信息安全技术-第5章-访问控制与防火墙ppt课件.ppt
-
资源ID:32195169
资源大小:659.50KB
全文页数:55页
- 资源格式: PPT
下载积分:20金币
快捷下载
会员登录下载
微信登录下载
三方登录下载:
微信扫一扫登录
友情提示
2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
|
信息安全技术-第5章-访问控制与防火墙ppt课件.ppt
第第5章章 访问控制与防火墙访问控制与防火墙2本章概要本章概要本章针对访问控制和防火墙技术展开详尽的描述:本章针对访问控制和防火墙技术展开详尽的描述:p 防火墙的分类;防火墙的分类;p 防火墙的工作原理;防火墙的工作原理;p 防火墙的不足;防火墙的不足;p 防火墙的部署方式。防火墙的部署方式。3课程目标课程目标通过本章的学习,读者应能够:通过本章的学习,读者应能够:p 了解访问控制与防火墙的基本原理;了解访问控制与防火墙的基本原理;p 防火墙的部署方式;防火墙的部署方式;p 主流防火墙产品。主流防火墙产品。45.1 网络防火墙的基本概念网络防火墙的基本概念 防火墙是一种高级访问控制设备,是在被保护网和外网防火墙是一种高级访问控制设备,是在被保护网和外网之间执行访问控制策略的一种或一系列部件的组合,是不同之间执行访问控制策略的一种或一系列部件的组合,是不同网络安全域间通信流的通道,能根据企业有关安全政策控制网络安全域间通信流的通道,能根据企业有关安全政策控制(允许、拒绝、监视、记录允许、拒绝、监视、记录)进出网络的访问行为。它是网络进出网络的访问行为。它是网络的第一道防线,也是当前防止网络系统被人恶意破坏的一个的第一道防线,也是当前防止网络系统被人恶意破坏的一个主要网络安全设备。它本质上是一种保护装置,在两个网之主要网络安全设备。它本质上是一种保护装置,在两个网之间构筑了一个保护层。所有进出此保护网的传播信息都必须间构筑了一个保护层。所有进出此保护网的传播信息都必须经过此保护层,并在此接受检查和连接,只有授权的通信才经过此保护层,并在此接受检查和连接,只有授权的通信才允许通过,从而使被保护网和外部网在一定意义下隔离,防允许通过,从而使被保护网和外部网在一定意义下隔离,防止非法入侵和破坏行为。止非法入侵和破坏行为。图1 网络拓扑图不可信的网络及服务器可信任的网络防火墙路由器InternetIntranet供外部访问的服务及资源可信任的用户不可信的用户 DMZ 5防火墙的主要技术防火墙的主要技术应用层代理技术应用层代理技术 (Application Proxy)包过滤技术包过滤技术 (Packet Filtering)状态包过滤技术状态包过滤技术 (Stateful Packet Filtering)应用层表示层会话层传输层网络层数据链路层物理层65.2.1 包过滤技术包过滤技术p 包过滤技术的基本概念包过滤技术的基本概念 包过滤技术指在网络中适当的位置对数据包有选择的通包过滤技术指在网络中适当的位置对数据包有选择的通过,选择的依据是系统内设置的过滤规则,只有满足过滤规过,选择的依据是系统内设置的过滤规则,只有满足过滤规则的数据包才被转发到相应的网络接口,其余数据包则从数则的数据包才被转发到相应的网络接口,其余数据包则从数据流中删除。据流中删除。 包过滤一般由屏蔽路由器来完成。屏蔽路由器也称过滤包过滤一般由屏蔽路由器来完成。屏蔽路由器也称过滤路由器,是一种可以根据过滤规则对数据包进行阻塞和转发路由器,是一种可以根据过滤规则对数据包进行阻塞和转发的路由器。的路由器。 7p包过滤技术的基本概念包过滤技术的基本概念 包过滤技术是一种简单、有效的安全控制技术,它通过包过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、源地址、目的地址、TCP端口号等规则,对通过设备的数据端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。包进行检查,限制数据包进出内部网络。图3 防火墙示意图8包过滤技术包过滤技术 包过滤技术是防火墙最常用的技术。包过滤技术是防火墙最常用的技术。对一个充满危险的对一个充满危险的网络,这种方法可以阻塞某些主机或网络连入内部网络,也网络,这种方法可以阻塞某些主机或网络连入内部网络,也可以限制内部人员对一些危险和色情站点的访问。可以限制内部人员对一些危险和色情站点的访问。图4 包过滤技术概念数据包数据包数据包数据包数据包数据包查找对应查找对应的控制策的控制策略略拆开数据包拆开数据包根据策略决定如根据策略决定如何处理该数据包何处理该数据包数据数据TCP报头报头IP报头报头分组过滤判断信息企业内部网企业内部网屏蔽路由器屏蔽路由器数据包数据包UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource控制策略9p包过滤的优点和不足包过滤的优点和不足包过滤技术具有以下优点:包过滤技术具有以下优点:l 用户透明;用户透明;l 传输性能高;传输性能高;l 成本较低。成本较低。同样,包过滤技术也存在着以下几方面的不足:同样,包过滤技术也存在着以下几方面的不足:l 该技术是安防强度最弱的防火墙技术;该技术是安防强度最弱的防火墙技术;l 虽然有一些维护工具,但维护起来十分困难;虽然有一些维护工具,但维护起来十分困难;l IP包的源地址、目的地址、包的源地址、目的地址、TCP端口号是唯一可以用于判断端口号是唯一可以用于判断是否包允许通过的信息;是否包允许通过的信息;10只能阻止一种类型的地址欺骗,即外部主机伪装内部主机的只能阻止一种类型的地址欺骗,即外部主机伪装内部主机的IP,而对外部主机伪装其他外部主机的而对外部主机伪装其他外部主机的IP却不能阻止,另外不能却不能阻止,另外不能防止防止DNS欺骗;欺骗;如果外部用户被允许访问内部主机,则他就可以直接访问内部如果外部用户被允许访问内部主机,则他就可以直接访问内部网络上的任何主机。网络上的任何主机。115.2.2状态包检测技术状态包检测技术 状态包检测技术是包过滤技术的延伸,常被称为状态包检测技术是包过滤技术的延伸,常被称为“动态包动态包过滤过滤”,是一种与包过滤相类似但更为有效的安全控制方法。,是一种与包过滤相类似但更为有效的安全控制方法。对新建的应用连接,状态检测检查预先设置的安全规则,允许对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。适合网络流量大的环境。以通过。适合网络流量大的环境。 状态包检测技术有以下主要特点:状态包检测技术有以下主要特点: a.高安全性:高安全性:工作在数据链路层和网络层之间,确保截取和检工作在数据链路层和网络层之间,确保截取和检测所有通过网络的原始数据包。虽然工作在协议栈的较低层,测所有通过网络的原始数据包。虽然工作在协议栈的较低层,但可以监视所有应用层的数据包,从中提取有用的信息,安全但可以监视所有应用层的数据包,从中提取有用的信息,安全性得到较大提高。性得到较大提高。12 b.高效性:高效性:一方面,通过防火墙的数据包都在协议栈的一方面,通过防火墙的数据包都在协议栈的较低层处理,减少了高层协议栈的开销;另一方面,由于不较低层处理,减少了高层协议栈的开销;另一方面,由于不需要对每个数据包进行规则检查,从而使得性能得到了较大需要对每个数据包进行规则检查,从而使得性能得到了较大提高。提高。 C.可伸缩和易扩展:可伸缩和易扩展:由于状态表是动态的,当有一个新由于状态表是动态的,当有一个新的应用时,它能动态的产生新的规则,而无需另外写代码,的应用时,它能动态的产生新的规则,而无需另外写代码,因而具有很好的可伸缩和易扩展。因而具有很好的可伸缩和易扩展。 d.应用范围广:应用范围广:不仅支持基于不仅支持基于TCP的应用,而且支持基的应用,而且支持基于无连接协议的应用。于无连接协议的应用。135.2.3 代理服务技术代理服务技术 代 理代 理 ( P r o x y ) 服 务 技 术 又 称 为 应 用 层 网 关服 务 技 术 又 称 为 应 用 层 网 关(Applicationgateway)技术,是运行于内部网络与外部网络之技术,是运行于内部网络与外部网络之间的主机间的主机(堡垒主机堡垒主机)之上的一种应用。当用户需要访问代理之上的一种应用。当用户需要访问代理服务器另一侧主机时,对符合安全规则的连接,代理服务器服务器另一侧主机时,对符合安全规则的连接,代理服务器将代替主机响应,并重新向主机发出一个相同的请求。当此将代替主机响应,并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后,内部主机同外部主机连接请求得到回应并建立起连接之后,内部主机同外部主机之间的通信将通过代理程序将相应连接映射来实现。之间的通信将通过代理程序将相应连接映射来实现。141.1.代理服务技术的优点代理服务技术的优点 a.代理放火墙的最大好处是透明性。代理放火墙的最大好处是透明性。对用户来说,代理对用户来说,代理服务器提供了一个服务器提供了一个“用户正在与目标服务器直接打交道用户正在与目标服务器直接打交道”的的假象;对目标服务器来说,代理服务器提供了一个假象;对目标服务器来说,代理服务器提供了一个“目标服目标服务器正在与用户的主机系统直接打交道务器正在与用户的主机系统直接打交道”的假象。的假象。 b.由于代理机制完全阻断了内部网络与外部网络的直接由于代理机制完全阻断了内部网络与外部网络的直接联系,联系,保证了内部网络拓扑结构等重要信息被限制在代理网保证了内部网络拓扑结构等重要信息被限制在代理网关内侧,不会外泄,从而减少了黑客攻击时所需的必要信息。关内侧,不会外泄,从而减少了黑客攻击时所需的必要信息。15 c.通过代理访问通过代理访问Internet可以隐藏真实可以隐藏真实IP地址,同时解决地址,同时解决合法合法IP地址不够用的问题。地址不够用的问题。因为因为Internet见到的只是代理服见到的只是代理服务器的地址,内部不合法的务器的地址,内部不合法的IP地址可以通过代理访问地址可以通过代理访问Internet。 d.用于应用层的过滤规则相对于包过滤路由器来说更容用于应用层的过滤规则相对于包过滤路由器来说更容易配置和测试。易配置和测试。 e.应用层网关有能力支持可靠的拥护认证并提供详细的应用层网关有能力支持可靠的拥护认证并提供详细的注册信息。注册信息。代理工作在客户机和真实服务器之间,可提供很代理工作在客户机和真实服务器之间,可提供很详细的日志和安全审计功能。详细的日志和安全审计功能。162.代理服务技术的不足代理服务技术的不足 a.有限的连接:有限的连接:某种代理服务器只能用于某种特定的服某种代理服务器只能用于某种特定的服务,如务,如FTP服务器提供服务器提供FTP服务,服务,Telnet服务器提供服务器提供Telnet服服务,所能提供的服务和可伸缩性是有限的。所以代理服务器务,所能提供的服务和可伸缩性是有限的。所以代理服务器主要应用于安防要求较高但网络流量不太大的环境。主要应用于安防要求较高但网络流量不太大的环境。 b.有限的技术:有限的技术:代理服务器不能为代理服务器不能为RPC、Talk和其他一和其他一些基于通用协议簇的服务提供代理。些基于通用协议簇的服务提供代理。17 c.有限的性能:有限的性能:处理性能远不及状态包检测技术高。处理性能远不及状态包检测技术高。 d.有限的应用:有限的应用:代理服务器的应用也受到诸多限制。首代理服务器的应用也受到诸多限制。首先是当一项新的应用加入时,如果代理服务程序不予支持,先是当一项新的应用加入时,如果代理服务程序不予支持,则此应用不能使用。解决的方法之一是自行编制特定服务的则此应用不能使用。解决的方法之一是自行编制特定服务的代理服务程序,但工作量大,而且技术水平要求很高。代理服务程序,但工作量大,而且技术水平要求很高。185.3 防火墙的功能防火墙的功能利用防火墙保护内部网主要有以下几个主要功能:利用防火墙保护内部网主要有以下几个主要功能:p 控制对网点的访问和封锁网点信息的泄露控制对网点的访问和封锁网点信息的泄露 防火墙可看作检查点,所有进出的信息都必须穿过它,防火墙可看作检查点,所有进出的信息都必须穿过它,为网络安全起把关作用,有效地阻挡外来的攻击,对进出的为网络安全起把关作用,有效地阻挡外来的攻击,对进出的数据进行监视,只允许授权的通信通过;保护网络中脆弱的数据进行监视,只允许授权的通信通过;保护网络中脆弱的服务。服务。p 能限制被保护子网的泄露能限制被保护子网的泄露为防止影响一个网段的问题穿过整个网络传播,防火墙可隔离为防止影响一个网段的问题穿过整个网络传播,防火墙可隔离网络的一个网段和另一个网段,从而限制了局部网络安全问网络的一个网段和另一个网段,从而限制了局部网络安全问题对整个网络的影响。题对整个网络的影响。19具有审计作用具有审计作用 防火墙能有效地记录防火墙能有效地记录Internet网的活动,因为所有传输网的活动,因为所有传输的信息都必须穿过防火墙,防火墙能帮助记录有关内部网和的信息都必须穿过防火墙,防火墙能帮助记录有关内部网和外部网的互访信息和入侵者的任何企图。外部网的互访信息和入侵者的任何企图。能强制安全策略能强制安全策略 Internt网上的许多服务是不安全的,防火墙是这些服务网上的许多服务是不安全的,防火墙是这些服务的的“交通警察交通警察”,它执行站点的安全策略,仅仅允许,它执行站点的安全策略,仅仅允许“认可认可”和符合规则的服务通过。和符合规则的服务通过。 此外,此外,防火墙还具有其他一些优点,防火墙还具有其他一些优点,如:如:监视网络的安全并产生报警;监视网络的安全并产生报警;保密性好,强化私有权;保密性好,强化私有权;提供加密和解密及便于网络实施密钥管理的能力。提供加密和解密及便于网络实施密钥管理的能力。205.4防火墙的不足防火墙的不足 虽然网络防火墙在网络安全中起着不可替代的作用,但虽然网络防火墙在网络安全中起着不可替代的作用,但它不是万能的,有其自身的弱点,主要表现在:它不是万能的,有其自身的弱点,主要表现在:p 防火墙不能防火墙不能 防备病毒防备病毒 虽然防火墙扫描所有通过的信息,但扫描多半是针对源虽然防火墙扫描所有通过的信息,但扫描多半是针对源与目标地址以及端口号,而并非数据细节,有太多类型的病与目标地址以及端口号,而并非数据细节,有太多类型的病毒和太多种方法可使病毒在数据中隐藏,防火墙在病毒的防毒和太多种方法可使病毒在数据中隐藏,防火墙在病毒的防范上是不适用的。范上是不适用的。p 防火墙对不通过它的连接无能为力防火墙对不通过它的连接无能为力 虽然防火墙能有效的控制所有通过它的信息,但对从网虽然防火墙能有效的控制所有通过它的信息,但对从网络后门及调制解调器拨人的访问则无能为力。络后门及调制解调器拨人的访问则无能为力。21防火墙不能防备内部人员的攻击防火墙不能防备内部人员的攻击 目前防火墙只提供对外部网络用户攻击的防护,对来自目前防火墙只提供对外部网络用户攻击的防护,对来自内部网络用户的攻击只能依靠内部网络主机系统的安全性。内部网络用户的攻击只能依靠内部网络主机系统的安全性。所以,如果入侵者来自防火墙的内部,防火墙则无能为力。所以,如果入侵者来自防火墙的内部,防火墙则无能为力。限制有用的网络服务限制有用的网络服务 防火墙为了提高被保护网络的安全性,限制或关闭了很防火墙为了提高被保护网络的安全性,限制或关闭了很多有用但存在安全缺陷的网络服务。由于多数网络服务在设多有用但存在安全缺陷的网络服务。由于多数网络服务在设计之初根本没有考虑安全性,所以都存在安全问题。防火墙计之初根本没有考虑安全性,所以都存在安全问题。防火墙限制这些网络服务等于从一个极端走向了另一个极端。限制这些网络服务等于从一个极端走向了另一个极端。22防火墙不能防备新的网络安全问题防火墙不能防备新的网络安全问题 防火墙是一种被动式的防护手段,只能对现在已知的网防火墙是一种被动式的防护手段,只能对现在已知的网络威胁起作用。随着网络攻击手段的不断更新和新的网络应络威胁起作用。随着网络攻击手段的不断更新和新的网络应用的出现,不可能靠一次性的防火墙设置来解决永远的网络用的出现,不可能靠一次性的防火墙设置来解决永远的网络安全问题。安全问题。235.5 防火墙的体系结构防火墙的体系结构 防火墙可以设置成许多不同的结构,并提供不同级别的防火墙可以设置成许多不同的结构,并提供不同级别的安全,而维护和运行的费用也不同。防火墙有多种分类方式。安全,而维护和运行的费用也不同。防火墙有多种分类方式。下面介绍四种常用的体系结构:筛选路由器、双网主机式体下面介绍四种常用的体系结构:筛选路由器、双网主机式体系结构屏蔽主机式体系结构和屏蔽子网式体系结构。系结构屏蔽主机式体系结构和屏蔽子网式体系结构。 在介绍之前,先了解几个相关的基本概念:在介绍之前,先了解几个相关的基本概念:l 堡垒主机:堡垒主机:高度暴露于高度暴露于Internet并且是网络中最容易受到侵并且是网络中最容易受到侵害的主机。它是防火墙体系的大无畏者,把敌人的火力吸引害的主机。它是防火墙体系的大无畏者,把敌人的火力吸引到自己身上,从而达到保护其他主机的目的。堡垒主机的设到自己身上,从而达到保护其他主机的目的。堡垒主机的设计思想是检测点原则,把整个网络的安全问题集中在某个主计思想是检测点原则,把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其他主机的安全。堡垒机上解决,从而省时省力,不用考虑其他主机的安全。堡垒主机必须有严格的安防系统,因其最容易遭到攻击。主机必须有严格的安防系统,因其最容易遭到攻击。24屏蔽主机:屏蔽主机:被放置到屏蔽路由器后面网络上的主机称为屏蔽主被放置到屏蔽路由器后面网络上的主机称为屏蔽主机,该主机能被访问的程度取决于路由器的屏蔽规则。机,该主机能被访问的程度取决于路由器的屏蔽规则。屏蔽子网:屏蔽子网:位于屏蔽路由器后面的子网,子网能被访问的程度位于屏蔽路由器后面的子网,子网能被访问的程度取决于路由器的屏蔽规则。取决于路由器的屏蔽规则。筛选路由式体系结构筛选路由式体系结构这种体系结构极为简单,路由器作为内部网和外部网的唯一过这种体系结构极为简单,路由器作为内部网和外部网的唯一过滤设备,如下图所示。滤设备,如下图所示。25防火墙的体系结构防火墙的体系结构内部网内部网外部网外部网包过滤包过滤筛选路由器筛选路由器26p双网主机式体系结构双网主机式体系结构 这种体系结构有一主机专门被用作内部网和外部网的分这种体系结构有一主机专门被用作内部网和外部网的分界线。该主机里插有两块网卡,分别连接到两个网络。防火界线。该主机里插有两块网卡,分别连接到两个网络。防火墙里面的系统可以与这台双网主机进行通信,防火墙外面的墙里面的系统可以与这台双网主机进行通信,防火墙外面的系统系统(Internet上的系统上的系统)也可以与这台双网主机进行通信,但也可以与这台双网主机进行通信,但防火墙两边的系统之间不能直接进行通信。另外,使用此结防火墙两边的系统之间不能直接进行通信。另外,使用此结构,必须关闭双网主机上的路由分配功能,这样就不会通过构,必须关闭双网主机上的路由分配功能,这样就不会通过软件把两个网络连接在一起了。软件把两个网络连接在一起了。图6 双网主机式体系结构内部网内部网外部网外部网双网主机双网主机27屏蔽主机式体系结构屏蔽主机式体系结构 此类型的防火墙强迫所有的外部主机与一个堡垒主机相此类型的防火墙强迫所有的外部主机与一个堡垒主机相连接,而不让它们直接与内部主机相连。下图中的屏蔽路由连接,而不让它们直接与内部主机相连。下图中的屏蔽路由器实现了把所有外部到内部的连接都路由到了堡垒主机上。器实现了把所有外部到内部的连接都路由到了堡垒主机上。 堡垒主机位于内部网络,屏蔽路由器联接堡垒主机位于内部网络,屏蔽路由器联接Internet和内部和内部网络,构成防火墙的第一道防线。网络,构成防火墙的第一道防线。 (参见下页图(参见下页图7)图7 屏蔽主机式体系结构28防火墙的体系结构防火墙的体系结构Internet堡垒主机防火墙屏蔽路由器29 屏蔽路由器必须进行适当的配置,使所有外部到内部的连屏蔽路由器必须进行适当的配置,使所有外部到内部的连接都路由到了堡垒主机上,并且实现外部到内部的主动连接。接都路由到了堡垒主机上,并且实现外部到内部的主动连接。 此类型防火墙的安全级别较高,因为它实现了网络层安全此类型防火墙的安全级别较高,因为它实现了网络层安全(屏蔽路由器屏蔽路由器包过滤包过滤)和应用层安全和应用层安全(堡垒主机堡垒主机代理服代理服务务)。入侵者在破坏内部网络的安全性之前,必须首先渗透两。入侵者在破坏内部网络的安全性之前,必须首先渗透两种不同的安全系统。种不同的安全系统。 即使入侵了内部网络,也必须和堡垒主机相竞争,而堡垒即使入侵了内部网络,也必须和堡垒主机相竞争,而堡垒主机是安全性很高的机器,主机是安全性很高的机器,主机上没有任何入侵者可以利用的主机上没有任何入侵者可以利用的工具,不能作为黑客进一步入侵的基地。工具,不能作为黑客进一步入侵的基地。 此类型防火墙中此类型防火墙中屏蔽路由器的配置十分重要屏蔽路由器的配置十分重要,如果路由表,如果路由表遭到破坏,则数据包不会路由到堡垒主机上,使堡垒主机被越遭到破坏,则数据包不会路由到堡垒主机上,使堡垒主机被越过。过。30p屏蔽子网屏蔽子网(ScreenedSubNet)式体系结构式体系结构 这种体系结构本质上与屏蔽主机体系结构一样,但是增这种体系结构本质上与屏蔽主机体系结构一样,但是增加了一层保护体系加了一层保护体系周边网络,而堡垒主机位于周边网络周边网络,而堡垒主机位于周边网络上,周边网络和内部网络被内部屏蔽路由器分开。上,周边网络和内部网络被内部屏蔽路由器分开。 由前可知,当堡垒主机被人侵之后,整个内部网络就处由前可知,当堡垒主机被人侵之后,整个内部网络就处于危险之中,堡垒主机是最易受侵袭的,虽然其很坚固,不于危险之中,堡垒主机是最易受侵袭的,虽然其很坚固,不易被入侵者控制,但万一被控制,仍有可能侵袭内部网络。易被入侵者控制,但万一被控制,仍有可能侵袭内部网络。如果采用了屏蔽子网如果采用了屏蔽子网(ScreenedSubNet)式体系结构,入侵者式体系结构,入侵者将不能直接侵袭内部网络,因为内部网络受到了内部屏蔽路将不能直接侵袭内部网络,因为内部网络受到了内部屏蔽路由器的保护。由器的保护。 屏蔽子网式体系结构如下图所示。屏蔽子网式体系结构如下图所示。图8 屏蔽子网式体系结构31防火墙的体系结构防火墙的体系结构Internet堡垒主机屏蔽路由器屏蔽路由器周边网络325.6 防火墙的构筑原则防火墙的构筑原则构筑防火墙主要从以下几个方面考虑:构筑防火墙主要从以下几个方面考虑:l 体系结构的设计;体系结构的设计;l 安全策略的制订;安全策略的制订;l 安全策略的实施。安全策略的实施。335.7防火墙产品防火墙产品p Juniper公司的公司的Netscreen防火墙产品防火墙产品 Netscreen防火墙可以说是硬件防火墙领域内的领导者。防火墙可以说是硬件防火墙领域内的领导者。2004年年2月,月,Netscreen被网络设备巨头被网络设备巨头Juniper收购,成为收购,成为Juniper的安全产品部,两家公司合并后将与的安全产品部,两家公司合并后将与Cisco展开激烈展开激烈的竟争。的竟争。Netscreen的产品完全基于硬件的产品完全基于硬件ASIC芯片,它就像芯片,它就像个盒子一样安装使用起来很简单。个盒子一样安装使用起来很简单。 产品系列:产品系列:Netscreen5000产品系列是定制化、高性能产品系列是定制化、高性能的安全系统,适用于高端用户。的安全系统,适用于高端用户。Netscreen-500集防火墙、集防火墙、VPN及流量管理等功能于一体,是一款高性能的产品,支持及流量管理等功能于一体,是一款高性能的产品,支持多个安全域,适用于中高端用户。其中端产品主要有:多个安全域,适用于中高端用户。其中端产品主要有:Netscreen204、Netscreen208。34低端产品有:低端产品有: NetScreen50、Netscreen25。NetscreenGlobalSecurityManagement(集群防火墙集中管理软件集群防火墙集中管理软件)提供提供了服务提供商和企业所需要的用来管理所有了服务提供商和企业所需要的用来管理所有Netscreen产品的产品的特性。与防毒领袖厂商特性。与防毒领袖厂商TrendMicro合作推出的合作推出的Netscreen-5GT集成防火墙集成防火墙/VPN/DoS保护功能并提供了内置的病毒扫描保护功能并提供了内置的病毒扫描功能。功能。 主要特色:主要特色:35 a.专用的网络安全整合式设备:专用的网络安全整合式设备:高性能安全产品,集成高性能安全产品,集成防火墙、防火墙、VPN和流量管理功能,性能优越。和流量管理功能,性能优越。 b.产品线完整,能满足各大小商业需求:产品线完整,能满足各大小商业需求:适用于包括宽适用于包括宽带接入的移动用户,小型、中型或大型企业,高流量的电子带接入的移动用户,小型、中型或大型企业,高流量的电子商务网站,以及其他网络安全的环境。商务网站,以及其他网络安全的环境。 c.安装和管理:安装和管理:通过使用内置的通过使用内置的WebUI界面、命令行界界面、命令行界面和面和Netscreen中央管理方案,在几分钟内完成安装和管理,中央管理方案,在几分钟内完成安装和管理,并且可以快速实施到数千台设备上。并且可以快速实施到数千台设备上。 d.通用性:通用性:所有设备都提供相同核心功能和管理界面,所有设备都提供相同核心功能和管理界面,便于管理和操作。便于管理和操作。36p CyberwallPlus系列防火墙系列防火墙 CyberwallPlus系列防火墙是由网屹系列防火墙是由网屹(Network1)公司开公司开发,是基于软件的防火墙。发,是基于软件的防火墙。 Cyberwallplus家族由四种系列防火墙产品和中心的管理家族由四种系列防火墙产品和中心的管理器组成,提供全方位的保护。它们分别是器组成,提供全方位的保护。它们分别是CyberwallPLUSSV保护服务器防火墙;保护服务器防火墙;CyberwallPLUSWS保护工作站防保护工作站防火墙;火墙;CyberwallPLUS-IP边界防火墙;边界防火墙;CyberwallPLUSAP多协议防火墙及多协议防火墙及CyberwallPLUSCM集中管理产品。集中管理产品。37 a. CyberwallPLUS-SV和和CyberwallPLUSWS是为分别是为分别保护与互联网或企业网相连的保护与互联网或企业网相连的Windows服务器和工作站而设服务器和工作站而设计的,它以先进的信息包过滤技术为基础,提供周密的网络计的,它以先进的信息包过滤技术为基础,提供周密的网络访问控制、优化主机入侵检测、防止入侵算法和详细的流量访问控制、优化主机入侵检测、防止入侵算法和详细的流量审核日志。审核日志。CyberwallPlusAP是高速的局域网防火墙,是是高速的局域网防火墙,是为满足不断增长的内部网络安全需要而设计的。为满足不断增长的内部网络安全需要而设计的。38 b. CyberwallPlus-AP运行在装有两个以太网卡运行在装有两个以太网卡WindowsNT/2000的系统上,帮助用户的计算机网络抵御恶的系统上,帮助用户的计算机网络抵御恶意的网络访问和入侵。意的网络访问和入侵。CyberwallPlus-AP是一个有两个端口是一个有两个端口的系统,以透明的网桥模式工作,而不像大多数防火墙是路的系统,以透明的网桥模式工作,而不像大多数防火墙是路由模式,能够接受、过滤由模式,能够接受、过滤4500余种余种IP和非和非IP协议。协议。CyberwallPinsAP设计简单、有效,应用时不需要破坏现设计简单、有效,应用时不需要破坏现有的网络地址或重新配置网络,甚至可以放在同一有的网络地址或重新配置网络,甚至可以放在同一IP子网的子网的节点之间。节点之间。39 c. CyberwallPlusIP是保护专有网络抵御攻击和入侵的是保护专有网络抵御攻击和入侵的互联网防火墙,位于网络的周边,保护进出公共互联网流量互联网防火墙,位于网络的周边,保护进出公共互联网流量的安全,是一个高经济效益的网络安全解决方案,提供多层的安全,是一个高经济效益的网络安全解决方案,提供多层次的包过滤检测,阻止未授权的网络访问。次的包过滤检测,阻止未授权的网络访问。CyberwallPlusIP作为先进的防火墙解决方案系列的一员,为用户提供强有作为先进的防火墙解决方案系列的一员,为用户提供强有力的安全保护功能,它具备高度的灵活性、可伸缩性,可以力的安全保护功能,它具备高度的灵活性、可伸缩性,可以很好地适应用户对未来安全需求的变化。很好地适应用户对未来安全需求的变化。40p CheckPoint防火墙防火墙 作为作为CheckPoint软件技术有限公司网络安全性产品线中软件技术有限公司网络安全性产品线中最为重要的产品。最为重要的产品。CheckPointTMFireWall-1是业界领先的企是业界领先的企业级安全性套件,它集成了访问控制、认证、加密、网络地业级安全性套件,它集成了访问控制、认证、加密、网络地址翻译、内容安全性和日志审核等特性。址翻译、内容安全性和日志审核等特性。 a.FireWall-1通过分布式的客户机通过分布式的客户机/服务器结构管理安全服务器结构管理安全策略,保证高性能、高伸缩性和集中控制。策略,保证高性能、高伸缩性和集中控制。 b.FireWalll由基本模块由基本模块(防火墙模块、状态检测模块和防火墙模块、状态检测模块和管理模块管理模块)和一些可选模块组成。这些模块可以通过不同数量、和一些可选模块组成。这些模块可以通过不同数量、平台的组合配置成灵活的客户机平台的组合配置成灵活的客户机/服务器结构。服务器结构。41 c.FireWallc.FireWall1 1采用采用CheckPoint公司的状态检测公司的状态检测(StatefulInspection)专利技术,以不同的服务区分应用类型,专利技术,以不同的服务区分应用类型,为网络提供高安全、高性能和高扩展性保证。为网络提供高安全、高性能和高扩展性保证。 d.Firewalld.Firewall1 1状态检测模块分析所有的包通信层,汲状态检测模块分析所有的包通信层,汲取相关的通信和应用程序的状态信息。状态检测模块能够理取相关的通信和应用程序的状态信息。状态检测模块能够理解并学习各种协议和应用,以支持各种最新的应用。解并学习各种协议和应用,以支持各种最新的应用。 e.Firewalle.Firewall1 1可以在不修改本地服务器或客户应用程可以在不修改本地服务器或客户应用程序的情况下,对试图访问内部服务器的用户进行身份认证。序的情况下,对试图访问内部服务器的用户进行身份认证。FireWall-1的认证服务集成在其安全策略中,通过图形用户的认证服务集成在其安全策略中,通过图形用户界面集中管理,通过日志管理器监视、跟踪认证会话。界面集中管理,通过日志管理器监视、跟踪认证会话。42思科安全思科安全PIX防火墙防火墙 CiscoSecurePIX防火墙基于包过滤和应用代理两种主流防火墙基于包过滤和应用代理两种主流防火墙技术的基础上,提供空前的安全保护能力,它的保护防火墙技术的基础上,提供空前的安全保护能力,它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法全算法(ASA)。ASA自适应安全算法与包过滤相比,功能更自适应安全算法与包过滤相比,功能更加强劲;另外,加强劲;另外,ASA与应用层代理防火墙相比,其性能更高,与应用层代理防火墙相比,其性能更高,扩展性更强。扩展性更强。ASA可以跟踪源和目的地址、传输控制协议可以跟踪源和目的地址、传输控制协议(TCP)序列号、端口号和每个数据包的附加序列号、端口号和每个数据包的附加TCP标志。只有标志。只有存在已确定连接关系的正确的连接时,访问才被允许通过存在已确定连接关系的正确的连接时,访问才被允许通过PLX防火墙。这样,内部和外部的授权用户就可以透明地访防火墙。这样,内部和外部的授权用户就可以透明地访问企业资源,同时保护内部网络不会受到非授权访问的侵袭。问企业资源,同时保护内部网络不会受到非授权访问的侵袭。关于关于ASA算法详情请访问算法详情请访问http:/43 以以PIXFirewall515为例,思科防火墙具有以下一些关键特为例,思科防火墙具有以下一些关键特性:性: a.非常高的性能。非常高的性能。 b.实时嵌入式操作系统。实时嵌入式操作系统。 c.位于企业网络和位于企业网络和ienet访问路由器之间,并包括以太网、访问路由器之间,并包括以太网、快速以太网、令牌环网或快速以太网、令牌环网或FDDILAN连接选项。连接选项。 d.保护模式基于自适应安全算法保护模式基于自适应安全算法(ASA),可以确保最高的安,可以确保最高的安全性。全性。44 e. 用于验证和授权的用于验证和授权的“直通代理直通代理”技术。技术。 f. URL过滤。过滤。 g. HPOpenView集成。集成。 h. 用于配置和管理的图形用户界面。用于配置和管理的图形用户界面。 i. 通过电子邮件和寻呼机提供报警和告警通知。通过电子邮件和寻呼机提供报警和告警通知。 j. 通过专用链路加密卡提供通过专用链路加密卡提供VPN支持。支持。 k.符合委托技术评估计划符合委托技术评估计划(TTAR),通过美国安全事务处,通过美国安全事务处(NSA)的认证。的认证。45p 天融信公司的网络卫土天融信公司的网络卫土 网络卫士是我国第一套自主知识产权的防火墙系统,是网络卫士是我国第一套自主知识产权的防火墙系统,是一种基于硬件的防火墙,目前有一种基于硬件的防火墙,目前有NGFW3000、NGFW4000、NGFW4000UF、NGFWARES几款产品。几款产品。 网络卫士防火墙由多个模块组成,包括包过滤、应用代网络卫士防火墙由多个模块组成,包括包过滤、应用代理、理、NAT、VPN、防攻击等功能模块,各模块可分离、裁剪、防攻击等功能模块,各模块可分离、裁剪和升级,以满足不同用户的需求。管理器的硬件平台为能运和升级,以满足不同用户的需求。管理器的硬件平台为能运行行Netscape4.0浏览器的浏览器的Intel兼容微机,软件平台采用兼容微机,软件平台采用Win9x操作系统。操作系统。 主要特色:采用了领先一步的主要特色:采用了领先一步的SSN(安全服务器网络安全服务器网络)技术,技术,安全性高于其他防火墙普遍采用的安全性高于其他防火墙普遍采用的DMZ(非军事区非军事区)技术。技术。SSN与外部网之间有防火墙保护,与内部网之间也有防火墙与外部网之间有防火墙保护,与内部网之间也有防火墙保护,一旦保护,一旦SSN受到破坏,内部网络仍会处于防火墙的保护受到破坏,内部网络仍会处于防火墙的保护之下。之下。46 网络卫士防火墙系统集中了包过滤防火墙、应用代理、网络卫士防火墙系统集中了包过滤防火墙、应用代理、网络地址转换网络地址转换(NAT)、用户身份鉴别、虚拟专用网、用户身份鉴别、虚拟专用网、Web页页面保护、用户权限控制、安全审计、攻击检测、流量控制与面保护、用户权限控制、安全审计、攻击检测、流量控制与计费等功能,可以为不同类型的计费等功能,可以为不同类型的Internet接入网络提供全方接入网络提供全方位的网络安全服务。该系统在增强传统防火墙安全性的同时,位的网络安全服务。该系统在增强传统防火墙安全性的同时,还通过还通过VPN架构,为企业网提供一整套从网络层到应用层的架构,为企业网提供一整套从网络层到应用层的安全解决方案,包括访问控制、身份验证、授权控制、数据安全解决方案,包括访问控制、身份验证、授权控制、数据加密、数据完整性等安全服务。