4-VCSE-防火墙技术.ppt

防火墙概述 防火墙主要技术 防火墙其它功能 防火墙实用指导 防火墙发展趋势 防火墙出现背景 防火墙的作用 防火墙相关标准 防火墙的类型 防火墙发展历程 防火墙相关术语 防火墙体系结构 产生背景 互联网的迅猛发展 网络协议的脆弱性 企业业务的需要 信任边界复杂，缺乏有效管理 防火墙出现背景 防火墙的作用 防火墙的局限性 防火墙相关标准 防火墙的类型 防火墙发展历程 防火墙相关术语 防火墙体系结构 防火墙作用 过滤进出网络的数据包 管理进出网络的访问行为 封堵某些禁止的访问行为 记录通过防火墙的信息内容和活动 对网络攻击进行告警 防火墙出现背景 防火墙的作用 防火墙的局限性 防火墙相关标准 防火墙的类型 防火墙发展历程 防火墙相关术语 防火墙体系结构 防火墙的局限性 防火墙不能防范不经过防火墙的攻击。如拨号访问、内部攻击等。 病毒等恶性程序可利用email夹带闯关 防火墙不能解决来自内部网络的攻击和安全问题 防火墙不能防止策略配置不当或错误配置引起的安全威胁。 防火墙不能防止利用标准网络协议中的缺陷进行的攻击 防火墙的局限性 防火墙不能防止利用服务器系统漏洞所进行的攻击。 防火墙不能防止数据驱动式的攻击。有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动式的攻击。 防火墙不能防止本身的安全漏洞的威胁。目前还没有厂商绝对保证防火墙不会存在安全漏洞。 防火墙的脆弱性 防火墙的操作系统不能保证没有漏洞 防火墙的硬件不能保证不失效 防火墙软件不能保证没有漏洞 防火墙无法解决TCP/IP等协议的漏洞 防火墙无法区分恶意命令还是善意命令 防火墙无法区分恶意流量和善意流量 防火墙的安全性与多功能成反比。除非确信需要某些功能，否则，应该功能最小化 防火墙的安全性和速度成反比 防火墙的多功能与速度成反比 防火墙无法保证准许服务的安全性 防火墙出现背景 防火墙的作用 防火墙的局限性 防火墙相关标准 防火墙的类型 防火墙发展历程 防火墙相关术语 防火墙体系结构 防火墙出现背景 防火墙的作用 防火墙的局限性 防火墙相关标准 防火墙的类型 防火墙发展历程 防火墙相关术语 防火墙体系结构 防火墙出现背景 防火墙的作用 防火墙的局限性 防火墙相关标准 防火墙的类型 防火墙发展历程 防火墙相关术语 防火墙体系结构 防火墙的发展历程 防火墙的发展历程 防火墙的发展历程 防火墙的发展历程 防火墙的发展历程 防火墙的发展历程 防火墙的发展历程 防火墙的发展历程 防火墙的发展历程 防火墙出现背景 防火墙的作用 防火墙的局限性 防火墙相关标准 防火墙的类型 防火墙发展历程 防火墙相关术语 防火墙体系结构 防火墙术语 主机 保垒主机 双宿主机 数据包过滤 屏蔽路由器 屏蔽主机 屏蔽子网 代理服务器 防火墙出现背景 防火墙的作用 防火墙的局限性 防火墙相关标准 防火墙的类型 防火墙发展历程 防火墙相关术语 防火墙体系结构 防火墙出现背景 防火墙的作用 防火墙的局限性 防火墙相关标准 防火墙的类型 防火墙发展历程 防火墙相关术语 防火墙体系结构 防火墙概述 防火墙主要技术 防火墙其它功能 防火墙实用指导 防火墙发展趋势 简单包过滤 防火墙原理 根据流经防火墙的数据包头信息，决定是否允许该数据包通过 创建包过滤规则 打算提供何种网络服务，并以什么方向提供这些服务？ 需要限制任何内部主机与因特网连接的能力吗？ 因特网上是否有可信任的主机，可以某种形式访问内部网络吗？ 用来生成规则的信息 判断依据有： 数据包协议类型：TCP、UDP、ICMP、IGMP等 源、目的IP地址 源、目的端口：FTP、HTTP、DNS等 IP选项：源路由选项等 TCP选项：SYN、ACK、FIN、RST等 其它协议选项：ICMP ECHO、ICMP ECHO REPLY等 数据包流向：in或out 数据包流经网络接口：eth0、eth1 简单包过滤技术的优缺点 缺点 不能防范黑客的IP欺骗类攻击。 不支持应用层协议 假如内网用户提出这样一个需求，只允许内网员工访问外网的网页（使用 HTTP 协议），不允许去外网下载电影（一般使用 FTP 协议）。包过滤防火墙无能为力，因为它不认识数据包中的应用层协议，访问控制粒度太粗糙。 不能处理新的安全威胁 它不能跟踪 TCP 状态，所以对 TCP 层的控制有漏洞。如当它配置了仅允许从内到外的 TCP 访问时，一些以 TCP应答的形式从外部对内网进行的攻击仍可以穿透防火墙。 针对包过滤防火墙的攻击 IP地址欺骗，例如，假冒内部的IP地址 对策：在外部接口上禁止内部地址 源路由攻击，即由源指定路由 对策：禁止这样的选项 小碎片攻击，利用IP分片功能把TCP头部切分到不同的分片中 对策：丢弃分片太小