防火墙安全.ppt

包过滤防火墙特点 非常快，可以安装在最外的边界上 根据策略，如阻止SNMP,允许HTTP 可能的弱点 应用相关的漏洞没有办法保护 审计不够详细 无法支持高级的用户认证 无法防止高级攻击，如IP地址假冒 目前，很难找到只有包过滤功能的防火墙 路由器，SOHO防火墙，操作系统自带的防火墙 过滤规则 动作： 允许(Accept/Allow) 拒绝(Deny) 丢弃(Discard) 规则间的关系 凡是没有定义的就禁止／允许？ 一条禁止和一条允许?禁止还是允许？ 一般：不要忘记最后禁止所有的通信 外出通信和进入通信同等重要 状态检查防火墙Stateful Inspection Firewalls 工作在2，3，4层 不是简单开放大于1023的端口而是记住每个TCP连接或UDP通信的状态 1098 80 Established 6 1046 25 Established 8 1356 5 80 Established 应用代理网关防火墙Application-Proxy Gateway Firewalls 代理网关防火墙主要工作在应用层(2,3,4,7) 部分语义的检查 可以进行用户认证 身份认证,基于生物特征的认证 可以进行原地址检查 不足 慢,不适合快速网络 针对新的应用,升级麻烦 一个代理网关防火墙的例子 DNS Finger FTP HTTP HTTPS LDAP NNTP SMTP Telnet 内网 外网 Proxy Agent 代理网关的运行步骤 用户Telnet网关并输入内部主机名 网关检查用户的IP地址决定是否允许连接 网关要求用户进行认证，可以是基于硬件的或生物基础的 代理服务建立一个从代理到内部主机的Telnet连接 代理在这两个连接中传输数据 网关记录这次连接 专用代理防火墙Dedicated Proxy Servers 混合的防火墙Hybrid Firewall 现有的防火墙基本都是混合功能的 配置，安装更加复杂 考察功能参数就很重要 后面介绍防火墙的一些其他基本功能 防火墙功能总结 包过滤防火墙 状态检查机制防火墙 应用代理网关防火墙 专用代理防火墙 混合型防火墙 网络地址转换 基于主机的防火墙 个人防火墙／个人防火墙设备 防火墙的布置与环境 布置防火墙及环境的四条建议 非军事区(DMZ) VPN及其的布置 IDS DNS 一个服务器布放的例子 布置防火墙的建议（NIST Guidelines） 越简单越好(Keep It Simple) 不要追求复杂方案,要能够易懂才能易于管理和维护,和进行事件处理；复杂必然不安全。 按照设计使用设备 不要用路由器中的包过滤当防火墙，不要指望交换机中的安全机制。这样容易错误地配置 设计有深度的防御(Defense in Depth) 安全分层：路由安全，多防火墙墙，操作系统 注意内部威胁 并非怀疑同事的攻击，攻击可能越过Firewall 重要建议 所有的规则都会被打破 在防火墙布置时牢记 在防火墙设计时牢记 各自的系统有各自的需求，应该具针对具体应用设计有针对性的防火墙的布置 DMZ网络(DeMilitarized Zone) ISP 边界包过滤防火墙 受保护内网 外部DMZ网络 外部WEB服务器 主防火墙 内部DMZ网络 内网防火墙 内部邮件服务器 另一种DMZ网络 ISP 边界包过滤防火墙 外部DMZ网络 应用代理服务器 主防火墙 服务DMZ网络 受保护内网 服务器与防火墙放置的考虑 没有适合所有情况的解决方案 一些建议： 用边界包过滤防火墙保护外部服务器 不要将可以外部存取的服务器放在内网 隔离容易受攻击的服务器 服务器布放的例子 外部存取服务器(如www服务器) 放在外部DMZ中，在边界包过滤防火墙和主防火墙之间 VPN和拨号服务器 外部DMZ中，以保证这些通信受检查 内部服务器(邮件服务器，目录服务器) 内部DMZ，如果WWW服务器有外部Proxy 服务器布放的例子（续） 外部DMZ网络 外部WEB服务器 主防火墙/VPN 内部DMZ网络 内网防火墙 邮件服务器 Network IDS DNS 拨号服务器 DNS 内网 外网 本讲义小节 Internet及其安全 防火墙的基本知识 防火墙的功能分类 防火墙的布置与环境 谢谢大家 安全连入Internet：防火墙 防火墙的工作原理与布置 屈万勰 刘传宇 背景 Internet的设计就是为资源共享为目标的 用户数量的增加，恶劣的用户也在增加 许多TCP/IP的服务有漏洞，特别网管服务 窃听和假冒比较容易 服务策略的缺乏导致许多不需要的服务开放 存取控制设置复杂导致安全漏洞 防火墙：一个经济的解决方案 本节内容 Internet及其安全 防火墙的基本知识 防火墙的功能分类 防火墙的布置与环境 Int