Download
1 / 62
620 likes | 773 Views
防火墙技术. 本章内容. 防火墙技术 防火墙的分类 防火墙部署方式 配置 RG-WALL 防火墙. 课程议题. 防火墙技术. 什么是防火墙?. 传统意义的防火墙 用于控制实际的火灾,使火灾被限制在建筑物的某部分,不会蔓延到其他区域 网络安全中的防火墙 用于保护网络免受恶意行为的侵害,并阻止其非法行为的网络设备或系统 作为一个安全网络的边界点 在不同的网络区域之间进行流量的访问控制. 防火墙的作用. 防火墙能够做什么? 控制和管理网络访问 保护网络和系统资源 数据流量的深度检测 身份验证 扮演中间人角色 记录和报告事件. 防火墙与 OSI.
E N D
本章内容 • 防火墙技术 • 防火墙的分类 • 防火墙部署方式 • 配置RG-WALL防火墙
课程议题 防火墙技术
什么是防火墙? • 传统意义的防火墙 • 用于控制实际的火灾,使火灾被限制在建筑物的某部分,不会蔓延到其他区域 • 网络安全中的防火墙 • 用于保护网络免受恶意行为的侵害,并阻止其非法行为的网络设备或系统 • 作为一个安全网络的边界点 • 在不同的网络区域之间进行流量的访问控制
防火墙的作用 • 防火墙能够做什么? • 控制和管理网络访问 • 保护网络和系统资源 • 数据流量的深度检测 • 身份验证 • 扮演中间人角色 • 记录和报告事件
防火墙与OSI • 基本防火墙 • Network • Transport • 高级防火墙 • DataLink • Session • Application
课程议题 防火墙分类
防火墙的分类 • 防火墙分类 • 按照操作对象 • 主机防火墙 • 网络防火墙 • 按照实现方式 • 软件防火墙 • 硬件防火墙 • 按照过滤和检测方式 • 包过滤防火墙 • 状态防火墙 • 应用网关防火墙 • 地址转换防火墙 • 透明防火墙 • 混合防火墙
主机防火墙与网络防火墙 • 主机防火墙 • 位置优势 • 低成本 • 难于部署、维护 • 缺乏透明度 • 功能局限性 • 示例 • Microsoft ICF • Norton Personal Firewall • 网络防火墙 • 功能强大 • 性能高 • 透明度强 • 成本高 • 内部攻击保护性差 • 示例 • Ruijie RG-WALL • Juniper Netscreen • Cisco PIX/ASA • Fortinet FortiGate • 天融信NetGuard
软件防火墙与硬件防火墙 • 软件防火墙 • 应用层控制和检测 • 功能丰富 • 性能低 • 自身安全性问题 • 示例 • Microsoft ISA • SunScreen • CheckPoint Firewall • 硬件防火墙 • 性能高 • 自身安全性高 • 易于维护 • 缺乏高级功能 • 示例 • Ruijie RG-WALL • Juniper Netscreen • Cisco PIX/ASA • Fortinet FortiGate • 天融信NetGuard
包过滤防火墙 • 无状态包过滤防火墙技术 • 最基本的防火墙过滤方式 • 根据L3/L4信息进行过滤 • 源和目的IP • 协议 • ICMP消息和类型 • TCP/UDP源和目的端口 • 处理速度快 • 无法阻止应用层攻击 • 部署复杂,维护量大 • 部署方式 • 作为Internet边界的第一层防线 • 隐式拒绝,显示允许 • 示例 • 使用ACL过滤的路由器
包过滤防火墙(续) • 无状态包过滤防火墙示例
状态防火墙 • 有状态包过滤防火墙技术 • 与无状态包过滤防火墙执行相似的操作 • 保持对连接状态的跟踪,状态表 • 无需开放高端口访问权限 • 不属于现有会话的访问将被拒绝 • 检查更高级的信息 • TCP Flag、TCP Seq. • 更多的DoS防护 • 特定应用层协议检测 • 不能阻止应用层攻击 • 状态表导致的系统开销 • 部署方式 • 作为主要的防御措施 • 需要更加严格的控制
状态防火墙(续) • 无状态包过滤的问题 • 有状态包过滤防火墙的实现 • 跟踪连接的状态
状态防火墙(续) • 无应用层检测的状态防火墙
状态防火墙(续) • 支持应用层检测的状态防火墙 • 动态协议检测(FTP、NetBIOS、SQLNET、SIP…..) • 检测应用层报头中的信息(应用层命令)
应用网关防火墙 • 应用网关防火墙技术 • 通常称为代理防火墙(Proxy Firewall) • 操作在L3/L4/L5/L7 • 支持身份认证 • 监控和过滤应用层信息 • 通过软件处理 • 支持的应用有限可能需要部署客户端软件 • 部署方式 • 作为主要的的防御措施 • 需要更严格的身份及会话验证
应用网关防火墙(续) • 连接网关防火墙 • 执行传统的应用网关防火墙检测方式 • 直通代理防火墙(Cut-Through) • 简化的应用网关防火墙 • 对于初始连接请求进行身份验证 • 会话的后续信息执行L3/L4过滤 • 更好的性能
地址转换防火墙 • NAT防火墙技术 • 解决了公有IP地址匮乏的问题 • 在L3/L4操作 • 隐藏了内部网络结构 • 引入了延时 • 破坏了IP的端到端模型 • 对应用的支持限制 • 一些应用将连接信息嵌入到应用层报文中 • NAT ALG(Application Layer Gateway)
地址转换防火墙(续) • NAT ALG(SQLNET)
地址转换防火墙(续) • NAT ALG(DNS)
透明防火墙 • 透明防火墙 • 充当网桥的角色 • 可操作于L2/L3/L4/L5/L7 • 易于部署 • 即插即用 • 零配置 • 无需更改编制结构 • 无需更改路由拓扑 • 隐蔽性高 • 透明设备,0跳 • 无IP,无连接可达到
混合防火墙 • 高级防火墙 • 包过滤(无状态/有状态) • NAT操作 • 应用内容过滤 • 透明防火墙 • 防攻击 • 入侵检测 • VPN • 安全管理
课程议题 防火墙部署
防火墙区域 • 防火墙拓扑位置 • 专用(内部)和公共(外部)网络之间 • 网络的出口和入口处 • 专用网络内部:关键的网段,如数据中心 • 防火墙区域 • Trust(内部) • Untrust(外部,Internet) • DMZ(Demilitarized Zone,非武装军事区) • DMZ中的系统通常为提供对外服务的系统 • 增强信任区域中设备的安全性 • 特殊的访问策略 • 信任区域中的设备也会对DMZ中的系统进行访问
防火墙区域设计 • 双接口无DMZ区域 • 网络无需对外提供服务
防火墙区域设计(续) • 带边界路由器的单防火墙双接口DMZ区域 • 双层次防火墙设计的替代方案
防火墙区域设计(续) • 单防火墙三接口DMZ区域 • 最通用的部署方式
防火墙区域设计(续) • 单防火墙多DMZ区域 • 常用于ISP设计
防火墙区域设计(续) • 背靠背防火墙设计
课程议题 配置RG-WALL防火墙
RG-WALL防火墙介绍 • 锐捷RG-WALL防火墙 • 状态过滤 • 应用层检测 • NAT • 防攻击 • 透明防火墙 • 流量控制 • 高可用性 • VPN
登录RG-WALL防火墙 • RG-WALL防火墙默认配置 • WAN接口为管理接口,IP为192.168.10.100 • 默认管理员帐号“admin”,密码“firewall” • 登录方式 • 证书认证 • 导入管理员证书到浏览器 • https://192.168.10.100:6666 • 电子钥匙认证 • 插入电子钥匙并认证 • https://192.168.10.100:6667
证书认证 • 导入证书
证书认证(续) • 登录防火墙
电子钥匙认证 • 电子钥匙认证
电子钥匙认证(续) • 登录防火墙
配置管理主机 • 配置管理主机 • 只有管理主机可以对防火墙进行管理
配置管理员 • 配置管理员及其权限级别
配置接口 • 配置物理特性、工作模式等
配置接口(续) • 配置接口地址及管理选项
配置路由 • 配置路由、路由负载均衡
配置对象 • 地址对象 • 地址列表&地址组 • 定义IP地址的集合 • 可被包过滤规则、NAT规则引用 • 服务器地址 • 定义服务器地址的集合 • 可被IP映射规则、端口映射规则引用 • NAT地址池 • 定义NAT转换地址的集合 • 可被NAT规则引用 • 服务器对象 • 服务器列表&服务组 • 定义服务的集合,包括协议、端口号、ICMP类型等 • 可被任何规则引用
配置对象(续) • 时间对象 • 时间列表&时间组 • 定义时间的集合 • 可被任何规则引用 • 带宽列表 • 定义带宽限制参数 • 可被任何规则引用 • URL列表 • 定义URL集合 • 可被任何规则引用
配置规则 • 包过滤规则 • 对用户的连接请求进行访问控制 • NAT规则 • 执行NAT转换操作 • IP映射规则 • 配置内部主机与公有地址间的映射,用于服务器发布 • 端口映射规则 • 配置内部服务与外部服务间的映射,用于对外发布服务
