1 / 38

防火墙的提出

防火墙的提出. 企业上网 面 临 的 安 全 问 题之一 : 内部网与互联网的有效隔离 解答 : 防火墙. 网络间的访问 ---- 需隔离 FIREWALL. 内网. 外网. 防火墙. 6.1 基本概念. 6.1.1 防火墙基本知识. 防火墙 的定义: 是在 两个网络 之间执行访问控制策略的一组硬件和软件系统,其目的是保护本地网络的通信安全。 防火墙的保护功能: 防火墙对内部网络的保护是双向的。从入的方向上,它阻止外面网络对本地网络的非法访问和入侵;从出的方向上,它控制本地网络对外部不良网络进行访问或者是未经允许的数据输出,防止内部信息的泄露。

clark-madden
Download Presentation

防火墙的提出

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 防火墙的提出 企业上网 面 临 的 安 全 问 题之一: 内部网与互联网的有效隔离 解答: 防火墙 网络间的访问 ----需隔离 FIREWALL

  2. 内网 外网 防火墙 6.1 基本概念 6.1.1 防火墙基本知识 • 防火墙的定义:是在两个网络之间执行访问控制策略的一组硬件和软件系统,其目的是保护本地网络的通信安全。 • 防火墙的保护功能:防火墙对内部网络的保护是双向的。从入的方向上,它阻止外面网络对本地网络的非法访问和入侵;从出的方向上,它控制本地网络对外部不良网络进行访问或者是未经允许的数据输出,防止内部信息的泄露。 • 堡垒主机:典型的防火墙建立在一个服务器或主机的机器上,也称为“堡垒主机”,它是一个多边协议路由器。这个堡垒主机连接两个网络,一边与内部网相连,另一边与因特网相连。

  3. 6.1.2 防火墙的作用 • 防火墙能够强化安全策略 • 防火墙能有效地记录因特网上的活动 • 防火墙限制暴露用户点 • 防火墙是一个安全策略的检查站

  4. 6.1.3防火墙类型及体系结构 • 双重宿主主机体系结构 • 双重宿主主机体系结构是围绕具有双重宿主的主体计算机而构筑的。 • 主机过滤体系结构 • 主机过滤体系结构中提供安全保护的主机仅仅与内部网相连。另外,主机过滤结构还有一台单独的路由器(过滤路由器)。 • 子网过滤体系结构 • 子网过滤体系结构添加了额外的安全层到主机过滤体系结构中,即通过添加参数网络,更进一步地把内部网络与因特网隔离开。

  5. 6.1.4 防火墙的形式 • 使用多堡垒主机:堡垒主机与堡垒主机的组合。 • 内部路由器与外部路由器的组合:将内部路由器与外部路由器可以合并为一个路由器。 • 堡垒主机与路由器组合: • 堡垒主机与外部路由器组合。 • 堡垒主机与内部路由器组合。 • 使用双重宿主主机与子网过滤:通过组合双重宿主主机体系结构与子网过滤体系结构,用户的安全防范便可得到明显的增强。

  6. 6.1.5 防火墙的局限性 • 不能防范内部威胁 • 不能防范绕开它的攻击 • 防火墙不能自动防御新威 • 防火墙不能有效防范病毒

  7. 6.2 包过滤技术 6.2.1包过滤原理 • 1、包的概念 • 一个文件要穿过网络,必须将文件分成小块,每小块文件单独传输,这些小块被称为包。

  8. 6.2.1包过滤原理 2、包过滤的工作过程 包过滤技术可以允许或不允许某些包在网络上传递,它依据以下的判据: (1)将包的目的地址作为判据; (2)将包的源地址作为判据; (3)将包的传送协议作为判据。

  9. 6.2.1包过滤原理 3、包过滤器操作 几乎所有的包过滤设备(过滤路由器或包过滤网关)都按照如下方式工作: (1)包过滤标准必须由包过滤设备端口存储起来,这些包过滤标准叫包过滤规则。 (2)当包到达端口时,对包的报头进行语法分析,大多数包过滤设备只检查IP、TCP或UDP报头中的字段,不检查包体的内容。 (3)包过滤器规则以特殊的方式存储。 (4)如果一条规则阻止包传输或接收,此包便不被允许通过。 (5)如果一条规则允许包传输或接收,该包可以继续处理。 (6)如果一个包不满足任何一条规则,该包被阻塞。

  10. 6.2.2包过滤的基本原则 包过滤有两条十分重要的基本准则。 • 第一个原则是一切未被允许的就是被禁止的。 • 第二个原则是一切未被禁止的就是被允许的。

  11. 6.2.3 包过滤技术特点 • 在路由器上实现包过滤,则费用非常小。 • 在流量适中并定义较少过滤器时,对路由器的性能几乎没有影响 • 包过滤路由器对用户和应用来讲是透明的,易于维护。 • 定义数据包过滤器会比较复杂。 • 任何直接经过路由器的数据包都有被用作数据驱动式攻击的潜在危险。 • 随着过滤器数目的增加,路由器的吞吐量会下降。 • 包过滤器可能无法对网络上流动的信息提供全面的控制。 • 对于采用动态分配端口的服务。 • 通常包过滤器只按规则丢弃数据包,而不使用记录和用户报告,不具备审计功能,使得管理员不能从访问记录中发现黑客的攻击记录。

  12. 6.2.4数据包结构 一、因特网协议IP数据包的格式 IP数据包包含以下字段: (1)版本 (2)IP报头长度 (3)服务类型 (4)总长度 (5)标识 (6)标志 (7)段位移 (8)生命期 (9)协议 (10)头校验和 (11)源地址 (12)目的地址 (13)选项 (14)数据

  13. 6.2.4 数据包结构 二、传输控制协议TCP数据包的格式 TCP数据包包含以下字段: (1)源端口和目的端口 (2)序列号 (3)确认号 (4)数据偏移 (5)保留 (6)标志 (7)窗口 (8)校验和 (9)紧急指针 (10)选项 (11)数据

  14. 6.2.5 地址过滤 1、源地址过滤 2、途中人过滤 3、端口地址过滤

  15. 6.2.7 内容过滤 1、内容安全 基于网络内容安全的现状,内容安全需要具有下列功能: • 在网关层级、服务器层级与工作站层级都用能够扫描,监控并过滤任何通过网站或电子邮件形式传递的不当信息。 • 提供多层次防毒和恶意代码预警过滤措施,以及过滤电子邮件和Web网页内容。 • 提供对互联网及电子邮件不当使用的防卫能力。 • 尽可能降低员工受到干扰的程度,同时提高员工与网络的工作效率。 • 全面封杀“不良信息”为用户开启一个“绿色的网络天空”。

  16. 6.2.7 内容过滤 与内容安全密切相关的现实威胁包括: (1)日益猖獗的通过Email快速传播的网络病毒。 (2)嵌在Web网页中的恶意移动代码,诸如恶意的Java Applet、JavaScript/VBScript、ActiveX等等。 (3)内部网络访问不适当内容的外部网站。 (4)浪费带宽的垃圾邮件和可能发生的通过Email泄漏商业秘密的情况。

  17. 6.2.7 内容过滤 2、内容安全的实现方法 一般情况下我们采用关键字扫描技术对网络内容进行过滤,并与内容重现、访问控制相结合。这样的人机交互能够保证内容过滤更加实际有效。 扫描过滤的方法: (1)文本内容过滤 (2)脚本过滤 (3)移动代码过滤

  18. 6.3 代理服务 6.3.1代理的概念 • 1、代理 • 所谓代理就是一个提供替代连接并且充当服务的网关。代理也称为应用级网关。代理服务是运行在防火墙主机上的一些特定应用程序或者服务程序。 • 代理服务的条件 • 代理服务的条件是具有访问因特网能力的主机才可以作为那些无权访问因特网主机的代理,这样使得一些不能访问因特网的主机通过代理服务也可以完成访问因特网的工作。

  19. 代理的工作方式

  20. 6.3.2 代理服务的特点 代理服务具有以下特点: 1、代理服务允许用户“直接”访问因特网 2、代理服务有利于做日志 3、代理服务滞后于非代理服务 4、每个代理服务要求不同的服务器 5、代理服务一般要求对客户或程序进行修改 6、代理服务对某些服务来说是不合适的 7、代理服务不能避免协议本身缺点的限制

  21. 6.3.3 代理服务的工作过程 • 代理服务有两个主要的部件: • 代理服务器运行在双重宿主主机上。 • 代理客户是正常客户程序的特殊版本,用户与代理服务器交谈而不面对远在因特网上的真正服务器。 • 代理工作的细节对每一种服务是不同的。 • 一些服务已自动地提供了代理,对于这些服务可以通过对正常服务器的配置来设置代理。 • 但对于大多数服务来说,代理服务在服务器上要求运行合适的代理服务器软件。在客户端可以有两种方法提供代理服务器。 • 使用定制客户软件进行代理 • 使用定制的客户过程进行代理

  22. 6.3.4 代理服务器结构 • 在硬件结构上,代理服务器可采用双宿堡垒主机、屏蔽主机、屏蔽子网三种体系结构,运行防火墙软件的主机称为堡垒主机,它的作用是转发应用、提供服务、监督通信。 • 1、双宿主机 • 2、屏蔽主机 • 3、屏蔽子网结构 • 在软件结构上,代理服务器工作在应用层上,应用网关系统对网络用户运行的各个应用都使用特殊目的代码,需要特殊的应用软件。

  23. 6.3.5 因特网中的代理服务 因特网上的主要服务功能有以下几种: 1、电子邮件 电子邮件系统由三个部分组成: • 一个服务器,用来向外部主机发送邮件或从外部主机接收邮件。 • 发信代理,用于将邮件正确地放入本地主机邮箱中。 • 用户代理,用于让收信人阅读邮件并编排出站邮件。 电子邮件由于各种不同原因,每一部分都是脆弱的、易于被侵入的。 2、简单邮件传输协议(SMTP)代理 因为SMTP是一个存储转发协议,所以它特别适合于进行代理。

  24. 6.3.5 因特网中的代理服务 3、邮局协议(POP)的代理 邮局协议(POP)对于代理系统来说是非常简单的,因为它采用单个连接。 4、文件传输FTP FTP用来从一台机器传送文件到另一台机器上。使用FTP可以传送任何类型的文件, 有两种类型的FTP访问,即有名FTP和匿名FTP。 FTP使用两个独立的FTP连接,一个在服务器和客户程序之间传递命令和结果(通常称为命令通道);另一个用来传送真实的文件和目录列表(通常称为数据通道)。 5、远程登录(Telnet) 代理系统能够很好地支持Telnet。

  25. 6.3.5 因特网中的代理服务 6、存储转发协议(NNTP) NNTP是一个存储转发的协议,有能力进行自己的代理。它作为一个简单的单个连接协议很容易实现代理。 7、万维网(WWW) 各种HTTP客户程序(如 Netscape Navigator或因特网 Explorer等)都支持代理方案。 8、域名服务(DNS) DNS具有这样的结构:可以使服务器充当客户程序的代理。利用DNS能够转发自身的特点,可以使一个DNS服务器成为另一个DNS服务器的代理。

  26. 6.4.1 选择防火墙产品原则 选择防火墙产品应当从安全策略角度考虑。 1、防火墙自身的安全性 2、考虑特殊的需求 企业安全政策中往往有些特殊需求不是每一个防火墙都会提供的,这是选择防火墙需考虑的因素之一,常见的需求如下: (l)IP地址转换 (2)双重DNS (3)虚拟企业网络(VPN) (4)病毒扫描功能 (5)特殊控制需求

  27. 6.4.1 选择防火墙产品原则 3、选择防火墙的原则 • 一个整体网络的保护者; • 能弥补其他操作系统的不足; • 为使用者提供不同平台的选择; • 能向使用者提供完善的售后服务。

  28. 两种防火墙技术的对比

  29. 应用案例:单计算机保护 利用防火墙软件实现。目前可选天网、瑞星、趋势、诺顿等。此处以单机版软件为例,介绍防火墙规则设置与使用。

  30. 瑞星个人防火墙的设置与使用

  31. 瑞星个人防火墙的设置与使用

  32. 瑞星个人防火墙的设置与使用

  33. 瑞星个人防火墙的设置与使用

  34. 趋势05网络安全版设置与使用

  35. 趋势05网络安全版设置与使用

  36. 趋势05网络安全版设置与使用

  37. 趋势05网络安全版设置与使用

  38. 作 业 • P266 1、3、4、6 • 1、防火墙在硬件和软件上有什么特点? • 3、简述防火墙的基本功能和缺陷。 • 4、简述包过滤的基本特点和工作原理。 • 6、简述代理服务的作用。

More Related