null防火墙技术防火墙技术要点要点1、防火墙概述
2、防火墙技术分类
3、防火墙体系结构
4、防火墙产品 1 防火墙概述1 防火墙概述1.1 相关概念
1.2 防火墙的作用
1.3 防火墙的局限性 1.1 相关概念1.1 相关概念防火墙(Firewall)是指隔离在内部网络与外部网络之间的一道防御系统,它能挡住来自外部网络的攻击和入侵,保障着内部网络的安全。 1.1 相关概念1.1 相关概念防火墙安全策略
一个防火墙应该使用以下两种基本策略中的一种:
除非明确允许,否则就禁止
除非明确禁止,否则就允许1.2 防火墙的作用1.2 防火墙的作用① 网络安全的屏障;
② 过滤不安全的服务;(两层含义)
内部提供的不安全服务和内部访问外部的不安全服务
③ 阻断特定的网络攻击;(联动技术的产生)
④ 部署NAT机制;
⑤ 提供了监视局域网安全和预警的方便端点。
提供包括安全和统计数据在内的审计数据,好的防火墙还能灵活设置各种报警方式。1.3 防火墙的局限性1.3 防火墙的局限性网络的安全性通常是以网络服务的开放性和灵活性为代价的,防火墙的使用也会削弱网络的功能和性能。并且防火墙只是整个网络安全防护体系的一部分,而且防火墙并非万无一失:
① 只能防范经过其本身的非法访问和攻击,对绕过防火墙的访问和攻击无能为力;
② 不能解决来自内部网络的攻击和安全问题;
③ 不能防止受病毒感染的文件的传输;
④ 不能防止策略配置不当或错误配置引起的安全威胁;
⑤ 不能防止自然或人为的故意破坏;不能防止本身安全漏洞的威胁。2 防火墙技术分类2 防火墙技术分类2.1 数据包过滤(Packet Filtering)
2.2 代理服务(Proxy Service)
2.3 状态检测(Stateful Inspection)
2.4 网络地址转换(Network Address Translation )
2.5 防火墙技术的发展趋势2.1 数据包过滤2.1 数据包过滤 包过滤(Packet Filtering)技术在网络层和传输层对数据包实施有选择的通过,依据系统事先设定好的过滤规则,检查数据流中的每个包,根据包头信息来确定是否允许数据包通过,拒绝发送可疑的包。 2.1数据包过滤2.1数据包过滤包过滤一般检查如下
:
过滤规则的序列号、确认号、IP校检和等;
类型(TCP包、UDP包、ICMP包等);
源IP地址;
TCP/UDP源端口;
目的IP地址;
TCP/UDP目的端口;
ICMP消息类型;
TCP包头中的ACK位。。 2.1数据包过滤2.1数据包过滤包过滤防火墙具有明显的优点:
一个屏蔽路由器能保护整个网络
包过滤对用户透明
屏蔽路由器速度快、效率高 2.1数据包过滤2.1数据包过滤包过滤防火墙的缺点:
它没有用户的使用记录,这样就不能从访问记录中发现黑客的攻击记录
没有一定的经验,是不可能将过滤规则配置得完美
不能在用户级别上进行过滤,只能认为内部用户是可信任的、外部用户是可疑的 2.2 代理服务2.2 代理服务2.2 代理服务2.2 代理服务所谓代理服务器,是指代
内网用户向外网服务器进行连接请求的服务程序。
代理服务器运行在两个网络之间,它对于客户机来说像是一台真的服务器,而对于外网的服务器来说,它又是一台客户机。
代理服务器的基本工作过程是:当客户机需要使用外网服务器上的数据时,首先将请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。2.2 代理服务2.2 代理服务代理的优点
内部网络拓扑结构等重要信息不易外泄,从而减少了黑客攻击时所必需的必要信息;
可以实施用户认证、详细日志、审计跟踪和数据加密等功能和对具体协议及应用的过滤,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹,安全性较高。2.2 代理服务2.2 代理服务代理的缺点:
代理速度比路由器慢
代理对用户不透明
对于每项服务,代理可能要求不同的服务器
代理服务通常要求对客户或过程进行限制
代理服务受协议弱点的限制
代理不能改进底层协议的安全性2.3 状态检测2.3 状态检测2.3 状态检测2.3 状态检测 状态检测防火墙是在动态包过滤的基础上,增加了状态检测机制而形成的;
动态包过滤与普通包过滤相比,需要多做一项工作:对外出数据包的“身份”做一个标记,允许相同连接的进入数据包通过。
利用状态表跟踪每一个网络会话的状态,对每一个数据包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态;
状态检测防火墙采用了一个在网关上执行网络安全策略的软件引擎,称之为检测模块。检测模块在不影响网络正常工作的前提下,采用抽取相关数据的方法对网络通信的各层实施监测,并动态地保存起来作为以后制定安全决策的参考。2.4 网络地址转换2.4 网络地址转换网络地址转换/翻译(NAT,Network Address Translation)就是将一个IP地址用另一个IP地址代替。
NAT的主要作用:
隐藏内部网络的IP地址;
解决地址紧缺问题。
注意:NAT本身并不是一种有安全保证的
,它仅仅在包的最外层改变IP地址。所以通常要把NAT集成在防火墙系统中。2.5 防火墙技术的发展趋势2.5 防火墙技术的发展趋势
智能防火墙
分布式防火墙
网络安全产品的系统化 3 防火墙体系结构3 防火墙体系结构
3.1 双重宿主主机结构
3.2 屏蔽主机结构
3.3 屏蔽子网结构
3.4 防火墙的组合结构 3.1 双重宿主主机结构3.1 双重宿主主机结构3.1 双重宿主主机结构3.1 双重宿主主机结构双重宿主主机结构是围绕双宿主机来构筑的。
双宿主机(Dual-homed host),又称堡垒主机(Bastion host),是一台至少配有两个网络接口的主机,它可以充当与这些接口相连的网络之间的路由器,在网络之间发送数据包。
一般情况下双宿主机的路由功能是被禁止的,这样可以隔离内部网络与外部网络之间的直接通信,从而达到保护内部网络的作用。 3.2 屏蔽主机结构3.2 屏蔽主机结构3.2 屏蔽主机结构3.2 屏蔽主机结构屏蔽主机结构(Screened Host Gateway),又称主机过滤结构。
屏蔽主机结构需要配备一台堡垒主机和一个有过滤功能的屏蔽路由器;
屏蔽路由器连接外部网络,堡垒主机安装在内部网络上;
通常在路由器上设立过滤规则,并使这个堡垒主机成为从外部网络唯一可直接到达的主机;
入侵者要想入侵内部网络,必须过屏蔽路由器和堡垒主机两道屏障,所以屏蔽主机结构比双重宿主主机结构具有更好的安全性和可用性。3.3 屏蔽子网结构3.3 屏蔽子网结构3.3 屏蔽子网结构3.3 屏蔽子网结构屏蔽子网结构(Screened Subnet),它是在屏蔽主机结构的基础上添加额外的安全层,即通过添加周边网络(即屏蔽子网)更进一步地把内部网络与外部网络隔离开。
屏蔽子网结构包含外部和内部两个路由器。两个屏蔽路由器放在子网的两端,在子网内构成一个“非军事区”DMZ。 3.4 防火墙的组合结构3.4 防火墙的组合结构建造防火墙时,一般很少采用单一的结构,通常是多种结构的组合。一般有以下几种形式:
使用多堡垒主机;
合并内部路由器与外部路由器;
合并堡垒主机与外部路由器;
合并堡垒主机与内部路由器;
使用多台内部路由器;
使用多台外部路由器;
使用多个周边网络;
使用双重宿主主机与屏蔽子网。4 防火墙产品4 防火墙产品1.个人防火墙
是在操作系统上运行的软件,可为个人计算机提供简单的防火墙功能;
大家常用的个人防火墙有:Norton Personal Firewall、天网个人防火墙、瑞星个人防火墙等;
安装在个人PC上,而不是放置在网络边界,因此,个人防火墙关心的不是一个网络到另外一个网络的安全,而是单个主机和与之相连接的主机或网络之间的安全。4 防火墙产品4 防火墙产品2.软件防火墙
作为网络防火墙的软件防火墙具有比个人防火墙更强的控制功能和更高的性能。不仅支持Windows系统,并且多数都支持Unix或Linux系统。如十分著名的Check Point FireWall-1,Microsoft ISA Server等 。4 防火墙产品4 防火墙产品3.一般硬件防火墙
不等同于采用专用芯片的纯硬件防火墙,但和纯软件防火墙有很大差异 ;
一般由小型的防火墙厂商开发,或者是大型厂商开发的中低端产品,应用于中小型企业,功能比较全,但性能一般;
一般都采用PC
(就是一台嵌入式主机),但使用的各个配件都量身定制 。4 防火墙产品4 防火墙产品其操作系统一般都采用经过精简和修改过内核的Linux或Unix,安全性比使用通用操作系统的纯软件防火墙要好很多,并且不会在上面运行不必要的服务,这样的操作系统基本就没有什么漏洞。但是,这种防火墙使用的操作系统内核一般是固定的,是不可升级的,因此新发现的漏洞对防火墙来说可能是致命的 ;
国内自主开发的防火墙大部分都属于这种类型。4 防火墙产品4 防火墙产品4.纯硬件防火墙
采用专用芯片(非X86芯片)来处理防火墙核心策略的一种硬件防火墙,也称为芯片级防火墙。(专用集成电路(ASIC)芯片或者网络处理器(NP)芯片);
最大的亮点:高性能,非常高的并发连接数和吞吐量;
采用ASIC芯片的方法在国外比较流行,技术也比较成熟,如美国NetScreen公司的高端防火墙产品;国内芯片级防火墙大多还处于开发发展的阶段,采用的是NP技术。4 防火墙产品4 防火墙产品5.分布式防火墙
前面提到的几种防火墙都属于边界防火墙(Perimeter Firewall),它无法对内部网络实现有效地保护;
随着人们对网络安全防护要求的提高,产生了一种新型的防火墙体系结构——分布式防火墙。近几年,分布式防火墙技术已逐渐兴起,并在国外一些大的网络设备开发商中得到实现,由于其优越的安全防护体系,符合未来的发展趋势,这一技术一出现就得到了许多用户的认可和接受。