防火墙技术及其应用.ppt

2023/2/7,防火墙技术及其应用,2023/2/7,防火墙技术及其应用,Page:2,报告内容,基本概念 防火墙相关技术 几个新的方向,2023/2/7,防火墙技术及其应用,Page:3,基本概念,防火墙定义 为什么需要防火墙 对防火墙的两大需求 防火墙系统四要素 防火墙技术的发展过程 引入防火墙技术的好处 争议及不足,2023/2/7,防火墙技术及其应用,Page:4,防火墙定义,防火墙是位于两个(或多个)网络间，实施网间访问控制的一组组件的集 合，它满足以下条件：内部和外部之间的所有网络数据流必须经过防火墙只有符合安全政策的数据流才能通过防火墙防火墙自身应对渗透(peneration)免疫,2023/2/7,防火墙技术及其应用,Page:5,为什么需要防火墙,2023/2/7,防火墙技术及其应用,Page:6,所有软件都是有错的通常情况下99.99%无错的程序很少会出问题同安全相关的99.99%无错的程序可以确信会被人利用那0.01%的错误0.01%安全问题等于100%的失败,Why Security is Harder than it Looks,2023/2/7,防火墙技术及其应用,Page:7,内部网特点,组成结构复杂各节点通常自主管理信任边界复杂，缺乏有效管理有显著的内外区别机构有整体的安全需求最薄弱环节原则,2023/2/7,防火墙技术及其应用,Page:8,为什么需要防火墙,保护内部不受来自Internet的攻击为了创建安全域为了增强机构安全策略,2023/2/7,防火墙技术及其应用,Page:9,对防火墙的两大需求,保障内部网安全保证内部网同外部网的连通,2023/2/7,防火墙技术及其应用,Page:10,防火墙系统四要素,安全策略内部网外部网技术手段,2023/2/7,防火墙技术及其应用,Page:11,防火墙技术发展过程,20世纪70年代和80年代，多级系统和安全模型吸引了大量的研究屏蔽路由器、网关防火墙工具包商业产品防火墙新的发展,2023/2/7,防火墙技术及其应用,Page:12,防火墙技术带来的好处,强化安全策略 有效地记录Internet上的活动 隔离不同网络，限制安全问题扩散是一个安全策略的检查站,2023/2/7,防火墙技术及其应用,Page:13,争议及不足,使用不便，认为防火墙给人虚假的安全感对用户不完全透明，可能带来传输延迟、瓶颈及单点失效不能替代墙内的安全措施不能防范恶意的知情者 不能防范不通过它的连接 不能防范全新的威胁 不能有效地防范数据驱动式的攻击当使用端-端加密时，其作用会受到很大的限制,2023/2/7,报告内容,基本概念 防火墙配置模式 防火墙相关技术 几个新的方向,2023/2/7,防火墙技术及其应用,Page:15,防火墙简图,Filter,Filter,Inside,Outside,2023/2/7,防火墙技术及其应用,Page:16,防火墙的位置,2023/2/7,防火墙技术及其应用,Page:17,默认安全策略,没有明确禁止的行为都是允许的没有明确允许的行为都是禁止的,2023/2/7,报告内容,基本概念 防火墙相关技术 几个新的方向,2023/2/7,防火墙技术及其应用,Page:19,防火墙相关技术,静态包过滤动态包过滤应用程序网关(代理服务器)电路级网关网络地址翻译虚拟专用网,2023/2/7,防火墙技术及其应用,Page:20,静态包过滤,根据流经该设备的数据包地址信息，决定是否允许该数据包通过判断依据有(只考虑IP包)：数据包协议类型：TCP、UDP、ICMP、IGMP等源、目的IP地址源、目的端口：FTP、HTTP、DNS等IP选项：源路由、记录路由等TCP选项：SYN、ACK、FIN、RST等其它协议选项：ICMP ECHO、ICMP ECHO REPLY等数据包流向：in或out数据包流经网络接口：eth0、eth1,2023/2/7,防火墙技术及其应用,Page:21,包过滤示例,堡垒主机,内部网,外部网络,在上图所示配置中，内部网地址为：192.168.0.0/24，堡垒主机内网卡eth1地址为：192.168.0.1，外网卡eth0地址为：10.11.12.13DNS地址为：10.11.15.4要求允许内部网所有主机能访问外网WWW、FTP服务，外部网不能访问内部主机,2023/2/7,防火墙技术及其应用,Page:22,包过滤示例(续),Set internal=192.168.0.0/24Deny ip from$internal to any in via eth0Deny ip from not$internal to any in via eth1Allow udp from$internal to any dnsAllow udp from any dns to$internalAllow tcp from any to any establishedAllow tcp from$internal to any www in via eth1Allow tcp from$internal to any ftp in via eth1Allow tcp from any ftp-data to$internal in via eth0Deny ip from any to any,2023/2/7,防火墙技术及其应用,Page:23,包过滤模型,2023/2/7,防火墙技术及其应用,Page:24,TCP的连接过程,2023/2/7,防火墙技术及其应用,Page:25,UDP动态数据包过滤,2023/2/7,防火墙技术及其应用,Page:26,动态包过滤,Check point一项称为“Stateful Inspection”的技术可动态生成/删除规则分析高层协议 状态检查技术能在网络层实现所有需要的防火墙能力，它既有包过滤机制的速度和灵活，也有应用级网关安全的优点，它是包过滤器和应用级网关功能的折衷。,2023/2/7,防火墙技术及其应用,Page:27,图30 状态包检查的逻辑流程,2023/2/7,防火墙技术及其应用,Page:28,包过滤技术的一些实现,商业版防火墙产品个人防火墙路由器Open Source SoftwareIpfilter(FreeBSD、OpenBSD、Solaris，)Ipfw(FreeBSD)Ipchains(Linux 2.0.x/2.2.x)Iptables(Linux 2.4.x),2023/2/7,防火墙技术及其应用,Page:29,应用程序网关(代理服务器),客,户,网,关,服务器,网关理解应用协议，可以实施更细粒度的访问控制对每一类应用，都需要一个专门的代理灵活性不够,2023/2/7,防火墙技术及其应用,Page:30,应用程序网关的一些实现,商业版防火墙产品商业版代理(cache)服务器Open SourceTIS FWTK(Firewall toolkit)ApacheSquid,2023/2/7,防火墙技术及其应用,Page:31,电路级网关,拓扑结构同应用程序网关相同接收客户端连接请求，代理客户端完成网络连接在客户和服务器间中转数据通用性强,2023/2/7,防火墙技术及其应用,Page:32,电路级网关实现方式,简单重定向根据客户的地址及所请求端口，将该连接重定向到指定的服务器地址及端口上对客户端应用完全透明在转发前同客户端交换连接信息需对客户端应用作适当修改Sockify,2023/2/7,防火墙技术及其应用,Page:33,电路级网关的一些实现,SocksWinsockDante,2023/2/7,防火墙技术及其应用,Page:34,网络地址翻译(NAT),目的解决IP地址空间不足问题向外界隐藏内部网结构方式M-1：多个内部网地址翻译到1个IP地址1-1：简单的地址翻译M-N：多个内部网地址翻译到N个IP地址池,2023/2/7,防火墙技术及其应用,Page:35,虚拟专用网(VPN),2023/2/7,防火墙技术及其应用,Page:36,各级网络安全技术,2023/2/7,防火墙技术及其应用,Page:37,防火墙的对比,包过滤防火墙：包过滤防火墙不检查数据区，包过滤防火墙不建立连接状态表，前后报文无关，应用层控制很弱。应用网关防火墙：不检查IP、TCP报头，不建立连接状态表，网络层保护比较弱。状态检测防火墙：不检查数据区，建立连接状态表，前后报文相关，应用层控制很弱。复合型防火墙：可以检查整个数据包内容，根据需要建立连接状态表，网络层保护强，应用层控制细，会话控制较弱。,2023/2/7,报告内容,基本概念 防火墙配置模式 防火墙相关技术 几个新的方向,2023/2/7,防火墙技术及其应用,Page:39,关于防火墙技术的一些观点,防火墙技术是一项已成熟的技术目前更需要的是提高性能，尤其是将它集成到更大的安全环境中去时：用户界面和管理互操作性标准化当然其他方面的改进也是存在的,2023/2/7,防火墙技术及其应用,Page:40,分布式防火墙,传统防火墙技术的几个问题依赖于防火墙一端可信，另一端是潜在的敌人Internet的发展使从外部穿过防火墙访问内部网的需求增加了一些内部主机需要更多的权限只依赖于端-端加密并不能完全解决问题过于依赖物理拓扑结构考虑到下面几个事实个人防火墙已得到了广泛的应用操作系统大多已提供了许多在传统意义上还属于防火墙的手段IPv6以及IPSec技术的发展防火墙这一概念还不能抛弃,2023/2/7,防火墙技术及其应用,Page:41,分布式防火墙(续一),思路主要工作防护工作在主机端打破传统防火墙的物理拓扑结构，不单纯依靠物理位置来划分内外由安全策略来划分内外网具体方法：依赖于下面三点策略描述语言：说明什么连接允许，什么连接不允许一系列系统管理工具：用于将策略发布到每一主机处，以保证机构的安全IPSec技术及其他高层安全协议,2023/2/7,防火墙技术及其应用,Page:42,分布式防火墙,2023/2/7,防火墙技术及其应用,Page:43,安全增强方面,FTP Guard严格MAC，在不同安全级别网络间传递文件DTE Firewall采用一种基于表的MAC，较为灵活安全网关,2023/2/7,防火墙技术及其应用,Page:44,安全网关,信息流五要素：time：时间src-addr：源地址dst-addr：目的地址user：用户data：信息内容,2023/2/7,防火墙技术及其应用,Page:45,安全网关(续一),传统防火墙技术与信息流诸要素：,2023/2/7,防火墙技术及其应用,Page:46,安全网关(续二),信息出入关控制技术：思路：信息自带标识网关证：信息密级、信息源、信息允许流向、是否完整预处理+出入关检查对经由网关的信息流给出了一个一致的结构及访问控制机制,2023/2/7,防火墙技术及其应用,Page:47,安全网关(续三),安全网关,内部网安全系统,2023/2/7,防火墙技术及其应用,Page:48,思考,描述在下列两种情况下应用程序代理的实现方式：协议支持代理协议不支持代理实现M-N型网络地址翻译算法比较包过滤、应用程序网关和电路级网关,2023/2/7,防火墙技术及其应用,Page:49,谢谢,