防火墙技术及应用【荐】.ppt

防火墙技术及应用 David liang 2005 -11 -08 Liangli_cn@ 网络系统安全 数据通信设备 防火墙基本概念 防火墙相关技术 Policy NAT ALG VPN Attack detection and defense 防火墙技术发展趋势 体系结构上的发展 系统功能上的发展 网络系统的风险和威胁 所有的软件都是有错的. 通常情况下99.99%的无错程序很少出现问题. 安全相关的99.99%的无错程序可以确信会有人利用那0.01%的错误. 0.01%安全问题等于100%的失败. 无处不在的攻击 经济利益的驱使. 技术怪才们的成就感. 攻击的自动化, 远程化和协作化. 网络技术的普及也导致了攻击技术的广泛传播,包括攻击方法和攻击工具 网络系统安全的复杂性 网络元素的复杂性 PC主机: 硬件系统 OS系统: linux/windows/solaris/winCE/Vxworks/IOS/ 应用软件: 交换设备/路由设备: 多种的网络协议: 管理模式的复杂性 安全意识 内部人员的管理,权限分配和密码管理 错误的网络配置 安全措施实施的难度 信息安全和网络安全研究重点 信息安全: 机密性、鉴别、完整性和防抵赖性; 加密是其重点 网络安全:访问控制、可用性、审计管理等; 系统研究是其重点 数据通信网络拓扑结构 数据通信设备 Hub集线器 连接多个网络设备,提供802.3协议的电气互联功能,不具有交换功能.所有的用户共享带宽. 交换机 二层交换机:利用端口和MAC地址的映射关系进行数据报文的转发. 三层交换机:具有二层交换机功能以及部分路由器的功能,实现利用IP地址和MAC地址进行转发. 路由器 边缘路由器:路由表相对较小. 核心路由器:大容量的路由表,高的处理能力. 网关:实现一种协议到另外一种协议的转换功能. 防火墙:作为一个网络接入到另外一个网络的安全控制点. 防火墙的定义 防火墙是位于两个(或多个)网络之间,实施网络间控制的一组组件的集合,它满足以下条件: (1)内部和外部网络之间的数据都必须流经防火墙. (2)只有符合预先定义的安全策略的数据才能通过防火墙. (3)防火墙能够具有自我免疫的能力,能够抵制各种攻击. (4)防火墙具有完善的日志/报警/监控功能,良好的用户接口 防火墙的基本概念 非受信网络(外网):防火墙外的网络,例如Internet,一个公司的外部出口网络. 受信网络(内网):防火墙内的网络,完全受保护的网络,例如一个公司的内部网络. 中立区(DMZ):堡垒区、非军事化区,为了配置方便，内网中需要向外提供服务的服务器通常放置在一个单独的网段，这个网段被称为中立区（DMZ）. 防火墙基本作用 合理划分网络,设置访问控制点,保护私有网络. 防止进攻者接近内部网络 限制内部用户的外部访问行为 对外部隐藏内部网络细节 提供内部网络和外部网络的连通 防火墙的分类 应用层(代理)防火墙 工作在应用层,表示层或者连接层. 包过滤防火墙 工作在传输层和网络层. 状态检测包过滤防火墙 工作在传输层和网络层,除了进行数据包 安全规则匹配和过滤外,提供对于数据连 接的状态检测,这是目前主流的防火墙技 术(SPF: Stateful Packet Filtering) 防火墙分类-Packet Layer Filter 防火墙分类- Application-Layer Gateway 防火墙分类- Stateful Packet Filters 防火墙的比较 应用层防火墙 特点：可以提供复杂的访问控制；内容过滤功能；成熟的日志； 缺点：速度慢，只适合已知的应用协议； 包过滤防火墙 特点：只针对IP地址（复杂的会根据协议及端口），不关心数据内容；速度快，对用户透明，无需配置； 缺点：1、无法对数据包内容做检查；2、无法提供详细记录；3、所有端口必须静态开放，无法控制高端口；4、复杂配置下容易出错; 状态检测包过滤防火墙 特点：速度快；更加安全；不易出错, 结合了包过滤 和应用层防火墙的两者的优点, 配合相关的硬件转发 部件可以实现更高的速度. 防火墙的体系结构 防火墙技术-Policy 防火墙技术-Policy 防火墙技术-Policy 防火墙技术-NAT NAT: Network Address Translation,网络地址转换.实现内部网络私有IP地址到外部全局IP地址的映射. 一个公司从电信局仅仅分配一个公网的IP地址,如何实现内部用户都能够访问Internet? 一个公司只有一个IP地址,如何实现同时采用多台服务器提供Web/Email服务? NAT的作用 缓解IP地址耗尽 节约公用IP地址和金钱 实现TCP负载均衡