网络安全第十章.ppt

防火墙构建示例 网络结构 防火墙构建示例 Web服务过滤规则 防火墙构建示例 ftp服务过滤规则 防火墙构建示例 smtp服务过滤规则 防火墙构建示例 dns服务过滤规则 防火墙构建示例 默认拒绝过滤规则 防火墙技术展望 10.4 1 分布式防火墙 2 网络安全产品的系统化 3 智能防火墙 智能防火墙 传统防火墙：采用数据匹配检查技术 智能防火墙：采用人工智能识别技术（统计、记忆、概率和决策等） 优势：安全，高效 应用：在保护网络和站点免受黑客攻击、阻断病毒的恶意传播、有效监控和管理内部局域网、保护必需的应用安全、提供强大的身份认证授权和审计管理等方面具有广泛的应用价值。 分布式防火墙 传统防火墙：边界防火墙 缺陷：结构性限制；内部威胁；效率和故障 分布式防火墙（广义）：一种新的防火墙体系结构（包含网络防火墙、主机防火墙和管理中心） 优势：在网络内部增加了另一层安全，有效抵御来自内部的攻击，消除网络边界上的通信瓶颈和单一故障点，支持基于加密和认证的网络应用，与拓扑无关，支持移动计算。 网络安全产品的系统化（1/2） “以防火墙为核心的网络安全体系” 解决方法： 直接把相关安全产品“做”到防火墙中 各个产品相互分离，但是通过某种通信方式形成一个整体 （防火墙联动技术） 联动：通过一种组合的方式，将不同技术与防火墙技术进行整合，在提高防火墙自身功能和性能的同时，由其他技术完成防火墙所缺乏的功能，以适应网络安全整体化、立体化的要求。 网络安全产品的系统化（2/2） 防火墙与防病毒产品联动 防火墙与IDS联动 防火墙与认证系统联动 防火墙与日志分析系统联动 主流防火墙产品简介 国内：天融信网络卫士防火墙（NGFW） 我国第一套自主版权的防火墙系统 TOPSEC（Talent Open Protocol for Security）安全体系（联动协议安全标准） 10.5 主流防火墙产品简介 国外：CheckPoint的Firewall-1防火墙 状态检测（Stateful Inspection）技术最早由CheckPoint提出 OPSEC（Open Platform for Secure Enterprise Connectivity）——开放安全企业互联联盟的组织和倡导者之一，允许用户通过一个开放的、可扩展的框架集成、管理所有的安全产品。 （目前已有包括IBM、HP、Sun、Cisco、BAY等超过135个公司加入到OPSEC联盟。） 防火墙性能测试简介 性能测试标准：RFC 2544（2-3层）和RFC 3511（4-7层） 吞吐量：网络设备在不丢失任何一个帧情况下的最大转发速率。 延时（比特转发）：入口处输入帧第1个比特到达被测设备至出口处输出帧的第1个比特输出时所用的时间间隔 丢包率：在稳态负载下由于缺少资源应转发而没有转发的帧占所有应被转发的帧的比例 背靠背：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率，发送一定数量固定长度的帧，当出现第一个帧丢失时所发送的帧数。 补充 * 身份识别和验证(IA) * 被屏蔽子网体系结构 规则集是否允许数据包的内容通过 ？ 数据包到达 防火墙接口 Yes No 丢弃数据包 更新对话表 作日志记录 给源主机发送ICMP消息 No No 数据包是否属于一个已存在的连接？ 建立连接项 数据包的内容是否符合规则集？ Yes 将数据包转发给接口 更新对话表 作日志记录 Yes 状态检测防火墙的处理过程 以 太 网 步骤 (1) 步骤 (8) 步骤（3） 步骤（2） 步骤（4） 步骤（6） 步骤（5） 步骤（7） 步骤（9） Internet 主机A发出连接请求通过防火墙 举 例 主机A试图访问，它必须通过路由器，而该路由器被配置成状态检测防火墙，下面是主机A发出连接请求的工作过 1）A发出连接请求到 ； 2）请求到达路由器，路由器检查状态表； 3）如果有连接存在，且状态表正常，允许数据包通过； 4）如果无连接存在，创建状态项,将请求与防火墙规则集进行比较； 5）如果规则允许内部主机可以访问TCP/80，则允许数据包通过； 6）数据包被Web服务器接收； 7）SYN/ACK信息回到路由器，路由器检查状态表； 8）状态表正确，允许数据包通过，数据包到达最先发出请求的计算机； 9）如果规则不允许内部主机访问TCP/80，则禁止数据包通过，路由器发送ICMP消息。 状态检测防火墙的优缺点 优点：具有识别带有欺骗性源IP地址包的能力；检查的层面能够从网络层至应用层；具有详细记录通过的每个包的信息的能力，其中包括应用程序对包的请求，连接的持续时间，内部和外部系统所做的连接请求等。 缺点：所有这些记录、测试和分析工作可能会