哈工大安全中心-防火墙-08.pptVIP

运行安全 --防火墙 主讲人：翟健宏 Email: zhaijh@ 办公室:新技术楼509 Tel:0451 1 防火墙的基本概念与体系结构 2 防火墙相关技术 3 Internet服务与防火墙配置 4 防火墙技术的发展 1 防火墙的基本概念与体系结构 1.1 防火墙定义 防火墙是位于两个或多个网络之间，执行访问控制策略的一个或一组系统，是一类防范措施的总称。 一个好的防火墙具备： 内部和外部之间的所有网络数据流必须经过防火墙 只有符合安全政策的数据流才能通过防火墙 防火墙自身应对渗透(penetration)免疫 1.3 防火墙的概念 堡垒主机：Bastion Host 堡垒主机是一种配置了安全防范措施的网络的计算机，堡垒主机为网络之间的通信提供了一个阻塞点，也就是说如果没有堡垒主机，网络之间将不能相互访问。 双宿主机：Dual-homed Host 有两个网络接口的计算机系统，一个接口接内部网，一个接口接外部网。 1.4 防火墙的作用 确保一个单位内的网络与因特网的通信符合该单位的安全方针，为管理人员提供下列问题的答案： 谁在使用网络 他们在网络上做什么 他们什么时间使用了网络 他们上网去了何处 谁要上网没有成功 1.5 防火墙的优点 防火墙是网络安全的屏障 一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。 控制对主机系统的访问 监控和审计网络访问 如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。 防止内部信息的外泄 利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。 部署网络地址翻译(NAT)机制 可以缓解地址空间短缺问题，隐藏内部网络结构。 1.6 防火墙的弱点 防火墙不能防范来自内部网络的攻击； 防火墙不能有效防范感染了病毒的软件或文件的传输； 防火墙不能防范不经由防火墙的攻击； 防火墙后门 1.7 防火墙策略 在构筑防火墙之前,需要制定一套完整有效的安全战略 网络服务访问策略 – 一种高层次的具体到事件的策略，主要用于定义在网络中允许或禁止的服务。 防火墙设计策略 一种是“一切未被允许的就是禁止的”，一种是“一切未被禁止的都是允许的”。 第一种的特点是安全性好，但是用户所能使用的服务范围受到严格限制。 第二种的特点是可以为用户提供更多的服务，但是在日益增多的网络服务面前，很难为用户提供可靠的安全防护。 1.8 防火墙的基本结构 (1) 屏蔽路由器 （2） 双重宿主主机 (3) 屏蔽主机防火墙 （4） 屏蔽子网防火墙 屏蔽子网防火墙（续） 优点：安全性高。 危险区域：堡垒主机、子网主机及连接内网、外网和屏蔽子网的路由器。 如果攻击者试图完全破坏防火墙，必须重新配置连接3个网的路由器，既不切断连接又不要把白己锁在外面，同时又不使自己被发现。但若禁止网络访问路由器或只允许内网中的某些主机访问它，则攻击会变得很困难。在这种情况下，攻击者得先侵人堡垒主机，然后进入内网主机，再返回来破坏屏蔽路由器，而且整个过程中不能引发警报。 (5) 一个堡垒主机和一个非军事区 一个堡垒主机和一个非军事区（续） 优点：安全性高。 危险区域：堡垒主机、子网主机及连接内网、外网和屏蔽子网的路由器。 如果攻击者试图完全破坏防火墙，必须重新配置连接3个网的路由器和堡垒主机，既不切断连接又不要把白己锁在外面，同时又不使自己被发现。但若禁止网络访问路由器或只允许内网中的某些主机访问它，则攻击会变得很困难。在这种情况下，攻击者得先侵人堡垒主机，然后进入内网主机，再返回来破坏屏蔽路由器，而且整个过程中不能引发警报。 （6） 两个堡垒主机和两个非军事区 (7) 两个堡垒主机和一个非军事区 1.9 防火墙体系结构的组合形式 建造防火墙时，一般很少采用单一的技术，通常是使用多种解决不同问题技术的组合。根据网管中心需要向用户提供什么样的服务、以及网管中心能接受什么等级的风险、经费投资的大小以及技术人员的技术、时间等因素，决定防火墙体系结构的组合形式。 1.10 典型的防火墙体系结构 3.1 防火墙的分类 1) 包过滤防火墙 第一代也是最基本形式的防火墙。根据所建立的一套规则，检查每一个通过的网络包，或者丢弃，或者放行，称为包过滤防火墙。目的是放行正常的数据包，截住有危害的数据包。