网络安全设备应用与实践.pptx

网络安全设备 2012/9/12 应用与实践 穆显亮 课程内容 2 知识子域：防火墙技术 3 理解防火墙的作用 理解包过滤技术、状态检测技术和应用代理技术的原理和优缺点 掌握防火墙选择和使用中的基本注意事项 防火墙技术 什么是防火墙？ 为什么需要防火墙? 防火墙的功能 防火墙的典型部署 防火墙的分类 防火墙的工作模式 防火墙的相关技术 防火墙的弱点和局限性 选择防火墙需考虑的要素 防火墙使用中的注意事项 4 防火墙技术--什么是防火墙？ 在网络间（内部/外部网络、不同信息级别）提供安全连接的设备； 用于实现和执行网络之间通信的安全策略 公司网站 5 防火墙技术—为什么需要防火墙? 阻止来自不可信网络的攻击 保护关键数据的完整性 维护客户对企业或机构的信任 6 防火墙技术--防火墙的功能 控制进出网络的信息流向和数据包，过滤不安全的服务； 隐藏内部IP地址及网络结构的细节； 提供使用和流量的日志和审计功能； 部署NAT（Network Address Translation，网络地址转换）； 逻辑隔离内部网段，对外提供WEB和FTP； 实现集中的安全管理； 提供VPN功能。 7 这是最为普通的企业环境防火墙部署案例。利用防火墙将网络分为三个安全区域，企业内部网络，外部网络和服务器专网(DMZ区)。 8 防火墙技术：防火墙的典型部署 防火墙技术--防火墙的分类 防火墙从实现方式上来分，可分为硬件防火墙和软件防火墙两类。硬件防火墙通常部署在内、外部网络之间，通过软、硬件结合的方式来达到隔离内、外部网络的目的；软件防火墙可以在一个独立的机器上运行，通过一定的规则来达到限制非法用户访问的目的。 从技术的发展阶段来分看，防火墙可分为包过滤、应用代理和状态检测等几大类型。 包过滤 状态检测 应用代理 9 防火墙技术--防火墙的相关技术 包过滤技术 应用代理技术 状态检测技术 10 防火墙的相关技术--包过滤（Packet filter） 在网络层检查数据包 简单的拒绝或接受策略模型 无法识别更高层协议 网络层 应用层 表示层 会话层 传输层 数据链路层 物理层 网络层 应用层 表示层 会话层 传输层 数据链路层 物理层 网络层 应用层 表示层 会话层 传输层 数据链路层 物理层 网络层 11 防火墙的相关技术--包过滤（Packet filter） 包过滤防火墙具有以下特点： 优点: 只对数据包的 IP 地址、 TCP/UDP 协议和端口进行分析，规则简单，处理速度较快 易于配置 对用户透明-用户访问时不需要提供额外的密码或使用特殊的命令 缺点： 检查和过滤器只在网络层-不能识别应用层协议或维持连接状态 安全性薄弱 –不能防止IP欺骗等 静态策略可能成为漏洞 12 防火墙的相关技术—应用网关或代理（ Application Gateway or Proxy） 在应用层检查数据包 能够对应用或内容进行过滤 – 例如：禁止FTP的 “put”命令 防火墙的相关技术—应用网关或代理（ Application Gateway or Proxy） 应用代理或网关防火墙具有以下特点： 优点： 可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强 提供良好的安全性 - 所有数据的有效负载都在应用层进行检查 缺点： 支持的应用数量有限，无法很好的支持新的应用、技术和协议 对用户不透明度 性能表现欠佳 14 防火墙的相关技术--状态检测（Stateful Inspection） 内置tcp/ip协议状态机，创建状态表用于维护连接上下文，检查每个会话连接的合法性（是否符合tcp/ip通信原理和特征）。 能够识别和监听常用动态端口应用的协商过程，从而自动为动态应用建立通过防火墙的安全连接。 防火墙的相关技术--状态检测（Stateful Inspection） 状态检测防火墙具有以下特点： 性能大大提高 支持大量应用 在内核级实现检测过滤 在所有接口对进/出的数据包进行状态检查 支持应用层协议检查 在动态状态表中存储连接状态 检查对外的连接并预先计算出将返回的连接 16 防火墙技术--防火墙的工作模式 路由模式 透明模式 混合模式 17 防火墙技术--防火墙的工作模式 路由模式 内部网络 /24 GW:54 外部网络 /24 GW: 防火墙 路由器 Internet Intranet /24 54/24 18 防火墙技术--防火墙的工作模式 透明模式 内部网络 /24 GW:54 外部网络 路由器 Internet Intranet 54/24 19 防火墙技术--防火墙的工作模式 混合模式 工作于透明模式的防火墙可以实现透明接入，工作于路由模式的防火墙可以实现不同网段的连接。但路由模式的优点和透明模式的优点是不能同时并存的。所以，