网络隔离与防火墙技术_1.ppt

Firewall 来源于建筑业，用墙来分隔建筑物的各个部分，并具有防火功能。 万一某一部分或单元失火时，火灾被限制在一个局部范围内，其它部分不会受到损害。 * 主要介绍： 1. 防火墙基本概念 2. 防火墙的分类 3. 包过滤 4. 代理服务 * 防火墙是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，目的是保护网络不被他人侵扰。 本质上，它遵循的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。 网络边界上访问控制设施。根据预先定义的策略控制穿过防火墙的信息流通。 * 防火墙可以看成是安装在两个网络之间的一道栅栏，根据安全计划和安全策略中的定义来保护其后面的网络。 * 由软件和硬件组成的防火墙应该具有以下功能： 所有进出网络的通信流都应该通过防火墙。 所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。 理论上说，防火墙是穿不透的。即不被允许的通信是不会经过防火墙的. * 内部网需要防范的三种攻击有： 间谍：试图偷走敏感信息的黑客、入侵者和闯入者。 盗窃：盗窃对象包括数据、Web表格、磁盘空间和CPU资源等。 破坏系统：通过路由器或主机／服务器蓄意破坏文件系统或阻止授权用户访问内部网 （外部网）和服务器。 防火墙的作用是保护Web站点和公司的内部网，使之免遭因特网上各种危险的侵犯。 * 防火墙在因特网与内部网中的位置 从逻辑上讲，防火墙是一个控制器，控制内外网之间的通信。 从物理角度看，防火墙物理实现的方式有所不同。通常防火墙是一组硬件设备，即路由器、计算机或者是路由器、计算机和配有适当软件的网络的多种组合。 * 防火墙的基本功能 防火墙能够强化安全策略 防火墙能有效地记录因特网上的活动 防火墙限制暴露用户点 防火墙是一个安全策略的检查站 防火墙的不足之处 不能防范恶意的知情者 防火墙不能防范不通过它的连接 防火墙不能防备全部的威胁 防火墙不能防范病毒 * 包过滤型 根据数据包的源地址、目的地址、协议、端口、协议内部数据、时间、物理接口来判断是否允许数据包通过。 外在表现：路由型、透明网桥型、混合型 优点：性能高，对应用透明，使用方便 缺点：安全控制粒度不够细 * 应用层代理 对不同的应用进行相关的特殊处理，一般具有身份认证、访问控制、日志等功能。 不同的应用需要不同的代理：HTTP、FTP、TELNET、SMTP、POP3 优点： 安全控制粒度细，可以实现基于用户的控制 缺点： 每种应用要设置，对用户不透明，不是所有应用都支持代理 使用复杂 性能低 * * 代理的实现过程 HTTP，本身支持代理 GET URL_You_Want HTTP/1.0 CONNECT IP:PORT HTTP/1.0 (tcp proxy for ssl) POP3协议，原来不支持代理，扩展语法 USER proxy-user:server-user[@server] PASS proxy-pass:server-pass * 链路级代理 类似于应用层代理，区别是不针对专门应用协议，而是针对TCP、UDP连接进行中继服务，一般具有身份认证、访问控制、日志等功能，最典型的是socks代理。 优点： 安全控制粒度适中，可以实现基于用户的控制 在Windows环境下，通过截获winsock调用，基本上可以做到对应用透明，使用方便 缺点： 性能低 * 包过滤型防火墙是应用最普遍的防火墙。 包是网络上信息流动的单位。 包过滤型防火墙对经过它的数据包进行处理，仅仅允许安全策略允许的数据包通过。其他的数据包全部丢弃。 在处理过程中可以进行日志记录。 包过滤一直是一种简单而有效的方法。通过拦截安全策略不允许的数据包，保护内部网络的安全。 * 包过滤防火墙一般放置在不同安全等级的网络之间 案例： XXX市政府业务网络结构图 * 每个数据包有两个部分：数据部分和包头。 每个数据包都包含有特定信息的一组报头，其主要信息是： IP协议类型（TCP、UDP，ICMP等） IP源地址 IP目标地址 IP选择域的内容 TCP或UDP源端口号 TCP或UDP目标端口号 ICMP消息类型 包过滤器主要根据以上信息决定一个数据是否符合安全策略要求 * 包过滤系统只能让我们进行类似以下情况的操作： 外部用户仅仅能访问服务器上的www服务 允许任何用户使用SMTP往内部网发电子邮件； 只允许某台机器使用QQ * 包过滤不能允许我们进行如下的操作： 禁止用户发送垃圾邮件 用户只能发送QQ信息，不能接收QQ信息 用户只能看文本的www，不能看图片 * 包过滤器规则 包过滤器工作时依靠预先设定的规则来对数据包进行判断 没有被明确允许的都被拒绝 规则有先后顺序关系 规则的例子 All