防火墙基础知识介绍ppt课件.ppt

《防火墙基础知识介绍ppt课件.ppt》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

防火墙基础知识介绍 防火墙基础防火墙的定义边界设备安全域之间的唯一出入口一套的安全策略一系列的防范措施一种有效的网络安全模型 防火墙基础防火墙的作用保护内部网络限制内部人员对外的访问建立安全通道制定安全策略 防火墙基础防火墙模型OSI/RM防火墙应用层网关级表示层会话层传输层电路级网络层路由器级数据链路层网桥级物理层中继器级 防火墙基础防火墙的基本安全策略拒绝没有特别允许的任何事情允许没有特别拒绝的任何事情 防火墙基础对防火墙技术的评价好处集中的网络安全可作为中心“扼制点”产生安全报警监视并记录Internet的使用NAT的理想位置WWW和FTP服务器的理想位置 防火墙基础对防火墙技术的评价不足无法防范通过防火墙以外的其它途径的攻击无法防范来自内部的攻击防火墙无法防范数据驱动型的攻击 防火墙基础防火墙技术现状综合类技术的防火墙，非单独的包过滤或者应用代理对数据进行加解密在TCP/IP协议层进行各项安全控制 防火墙关键技术概述包过滤技术过滤包头信息根据路由规则拒绝或允许数据包转发与服务有关的过滤与服务无关的过滤 防火墙关键技术概述包过滤技术优点在标准路由器软件中包含费用少缺点定义数据包过滤器会比较复杂随着过滤器数目的增加，路由器的吞吐量会下降IP包过滤器可能无法对网络上流动的信息提供全面的控制 防火墙关键技术概述代理技术应用网关技术堡垒主机优点对服务进行全面的控制支持可靠的用户认证容易配置和管理缺点要求用户安装代理客户端 防火墙关键技术概述状态监测技术根据分组的属性和状态表进行网络传输控制决策优点检测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充可以监测RPC、和UDP之类的端口信息缺点不能根据实际传输的数据内容进行判断配置比较复杂、会降低网络速度 防火墙关键技术概述地址转换技术（NAT）内部外部地址转换，隐藏内部IP地址单向NAT双向NAT 防火墙关键技术概述VPN技术虚拟专用网在公共网络中建立专用网络，数据通过安全的“加密管道”在公共网络中传播。保证数据的真实性保证数据的完整性保证通道的机密性提供动态密匙交换功能提供安全防护措施和访问控制 防火墙关键技术概述VPN技术虚拟专网标准IPSec、PPTP、L2TP优点是性能价格比比较高的安全方式大多数的VPN产品可以在网络连接中透明地配置，而不需要修改网络或客户端的配置IPSecVPN是最安全和流行的选择不足应用时间还不是很长不同厂商的执行方式不同 防火墙的体系结构包过滤路由器完成数据包转发的基本路由功能利用包过滤规则控制数据包的通过 防火墙的体系结构双重宿主主机结构双宿堡垒主机有两个网络接口，但是主机在两个端口之间直接转发信息的功能（其能旁路代理服务）被关掉了。这种物理结构强行将让所有去往内部网络的信息经过堡垒主机，并且在外部用户被授予直接访问信息服务器的权利时，提供附加的安全性。 防火墙的体系结构屏蔽主机结构采用了包过滤路由器和堡垒主机组成。它实现了网络层安全（包过滤）和应用层安全（代理服务）。所以入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。 防火墙的体系结构DMZ或屏蔽子网结构定义了“非军事区”（DMZ）网络，支持网络层和应用层安全功能。在一般情况下对DMZ配置成使用Internet和内部网络系统能够访问DMZ网络上数目有限的系统，而通过DMZ网络直接进行信息传输是严格禁止的。 常见的防火墙产品介绍CheckPoint简介CheckPointFireWall1，软件防火墙，可以与其他硬件捆绑（Nokia）支持广泛的应用程序开放式结构设计为扩充新的应用程序提供了便利集中管理下的分布式客户机/服务器结构网络安全的新模式——StatefulInspection技术 常见的防火墙产品介绍CheckPoint简介远程网络访问的安全保障(FireWall-1SecuRemote)鉴定SecuRemote远程加密功能虚拟专用网络集成的、易操作的密钥管理程序实时报警集成管理 常见的防火墙产品介绍CiscoPIX简介Cisco自己开发的防火墙操作系统PIX运行了代理ARP，给外部网络层IP地址指定数据链路MAC地址对TCP信息包的序列编号进行随机化处理，防止IP地址欺骗 常见的防火墙产品介绍NetScreen简介控制允许或拒绝访问的基于地址的信息以硬件为基础，将防火墙虚拟专用网VPN和流量管理系统等几类功能集成在一起使用一个内部设计的专用集成电路（ASIC）可以作为部署NAT目的地址转换的逻辑地址，因此可以用来有效解决网络地址匮乏的问题是具有安全可靠的身份认证检测、实用的策略管理控制机制、灵活的四种应用模式、DMZ区的设计、负载平衡、流量控制、虚拟专用网等概念的新一代硬件网络防火墙。 常见的防火墙产品介绍NetScreen简介NetScreen产品netscreen-5:提供5M带宽的吞吐能力，支持10-25个用户的连接。具有防火墙和VPN功能。NetScreen-10:提供10M带宽的吞吐能力。NetScreen-100:提供100M带宽的吞吐能力。NetScreen-1000:提供100M带宽的吞吐能力。NetScreenGlobalManagerForWindowsNT:具有对NetScreen完整的Internet解决方案进行集中的管理的能力。 对防火墙的攻击IP地址欺骗突破防火墙系统最常用的方法伪造的IP发送地址产生虚假的数据分组，乔装成来自内部站的分组过滤器， 对防火墙的攻击TCP序号攻击是绕过基于分组过滤方法的防火墙系统的最有效和最危险的方法之一这种攻击基于在建立TCP连续时使用的三步握手序号它假定利用前面叙述过的IP地址欺骗可以从外部把伪造的IP分组送入内部计算机系统 对防火墙的攻击IP分段攻击采用数据分组分段的办法，数据包发送后，并不立即重新组装单个的分段，而是把它们路由到最终目的地，只在这时才把它们放在一块给出原始的IP分组被分段的分组是对基于分组过滤防火墙系统的一个威胁，它们把它们的路由判决建立在TCP端口号的基础上，因为只有第一个分段标有TCP端口号，而没有TCP号的分段是不能被滤除的。可以使用修改过的TCP实现来分析不完整的分段序列，藉此绕过防火墙系统 对防火墙的攻击基于附加信息的攻击使用端口80（HTTP端口）传送内部信息给攻击者这种攻击完全可以通过防火墙实现，因为防火墙允许HTTP通过且又没有一套完整的安全办法确定HTTP报文和非HTTP报文之间的差异。 对防火墙的攻击基于堡垒主机web服务器的攻击把堡垒主机web服务器转变成避开防火墙内外部路由器作用或影响的系统。它也可用于发动针对下一层保护的攻击，观察或破坏防火墙网络内的网络通信量，或者在防火墙只有一个路由器的情况下完全绕过防火墙 IP隧道攻击IP隧道攻击即在端口80（或者其它任意防火墙允许信息包通过的端口）发送能产生穿过防火墙的IP隧道的程序。 对防火墙的攻击计算机病毒攻击计算机病毒是一种把自身附加在程序之上对原先程序加以改变的代码段。它只是在程序开始运行时执行，然后复制其自身，并在复制中影响其他程序。病毒可以以多种形式穿越防火墙，比如通过email、比如通过客户机的浏览器等等。 对防火墙的攻击特洛伊木马攻击特洛伊木马是藏匿在某一合法程序内完成伪装预定功能的代码段。它可作为藏匿计算机病毒、蠕虫或其他恶意程序的方式，但多数时间被用于绕过诸如防火墙这样的安全屏障 对防火墙的攻击报文攻击利用重定向报文进行攻击重定向报文可改变路由器，路由器根据这些报文建议主机走另一条“更好”的路径。利用重定向报文把连接转向一个黑客或攻击者控制的主机，或使所有报文通过他们控制的主机来转发 防火墙的其他功能防火墙负载均衡技术单一的防火墙引入会导致新的新的单一故障点，所以在高负载且非常重要的服务器前端，我们还应该使用防火墙负载衡技术 防火墙的其他功能防火墙的VPN功能采用TCP/IP安全技术，借助现有的Internet网络环境，在公共网络信道上建立的逻辑上的企业专用网络目的是为了在不安全的信道上实现安全信息传输，保证企业内部信息在Internet上传输时的机密性和完整性，同时使用鉴别对通过Internet进行的数据传输进行确认 防火墙的其他功能防火墙与IDS联动功能天融信TOPSEC－开放式的应用安全接口绿盟EOI开放协议 谢谢！