网络安全设计4.ppt

防火墙技术 传统防火墙 I T 领域使用的防火墙概念 为什么需要防火墙? 保护内部不受来自Internet的攻击 为了创建安全域 为了增强机构安全策略 谁需要防火墙？ 任何使用互联网的企业和公司都需要防火墙。 对防火墙的两大需求? 保障内部网安全 保证内部网同外部网的连通 一个典型的防火墙使用形态 防火墙示意图 防火墙技术发展过程 防火墙技术带来的好处 强化安全策略 有效地记录Internet上的活动 隔离网络安全问题扩散 是一个安全策略的检查站 存在的争议及不足 使用不便认为防火墙给人虚假的安全感 对用户不完全透明可能带来传输延迟瓶颈及单点失效 不能替代墙内的安全措施 – 不能防范恶意的知情者 – 不能防范不通过它的连接 – 不能防范全新的威胁 – 不能有效地防范数据驱动式的攻击 – 当使用端-端加密时其作用会受到很大的限制 防火墙技术 本章主要介绍： 1.防火墙基本概念 2.堡垒主机 3.包过滤 4.代理服务 5.防火墙选择原则 防火墙基本概念 1．防火墙的基本知识 防火墙是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，目的是保护网络不被他人侵扰。本质上，它遵循的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。 通常防火墙就是位于内部网或Web站点与因特网之间的一个路由器或一台计算机，又称为堡垒主机。其目的如同一个安全门，为门内的部门提供安全，控制那些可被允许出入该受保护环境的人或物。就像工作在前门的安全卫士，控制并检查站点的访问者。 防火墙基本概念 防火墙是由管理员为保护自己的网络免遭外界非授权访问但又允许与因特网联接而发展起来的。从网际角度，防火墙可以看成是安装在两个网络之间的一道栅栏，根据安全计划和安全策略中的定义来保护其后面的网络。 防火墙必须做到以下几点，才能使防火墙起到安全防护的作用： （1）所有进出网络的通信流都应该通过防火墙。 （2）所有穿过防火墙的通信流都必须有安全策略和 计划的确认和授权。 （3）理论上说防火墙是穿不透的（防火墙本身是，不可被侵入）。 防火墙基本概念 防火墙的发展简史 ? 第一代防火墙：采用了包过滤（Packet Filter）技术。 ? 第二、三代防火墙：1989年推出了电路层防 火墙，和应用层防火墙的初步结构。 ? 第四代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。 ? 第五代防火墙：1998年，NAI公司推出了一种自适应代理技术可以称之为第五代防火墙。 防火墙的原理 防火墙的局限性 防火墙的主要性能指标 防火墙的分类(形态方式) 硬件防火墙特点一 ? 此类防火墙采用的依然是别人的内核，因此依然会受到OS本身的安全性影响。国内的许多防火墙产品就属于此类，因为采用的是经过裁减内核和定制组件的平台，因此国内防火墙的某些销售人员常常吹嘘其产品是“专用的OS”等等，其实是一个概念误导，下面我们提到的第三种防火墙才是真正的OS专用。 硬件防火墙特点二 ? 硬件防火墙采用专用的硬件设备，然后集成生产厂商的专用防火墙软件。从功能上看，硬件防火墙内建安全软件，使用精简或者强化的操作系统，管理方便，更换容易，软硬件搭配较固定。硬件防火墙效率高，解决了防火墙效率、性能之间的矛盾，可以达到线性。 芯片级防火墙 基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商莫过于NetScreen.其他的品牌还有FortiNet,算是后起之秀。 芯片级防火墙特点 这类防火墙由于是专用OS，因此防火墙本身的漏洞比较少，不过开发设计复杂，价格相对比较高昂，所以一般只有在“确实需要”的情况下才考虑。 X86架构NP和ASIC三种架构综合比较 防火墙技术 包过滤(Packet filtering) 防火墙通常是一个具备包过滤功能的简单路由器，支持因特网安全。这是使因特网联接更加安全的一种简单方法，因为包过滤是路由器的固有属性。 包是网络上信息流动的单位。在网上传输的文件一般在发出端被划分成一串数据包，经过网上的中间站点，最终传到目的地然后这些包中的数据又重新组成原来，的文件。 每个包有两个部分：数据部分和包头。包头中含有源地址和目标地址等信息。包过滤一直是一种简单而有效的方法。通过拦截数据包读出并拒绝那些不符合标准的包头过滤掉不应入站的信息。 防火墙技术 每个数据包都包含有特定信息的一组报头，其主要 信息是 （1）IP协议类型（TCP、UDP，ICMP等）； （2）IP源地址； （3）IP目标地址； （