[培训]防火墙技术及其应用999.ppt

防火墙是位于两个或多个网络之间，执行访问控制策略的一个或一组系统，是一类防范措施的总称。它可以有效地保护本地系统或网络，抵制外部网络安全威胁，同时支持受限的通过WAN或Internet对外界进行访问。 防火墙嵌入在局域网和Internet连接的网关上 所有从内到外和从外到内的数据都必须通过防火墙（物理上阻塞其它所有访问） 只有符合安全政策的数据流才能通过防火墙 防火墙系统自身应对渗透(peneration)免疫，一般情况下防火墙都是安装了在安全操作系统上 安装防火墙以前的网络 安装防火墙后的网络 确保一个单位内的网络与因特网的通信符合该单位的安全方针，简单地说，就是要为管理人员提供下列问题的答案： – 谁在使用网络？ – 他们在网络上做什么？ – 他们什么时间使用了网络？ – 他们上网去了何处？ – 谁试图上网但没有成功？ 服务控制：确定可以访问的网络服务类型（如通过TCP端口、IP地址等限制方式；或提供代理软件；或执行服务器软件的功能如邮件） 方向控制：确定特定数据允许通过防火墙流动的方向 用户控制：控制用户对网络服务的访问权限，在控制外部用户时要求某种形式的安全认证技术（如IPSec） 行为控制：控制如何使用特定的服务（如清除垃圾邮件等） 防火墙对企业内部网实现了集中的安全管理，可以强化网络安全策略，比分散的主机管理更经济易行 防火墙能防止非授权用户进入内部网络，有效地对抗外部网络入侵 由于所有的访问都经过防火墙，防火墙成为审计和记录网络的访问和使用的最佳地点，可以方便地监视网络的安全性并报警。 可以作为部署网络地址转换（Network Address Translation）的地点，利用NAT技术，可以缓解地址空间的短缺，隐藏内部网的结构。 利用防火墙对内部网络的划分，可以实现重点网段的分离，从而限制安全问题的扩散。 防火墙可以作为IPSec的平台，可以基于隧道模式实现VPN 。 为了提高安全性，限制或关闭了一些有用但存在安全缺陷的网络服务，给用户带来使用的不便。 防火墙不能对绕过防火墙的攻击提供保护，如拨号上网等。 不能对内部威胁提供防护支持。 受性能限制，防火墙对病毒传输保护能力弱。 防火墙对用户不完全透明，可能带来传输延迟、性能瓶颈及单点失效。 防火墙不能有效地防范数据内容驱动式攻击。 作为一种被动的防护手段，防火墙不能自动防范因特网上不断出现的新的威胁和攻击。 在构筑防火墙之前,需要制定一套完整有效的安全战略 网络服务访问策略 一种高层次的具体到事件的策略，主要用于定义在网络中允许或禁止的服务。 防火墙安全规则设计策略 一种是“一切未被允许的就是禁止的”，一种是“一切未被禁止的都是允许的”。第一种的特点是安全性好，但是用户所能使用的服务范围受到严格限制。第二种的特点是可以为用户提供更多的服务，但是在日益增多的网络服务面前，很难为用户提供可靠的安全防护。 包过滤 应用级网关 电路级网关 一个文件要穿过网络，必须将文件分成小块，每小块文件单独传输，这些小块被称为包 包过滤技术可以允许或不允许某些包在网络上传递，它依据以下的判据： （1）将包的目的地址作为判据； （2）将包的源地址作为判据； （3）将包的传送协议作为判据。 对每个经过的IP包应用安全规则集合检查，决定是转发或者丢弃该包 过滤包是双向的 过滤规则基于与IP或TCP包头中字段的匹配（如四元组：源IP地址、目的IP地址、源端口、目的端口） 两种缺省策略（丢弃或允许） Set internal=/24 Deny ip from $internal to any in via eth0 Deny ip from not $internal to any in via eth1 Allow udp from $internal to any dns Allow udp from any dns to $internal Allow tcp from any to any established Allow tcp from $internal to any www in via eth1 Allow tcp from $internal to any ftp in via eth1 Allow tcp from any ftp-data to $internal in via eth0 Deny ip from any to any 优点： 简单 对用户透明 高速 缺点： 对于利用特定应用的攻击，防火墙无法防范 配置安全规则比较困难 缺少鉴别，不支持高级用户认证 日志功能有限 IP地址欺骗：丢弃那些从外部接口到达的，但却具有内部IP地址的包 路由选路攻击：丢弃所有设置该选项的包 微小分片攻击：丢弃协议类型是TCP并且IP分片标志为1的分片包 优