网络安全技术09

第9章 防火墙技术9.1 防火墙基本概念9.2 防火墙类型与主要技术9.3 防火墙的体系结构9.4 典型的防火墙产品9.5 防火墙技术的发展趋势19.1 防火墙基本概念o防火墙含义o防火墙功能o防火墙局限性o防火墙发展历史2防火墙含义o原意：木屋间的隔离墙（阻止火的蔓延）；o现意：在内外两个网络间建立的安全访问控制点，通过允许、拒绝或重定向数据流来实现对内部网络和服务访问的安全控制与审计（阻止计算机攻击的蔓延）。中国封火墙Firewall3防火墙功能o网络安全屏蔽作为单一阻塞和访问控制点，实施需要的安全功能。o强化网络安全策略可以将安全措施集中在防火墙上，更具可管理性和经济性。o网络访问监控审计通过防火墙的流量可被监视和记录，也可以被控制。o防止内部信息外泄可防止敏感网段外传信息，防止内部网络结构、IP和MAC地址等的外泄。o安全策略检查对网络通信进行安全策略相容性检查，阻断非法通信。oNAT4防火墙局限性o不能防御全部威胁防火墙不能解决所有安全问题，有很多安全风险是它无法解决的。o不能防御内部攻击网络内部引发的安全问题占所有安全问题的80%左右，而内部网络的访问不经过防火墙。o不能防御绕过的连接比如内部通过PSTN拨号，不会通过防火墙。o不能防御恶意代码和病毒防火墙对通过流量的扫描一般只针对地址和端口，而不针对内容。5防火墙发展历史o一代1983，采用静态包过滤技术。o二代1991，应用代理型防火墙。o三代1992，采用动态包过滤技术。o四代1997，采用专用安全操作系统。o五代1998，采用自适应代理技术。69.2 防火墙类型与主要技术o类型n按提供的形式：软件、硬件、芯片级。n按部署位置：边界、个人、混合。n按技术：包过滤、代理。o技术n包过滤技术n代理服务技术n状态检测技术n自适应代理技术7软件、硬件、芯片防火墙o软件防火墙在第三方硬件、操作系统支持下运行。安全性对支持平台强依赖。o硬件防火墙以硬件形式提供，基于通用硬件并进行了精心选择，对操作系统也可能进行简化和加固，或者使用专用操作系统。o芯片防火墙采用专用芯片直接实现防火墙，无需操作系统或只使用专用的很小的操作系统。8边界、个人、混合防火墙o边界防火墙部署在内外网连接处。o个人防火墙安装在个人计算机上。o混合防火墙也叫分布式防火墙或嵌入式防火墙，包括边界防火墙和个人防火墙，既对内外网通信进行控制，也对内部通信进行管理。9包过滤、代理防火墙o包过滤防火墙工作在网络层和传输控制层，根据通信流量的地址、端口、协议等进行判断并过滤。o代理防火墙工作在应用层，针对特定应用服务编制专门代理程序，有针对性的监视和控制通信流量。10包过滤技术o包过滤原理防火墙截获数据包，根据配置的包过滤规则（访问控制列表）对包的地址、端口、协议等进行检查，只允许符合安全要求的包通过。o过滤路由器与普通路由器普通路由器只执行路由选择并路由数据包，而包过滤路由器还要执行包过滤，只路由符合安全要求的数据包。o包过滤规则是执行包过滤的依据，要求安全、高效、容易管理。o包过滤防火墙的特点优点：保护整个网络、用户透明、高效、廉价。缺点：安全性差、不抗IP地址欺骗、协议适应性差、可执行策略有限。o动态包过滤基于连接状态对数据包进行检查（状态检测）11代理服务技术o工作原理o实现n应用代理n回路代理n智能代理n隔离域名n邮件转发o特点n优：安全性好、易配置、审计丰富、灵活完全控制流量、可检查内容、能透明加密、集成其它安全技术。n缺：速度慢、不透明、只能针对具体应用、对客户机有要求、对下层安全无效。代理服务器ClientServerSocketSocket12状态检测技术o原理使用检测引擎抽取有关数据，将抽取的状态信息动态保存并作为安全检测的参考。如果检测发现连接的参数意外变化，就终止连接。o服务n重定向连接到审核服务器；n拒绝携带某些数据的网络通信。o数据包类型nTCPnUDPo特点n优：结合了包过滤防火墙和代理防火墙的优点。n缺：延迟。13自适应代理技术o结合代理技术和动态包过滤技术。o用户的安全配置，由自适应代理决定是使用代理功能实施还是采用包过滤实施，如果是后者，自己适应代理动态地添加过滤规则到包过滤层。149.3 防火墙的体系结构按照不同的部署结构分：o包过滤防火墙o双穴主机防火墙o屏蔽主机防火墙o屏蔽子网防火墙15包过滤防火墙o原理在路由器上附加包过滤功能，对进出内部网络的通信流量进行包过滤。o优点n容易实现；n透明性和可管理性好。o缺点n允许内外网的直接通信，安全性可能存在问题；n审计日志功能一般很弱；n安全的单一故障点。16双穴主机防火墙o原理双穴主机隔离IP层的直接通信，采用代理转发技术实现内外网的间接通信功能。o优点n网络隔离n日志全面n可隐藏内部网络的细节n可以实施较多的安全措施o缺点n必须针对应用；n如果路由被启动就有很大安全问题；n被入侵的可能性较大。17屏蔽主机防火墙o原理由过滤路由器和堡垒主机构成，分别位于内外网间和内网，配置为外部网络只能访问堡垒主机，内部网络也只能通过堡垒主机与外部通信。o优点n配置更加灵活；n包过滤路由器规则可以简单些。o缺点n过滤路由器设置不当可能导致堡垒主机被绕过；n堡垒主机不是真正的隔离内外网。18屏蔽子网防火墙o原理通过两个包过滤路由器构建非军事区（Demilitarized Zone，DMZ）作为内外网间的缓冲区，以发布公开的网络服务。o优点n安全性好o外部路由器负责外部网络到堡垒主机的安全，内部路由器负责内部网络到堡垒主机的安全；o堡垒主机的失陷不会带来内部网络的全面安全问题。o缺点n配置和管理复杂；n价格昂贵。199.4 典型的防火墙产品o防火墙选择o典型的防火墙产品20防火墙选择o基本功能n支持可配置的安全策略；n支持常用服务，支持身份认证、具有开放性；n可根据数据库包性质进行过滤；n审计记录全面。o特殊要求nDNS、NAT、VPN、反病毒等。o性能带宽、并发连接数等要符合环境要求。o合适的产品形态根据需要选择软件、硬件或其它形式防火墙。o适应能力提供必要的升级服务。o易管理性科学的管理设计和友好的管理界面。21典型的防火墙产品o软件防火墙n瑞星nNortonnCheckPointo硬件防火墙n天融信n启明星晨n华为n联想n方正nCisconNetScreeno混合防火墙229.5 防火墙技术的发展趋势o智能化n识别攻击变种的能力n学习识别新攻击n网络连接的调整n负载均衡n自稳o高速度达到线速。o并行体系结构实现冗余和高速度。o多功能多种安全功能集中。o专业化面向单一应用提供深入保护。o防病毒23思考与讨论o防火墙与物理隔离在网络安全方面所起的作用有什么不同？各有什么优缺点？o防火墙和VPN各自的安全功能是什么？各自解决什么样的安全问题？24作业o题目统一威胁管理（Unified Threat Management,UTM）是网络安全技术和设备发展的方向，查阅相关资料，了解并记录UTM的概念、原理和技术发展趋势。o要求n用信笺纸手写n下周五上课前交25