安全产品介绍-防火墙.ppt

4．多级的过滤技术 　　为保证系统的安全性和防护水平，第四代防火墙采用了三级过滤措施，并辅以鉴别手段。在分组过滤一级，能过滤掉所有的源路由分组和假冒的IP源地址；在应用级网关一级，能利用FTP、SMTP等各种网关，控制和监测Internet提供的所用通用服务；在电路网关一级，实现内部主机与外部站点的透明连接，并对服务的通行实行严格控制。 5．网络地址转换技术（NAT） 　　第四代防火墙利用NAT技术能透明地对所有内部地址作转换，使外部网络无法了解内部网络的内部结构，同时允许内部网络使用自己编的IP地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址。 6． Internet网关技术 　　由于是直接串连在网络之中，第四代防火墙必须支持用户在Internet互连的所有服务，同时还要防止与Internet服务有关的安全漏洞。故它要能以多种安全的应用服务器（包括FTP、Finger、mail、Ident、News、WWW等）来实现网关功能。为确保服务器的安全性，对所有的文件和命令均要利用“改变根系统调用（chroot）”作物理上的隔离。 7、安全服务器网络（SSN） 　　利用保护策略对服务器实施保护，利用网卡将对外服务器作独立网络处理，与内部网关安全隔离。 8．用户鉴别与加密 　　为了降低防火墙产品在Telnet、FTP等服务和远程管理上的安全风险，鉴别功能必不可少，第四代防火墙采用一次性使用的口令字系统来作为用户的鉴别手段，并实现了对邮件的加密。 9．用户定制服务 　　为满足特定用户的特定需求，第四代防火墙在提供众多服务的同时，还为用户定制提供支持，这类选项有：通用TCP，出站UDP、FTP、SMTP等类，如果某一用户需要建立一个数据库的代理，便可利用这些支持，方便设置。 10．审计和告警 　　第四代防火墙产品的审计和告警功能十分健全，日志文件包括：一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、域名服务器等。告警功能会守住每一个TCP或UDP探寻，并能以发出邮件、声响等多种方式报警。 　防火墙的基本组成结构 1．屏蔽路由器 2．双宿堡垒主机 3．屏蔽主机防火墙 4．屏蔽子网防火墙 1．屏蔽路由器 又称包过滤路由器，在一般路由器的基础上增加了一些新的安全控制功能，是一个检查通过它的数据包的路由器。 屏蔽路由器示意图 2．双宿堡垒主机 又称应用型防火墙，在运行防火墙软件的堡垒主机上运行代理服务器。 双宿堡垒主机示意图 3．屏蔽主机防火墙 屏蔽主机防火墙由包过滤路由器和堡垒主机（Bastion Host）组成，它所提供的安全性能要比包过滤防火墙系统要强，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）的结合。当入侵者在破坏内部网络的安全性之前，必须首先突破这两种不同的安全系统。 屏蔽主机网关示意图 原理和实现过程 ： 　　堡垒主机位于内部网络上，而包过滤路由器则放置在内部网络和外部网络之间。在路由器上设置相应的规则，使得外部系统只能访问堡垒主机。由于内部主机与堡垒主机处于同一个网络，内部系统是否允许直接访问外部网络，或者是要求使用堡垒主机上的代理服务来访问外部网络完全由企业的安全策略来决定。对路由器的过滤规则进行配置，使得其只接收来自堡垒主机的内部数据包，就可以强制内部用户使用代理服务，从而加强内部用户对外部Internet访问的管理。 3．屏蔽主机防火墙 4．屏蔽子网防火墙 屏蔽子网防火墙利用两台屏蔽路由器把子网与内外部网络隔离开，堡垒主机、信息服务器、Modem组，以及其他公用服务器放在该子网中，这个子网称为“停火区”或“非军事区”（DeMilitarised Zone，DMZ） 屏蔽子网防火墙示意图 Web 应用防火墙(WAF) Web防火墙，主要是对Web特有入侵方式的加强防护，如DDOS防护、SQL注入、XML注入、XSS等。由于是应用层而非网络层的入侵，从技术角度都应该称为Web IPS，而不是Web防火墙。这里之所以叫做Web防火墙，是因为大家比较好理解，业界流行的称呼而已。由于重点是防SQL注入，也有人称为SQL防火墙。 WAF Web防火墙产品部署在Web服务器的前面，串行接入，不仅在硬件性能上要求高，而且不能影响Web服务，所以HA功能、Bypass功能都是必须的，而且还要与负载均衡、Web Cache等Web服务器前的常见的产品协调部署。 WAF的主要技术 代理服务：代理方式本身就是一种安全网关，基于会话的双向代理，中断了用户与服务器的直接连接，适用于各种加密协议，这也是Web的Cache应用中最常用的技术。代理方式防止了入侵者