1 / 187

《 网络信息安全 》

《 网络信息安全 》. 中国科学技术大学 肖 明 军 xiaomj@ustc.edu.cn. 提 纲. 防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙. 定义 防火墙是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问。

minerva-stephens
Download Presentation

《 网络信息安全 》

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 《网络信息安全》 中国科学技术大学 肖 明 军 xiaomj@ustc.edu.cn

  2. 提 纲 防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙

  3. 定义 防火墙是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问。 防火墙是放置在两个网络之间的一组组件,这组组件具有下列性质:只允许本地安全策略授权的通信信息通过;双向通信信息必须通过防火墙;防火墙本身不会影响信息的流通。 防火墙是位于两个信任程度不同的网络之间(如企业内部网络和Internet之间)的软件或硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问,以达到保护系统安全的目的。 核心思想 在不安全的网际网环境中构造一个相对安全的子网环境。 目的 都是为了在被保护的内部网与不安全的非信任网络之间设立唯一的通道,以按照事先制定的策略控制信息的流入和流出,监督和控制使用者的操作。 防火墙(Firewall)定义

  4. 防火墙可在链路层、网络层和应用层上实现; 其功能的本质特征是隔离内外网络和对进出信息流实施访问控制。隔离方法可以是基于物理的,也可以是基于逻辑的; 从网络防御体系上看,防火墙是一种被动防御的保护装置 。 防火墙(Firewall)定义

  5. 堡垒主机是一台完全暴露给外网攻击的主机。由于堡垒主机完全暴露在外网安全威胁之下,需要做许多工作来设计和配置堡垒主机,使它遭到外网攻击成功的风险性减至最低。常见的堡垒主机包括:Web,Mail,DNS,FTP服务器。堡垒主机是一台完全暴露给外网攻击的主机。由于堡垒主机完全暴露在外网安全威胁之下,需要做许多工作来设计和配置堡垒主机,使它遭到外网攻击成功的风险性减至最低。常见的堡垒主机包括:Web,Mail,DNS,FTP服务器。 双宿主主机(Dual-Homed Host)结构是围绕着至少具有两个网络接口的双宿主主机而构成的。双宿主主机内外的网络均可与双宿主主机实施通信,但内外网络之间不可直接通信,内外部网络之间的IP数据流被双宿主主机完全切断。双宿主主机可以通过代理或让用户直接注册到其上来提供很高程度的网络控制。 包过滤:对进出网络的数据包进行有选择的控制与操作。 DMZ(demilitarized zone):隔离区也称为非军事区域,内外网络之间增加的一层网络,起到缓冲作用。 代理服务器:代表内部用户与外部服务器进行信息交换的计算机系统。 防火墙(Firewall)相关概念

  6. Source Destination Permit Protocol Host A Host C Pass TCP Internet Host B Host C Block UDP 防火墙图示 两个安全域之间通信流的唯一通道 内部网 根据访问控制规则决定进出网络的行为 一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。

  7. 形形色色的防火墙 根据不同网络应用环境选择合适的防火墙 高端千兆防火墙 高端百兆防火墙 防火墙 + VPN 普通百兆防火墙 桌面型防火墙

  8. 防火墙整体外观介绍 外 网 SSN 内 网 网络接口 控制口 • 样式:标准1U-----4U机箱,根据接口数量、处理性能等不同而异 • 网络接口数量:标准一般配置3 个 10/100M 自适应接口,根据需要可以定制更多接口,有些还可热拔插 • 网络接口类型:标准一般是 10/100-Base-TX接口,也可定制其他类型接口 • 电源:一般单电源,特殊场合可以配置双电源,但需要定制 • 硬件平台架构:大多基于X86工控平台,正在开发基于NP加速的新产品 • 处理器:大多是CPU,极少数CPU+NPU • 软件平台:部分自主开发、优化,也有直接基于开放LINUX架构改造,使用免费代码构建

  9. 防火墙外观的演变 新结构防火墙 防火墙模块 新老结构的变化,体现了防火墙的发展方向: 集成化方向发展 模块化方向发展 选择更加灵活,部署更加方便,处理能力更加强大 老结构防火墙

  10. 防火墙设计结构的变化 防火墙接口模块 防火墙模块封装板 防火墙机箱与引擎 根据需要可以通过扩充模块,增加端口的数量 根据需要可以通过更换模块,改变端口的类型 根据需要可以选择 处理能力更好的机箱与引擎

  11. 千兆电信级防火墙结构 防火墙引擎 GBIC卡插槽 10/100M接口 AUX接口 大功率散热风扇 热拔插冗余电源

  12. 防火墙连线图 串口线 直通线 交叉线 交叉线 管理机 内网 外网 SSN (Secure Server Network,相当于DMZ)区域

  13. Intranet 防火墙作用 禁止访问 通过部署防火墙,可以实现比VLAN、 路由器更为强大、有效的访问控制功能; 大大提高抗攻击的能力 禁止访问

  14. 防火墙执行标准 • GB/T 18019-1999 信息技术包过滤防火墙安全技术要求 • GB/T 18020-1999 信息技术应用级防火墙安全技术要求 • GB/T 18336-2001 信息技术安全性评估准则 ( ISO 15408 ) • GB/T 17900-1999 网络代理服务器的安全技术要求 • GB/T 18018-1999 路由器安全技术要求 国 际 标 准 国 内 标 准 GB/T 18336---2001 (ISO/IEC 15408) GB/T 18010---1999 规范需求分析、设计、编码、测试、评估等环节 GB/T 18020---1999

  15. 提 纲 防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙

  16. 1.个人防火墙 是在操作系统上运行的软件,可为个人计算机提供简单的防火墙功能; 大家常用的个人防火墙有:Norton Personal Firewall、天网个人防火墙、瑞星个人防火墙等; 安装在个人PC上,而不是放置在网络边界,因此,个人防火墙关心的不是一个网络到另外一个网络的安全,而是单个主机和与之相连接的主机或网络之间的安全。 防火墙简单分类

  17. 2.软件防火墙 个人防火墙也是一种纯软件防火墙,但其应用范围较小,且只支持Windows系统,功能相对来说要弱很多,并且安全性和并发连接处理能力较差; 作为网络防火墙的软件防火墙具有比个人防火墙更强的控制功能和更高的性能。不仅支持Windows系统,并且多数都支持Unix或Linux系统。如十分著名的Check Point FireWall-1,Microsoft ISA Server 2000等。 防火墙简单分类

  18. 3.一般硬件防火墙 不等同于采用专用芯片的纯硬件防火墙,但和纯软件防火墙有很大差异; 一般由小型的防火墙厂商开发,或者是大型厂商开发的中低端产品,应用于中小型企业,功能比较全,但性能一般; 一般都采用PC架构(就是一台嵌入式主机),但使用的各个配件都量身定制 。 防火墙简单分类

  19. 其操作系统一般都采用经过精简和修改过内核的Linux或Unix,安全性比使用通用操作系统的纯软件防火墙要好很多,并且不会在上面运行不必要的服务,这样的操作系统基本就没有什么漏洞。但是,这种防火墙使用的操作系统内核一般是固定的,是不可升级的,因此新发现的漏洞对防火墙来说可能是致命的;其操作系统一般都采用经过精简和修改过内核的Linux或Unix,安全性比使用通用操作系统的纯软件防火墙要好很多,并且不会在上面运行不必要的服务,这样的操作系统基本就没有什么漏洞。但是,这种防火墙使用的操作系统内核一般是固定的,是不可升级的,因此新发现的漏洞对防火墙来说可能是致命的; 国内自主开发的防火墙大部分都属于这种类型。 防火墙简单分类

  20. 4.纯硬件防火墙 采用专用芯片(非X86芯片)来处理防火墙核心策略的一种硬件防火墙,也称为芯片级防火墙。(专用集成电路(ASIC)芯片或者网络处理器(NP)芯片); 最大的亮点:高性能,非常高的并发连接数和吞吐量; 采用ASIC芯片的方法在国外比较流行,技术也比较成熟,如美国NetScreen公司的高端防火墙产品;国内芯片级防火墙大多还处于开发发展的阶段,采用的是NP技术。 防火墙简单分类

  21. 5.分布式防火墙 前面提到的几种防火墙都属于边界防火墙(Perimeter Firewall),它无法对内部网络实现有效地保护; 随着人们对网络安全防护要求的提高,产生了一种新型的防火墙体系结构——分布式防火墙。近几年,分布式防火墙技术已逐渐兴起,并在国外一些大的网络设备开发商中得到实现,由于其优越的安全防护体系,符合未来的发展趋势,这一技术一出现就得到了许多用户的认可和接受。 防火墙简单分类

  22. 按部署结构分类 从防火墙结构分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。 单一主机防火墙:是最为传统的防火墙,独立于其它网络设备,它位于网络边界。与一台计算机结构差不多,价格昂贵。 路由器集成式防火墙:这种防火墙通常是较低级的包过滤型。许多中、高档路由器中集成了防火墙功能,如CiscoIOS防火墙系列。这样企业就不用再同时购买路由器和防火墙,大大降低了网络设备购买成本。 分布式防火墙:不只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的PCI防火墙卡。 防火墙其它分类

  23. 按部署位置分类 按防火墙的应用部署位置分为边界防火墙、个人防火墙和混合式防火墙三大类。 按性能分类 按防火墙性能分为百兆级防火墙和千兆级防火墙两类。目前还针对小企业用户(网络流量小、用户数量较少)生产出了桌面型防火墙。 防火墙其它分类

  24. Internet Internet 防火墙的分类 按形态分类 软件防火墙 硬件防火墙 按保护对象分类 保护整个网络 保护单台主机 网络防火墙 单机防火墙

  25. Internet 单机防火墙&网络防火墙 网络防火墙 单机防火墙 保护单台主机 安全策略分散 安全功能简单 普通用户维护 安全隐患较大 策略设置灵活 保护整个网络 安全策略集中 安全功能复杂多样 专业管理员维护 安全隐患小 策略设置复杂

  26. Internet Internet 硬件防火墙&软件防火墙 软件防火墙 硬件防火墙 仅获得Firewall软件,需要准备额外的OS平台 安全性依赖低层的OS 网络适应性弱(主要以路由模式工作) 稳定性高 软件分发、升级比较方便 硬件+软件,不用准备额外的OS平台 安全性完全取决于专用的OS 网络适应性强(支持多种接入模式) 稳定性较高 升级、更新不太灵活

  27. 提 纲 防火墙概述 防火墙分类 防火墙体系结构 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙

  28. 防火墙的体系结构一般有以下几种: 1. 包过滤型防火墙 2. 双宿网关防火墙 3. 屏蔽主机防火墙 4. 屏蔽子网防火墙 5. 其它结构的防火墙 防火墙体系结构

  29. 包过滤型防火墙往往可以用一台过滤路由器来实现对所接收的每个数据包做允许拒绝的决定。路由器审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于IP包头信息。包过滤型防火墙往往可以用一台过滤路由器来实现对所接收的每个数据包做允许拒绝的决定。路由器审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于IP包头信息。 包头信息中包括IP源地址、IP目标端地址、内装协议(TCP,UDP,ICMP或IP Tunnel)、TCP/UDP目标端口、ICMP消息类型以及TCP包头中的ACK位。包的进入接口和出接口如果有匹配,并且规则允许该数据包通过,该数据包会按照路由表转发。如果匹配规则拒绝,则该数据包就会被丢弃。如果没有匹配规则,用户配置的缺省参数会决定是转发还是丢弃数据包。 包过滤型防火墙

  30. 包过滤型防火墙

  31. 优点 处理包的速度快。过滤路由器为用户提供了一种透明的服务,用户不能改变客户端程序或改变自己的行为。 实现包过滤几乎不再需要费用(或极少的费用),因为这些特点都包含在标准的路由器软件中。 包过滤路由器对用户和应用来讲都是透明的,所以不必对用户进行特殊的培训,也不必在每台主机上安装特定的软件。 缺点 防火墙的维护比较困难。定义数据包过滤会比较复杂, 包过滤型防火墙

  32. 因为网络管理员需要对各种互联网服务、包头格式以及每个域的意义有非常深入的理解。 因为网络管理员需要对各种互联网服务、包头格式以及每个域的意义有非常深入的理解。 只能阻止一种类型的IP欺骗,即外部主机伪装内部主机的IP,对于外部主机伪装其它可信任的外部主机的IP却不可能阻止。 一些包过滤网关不支持有效的用户认证。因为IP地址是可以伪造的,因此如果没有基于用户的认证,仅通过IP地址来判断是不安全的。 不可能提供有用的日志,或根本就不提供。 随着过滤器数目的增加,路由器的吞吐量会下降。 包过滤型防火墙

  33. IP包过滤器可能无法对网络上流动的信息提供全面的控制。包过滤路由器能够允许或拒绝特定的服务,但是不能理解特定服务的上下文环境和数据。IP包过滤器可能无法对网络上流动的信息提供全面的控制。包过滤路由器能够允许或拒绝特定的服务,但是不能理解特定服务的上下文环境和数据。 适用场合 非集中化管理的机构 没有强大的集中安全策略的机构 网络的主机数非常少 主要依赖于主机安全来防止入侵,但是当主机数增加到一定程度的时候,仅靠主机安全是不够的。 没有使用DHCP这样的动态IP地址分配协议 包过滤型防火墙

  34. 一个双重宿主主机是一种防火墙,拥有两个连接到不同网络上的网络接口。例如,一个网络接口连到外部的不可信任的网络上,另一个网络接口连接到内部的可信任网络上一个双重宿主主机是一种防火墙,拥有两个连接到不同网络上的网络接口。例如,一个网络接口连到外部的不可信任的网络上,另一个网络接口连接到内部的可信任网络上 这种防火墙的最大特点是IP层的通信是被阻止的,两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。一般情况下,人们采用代理服务的方法,能够为用户提供更为方便的访问手段。 双重宿主主机用两种方式来提供服务 用户直接登录到双重宿主主机上:开设账户危险,用户行为不可测 在双重宿主主机运行代理服务器:“存储转发”型的服务HTTP等 双宿网关防火墙

  35. 双宿网关防火墙 应用层代理 应用层数据共享

  36. 注意事项 双重宿主主机是唯一的隔开内部网和外部网络之间的屏障,如果入侵者得到了双重宿主主机的访问权,内部网络就会被入侵,所以双重宿主主机应具有强大的身份认证系统 为了防止防火墙被入侵,应尽量减少防火墙上用户的账户数目。 使用双重宿主主机应首先禁用网络层的路由功能。在Unix内实现路由禁止,必须重新配置和重建核心,除了要禁止IP转发,还应清除一些Unix系统中的工具程序和服务。 双重宿主主机作为中间转接点,性能非常重要。 双宿网关防火墙

  37. 屏蔽主机防火墙由包过滤路由器和堡垒主机组成,堡垒主机配置在内部网络,包过滤路由器则放置在内部网络和外部网络之间。屏蔽主机防火墙由包过滤路由器和堡垒主机组成,堡垒主机配置在内部网络,包过滤路由器则放置在内部网络和外部网络之间。 屏蔽主机防火墙强迫所有的外部主机与一个堡垒主机相连,而不让它们直接与内部主机相连。在路由器上进行规则配置,使得外部系统只能访问堡垒主机,去往内部系统上其它主机的信息全部被阻塞。 由于内部主机和堡垒主机处于同一个网络,内部系统是否允许直接访问Internet,或者是要求使用堡垒主机上的代理服务来访问,由机构的安全策略来决定。对路由器的过滤规则进行设置,使得其只接受来自堡垒主机的内部数据包,就可以强制内部用户使用代理服务 屏蔽主机防火墙

  38. 屏蔽主机防火墙 堡垒主机是互联网上的主机能连接到内部网络上的系统的桥梁 数据包过滤也允许堡垒主机开放可允许的连接到外部世界

  39. 特点 安全等级比包过滤防火墙要高,因为它实现了网络层安全(包过滤)和应用层安全(代理服务) 该主机可完成多种代理,如FTP、Telnet, 还可以完成认证和交互作用, 能提供完善的Internet访问控制。 这种防火墙主机是网络的单失效点,也是网络黑客集中攻击的目标,安全保障仍不够理想。 但这种防火墙投资少,功能容易实现,也便于扩充,因而应用比较广泛。 过滤路由器是否正确配置是这种防火墙安全与否的关键。过滤路由器的路由表应当受到严格保护,如果遭到破坏,则数据包就不会被路由到堡垒主机上,使堡垒主机被越过 屏蔽主机防火墙

  40. 屏蔽主机防火墙

  41. 屏蔽子网防火墙用了两个包过滤路由器和一个堡垒主机。它在两个包过滤路由器之间定义了“非军事区DMZ”网络,并将堡垒主机、信息服务器以及其它公用服务器放在DMZ网络中。屏蔽子网防火墙用了两个包过滤路由器和一个堡垒主机。它在两个包过滤路由器之间定义了“非军事区DMZ”网络,并将堡垒主机、信息服务器以及其它公用服务器放在DMZ网络中。 DMZ网络很小,处于Internet和内部网络之间。一般情况下,把DMZ配置成使用Internet和内部网络系统对其访问受限制的系统,而通过DMZ网络直接进行信息传输是严格禁止的 外部路由器拥有防范通常的外部攻击,并管理外部网到DMZ网络的访问,它只允许外部系统访问堡垒主机(还可能有信息服务器) 屏蔽子网防火墙

  42. 内部路由器又称为阻塞路由器,位于内部网和DMZ之间,提供第二层防御,用于保护内部网络不受DMZ和Internet的侵害。它负责管理DMZ到内部网络的访问(只接受源于堡垒主机的数据包)以及内部网络到DMZ网络的访问。它执行了大部分的过滤工作。内部路由器又称为阻塞路由器,位于内部网和DMZ之间,提供第二层防御,用于保护内部网络不受DMZ和Internet的侵害。它负责管理DMZ到内部网络的访问(只接受源于堡垒主机的数据包)以及内部网络到DMZ网络的访问。它执行了大部分的过滤工作。 堡垒主机上则可以运行各种各样的代理服务器 屏蔽子网防火墙

  43. 1.合并DMZ的外部路由器和堡垒主机的结构 由双宿堡垒主机来执行原来的外部路由器的功能。由双宿主机进行路由会缺乏专用路由器的灵活性及性能,但在网络速度不高的情况下,可以胜任路由的工作。缺点是堡垒主机完全暴露在Internet上,需小心保护。 其它结构防火墙

  44. 2.合并DMZ的内部路由器和堡垒主机的结构 堡垒主机的一个网络接口接到DMZ,另一网络接口接到内部网络。过滤路由器必须加以配置,以便它能把外部网络传到内部网络的所有网络流量发给堡垒主机的“inside”网络接口,只有被过滤路由器规则允许的网络流才能转发给堡垒主机。 其它结构防火墙

  45. 3.合并DMZ的内部路由器和外部路由器的结构 当拥有强大的路由器时,可以合并内外部路由器,这种结构中,堡垒主机处于DMZ的位置,在过滤路由器上一般设置internet只能访问堡垒主机。 其它结构防火墙

  46. 4.两个堡垒主机和两个DMZ的结构 使用两个DMZ和两个双重宿主堡垒主机,将网络分成4部分:内部网络,外部网络,内部非军事区和外部非军事区。内部非军事区受到过滤路由器和外部堡垒主机的保护,具有一定的安全性,可以把一些不是很机密的服务器放在这个网络上,并把敏感的主机隐藏在内部网络中。 其它结构防火墙

  47. 5.牺牲主机结构 如果一个组织想提供公共信息服务,如匿名FTP等,它就可以在外部非军事区提供一个主机作为牺牲主机。堡垒主机不能相信来自牺牲主机的流量。 其它结构防火墙

  48. 6.使用多台外部路由器的体系结构 其它结构防火墙

  49. 提 纲 防火墙概述 防火墙分类 防火墙体系结构 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙

  50. NPU2 NPU1 存储器 存储器 ASIC 网络接口 网络接口 防火墙单总线结构 CPU 存储器 4 1 2 3 总线 防火墙的硬件瓶颈: • 处理器的计算能力:CPU+NPU+ASIC • 总线带宽:设计多总线产品 • 存储器的存储速度 • I/O 接口速度

More Related