防火墙、入侵检测与VPN课件 防火墙篇.ppt

《防火墙、入侵检测与VPN课件 防火墙篇.ppt》由会员分享，可在线阅读，更多相关《防火墙、入侵检测与VPN课件 防火墙篇.ppt（135页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、防火墙、入侵检测与防火墙、入侵检测与VPNVPN课件课件防火墙篇防火墙篇第第1 1章章 防火墙基础知识防火墙基础知识第第2 2章章 防火墙的关键技术防火墙的关键技术第第3 3章章 主流防火墙的部署与实现主流防火墙的部署与实现第第4 4章章 防火墙厂商及产品介绍防火墙厂商及产品介绍第第5 5章章 防火墙的发展趋势防火墙的发展趋势防火墙、入侵检测与防火墙、入侵检测与VPNVPN课件课件防火墙篇防火墙篇第第1 1章章 防火墙基础知识防火墙基础知识第第2 2章章 防火墙的关键技术防火墙的关键技术第第3 3章章 主流防火墙的部署与实现主流防火墙的部署与实现第第4 4章章 防火墙厂商及产品介绍防火墙厂商及

2、产品介绍第第5 5章章 防火墙的发展趋势防火墙的发展趋势防火墙、入侵检测与防火墙、入侵检测与VPNVPN课件课件防火墙篇防火墙篇防火墙、入侵检测与防火墙、入侵检测与VPNVPN课件课件防火墙篇防火墙篇 1.1 防火墙的定义防火墙的定义1.2 防火墙的位置防火墙的位置1.3 防火墙的理论特性防火墙的理论特性 和实际功能和实际功能1.4 防火墙的规则防火墙的规则1.5 防火墙的分类防火墙的分类1.6 使用使用防火墙的好处防火墙的好处1.7 防火墙的不足防火墙的不足1.8 相关标准相关标准本书的本书的封面封面 2.1 TCP/IP协议简介协议简介 2.2 包过滤技术包过滤技术2.3 状态检测技术状态

3、检测技术2.4 代理技术代理技术第第1 1章章 防火墙基础知识防火墙基础知识第第2 2章章 防火墙的关键技术防火墙的关键技术第第3 3章章 主流防火墙的部署与实现主流防火墙的部署与实现第第4 4章章 防火墙厂商及产品介绍防火墙厂商及产品介绍第第5 5章章 防火墙的发展趋势防火墙的发展趋势防火墙、入侵检测与防火墙、入侵检测与VPNVPN课件课件防火墙篇防火墙篇防火墙、入侵检测与防火墙、入侵检测与VPNVPN课件课件防火墙篇防火墙篇本书的本书的封面封面第第1 1章章 防火墙基础知识防火墙基础知识第第2 2章章 防火墙的关键技术防火墙的关键技术第第3 3章章 主流防火墙的部署与实现主流防火墙的部署与

4、实现第第4 4章章 防火墙厂商及产品介绍防火墙厂商及产品介绍第第5 5章章 防火墙的发展趋势防火墙的发展趋势防火墙、入侵检测与防火墙、入侵检测与VPNVPN课件课件防火墙篇防火墙篇防火墙、入侵检测与防火墙、入侵检测与VPNVPN课件课件防火墙篇防火墙篇本书的本书的封面封面 3.1 过滤路由器过滤路由器3.2 堡垒主机堡垒主机3.3 多重宿主主机多重宿主主机3.4 屏蔽主机屏蔽主机3.5 屏蔽子网屏蔽子网3.6 其它结构的防火墙其它结构的防火墙 4.1 防火墙性能指标防火墙性能指标4.2 知名防火墙厂商知名防火墙厂商 及其主要产品及其主要产品第第1 1章章 防火墙基础知识防火墙基础知识第第2 2

5、章章 防火墙的关键技术防火墙的关键技术第第3 3章章 主流防火墙的部署与实现主流防火墙的部署与实现第第4 4章章 防火墙厂商及产品介绍防火墙厂商及产品介绍第第5 5章章 防火墙的发展趋势防火墙的发展趋势防火墙、入侵检测与防火墙、入侵检测与VPNVPN课件课件防火墙篇防火墙篇防火墙、入侵检测与防火墙、入侵检测与VPNVPN课件课件防火墙篇防火墙篇本书的本书的封面封面第第1 1章章 防火墙基础知识防火墙基础知识第第2 2章章 防火墙的关键技术防火墙的关键技术第第3 3章章 主流防火墙的部署与实现主流防火墙的部署与实现第第4 4章章 防火墙厂商及产品介绍防火墙厂商及产品介绍第第5 5章章 防火墙的发

6、展趋势防火墙的发展趋势防火墙、入侵检测与防火墙、入侵检测与VPNVPN课件课件防火墙篇防火墙篇防火墙、入侵检测与防火墙、入侵检测与VPNVPN课件课件防火墙篇防火墙篇本书的本书的封面封面 5.1 分布式执行和分布式执行和集中集中 式管理式管理5.2 深度过滤深度过滤5.3 建立以防火墙为核建立以防火墙为核 心的综合安全体系心的综合安全体系 5.4 防火墙本身的多功防火墙本身的多功 能化，变被动防御能化，变被动防御 为主动防御为主动防御 5.5 强大的审计与自动强大的审计与自动 日志分析动能日志分析动能 5.6 硬件化硬件化5.7 专用化专用化防火墙的定义防火墙的定义1.1 从广泛、宏观的意义上

7、说，防火墙是隔离在内部网络与外部网络之间的一个防御系统。AT&T的工程师William Cheswick 和Steven Bellovin给出了防火墙的明确定义，他们认为防火墙是位于两个网络之间的一组构件或一个系统，具有以下属性：l 防火墙是不同网络或者安全域之间信息流的唯一通道，所有双向数据流必须经过防火墙。l 只有经过授权的合法数据，即防火墙安全策略允许的数据才可以通过防火墙。l 防火墙系统应该具有很高的抗攻击能力，其自身可以不受各种攻击的影响。简而言之，防火墙是位于两个(或多个)网络间，实施访问控制策略的一个或一组组件集合。防火墙的位置防火墙的位置1.21.2.2 防火墙的逻辑位置防火墙

8、的逻辑位置1.2.1 防火墙的物理位置防火墙的物理位置本书的本书的封面封面1.3.2 防火墙的理论特性防火墙的理论特性1.3.1 防火墙面对的安全威胁防火墙面对的安全威胁1.3.3 防火墙的实际功能防火墙的实际功能防火墙的理论特性和实际功能防火墙的理论特性和实际功能1.3本书的本书的封面封面防火墙的规则防火墙的规则1.4规则的作用：系统的网络访问政策。规则内容的分类：高级政策；低级政策。规则的特点：规则是系统安保策略的实现和延伸；与网络访问行为紧密相关；在严格安全管理和充分利用网络之间取得较好的平衡；防火墙可以实施各种不同的服务访问政策。规则的设计原则：拒绝访问一切未予特许的服务；允许访问一切

9、未被特别拒绝的服务。规则的顺序问题：必须仔细考虑规则的顺序，防止出现系统漏洞。防火墙的分类防火墙的分类1.51.5.2 按防火墙的具体实现划分按防火墙的具体实现划分1.5.1 按防火墙采用的主要技术划分按防火墙采用的主要技术划分1.5.4 按防火墙的形式划分按防火墙的形式划分1.5.3 按防火墙部署的位置划分按防火墙部署的位置划分1.5.6 按防火墙的使用者划分按防火墙的使用者划分1.5.5 按受保护的对象划分按受保护的对象划分使用防火墙的好处使用防火墙的好处1.6l 防火墙允许网络管理员定义一个“检查点”来防止非法用户进入内部网络并抵抗各种攻击，增加了网络的安全性。l 防火墙通过过滤存在着安

10、全缺陷的网络服务来降低受保护网络遭受攻击的威胁。l 防火墙可以增强受保护节点的保密性，强化私有权。l 防火墙有能力较精确地控制对内部子系统的访问。l 防火墙系统具有集中安全性。l 在防火墙上可以很方便地监视网络的通信流，并产生告警信息。l 防火墙是审计和记录网络行为最佳的地方。l 防火墙可以作为向客户发布信息的地点。l 防火墙为系统整体安全策略的执行提供了重要的实施平台。防火墙的不足防火墙的不足1.7l 限制网络服务 l 对内部用户防范不足 l 不能防范旁路连接 l 不适合进行病毒检测 l 无法防范数据驱动型攻击 l 无法防范所有的威胁 l 防火墙配置比较困难l 无法防范内部人员泄露机密信息

11、l 防火墙对网络访问速度有影响l 单失效点 相关标准相关标准1.81.8.2 国外的信息安全标准国外的信息安全标准1.8.1 我国的信息安全标准我国的信息安全标准TCP/IPTCP/IP协议简介协议简介2.12.1.2 TCP协议协议2.1.1 IP协议协议2.1.4 ICMP协议协议2.1.3 UDP协议协议本书的本书的封面封面包过滤技术包过滤技术2.22.2.2 过滤对象过滤对象2.2.1 基本概念基本概念2.2.4 包过滤技术存在的问题包过滤技术存在的问题2.2.3 包过滤技术的优点包过滤技术的优点本书的本书的封面封面状态检测技术状态检测技术2.32.3.2 状态的概念状态的概念2.3.

12、1 状态检测技术基本原理状态检测技术基本原理2.3.4 状态检测技术的优缺点状态检测技术的优缺点2.3.3 深度状态检测深度状态检测本书的本书的封面封面代理技术代理技术2.42.4.2 代理技术的具体作用代理技术的具体作用2.4.1 代理技术概述代理技术概述2.4.4 代理技术的优缺点代理技术的优缺点2.4.3 代理技术的种类代理技术的种类本书的本书的封面封面过滤路由器过滤路由器3.1定义：放在内部网络和外部网络之间，具有数据过滤功能的路由器。功能：按照预定义的过滤规则，允许授权数据通过，拒绝非授权数据通过。与普通路由器的区别：要根据过滤规则决定是否允许转发该数据包。优点：快速、耗费比高、透明

13、、实现容易。缺点：配置复杂，维护困难；只针对数据包本身进行检测，只能检测出部分攻击行为；无法防范数据驱动式攻击；只能简单地判断IP地址，而无法进行用户级的身份认证和鉴别；随着过滤规则的增加，路由器的吞吐量将会下降；无法对数据流进行全面地控制，不能理解特定服务的上下文环境和数据。过滤规则的主要字段：源地址、源端口号、目的地址、目的端口号、协议标志、过滤方式。规则冲突：两个或两个以上的规则匹配同一个数据包、或者一个规则永远都无法匹配任何通过该过滤路由器的包。包括无用冲突、屏蔽冲突、泛化冲突、关联冲突和冗余冲突几种。堡垒主机堡垒主机3.2定义：堡垒主机由一台计算机担当，并拥有两块或者多块网卡分别连接

14、各内部网络和外部网络。作用：隔离内部网络和外部网络，为内部网络设立一个检查点，对所有进出内部网络的数据包进行过滤，集中解决内部网络的安全问题。设计原则：最小服务原则、预防原则。类型：内部堡垒主机、外部堡垒主机、牺牲主机。系统需求：强健性、可用性、可扩展性、易用性。服务：堡垒主机一般要设置用户网络所需的网络服务，并且还要设置对外提供的网络服务。分为无风险服务、低风险服务、高风险服务和禁用的服务4个级别。部署位置：堡垒主机的位置问题是事关堡垒主机和内部网络的安全性的重要问题。多重宿主主机多重宿主主机3.33.3.2 双宿主网关双宿主网关3.3.1 双宿主主机双宿主主机本书的本书的封面封面屏蔽主机屏

15、蔽主机3.4 屏蔽主机防火墙实际上结合了两种不同类型的防火墙：过滤路由器实现的是包过滤防火墙的功能，而堡垒主机实现的是代理防火墙的功能。其优点是：能提供比单纯的过滤路由器和多重宿主主机更高的安全性；支持多种网络服务的深层过滤，并具有相当的可扩展性；系统本身稳固可靠。其缺点是：堡垒主机和其它内网主机放在一起，它们之间没有一道安全隔离屏障；过滤路由器容易受到攻击。屏蔽子网屏蔽子网3.5 非军事区（DMZ，Demilitarized Zone）又称屏蔽子网、周边网络或参数网络。它是在内网和外网间构建的一个缓冲网络，目的是最大限度地减少外部入侵者对内网的侵害。DMZ内部只部署安全代理网关和各种公用信息

16、服务器。安全策略的实施由执行包过滤规则的内部过滤路由器和外部过滤路由器，以及DMZ内执行安全代理功能的堡垒主机共同实现。具有网络层包过滤和应用层代理两个不同级别的访问控制功能。其它结构的防火墙其它结构的防火墙3.63.6.2 合并内部路由器和外部路由器合并内部路由器和外部路由器3.6.1 多堡垒主机多堡垒主机3.6.4 多外部路由器多外部路由器3.6.3 合并外部路由器与堡垒主机合并外部路由器与堡垒主机3.6.5 多多DMZ本书的本书的封面封面防火墙性能指标防火墙性能指标4.1l 评估时需要考虑的因素：可靠性、可用性、可扩展性、可审计性、可管理性以及成本耗费。l 评估参数的选择：吞吐量（Thr

17、oughput）、时延(Latency)、丢包率(Packet loss rate)、并发连接数、工作模式（包括路由模式、网络地址转换(NAT)模式和透明模式）、配置与管理方式、接口的数量和类型、日志和审计功能、可用性参数以及其它参数（一般指内容过滤、入侵检测、用户认证和VPN与加密几种主要的附加功能）等。知名防火墙厂商及其主要产品知名防火墙厂商及其主要产品4.24.2.2 Cisco 4.2.1 Juniper/NetScreen 4.2.4 Fortinet 4.2.3 CheckPoint 4.2.6 安氏安氏 4.2.5 WatchGuard 4.2.8 东软东软4.2.7 天融信天融

18、信本书的本书的封面封面分布式执行和集中式管理分布式执行和集中式管理5.1l 分布式或分层的安全策略执行 防火墙模块分别部署在各个内部网络和外部网络交界的节点上，解决了多接入点数据访问的问题；在接入点和内部网络关键数据交换节点上分级部署，实现了层层设防、分层过滤的更加安全的网络安全防护；网络防火墙与主机防火墙相互配合又加强了系统资源的安全性。这种方式又被称为区域联防或者深度防御。l 集中式管理 集中式管理具有管理成本低、容易实现快速响应和快速防御、能够保证在大型网络中安全策略的一致性等优点。未来研究的重点是集中式管理快速、高效、低耗的实现技术。深度过滤深度过滤5.2 深度过滤技术又称为深度检测技

19、术，是防火墙技术的集成和优化。深度过滤技术一般将状态检测技术和应用层技术结合在一起，对数据进行深入细致的分析和检查。具体实现上，深度过滤技术可以组合不同的现有防火墙技术，达到不同的检测深度。基本特征：l 正常化l 双向负载检测 l 应用层加密/解密l 协议一致性建立以防火墙为核心的综合安全体系建立以防火墙为核心的综合安全体系 5.3l 不同产品都有其自身的特性，如何安排好它们的位置、设定好它们的功能是一个非常复杂的任务。l 一个需要考虑的问题是这些设备间的互操作问题。各个厂商的不同设备都有其专属性，包括代码和通信协议等都不相同，这是设备间实现互联互通的主要障碍。5.4防火墙本身的多功能化，变被

20、动防御为主动防御防火墙本身的多功能化，变被动防御为主动防御 l 用户在进行防火墙的选择时，出于降低复杂性和节约成本的目的，往往要求防火墙能够支持更多的功能。l 随着各种功能模块加入进防火墙，防火墙将从目前被动防护设备发展为可以智能、动态地保护网络的主动安全设备。强大的审计与自动日志分析动能强大的审计与自动日志分析动能 5.5 随着安全管理工具不断完善，针对可疑行为的审计与自动安全日志分析工具将成为防火墙产品必不可少的组成部分。它们可以提供对潜在的威胁和攻击行为的早期预警。日志的自动分析功能还可以帮助管理员及时、有效地发现系统中存的安全漏洞，迅速调整安全策略以适应网络的态势，此外它还可以为自适应

21、、个性化网络的建设提供重要的数据。硬件化硬件化5.6l 为了能够高速地执行更多的功能，防火墙必须实现硬件化。硬件化评判的标准是看在数据转发控制过程是由软件完成还是硬件完成。硬件化的系统使用的是专用的芯片级处理机制，主要有基于ASIC和基于网络处理器（NP）两种方式。l 采用ASIC技术的防火墙往往设计了专门的数据包处理流水线，对存储器等资源进行了优化。但其具有开发成本高、开发周期长、难度大、专物专用、灵活性差的缺陷。l NP是专门为处理数据包而设计的可编程处理器。它包含多个数据处理引擎，这些引擎可以并发进行数据处理操作。NP对数据包处理的一般性任务进行了优化，同时其体系结构也采用高速的接口技术

22、和总线规范。NP具有完全的可编程性、简单的编程模式、最大化系统灵活性、高处理能力、高度功能集成、开放的编程接口和第三方支持能力几个特性。专用化专用化5.7 用户已经不满足于对整个内部网络统一标准的安全防护，而是要求根据各个子系统的不同功能，对内部网络不同部门实施不同级别的安全防护。也即防火墙要能实施精细的安全管理，又称为防火墙的“包厢化”功能。由此，专用防火墙的概念也被提了出来。它可以根据特定的需求定制安全策略，实现了特殊用户的专属保护。目前，单向防火墙，又称为网络二极管，就是其中比较重要的一种。其作用是使网络上的信息只能从外部网络流入内部网络，而不能从内部网络流入外部网络，从而达到保密的目的

23、。防火墙的物理位置防火墙的物理位置1.2.1 l 从设备部署位置上看，防火墙要部署在本地受保护区域与外部网络的交界点上。l 从具体的实现上看，防火墙运行在任何要实现访问控制功能的设备上。下图为防火墙在网络中的常见位置：防火墙的逻辑位置防火墙的逻辑位置1.2.2l 防火墙的逻辑位置指的是防火墙与网络协议相对应的逻辑层次关系。处于不同网络层次的防火墙实现不同级别的网络过滤功能，表现出来的特性也不同。l 所有防火墙均依赖于对ISO OSI/RM网络七层模型中各层协议所产生的信息流进行检查。一般说来，防火墙越是工作在ISO OSI/RM模型的上层，能检查的信息就越多，其提供的安全保护等级就越高。防火墙

24、与网络层次关系如下表所示：ISO OSI/RM七层模型防火墙级别应用层网关级表示层会话层传输层电路级网络层路由器级数据连路层网桥级物理层中继器级防火墙面对的安全威胁防火墙面对的安全威胁1.3.1l 通过更改防火墙配置参数和其它相关安全数据而展开的攻击。l 攻击者利用高层协议和服务对内部受保护网络或主机进行的攻击。l 绕开身份认证和鉴别机制，伪装身份，破坏已有连接。l 任何通过伪装内部网络地址进行非法内部资源访问的地址欺骗攻击。l 未经授权访问内部网络中的目标数据。l 用户对防火墙等重要设备未经授权的访问。l 破坏审计记录。防火墙的理论特性防火墙的理论特性1.3.2强化网络安全策略，提供集成功能

25、强化网络安全策略，提供集成功能 创建阻塞点创建阻塞点12实现网络隔离实现网络隔离 3审计和记录内部网络与外部网络之间的活动审计和记录内部网络与外部网络之间的活动 4自身具有非常强的抵御攻击的能力自身具有非常强的抵御攻击的能力 5防火墙的实际功能防火墙的实际功能1.3.3代理代理2包过滤包过滤1虚拟专用网虚拟专用网4网络地址转换网络地址转换3记录、报警、分析与审计记录、报警、分析与审计6用户身份认证用户身份认证5其它特殊功能其它特殊功能8管理功能管理功能7按防火墙采用的主要技术划分按防火墙采用的主要技术划分包过滤型防火墙包过滤型防火墙1代理型防火墙代理型防火墙21.5.1按防火墙的具体实现划分按

26、防火墙的具体实现划分多重宿主主机多重宿主主机1筛选路由器筛选路由器21.5.2屏蔽主机屏蔽主机3屏蔽子网屏蔽子网4其它实现结构的防火墙其它实现结构的防火墙5按防火墙部署的位置划分按防火墙部署的位置划分1.5.3单接入点的传统防火墙单接入点的传统防火墙1混合式防火墙混合式防火墙2分布式防火墙分布式防火墙3按防火墙的形式划分按防火墙的形式划分1.5.4软件防火墙软件防火墙1独立硬件防火墙独立硬件防火墙2模块化防火墙模块化防火墙3按受保护的对象划分按受保护的对象划分单机防火墙单机防火墙1网络防火墙网络防火墙21.5.5按防火墙的使用者划分按防火墙的使用者划分企业级防火墙企业级防火墙1个人防火墙个人防

27、火墙21.5.6我国的信息安全标准我国的信息安全标准1.8.1 l 我国的信息安全标准标准化建设正逐步走向完善。其中各种防火墙产品的设计、生产和评估的主要参考标准是：信息技术包过滤防火墙安全技术要求（GB/T 18019-1999）和信息技术应用级防火墙安全技术要求（GB/T 18020-1999）。l 这两个国家标准都是以信息技术安全评估通用准则（CC，ISO/IEC 15408）为基础制订的。信息技术包过滤防火墙安全技术要求主要规定了采用“传输控制协议/网间协议”的包过滤防火墙的安全技术要求，信息技术应用级防火墙安全技术要求主要规定了应用级防火墙的安全技术要求。l 这两个国家标准定义了对防

28、火墙的功能要求，包括五个功能类：用户数据保护、标识与鉴别、密码支持、可信安全功能保护和安全审计。包过滤防火墙和应用级防火墙针对每个功能类实现不同级别的功能组件。国外的信息安全标准国外的信息安全标准可信计算机安全评价标准可信计算机安全评价标准1信息技术安全性评估准则信息技术安全性评估准则 21.8.2IP协议协议2.1.1 网际协议（Internet Protocl）报文格式如下图所示，详细内容请参见相关文献：0481619 2431版本号首部长度服务类型总长度标识符标志分片偏移量寿命协议首部校验和源IP地址目的IP地址IP选项填充数据TCP协议协议2.1.2 传输控制协议（Transmissi

29、on Control Protocol）报文格式如下图所示，详细内容请参见相关文献：012345678910 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31源 端 口目 的 端 口序 号确 认 号数 据偏 移保 留USGACKPSHRSTSYNFIN窗 口校 验 和紧 急 指 针选 项填 充数 据 部 分UDP协议协议2.1.3 用户数据报协议（User Datagram Protocol）报文首部格式如下图所示，详细内容请参见相关文献：字节数2222源端口目的端口长度校验和ICMP协议协议2.1.4 互联网控制报文

30、协议（Internet Control Message Protocol）报文格式如下图所示，详细内容请参见相关文献：基本概念基本概念2.2.1l 包过滤技术是最早、最基本的访问控制技术，又称报文过滤技术。其作用是执行边界访问控制功能，即对网络通信数据进行过滤（filtering，亦称筛选）。l 包过滤技术的工作对象是数据包。对TCP/IP协议族来说，包过滤技术主要对其数据包包头的各个字段进行操作。l 安全过滤规则是包过滤技术的核心，是组织或机构的整体安全策略中网络安全策略部分的直接体现。l 包过滤技术必须在操作系统协议栈处理数据包之前拦截数据包，即防火墙模块应该被设置在操作系统协议栈网络层之

31、下，数据链路层之上的位置上。l 包过滤防火墙将包头各个字段的内容与安全过滤规则进行逐条地比较判断，直至找到一条相符的规则为止。如果没有相符的规则，则执行默认的规则。l 具体实现包过滤技术的设备通常分为过滤路由器和访问控制服务器两类。包过滤的实现过程如右图所示：应用层表示层会话层传输层网络层防火墙模块数据链路层物理层读取数据包首部信息读取一条过滤规则是否与规则匹配？有否下一条规则？是否转发包？审计记录或告警是否是否否是丢弃包，发送NAK转发数据包结束过滤对象过滤对象2.2.2 针对针对ICMP协议的过滤协议的过滤 2针对针对IP协议的过滤协议的过滤 1针对针对UDP协议的过滤协议的过滤 4针对针

32、对TCP协议的过滤协议的过滤 3包过滤技术的优点包过滤技术的优点2.2.3l 包过滤技术实现简单、快速。经典的解决方案只需要在内部网络与外部网络之间的路由器上安装过滤模块即可。l 包过滤技术的实现对用户是透明的。用户无需改变自己的网络访问行为模式，也不需要在主机上安装任何的客户端软件，更不用进行任何的培训。l 包过滤技术的检查规则相对简单，因此检查操作耗时极短，执行效率非常高，不会给用户网络的性能带来不利的影响。包过滤技术存在的问题包过滤技术存在的问题2.2.4l 包过滤技术过滤思想简单，对信息的处理能力有限。只能访问包头中的部分信息，不能理解通信的上下文，因此不能提供更安全的网络防护能力。l

33、 当过滤规则增多的时候，对于过滤规则的维护是一个非常困难的问题。不但要考虑过滤规则是否能够完成安全过滤任务，还要考虑规则之间的关系防止冲突的发生。尤其是后一个问题是非常难于解决的。l 包过滤技术控制层次较低，不能实现用户级控制。特别是不能实现对用户合法身份的认证以及对冒用的IP地址的确定。状态检测技术基本原理状态检测技术基本原理2.3.1 状态检测技术根据连接的“状态”进行检查。当一个连接的初始数据报文到达执行状态检测的防火墙时，首先要检查该报文是否符合安全过滤规则的规定。如果该报文与规定相符合，则将该连接的信息记录下来并自动添加一条允许该连接通过的过滤规则，然后向目的地转发该报文。以后凡是属

34、于该连接的数据防火墙一律予以放行，包括从内向外的和从外向内的双向数据流。在通信结束、释放该连接以后，防火墙将自动地删除关于该连接的过滤规则。动态过滤规则存储在连接状态表中并由防火墙维护。为了更好地为用户提供网络服务以及更精确地执行安全过滤，状态检测技术往往需要察看网络层和应用层的信息，但主要还是在传输层上工作。状态的概念状态的概念2.3.2TCP协议及状态协议及状态 1UDP协议及状态协议及状态 2ICMP协议及状态协议及状态 3深度状态检测深度状态检测2.3.3 l 深度状态检测技术能够很好地实现对TCP协议的顺序号进行检测的功能，通过对TCP报文的顺序号字段的跟踪监测报文的变化，防止攻击者

35、利用已经处理的报文的顺序号进行重放攻击。l 对于FTP协议，深度状态检测机制可以深入到报文的应用层部分来获取FTP协议的命令参数，从而进行状态规则的配置。其中最主要的，FTP协议连接端口的选择具有随机的特点。深度状态检测机制可以分析应用层的命令数据，找出其中的端口号等信息，从而精确地决定打开哪些端口。l 与FTP协议类似的协议由很多，譬如RTSP、H.323等。深度状态检测机制都可以对它们的连接建立报文的应用层数据进行分析来决定相关的转发端口等信息，因此具有部分的应用层信息过滤功能。状态检测技术的优缺点状态检测技术的优缺点优点优点1缺点缺点22.3.4代理技术概述代理技术概述2.4.1 代理代

36、码代理代码 2代理的执行代理的执行1代理技术与包过滤技术的安全性比较代理技术与包过滤技术的安全性比较 4代理服务器的部署与实现代理服务器的部署与实现 3代理技术的具体应用代理技术的具体应用2.4.2过滤内容过滤内容2隐藏内部主机隐藏内部主机 1保障安全保障安全 4提高系统性能提高系统性能 3保护电子邮件保护电子邮件 6阻断阻断URL 5信息重定向信息重定向 8身份认证身份认证 7代理技术的种类代理技术的种类应用层网关应用层网关1电路级网关电路级网关22.4.3代理技术的优缺点代理技术的优缺点优点优点1缺点缺点22.4.4双宿主主机双宿主主机3.3.1l 双宿主主机防火墙实际上就是一台具有安全控

37、制功能的双网卡堡垒主机。两块网卡中的一块负责连接内部网络，另一块负责连接外部网络。l 内网主机可登录双宿主主机，使用其提供的网络服务，而双宿主主机负责维护用户账户数据库。外网主机也可使用双宿主主机提供的某些网络服务。若网络服务被安全策略允许，则内部用户和外部用户就可通过共享缓存共享数据以实现信息交换，但绝对不允许内部用户与外部用户直接进行连接。l双宿主主机防火墙的优点是：易于实现网络安全策略、成本较低。l双宿主主机防火墙的缺点是：用户帐户不安全；用户账户数据库管理维护困难；用户账户数据的频繁存取资源耗费大，降低了系统的稳定性和可靠性；允许用户登录到防火墙主机上威胁到防火墙系统的安全。下图为双宿

38、主主机防火墙的示意图：双宿主网关双宿主网关3.3.2 l 双宿主网关无需用户登录至防火墙主机，而是在防火墙上安装各种代理服务器。内网主机要访问外网时，只需将请求发送至相应的代理服务器，通过过滤规则的检测并获得允许后，再由代理服务器代为转发至外网指定主机。而外网主机所有对内网的请求都由代理服务接收并处理，规则允许的外部连接由相应的代理服务器转发至内网目标主机，规则不允许的外部连接则被拒绝。l 双宿主网关防火墙的优点是：无用户账户数据库，管理难度小、系统风险低；代理服务器技术使得防火墙提供的服务具有良好的可扩展性；屏蔽了内网主机，阻止了信息的泄露。l 双宿主网关防火墙的缺点是：存在单失效点，防火墙

39、配置复杂；防火墙主机本身的性能是影响系统整体性能的瓶颈；灵活性较差。下图为双宿主网关防火墙的示意图：多堡垒主机多堡垒主机3.6.1 在屏蔽子网中使用多台堡垒主机扮演不同的角色，可同时为多个用户提供多种不同的网络服务，通过热备份机制增强了堡垒主机的可用性，此外还可隔离不同安全级别的数据和服务器。下图描述了多堡垒主机防火墙的结构：合并内部路由器和外部路由器合并内部路由器和外部路由器3.6.2 这种方案是屏蔽子网的一种变形。它将屏蔽子网中的内部路由器和外部路由器的功能合并，只使用一台过滤路由器来实现。这台过滤路由器最少要有三个接口：一个接口连接内网，另一个接口连接外网，还有一个接口连接DMZ。这种方

40、案的最大的优点是节约了路由器的成本，但是也存在单路由器安全性低的问题一旦该路由器被入侵者攻破，整个内部网络将直接面对入侵者。下图描述了合并内部路由器和外部路由器防火墙的结构：合并外部路由器与堡垒主机合并外部路由器与堡垒主机3.6.3 这种防火墙是将屏蔽子网防火墙的外部路由器与堡垒主机合并而来，其功能等价于屏蔽子网。这么做的原因是外部路由器只执行很弱的安全过滤功能，所以可以用堡垒主机来替代。这种方案节约了外部路由器的成本，在功能上也没有下降，但是堡垒主机的安全性问题必须要着重考虑。左图描述了合并外部路由器与堡垒主机防火墙的结构：多外部路由器多外部路由器3.6.4 这种防火墙可以实现对具有多个接入

41、点的用户网络进行安全防护。不同的外部路由器连接不同的外部网络。下图描述了多外部路由器屏蔽子网防火墙的结构：多多DMZ3.6.5 如果用户网络不但需要多点接入，而且还需要和不同的外部网络交换安全等级不同的数据，或者用户不希望被任何人探知自己的数据流向，那么最好的办法还是使用多个屏蔽子网。这种类型的防火墙叫做多DMZ防火墙。这种防火墙为用户提供了很好的策略可用性和服务可用性，并能增强系统的稳固性。但是具有配置复杂、管理困难的缺陷。左图描述了这种复杂的多DMZ防火墙的结构：Juniper/NetScreen4.2.1l NetScreen由三位留美的清华学子创建，其防火墙和VPN产品无论从性能指标还

42、是质量上都位居世界前列。l Juniper/NetScreen公司创造了多个世界第一：第一个基于特定应用集成电路（ASIC）的平台；第一个基于ASIC的防火墙；第一个入侵检测与防护（IDP）产品，以及最全的SSL VPN产品；第一台Gigabit防火墙。l Juniper/NetScreen出品的NetScreen系列防火墙是由硬件来实现防火墙技术的网络安全产品。它将NAT、包过滤、DMZ、VPN、负载均衡及流量控制等技术集成在同一设备里，具有速度快、功能完善、设置简单和高性能价格比的优点。l 其防火墙产品的具体功能特性为：拥有专用的操作系统ScreenOS、拥有专门优化的硬件增强技术、集成V

43、PN、灵活的流量管理、基于ASIC的访问策略的执行、管理简单快捷。Cisco4.2.2l 可能是历史上最有名的网络公司。l 其安全产品特性如下：n 可在单一设备中集成丰富的安全服务。n 使用专用的安全操作系统，消除了各种安全风险，提高可靠性。n 安全功能强大，可综合利用各种先进技术。n 支持IKE和IPSec VPN标准。n 融合了入侵检测的功能。还可与思科网络入侵解决方案相集成，构成统一的网络防护体系。n 提供动态或者静态的网络地址解析（NAT）和端口地址解析（PAT）功能。n 用户可灵活地实现联网功能而且与PPPoE(PPP Over Ethernet)网络兼容。n 管理方便、快捷，手段灵

44、活。n 提供了较强的可管理性和可审计性。CheckPoint4.2.3l CheckPoint公司是全球首屈一指的互联网安全解决方案供应商，是Internet安全领域的全球领先企业，在全球VPN及防火墙市场上居于领导地位。l CHECKPOINT VPN-1/FireWall-1是业界领先的企业级安全性套件。l CheckPoint公司防火墙产品具有如下特性：n 状态检测技术n OPSEC（Open Platform for Secure Enterprise Connectivity）n 集中管理下的分布式客户机/服务器结构n 对网络协议的广泛支持n 增强的身份认证（包括用户认证、客户认证和

45、会话认证三种方法）n 加密n 内容安全Fortinet4.2.4l Fortinet公司的创始人、总裁与CEO谢青（Ken Xie）是NetScreen公司的原执行总裁兼创办人之一。Fortinet公司的技术总监为全球著名防毒专家、WildList的创始人Joe Wells。l Fortinet是新一代网络实时安全防御网关的技术引领者。首家推出基于ASIC硬件体系结构的FortiGate防火墙。该系列产品已获得国际著名的ICSA Lab的防病毒、IPSec、NIDS和防火墙四项认证证书，是全球唯一同时拥有这四项证书的厂家。l FortiGate系列防火墙产品的功能特性如下：n 病毒检测与蠕虫防

46、御。n 状态检测。n 实现了实时的、基于网络的IDS/阻断。n 虚拟专用网（VPN）。n 支持内容过滤。n 提供了多种管理配置手段。n 具有较强大的日志记录与分析功能。WatchGuard4.2.5l WatchGuard公司是全球排名前五位的专业生产防火墙的公司之一。WatchGuard公司以生产即插即用Internet安全设备“Firebox”系列和相应的服务器安全软件而闻名于世。l WatchGuard在全球首创了专用安全系统；首家将应用层安全结合到防火墙系统中；首创了可全面升级的整合安全网关；首创可全面升级的统一威胁管理（UTM）产品。l WatchGuard的产品包括从高端到低端的F

47、irebox X Peak、Firebox X Core 和Firebox X Edge 三大系列，均具有防火墙、VPN、网关防毒、入侵防御、网站分类过滤（WebBlocker）、垃圾邮件拦截（spamBlocker）、反间谍软件等多项网络安全与内容安全防御功能。三个系列的主要区别是应用环境不同：Firebox X Peak系列适用于高级网络环境，Firebox X Core系列适用于公司和分支机构，Firebox X Edge系列适用于中小型企业、远程办公室和远程工作人员。l WatchGuard的产品具有高安全性、易用性、较高的性价比等特点。安氏安氏4.2.6l 安氏是一家以技术著称的专业

48、信息安全公司，它成功开发了全新一代安全管理解决方案安全运行中心（Security Operation Center,简称SOC）。l 安氏公司在电信、金融等行业率先推出了整体信息安全管理方案，其主要产品是“领信”系列安全产品。天融信天融信4.2.7l 天融信公司于1996年推出了中国第一套自主版权的防火墙产品，具有填补国内空白的重要意义。随后几年又推出了VPN、IDS、过滤网关、安全审计、安全管理等一系列安全相关产品。2001年组织并构建了TOPSEC联动协议安全标准，提出了一套集各类安全产品和集中管理、集中审计为一体的TOPSEC安全解决方案。又于2004年底率先提出“可信网络架构（TNA）

49、”，强化可信安全管理在安全建设中的核心地位，通过全局安全管理，实现多层次的积极防御和综合防范。l 2000年至2004年，天融信公司市场份额连续五年均居国内安全厂商之首。据两大权威咨询机构IDC及CCID统计：天融信2004年全年防火墙市场份额超过了16%，名列所有国内外安全厂商第一位。l 天融信公司的银河防火墙（NGFW4000-UF TG-5736）是国内首款具备万兆网络接入能力的防火墙产品。网络卫士猎豹系列防火墙则采用了真正拥有的具有国产知识产权的新一代可编程安全芯片。东软东软4.2.8l 东软是中国领先的软件与解决方案提供商。l 东软的NetEye防火墙(FW)产品采用独创的基于状态包

50、过滤的“流过滤”体系结构，保证了从数据链路层到应用层的完全高性能过滤，并可以进行应用级插件的及时升级和安全威胁的有效防护，实现网络安全的动态保障。l NetEye防火墙采用NP架构，运行于NetEye安全操作系统之上，具有高吞吐量、低延迟、零丢包率和强大的缓冲能力。同时NetEye防火墙集成VPN功能，简单及人性化的虚拟通道设置，有效提高了VPN的部署灵活性、可扩展性，降低了部署维护的成本。防火墙的理论特性防火墙的理论特性1.3.2创建阻塞点创建阻塞点1 根据美国国家安全局制定的信息保障技术框架，防火墙适用于网络系统的边界（network boundary），属于用户内部网络边界安全保护设备。