矛盾对立的产物。一方面网络的优势是它的互联互通性，用户希望快捷顺畅地访问网站、收发电子邮件等；另一方面，网络也是不安全的，所以需要使用防火墙对网络进行控制，添加安全规则，让用户通过登录来完成访问授权，可这样会使用户感到繁琐，而且需要检查的安全规则越多，网络性能就会越差。所以防火墙的访问效率和安全需求是一对矛盾，应该努力寻找平衡。防火墙的主要性能指标1）吞吐量： 指防火墙在不丢失数据包的情况下能达到的最大的转发数据包的速率。吞吐量是防火墙性能中的一项