防火墙基本知识PPT资料.ppt
《防火墙基本知识PPT资料.ppt》由会员分享,可在线阅读,更多相关《防火墙基本知识PPT资料.ppt(39页珍藏版)》请在冰点文库上搜索。
,防火墙主要是让网络“断”,默认所有数据都丢弃,只有合法的数据才能通过。
防火墙基本知识防护模型,防火墙主要是针对4层报文进行安全过滤,对7层应用层分析较少。
防火墙主要管理范围,主要内容,防火墙基本知识防火墙技术防火墙种类防火墙发展防火墙主要技术防火墙选择防火墙部署典型配置案例,主要分为以下3种类型防火墙:
包过滤防火墙:
根据一组规则允许/阻塞一些数据包。
应用代理型防火墙:
作为应用层代理服务器,提供安全防护。
状态检测型防火墙:
比包过滤防火墙具有更高的智能和安全性,会话成功建立连接以后记录状态信息并时时更新,所有会话数据都要与状态表信息相匹配;
否则会话被阻断。
状态检测技术,防火墙技术发展介绍,现代防火墙基本为3种类型防火墙的综合体,即采用状态检测型包过滤技术,同时提供透明应用代理功能。
包过滤防火墙,基本概念:
数据包过滤是指在网络中的适当位置对数据包实施有选择的通过。
选择的依据就是系统内设置的过滤规则或称访问控制表。
包过滤操作过程:
包过滤规则必须被存储在包过滤设备的端口;
当数据包在端口到达时,包头被提取,同时包过滤设备检查IP、TCP、UDP等包头中的信息;
包过滤规则以特定的次序被存储,每一规则按照被存储的次序作用于包;
如果一条规则允许传输,包就被通过;
如果一条规则阻止传输,包就被弃掉或进入下一条规则。
检查项,IP包的源地址,IP包的目的地址,TCP/UDP源端口,IP包,检测包头,检查路由,安全策略:
过滤规则,路由表,包过滤防火墙,转发,符合,不符合,丢弃,包过滤防火墙图示,包过滤防火墙技术评价,优点:
速度快,吞吐率高(过滤规则较少时)对应用程序透明(无帐号口令等)缺点:
安全性低不能过滤传输层以上的信息不能监控链路状态信息,Client,Server,代理服务器,代理客户机,请求,应答,被转发的请求,被转发的应答,应用代理防火墙,双向通信必须经过应用代理,禁止IP直接转发;
只允许本地安全策略允许的通信信息通过;
应用代理防火墙图示,代理服务器评价来自代理客户的请求并决定请求是否被认可。
如果请求被认可,代理服务器便代表客户接触真正的服务器并且转发从代理客户到真正的服务器的请求以及真正的服务器到代理客户的响应。
安全策略访问控制,优点:
可以将被保护网络内部的结构屏蔽起来可以实施较强的数据流监控、记录。
可提供应用层的安全(身份验证等)缺点:
灵活性通用性较差,只支持有限的应用。
不透明(用户每次连接可能要受到“盘问”)代理服务的工作量较大,需要专门的硬件(工作站)来承担,应用代理防火墙技术评价,基于状态的包过滤防火墙,状态检测技术对于新建立的连接,首先检查预先设置的安全规则,允许符合规则的连接通过,并记录下该连接的相关信息,生成状态表。
对该连接的后续数据包,只要是符合状态表的,就可以通过。
可对各层的通信进行主动、实时的监控,重组会话,对应用进行细粒度检测,基于状态的包过滤防火墙图示,IP包,检测包头,下一步处理,安全策略:
过滤规则,会话连接状态缓存表,状态检测包过滤防火墙,符合,不符合,丢弃,符合,检查项,IP包的源、目的地址、端口,TCP会话的连接状态,上下文信息,特点:
安全性得到进一步提高。
可监测无连接状态的远程过程调用和用户数据报之类的端口信息。
基于状态的包过滤防火墙技术评价,主要内容,防火墙基本知识防火墙技术防火墙种类防火墙发展防火墙主要技术防火墙选择防火墙部署,防火墙技术与产品发展回顾,防火墙产品的四个发展阶段(四代)基于路由器的防火墙用户化的防火墙工具套件建立在通用操作系统上的防火墙具有安全操作系统的防火墙,第一代:
基于路由器的防火墙,称为包过滤防火墙特征:
以访问控制表方式实现包过滤过滤的依据是IP地址、端口号和其它网络特征只有包过滤功能,且防火墙与路由器合为一体缺点:
路由协议本身具有安全漏洞路由器上的包过滤规则的设置和配置复杂攻击者可假冒地址本质缺陷:
防火墙的设置会大大降低路由器的性能(一对矛盾),特征:
将过滤功能从路由器中独立出来,并加上审计和告警功能;
针对用户需求提供模块化的软件包;
纯软件产品。
安全性提高,价格降低;
缺点:
配置和维护过程复杂费时;
对用户技术要求高;
全软件实现,安全性和处理速度均有局限;
第二代:
用户化的防火墙工具套件,实现方式:
软件、硬件、软硬结合。
问题:
作为基础的操作系统及其内核的安全性无从保证。
通用操作系统厂商不会对防火墙的安全性负责;
第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统漏洞的攻击。
用户必须依赖两方面的安全支持:
防火墙厂商和操作系统厂商。
上述问题在基于Windows/Linux开发的防火墙产品中表现得十分明显。
第三代:
建立在通用操作系统上的防火墙,特点:
防火墙厂商具有操作系统的源代码,并可实现安全内核;
这是一个安全厂商技术实力的体现对安全内核实现加固处理:
即去掉不必要的系统特性,强化安全保护,从而可以提供更高的处理性能在功能上包括了分组过滤、代理服务,且具有加密与鉴别功能;
具有独立硬件技术的厂商,安全可靠性更高,第四代:
具有安全操作系统的防火墙,主流安全厂商属于第四代技术。
主要内容,防火墙基本知识防火墙技术防火墙种类防火墙发展防火墙主要技术防火墙选择防火墙部署,防火墙关键技术汇总,安全区域:
Zone,防火墙最基本功能,将网络按照不同防护需求划分为隔离的区域攻击防范:
对各种攻击进行识别和阻断,保障网络内部用户的数据安全VPN:
VirtualPrivateNetwork,就是虚拟专用网,主要是保证在不可信的公网上建立用户的“专线”,通过加密实现逻辑上的专线建设,从而实现远程安全通信NAT:
NetworkAddressTranslation,就是地址转换,主要用于保护内网组网架构和地址匮乏状态检测:
保障应用链接是有内网用户发起,并且是按照标准状态进行;
对外部发起的任何访问都不响应状态热备:
安全区域(ZONE),安全区域:
安全管理基本单位,通过划分不同区域,为其定级不同安全级别,从而执行相应的安全策略,主要是不同区域间的访问控制将接口加入相应安全区域,即意味着与接口相连的网络接入本安全区域Trust、Untrust、DMZ为防火墙默认三个安全区域,防火墙,交换机,受信区域Trust,非受信区域Untrust,DMZ区,受信区域DMZ区,可以访问POP3和SMTP服务DMZ受信区域,不可访问任何服务,应用服务器,非受信区域DMZ区,可以访问POP3和SMTP服务DMZ非受信区域,可以访问任何服务,非受信区域和受信区域之间不能互访,攻击防范当前主要攻击,Land攻击防范Smurf攻击防范Fraggle攻击防范WinNuke攻击防范PingofDeath攻击防范TearDrop攻击防范IPSpoofing攻击防范SYNFlood攻击防范,ICMPFlood攻击防范UDPFlood攻击防范ARP欺骗攻击防范ARP主动反向查询TCP报文标志位异常攻击防范超大ICMP报文攻击防范地址扫描的防范端口扫描的防范,攻击按照不同划分标准,有不同分类。
一般分为畸形报文(利用协议漏洞)、泛洪类(Flood,发起大量请求)、应用层(操作系统和软件漏洞),下面是当前知名攻击,攻击防范,各种网络攻击可以归结为:
侦测技术:
攻击前奏,通过扫描和探测来摸清目标的网络架构、漏洞、操作系统等,为下一步攻击作准备。
欺骗技术:
包括IP欺骗和ARP欺骗,用来隐蔽攻击行为DOS/DDOS(拒绝服务/分布式拒绝服务攻击):
主流攻击模式,利用系统异常和大量虚假报文,让目标无法继续提供正常服务,从而达到攻击目的蠕虫、木马等病毒攻击:
应用层攻击,不仅仅是破坏目标应用,更是以获利为主要目的。
防火墙就是阻断侦测、识破欺骗、阻断攻击,实现对网络中安全威胁的防御。
虚拟专用网(VPN),通过组合数据封装和加密技术,实现私有数据通过公共网络平台进行安全传输,从而以经济、灵活的方式实现两个局域网络通过公共网络平台进行衔接,或者提供移动用户安全的通过公共网络平台接入内网。
中心站点,分支机构,合作伙伴,接入点,移动用户,SOHO用户,VPN,逻辑通道安全加密,网络地址转换技术(NAT),NAT就是将一个IP地址用另一个IP地址代替。
应用领域:
网络管理员希望隐藏内部网络的IP地址。
合法InternetIP地址有限,而且受保护网络往往有自己的一套IP地址规划(内网私有地址),10.1.5.22发出请求,应答发给10.1.5.22,202.1.1.1发出请求,202.1.1.1发出请求,应答发给202.1.1.1,应答发给202.1.1.1,NAT10.1.5.22202.1.1.1,状态检测,根据协议的“状态机”识别各种协议的正确状态一般包括H323/MGCP/SIP/H248/RTSP/ICMP/FTP/DNS/PPTP/NBT/ILS等针对应用层协议包括SMTP/HTTP/Java/ActiveX/SQL注入攻击状态检测,防火墙,用户,服务器,用户初始化到服务器的一个会话,该用户会话的后续数据包被允许,非用户建立外部发起会话被拒绝,监控通信过程中的数据包动态建立和删除访问规则,状态热备,为避免防火墙故障导致网络不通,一般部署两台相同防火墙进行状态同步热备分为两种模式:
主机/备机,主机/主机。
两台防火墙互为对方的备份,通过“心跳”监控,当发现对方无法工作时,直接接管对方工作接管的切换时间一般为毫秒级,这样才能保障网络业务不中断,DPtechA,DPtechB,黑名单,系统表项,状态表项,黑名单,系统表项,状态表项,心跳监控,主要内容,防火墙基本知识防火墙技术防火墙选择防火墙部署典型配置案例,防火墙的选择关键指标,主要参考以下3种指标:
防火墙性能选择:
吞吐量、最大并发连接数、每秒新建连接数VPN性能:
加密性能、最大并发连接数物理接口的选择:
接口数量和速率,主要是考虑部署、HA和性能需求。
防火墙性能,主要参考以下3种性能指标:
1.整机吞吐量:
指防火墙在状态检测机制下能够处理一定包长数据的最大转发能力,业界默认一般都采用大包衡量防火墙对报文的处理能力。
2.最大并发连接数:
由于防火墙是针对连接进行处理报文的,并发连接数目是指的防火墙可以同时容纳的最大的连接数目,一个连接就是一个TCP/UDP的访问。
3.每秒新建连接数:
指每秒钟可以通过防火墙建立起来的完整TCP/UDP连接。
该指标主要用来衡量防火墙在处理过程中对报文连接的处理速度,如果该指标低会造成用户明显感觉上网速度慢,在用户量较大的情况下容易造成防火墙处理能力急剧下降,并且会造成防火墙对网络攻击防范能力差。
VPN性能,主要参考以下2种性能指标:
1.加密性能:
指VPN设备进行背靠背的连接时,能够以一定的加密算法对一定的包长数据的最大转发能力,业界默认一般都采用大包对这个指标进行衡量。
2.最大并发隧道数:
指在确定的某种VPN协议的前提下,VPN设备能够并发支持最多的虚拟隧道的数量,这些隧道决定了VPN设备能够提供的连接的设备和移动用户的数量。
主要内容,防火墙基本知识防火墙技术防火墙选择防火墙部署典型配置案例,DPtech防火墙,远程安全互联,企业分支,合作伙伴,移动办公,局域网A,局域网B,IPSecVPN,SSLVPN,防火墙部署在总部网络出口,方便分支和移动用户接入,同时可以为总部提供攻击防护和NAT功能相对固定的分支的出口也可以部署防火墙,可以提供更高的VPN接入性能,Internet边界防护防火墙最典型应用,分支机构,合作伙伴,局域网C,局域网A,局域网B,DPtech防火墙,DPtech防火墙,移动办公用户,DPtech防火墙,DPtech防火墙,提供最基本的安全防护功能,首先进行安全区域划分,在此基础上提供攻击防范、NAT、状态检测和VPN功能可以部署在路由器前后,一般建议部署在路由器后端。
根据部署规模和可靠性要求,一般建议部署2台,进行状态热备,设备之间可以配置心跳线,数据中心防护,分支机构,合作伙伴,数据服务器群A,DPtech防火墙,EmailServer.WebServer,DPtech防火墙,数据服务器群B,数据服务器群C,为内部核心数据提供防护,通过安全区域划分,将内部数据中心提供访问控制;
攻击防范也是基本需求,一般需要和IPS配合使用必须部署2台以上防火墙作为热备,
升级会员 