防火墙培训_v3.0浅析.ppt

引入 随着Internet的日益普及，开放式的网络带来了许多不安全的隐患。在开放网络式的网络上，我们的周围存在着许多不能信任的计算机（包括在一个LAN之间），这种这些计算机对我们私有的一些敏感信息造成了很大的威胁。 在大厦的构造中，防火墙被设计用来防止火灾从大厦的一部分传播到大厦的另一部分。我们所涉及的“防火墙”具有类似的目的：“防止Internet的危险传播到你的内部网络”。 什么叫防火墙? 防火墙(Fire Wall)：简单的说，网络安全的第一道防线，是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的设备，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。 防火墙 = 硬件 + 软件 + 控制策略 宽松控制策略：除非明确禁止，否则允许。 限制控制策略：除非明确允许，否则禁止。 防火墙的特性： 内部和外部之间的所有网络数据流必须经过防火墙 只有被安全政策允许的数据包才能通过防火墙 防火墙本身要具有很强的抗攻击、渗透能力 防火墙的简单定义 简单的说，防火墙是保护一个网络免受“不信任”的网络的攻击，但是同时还必须允许两个网络之间可以进行合法的通信。防火墙应该具有如下基本特征： 经过防火墙保护的网络之间的通信必须都经过防火墙。 只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。 防火墙本身必须具有很强的抗攻击、渗透能力。 防火墙可以保护内部网络的安全，可以使受保护的网络避免遭到外部网络的攻击。硬件防火墙应该可以支持若干个网络接口，这些接口都是LAN接口（如Ethernet、Token Ring、FDDI），这些接口用来连接几个网络。在这些网络中进行的连接都必须经过硬件防火墙，防火墙来控制这些连接，对连接进行验证、过滤。 防火墙在安全体系中的位置 门 防火墙 防火墙的功能 防火墙能提供的功能 监控和审计网络的存取和访问：过滤进出网络的数据，管理进出网络的访问行为，封堵某些禁止的业务，记录通过防火墙的信息内容和活动，对网络攻击进行检测和告警。 部署于网络边界，兼备提供网络地址翻译(NAT)、虚拟专用网(VPN)等功能 防病毒、入侵检测、认证、加密、远程管理、代理 …… 深度检测对某些协议进行相关控制 攻击防范，扫描检测等 防火墙的局限性 防火墙不是解决所有网络安全问题的万能药方，只是网络安全政策和策略中的一个组成部分。 防外不防内（内网用户和内外串通）； 不能防备全部的威胁，特别是新产生的威胁； 在提供深度检测功能以及防火墙处理转发性能上需要平衡； 当使用端-端加密时，即有加密隧道穿越防火墙的时候不能处理； 目前的防火墙，在网络层可靠性组网中解决单点故障的组网不够灵活并且存在应用限制； 防火墙本身可能会存在性能瓶颈，如抗攻击能力，会话数限制等； 防火墙技术发展介绍－防火墙的分类 按照防火墙实现的方式，一般把防火墙分为如下几类： 包过滤防火墙(Packet Filtering) 包过滤利用定义的特定规则过滤数据包，防火墙直接获得数据包的IP源地址、目的地址、TCP/ UDP的源端口、和TCP/UDP的目的端口。利用以上的部分或者全部的信息按照规则进行比较，过滤通过防火墙的数据包。规则的定义就是按照IP数据包的特点定义的，可以充分利用上述的四个条件定义通过防火墙数据包的条件。 包过滤防火墙简单，但是缺乏灵活性。另外包过滤防火墙每包需要都进行策略检查，策略过多会导致性能急剧下降。 代理型防火墙（application gateway） 代理型防火墙使得防火墙做为一个访问的中间节点，对Client来说防火墙是一个Server，对Server来说防火墙是一个Client。代理型防火墙安全性较高，但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的，因此代理型防火墙不能支持很丰富的业务，只能针对某些应用提供代理支持。 状态检测防火墙 状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。 现在防火墙的主流产品为状态检测防火墙。 防火墙的关键技术 防火墙的关键技术 包过滤技术 代理技术 状态检测技术 网络地址翻译 NAT 虚拟专用网 VPN 应用协议特定的包过滤技术ASPF 双机热备技术 QOS技术 应用层流控技术包括P2P限流 防攻击技术，DPI技术 包过滤防火墙(Packet Filtering) 包过滤防火墙(Packet Filtering