《防火墙技术.ppt》由会员分享,可在线阅读,更多相关《防火墙技术.ppt(32页珍藏版)》请在三一文库上搜索。
1、防火墙技术,第 8 章,基本内容,在网络安全技术中,防火墙是第一道防御屏障。一般它位于路由器之后,为进出网络的连接提供安全访问控制。本章介绍防火墙技术的原理和应用。,8.1 防火墙概述,8.1 防火墙概述,通常意义上的防火墙: 不同安全级别的网络或安全域之间的唯一通道 只有被防火墙策略明确授权的通信才可以通过 系统自身具有高安全性和高可靠性,注意区分个人防火墙、病毒防火墙,防火墙是位于两个(或多个)网络间,实施网络间访问控制的一组组件的集合。防火墙的英文名为“FireWall”,它是最重要的网络防护设备之一。,1、基本概念,8.1 防火墙概述,2、防火墙的功能,防火墙的基本功能:访问控制,基于
2、源MAC地址 基于目的MAC地址 基于源IP地址 基于目的IP地址 基于源端口 基于目的端口,基于方向 基于时间 基于用户 基于流量 基于内容,路由功能 NAT功能 VPN功能 用户认证,8.1 防火墙概述,2、防火墙的功能(续),防火墙的扩展功能:,带宽控制 日志审计 流量分析,8.2 防火墙在网络中的位置,安装防火墙以前的网络,8.2 防火墙在网络中的位置,安装防火墙后的网络,DMZ是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设
3、施,如企业Web服务器、FTP服务器和论坛等。 通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。这样,不管是外部还是内部与对外服务器交换信息数据也要通过防火墙,实现了真正意义上的保护。,8.2 防火墙在网络中的位置,DMZ区(demilitarized zone,也称非军事区),8.3 防火墙的体系结构,防火墙的体系结构一般有以下几种:,1)双重宿主主机体系结构。 2)屏蔽主机体系结构。 3)屏蔽子网体系结构。,8.3 防火墙的体系结构,1、双重宿主主机体系结构,双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的,该
4、计算机至少有两个网络接口。可充当与这些接口相连的网络之间的路由器;它能够从一个网络到另一个网络发送IP数据包。,实现双重宿主主机的防火墙体系结构禁止这种发送功能。因而,IP数据包从一个网络(例如,因特网)并不是直接发送到其他网络(例如,内部的、被保护的网络)。防火墙内部的系统能与双重宿主主机通信,同时防火墙外部的系统(在因特网上)能与双重宿主主机通信,但是这些系统不能直接互相通信。它们之间的IP通信被完全阻止。,8.3 防火墙的体系结构,2、屏蔽主机体系结构,屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务。,堡垒主机是互联网上的主机能连接到内部网络上的系统的桥梁,
5、数据包过滤也许堡垒主机开放可允许的连接到外部世界,8.3 防火墙的体系结构,3、屏蔽子网体系结构,屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步地把内部网络和外部网络(通常是Internet)隔离开。,最简单的形式为:两个屏蔽路由器,每一个都连接到周边网。 一个位于周边网络与内部网络之间,另一个位于周边网与外部网络(通常为Internet)之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。,8.3 防火墙的体系结构,3、屏蔽子网体系结构(续),侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机,它将仍然必须通过内部路由器。,软件防火墙和硬件防火墙以及芯片
6、级防火墙。,8.4 防火墙的类型与特点,8.4.1 按物理实体分类,X86架构 (PC架构工控机),NP架构 (网络处理器),ASIC架构 (专用集成电路),至少应具备三个端口,分别接内网、外网和DMZ区(非军事区),防火墙的工作方式主要分包过滤型和应用代理型两种。,8.4 防火墙的类型与特点,8.4.2 按工作方式分类,1包过滤型,包过滤(Packet filtering)型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。,8.4 防火墙的类型
7、与特点,8.4.2 按工作方式分类(续),2应用代理型,应用代理型防火墙(Application Proxy) 是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。,8.4 防火墙的类型与特点,8.4.3 按部署结构分类,从防火墙结构分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。,单一主机防火墙:是最为传统的防火墙,独立于其它网络设备,它位于网络边界。与一台计算机结构差不多,价格昂贵。,路由器集成式防火墙:这种防火墙通常是较低级的包过滤型。许多中、高档路由器中集成了防火墙功能,如CiscoIOS
8、防火墙系列。这样企业就不用再同时购买路由器和防火墙,大大降低了网络设备购买成本。,分布式防火墙:不只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的PCI防火墙卡。,8.4 防火墙的类型与特点,8.4.4 按部署位置分类,按防火墙的应用部署位置分为边界防火墙、个人防火墙和混合式防火墙三大类。,8.4.5 按性能分类,按防火墙性能分为百兆级防火墙和千兆级防火墙两类。目前还针对小企业用户(网络流量小、用户数量较少)生产出了桌面型防火墙。,8.5 防火墙的工作模式,防火墙的工作模式,
9、防火墙的工作模式有路由模式、透明桥模式和混合模式三大类。,路由模式:防火墙可以充当路由器,提供路由功能。,透明桥模式:防火墙可以方便的接入到网络,而且保持所有的网络设备配置完全不变。,混合模式:防火墙同时工作在路由模式和桥模式。,路由模式,防火墙缺省工作模式,防火墙可以充当路由器,提供路由功能,FTP,www,DMZ区,内部网络,连接DMZ的接口需要设置成公网地址或在出接口启用destination nat,防火墙的各个接口处于不同的网段,Internet,桥模式,L3 Switch,Router,防火墙可以方便的接入到网络,而且保持所有的网络设备配置完全不变,此时防火墙类似网桥的工作方式,降
10、低网络管理的复杂度,Internet,内部网络,混合模式,桥,防火墙同时工作在路由模式和桥模式,FTP,www,DMZ区,内部网络,Internet,路由,NAT,防火墙的网桥接口启用NAT转换,外部接口和DMZ接口组成透明方式,混合模式防火墙的应用,All-In-One技术:大集成,需解决模块安全,8.6 防火墙的发展趋势,大多数防火墙的功能都比较全面,几乎包括了所有的安全功能,如VPN、防病毒、IDS、安全审计等。性能不断提升,国内已有千兆线速防火墙;架构已发生变化,从X86架构,开始向ASIC、NP等网络设备标准架构蜕变。,功能性能不断突破:需解决集成、核心技术,下一代网络的新需求:IP
11、v6网络需求,高速、安全、可用:高性能、抗毁、业务连续,8.7 应用案例(一):某市局网上下互连,防火墙网络地址分配 外口:221.12.118.179/29内口:10.33.120.20/24 DMZ口:21.24.117.2,8.7 应用案例(二):单计算机保护,利用防火墙软件实现。目前可选天网、瑞星、趋势、诺顿等。此处以单机版软件为例,介绍防火墙规则设置与使用。(有条件的应该安排3-4次防火墙实验,如端口设置、NAT、规则管理、VPN及与IDS的联动等。),瑞星个人防火墙的设置与使用,瑞星个人防火墙的设置与使用,瑞星个人防火墙的设置与使用,瑞星个人防火墙的设置与使用,本章小结,防火墙是隔
12、离在本地网络与外界网络之间执行访问控制策略的一道防御系统,目的是保护网络不被他人侵扰。防火墙在企业内网与Internet之间或与其他外部网络互相隔离、限制网络互访,从而实现内网保护。 典型的防火墙具有三个基本特性:内部网络和外部网络之间的所有网络数据流都必须经过防火墙;只有符合安全策略的数据流才能通过防火墙;防火墙自身应具有非常强的抗攻击免疫力。 防火墙具有以下几种功能:限定内部用户访问特殊站点;防止未授权用户访问内部网络;允许内部网络中的用户访问外部网络的服务和资源而不泄漏内部网络的数据和资源;记录通过防火墙的信息内容和活动;对网络攻击进行监测和报警。 防火墙的体系结构有以下几种: 双重宿主主机体系结构;被屏蔽主机体系结构;被屏蔽子网体系结构。 防火墙的类型有多种分类方法:技术上分“包过滤型”和“应用代理型”;结构上分单一主机防火墙、路由器集成式防火墙和分布式防火墙三种;应用部署位置分为边界防火墙、个人防火墙和混合式防火墙;性能上分为百兆级防火墙和千兆级防火墙。 防火墙的发展趋势:功能性能不断突破;下一代网络的新需求;高速、安全、可用。,