建立以防火墙为核心的网络安全体系课件.pptx

《建立以防火墙为核心的网络安全体系课件.pptx》由会员分享，可在线阅读，更多相关《建立以防火墙为核心的网络安全体系课件.pptx（56页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第1 1页页建立以防火墙为核心的建立以防火墙为核心的网络安全体系网络安全体系第第2 2页页 基本概念基本概念 防火墙技术发展防火墙技术发展 解决方案解决方案 防火墙安全策略防火墙安全策略 防火墙管理防火墙管理 防火墙技术发展趋势防火墙技术发展趋势第第3 3页页起步于起步于起步于起步于90909090年代初，是最早出现的且使用量最大年代初，是最早出现的且使用量最大年代初，是最早出现的且使用量最大年代初，是最早出现的且使用量最大的网络安全产品。的网络安全产品。的网络安全产品。的网络安全产品。作为一个中心作为一个中心作为一个中心作为一个中心“遏制点遏制点遏制点遏制点”，将局域网的安全管，将局域网的

2、安全管，将局域网的安全管，将局域网的安全管理集中起来。理集中起来。理集中起来。理集中起来。是标准的网间隔离设备，识别并屏蔽非法请求，是标准的网间隔离设备，识别并屏蔽非法请求，是标准的网间隔离设备，识别并屏蔽非法请求，是标准的网间隔离设备，识别并屏蔽非法请求，有效防止跨越权限的数据访问。有效防止跨越权限的数据访问。有效防止跨越权限的数据访问。有效防止跨越权限的数据访问。可与其它防火墙、可与其它防火墙、可与其它防火墙、可与其它防火墙、IDSIDSIDSIDS联动，并与联动，并与联动，并与联动，并与VPNVPNVPNVPN设备配合设备配合设备配合设备配合使用，建立层次防御体系。使用，建立层次防御体系

3、。使用，建立层次防御体系。使用，建立层次防御体系。可扫描电子邮件和可扫描电子邮件和可扫描电子邮件和可扫描电子邮件和WebWebWebWeb页面中的病毒和恶意代码。页面中的病毒和恶意代码。页面中的病毒和恶意代码。页面中的病毒和恶意代码。第第4 4页页防火墙操作层次防火墙操作层次第第5 5页页防火墙附加功能防火墙附加功能网络地址转换网络地址转换NAT动态主机配置协议动态主机配置协议DHCP加密功能如加密功能如VPN主动内容过滤技术主动内容过滤技术第第6 6页页 基本概念基本概念 防火墙技术发展防火墙技术发展 解决方案解决方案 防火墙安全策略防火墙安全策略 防火墙管理防火墙管理 防火墙技术发展趋势防

4、火墙技术发展趋势第第7 7页页包过滤防火墙包过滤防火墙状态检测防火墙状态检测防火墙应用代理网关防火墙应用代理网关防火墙混合型防火墙混合型防火墙第第8 8页页包过滤防火墙包过滤防火墙基于网络包的如下信息提供网络访问功能：基于网络包的如下信息提供网络访问功能：源地址源地址 目的地址目的地址 通信类型（具体的网络协议，经常在通信类型（具体的网络协议，经常在第第2层是层是Ethernet，在第，在第3层是层是IP)。第第4层通信会话的一些特征，如会话的层通信会话的一些特征，如会话的源与目的端口。源与目的端口。来自哪块网卡，发往哪块网卡。来自哪块网卡，发往哪块网卡。第第9 9页页包防火墙操作层次包防火墙

5、操作层次第第1010页页包防火墙的优点包防火墙的优点速度快速度快灵活灵活可以封锁拒可以封锁拒绝服务及相绝服务及相关攻击关攻击是置于与不可是置于与不可信网络相连的信网络相连的最外边界之理最外边界之理想设备想设备第第1111页页包防火墙简单布署图包防火墙简单布署图第第1212页页包防火墙的缺点包防火墙的缺点不能阻止利用具体应用的弱点或不能阻止利用具体应用的弱点或功能的攻击功能的攻击日志内容少日志内容少不支持高级用户鉴别方案不支持高级用户鉴别方案不能防止网络地址假冒攻击不能防止网络地址假冒攻击容易受配置不当的影响容易受配置不当的影响第第1313页页结论结论包过滤防火墙非常适合于审计包过滤防火墙非常适

6、合于审计和用户鉴别不重要的高速环境。和用户鉴别不重要的高速环境。有利于实施高可用性及有利于实施高可用性及failover方案。方案。第第1414页页状态检测防火墙操作层次状态检测防火墙操作层次第第1515页页状态检测防火墙建立连接状态表，记录外状态检测防火墙建立连接状态表，记录外出的出的TCP连接及相应的高编号客户端口，连接及相应的高编号客户端口，以验证任何进入的通信是否合法。以验证任何进入的通信是否合法。防火墙跟踪客户端口，而不是打开全部高防火墙跟踪客户端口，而不是打开全部高编号端口给外部访问，因而更安全。编号端口给外部访问，因而更安全。具有包过滤防火墙的优缺点。具有包过滤防火墙的优缺点。目

7、前的状态检测技术仅可用于目前的状态检测技术仅可用于TCP/IP网网络络。第第1616页页应用代理网关防火墙操作层次应用代理网关防火墙操作层次第第1717页页应用代理网关防火墙的优点应用代理网关防火墙的优点日志能力强日志能力强支持直接的用户鉴别支持直接的用户鉴别可在一定程度上防止地址假冒攻击可在一定程度上防止地址假冒攻击第第1818页页应用代理网关防火墙的缺点应用代理网关防火墙的缺点降低了防火墙的吞吐率，不适合高降低了防火墙的吞吐率，不适合高带宽或实时应用。带宽或实时应用。对新网络应用与协议的支持有限，对新网络应用与协议的支持有限，大多数应用代理网关防火墙开发商大多数应用代理网关防火墙开发商提供

8、通用代理以支持未定义的网络提供通用代理以支持未定义的网络协议或应用，在一定程度上限制了协议或应用，在一定程度上限制了应用代理网关架构优点的发挥。应用代理网关架构优点的发挥。第第1919页页典型的应用代理典型的应用代理第第2020页页专用代理服务器专用代理服务器保留通信的代理控制，但不含有防保留通信的代理控制，但不含有防火墙能力火墙能力减轻防火墙的处理负载，执行专门减轻防火墙的处理负载，执行专门的过滤、审计及的过滤、审计及Web和和Email内容内容扫描扫描第第2121页页应用代理布署图应用代理布署图第第2222页页混合型防火墙混合型防火墙包过滤或状态检测防火墙实现基本的包过滤或状态检测防火墙实

9、现基本的应用代理功能，以提供较好的网络通应用代理功能，以提供较好的网络通信审计与用户鉴别。信审计与用户鉴别。应用代理网关防火墙实现基本的包过应用代理网关防火墙实现基本的包过滤功能，更好地支持基于滤功能，更好地支持基于UDP的应用。的应用。在选择防火墙产品时，应以其支持的在选择防火墙产品时，应以其支持的特征集而不是防火墙产品分类为依据。特征集而不是防火墙产品分类为依据。第第2323页页 基本概念基本概念 防火墙技术发展防火墙技术发展 解决方案解决方案 防火墙安全策略防火墙安全策略 防火墙管理防火墙管理 防火墙技术发展趋势防火墙技术发展趋势第第2424页页布署防火墙的四个原则布署防火墙的四个原则尽

10、量简单尽量简单物尽其用物尽其用建立层次防护建立层次防护注意内部威胁（将内部注意内部威胁（将内部Web、Email服服务器或财务系统等重要系统置于内部务器或财务系统等重要系统置于内部防火墙后面或防火墙后面或DMZ中）。中）。第第2525页页DMZ网络网络第第2626页页设置设置DMZ的优点的优点将外面可访问的服务器置于将外面可访问的服务器置于DMZ中，中，可减少远程攻击者使用这些服务器作可减少远程攻击者使用这些服务器作为攻击专用网的带菌媒介的可能性。为攻击专用网的带菌媒介的可能性。同时可专门控制用户对这些系统的访同时可专门控制用户对这些系统的访问权限。问权限。第第2727页页服务支路配置服务支路

11、配置第第2828页页VPN第第2929页页VPN服务器的放置服务器的放置在大多数情况下，最好将在大多数情况下，最好将VPN服务器服务器放在防火墙上。如果将放在防火墙上。如果将VPN服务器放服务器放在防火墙后面，即将穿过防火墙外出在防火墙后面，即将穿过防火墙外出的的VPN通信将被加密，防火墙就不能通信将被加密，防火墙就不能检查通信，执行访问控制、审计及扫检查通信，执行访问控制、审计及扫描病毒等。描病毒等。第第3030页页Intranet/Extranet第第3131页页基础构件：基础构件：Hub&SwitchHubHub工作在物理层，为网络系统或资源提供物理上工作在物理层，为网络系统或资源提供物

12、理上工作在物理层，为网络系统或资源提供物理上工作在物理层，为网络系统或资源提供物理上的悬挂点。的悬挂点。的悬挂点。的悬挂点。HubHub允许任何连在上面的设备监视网络允许任何连在上面的设备监视网络允许任何连在上面的设备监视网络允许任何连在上面的设备监视网络通信，不易用于建立通信，不易用于建立通信，不易用于建立通信，不易用于建立DMZDMZ或防火墙环境。或防火墙环境。或防火墙环境。或防火墙环境。网络网络网络网络SwitchSwitch工作在数据链路层，本质上是一个多端工作在数据链路层，本质上是一个多端工作在数据链路层，本质上是一个多端工作在数据链路层，本质上是一个多端口桥，可传送全网络带宽给每一

13、个端口。连接到口桥，可传送全网络带宽给每一个端口。连接到口桥，可传送全网络带宽给每一个端口。连接到口桥，可传送全网络带宽给每一个端口。连接到SwitchSwitch上的系统不能互相窃听，可用于实现上的系统不能互相窃听，可用于实现上的系统不能互相窃听，可用于实现上的系统不能互相窃听，可用于实现DMZDMZ网网网网和防火墙环境。和防火墙环境。和防火墙环境。和防火墙环境。由于类似于由于类似于由于类似于由于类似于DOSDOS的攻击能使的攻击能使的攻击能使的攻击能使SwitchSwitch用包淹没连接的用包淹没连接的用包淹没连接的用包淹没连接的网络，不能在防火墙外面用网络，不能在防火墙外面用网络，不能在

14、防火墙外面用网络，不能在防火墙外面用SwitchSwitch提供通信隔离。提供通信隔离。提供通信隔离。提供通信隔离。SwitchSwitch的子网隔离能力将影响的子网隔离能力将影响的子网隔离能力将影响的子网隔离能力将影响IDSIDS的布署与实现。的布署与实现。的布署与实现。的布署与实现。第第3232页页IDS用于通报及在某些情况下阻止对网络用于通报及在某些情况下阻止对网络系统或资源的未授权访问。系统或资源的未授权访问。许多许多IDS可与防火墙交互，实现联动。可与防火墙交互，实现联动。与与IDS交互的防火墙能自动对察觉到的交互的防火墙能自动对察觉到的远程威胁作出反应，没有人工反应中远程威胁作出反

15、应，没有人工反应中的延迟。的延迟。第第3333页页基于主机的基于主机的IDS集成于操作系统中。集成于操作系统中。能在高粒度层探测威胁。能在高粒度层探测威胁。问题：问题：影响系统性能及稳定性；影响系统性能及稳定性；不能注意到基于网络的攻击，不能注意到基于网络的攻击，如如DOS。第第3434页页基于网络的基于网络的IDS可以监视多个系统和资源。可以监视多个系统和资源。问题：问题：会漏掉分散在多个包中的攻击特征。会漏掉分散在多个包中的攻击特征。依赖于混杂模式网络接口。依赖于混杂模式网络接口。易被攻击。易被攻击。在遭到在遭到DOS攻击时，许多攻击时，许多IDS失效。失效。第第3535页页IDS布署图布

16、署图第第3636页页DNS内部域名服务器应与外部域名内部域名服务器应与外部域名服务器分开（服务器分开（Split DNS技术）。技术）。必须控制必须控制DNS允许的访问类型。允许的访问类型。第第3737页页DNS布署图布署图第第3838页页防火墙环境中服务器的放置防火墙环境中服务器的放置应考虑的因素：应考虑的因素：应考虑的因素：应考虑的因素：DMZ DMZ的个数、外部和内部对的个数、外部和内部对的个数、外部和内部对的个数、外部和内部对DMZDMZ中服务器的访中服务器的访中服务器的访中服务器的访问要求、通信量及数据敏感程度。问要求、通信量及数据敏感程度。问要求、通信量及数据敏感程度。问要求、通信

17、量及数据敏感程度。放置指南：放置指南：放置指南：放置指南：用边界路由器用边界路由器用边界路由器用边界路由器/包过滤保护外部服务器；包过滤保护外部服务器；包过滤保护外部服务器；包过滤保护外部服务器；将内部服务器置于内部防火墙后面；将内部服务器置于内部防火墙后面；将内部服务器置于内部防火墙后面；将内部服务器置于内部防火墙后面；隔离服务器，使得对服务器的攻击不影响网络隔离服务器，使得对服务器的攻击不影响网络隔离服务器，使得对服务器的攻击不影响网络隔离服务器，使得对服务器的攻击不影响网络中的其它计算机系统。中的其它计算机系统。中的其它计算机系统。中的其它计算机系统。第第3939页页服务器布署图服务器布

18、署图第第4040页页 基本概念基本概念 防火墙技术发展防火墙技术发展 解决方案解决方案 防火墙安全策略防火墙安全策略 防火墙管理防火墙管理 防火墙技术发展趋势防火墙技术发展趋势第第4141页页防火墙策略防火墙策略防火墙策略指示防火墙怎样处防火墙策略指示防火墙怎样处理应用通信如理应用通信如Web、Email或或telnet。描述怎样管理与更新。描述怎样管理与更新防火墙。防火墙。第第4242页页建立防火墙策略的步骤建立防火墙策略的步骤风险分析风险分析风险分析风险分析威胁威胁威胁威胁脆弱性脆弱性脆弱性脆弱性对策对策对策对策成本效益分析成本效益分析成本效益分析成本效益分析建立防火墙规则集建立防火墙规则

19、集建立防火墙规则集建立防火墙规则集第第4343页页测试防火墙策略测试防火墙策略1、根据定义的策略，检查防火墙、根据定义的策略，检查防火墙配置。配置。2、对防火墙进行实地配置测试。、对防火墙进行实地配置测试。3、使用安全评估工具测试防火墙、使用安全评估工具测试防火墙系统本身。系统本身。第第4444页页防火墙实现方法防火墙实现方法第一种是硬件防火墙，如第一种是硬件防火墙，如Netscreen防火防火墙，利用墙，利用ASIC技术实现防火墙软件。这技术实现防火墙软件。这种防火墙速度快，且不受操作系统本身种防火墙速度快，且不受操作系统本身安全脆弱性的影响。安全脆弱性的影响。第二种是基于第二种是基于PC构

20、架、使用经过定制的构架、使用经过定制的通用操作系统的防火墙。这种防火墙可通用操作系统的防火墙。这种防火墙可扩展性强，但易受操作系统本身脆弱性扩展性强，但易受操作系统本身脆弱性影响。影响。第第4545页页防火墙维护与管理防火墙维护与管理第一种机制是命令行界面配置。技术熟练的管第一种机制是命令行界面配置。技术熟练的管第一种机制是命令行界面配置。技术熟练的管第一种机制是命令行界面配置。技术熟练的管理员配置防火墙，当出现紧急情况时可以作出理员配置防火墙，当出现紧急情况时可以作出理员配置防火墙，当出现紧急情况时可以作出理员配置防火墙，当出现紧急情况时可以作出快速反应。快速反应。快速反应。快速反应。第二种

21、机制是通过图形用户界面（包括基于第二种机制是通过图形用户界面（包括基于第二种机制是通过图形用户界面（包括基于第二种机制是通过图形用户界面（包括基于WebWeb的配置界面）配置防火墙。图形界面简单、的配置界面）配置防火墙。图形界面简单、的配置界面）配置防火墙。图形界面简单、的配置界面）配置防火墙。图形界面简单、配置快，但配置粒度有限。配置快，但配置粒度有限。配置快，但配置粒度有限。配置快，但配置粒度有限。对于任何一种，必须保证防火墙管理信息的传对于任何一种，必须保证防火墙管理信息的传对于任何一种，必须保证防火墙管理信息的传对于任何一种，必须保证防火墙管理信息的传输安全。对于基于是输安全。对于基于

22、是输安全。对于基于是输安全。对于基于是WebWeb的界面，可使用的界面，可使用的界面，可使用的界面，可使用SSLSSL加密、用户加密、用户加密、用户加密、用户IDID和口令。和口令。和口令。和口令。第第4646页页 基本概念基本概念 防火墙技术发展防火墙技术发展 解决方案解决方案 防火墙安全策略防火墙安全策略 防火墙管理防火墙管理 防火墙技术发展趋势防火墙技术发展趋势第第4747页页访问防火墙平台访问防火墙平台最常用的攻击方法是利用防最常用的攻击方法是利用防火墙的远程管理资源。流行火墙的远程管理资源。流行的控制方法：加密、强用户的控制方法：加密、强用户鉴别及用鉴别及用IP地址限制访问。地址限制

23、访问。第第4848页页防火墙平台操作系统防火墙平台操作系统、去掉操作系统中不用的网络协议。、去掉操作系统中不用的网络协议。、去掉操作系统中不用的网络协议。、去掉操作系统中不用的网络协议。、去掉或关闭不用的网络服务或应用。、去掉或关闭不用的网络服务或应用。、去掉或关闭不用的网络服务或应用。、去掉或关闭不用的网络服务或应用。、去掉或关闭不用的用户或系统帐号。、去掉或关闭不用的用户或系统帐号。、去掉或关闭不用的用户或系统帐号。、去掉或关闭不用的用户或系统帐号。、给操作系统打补丁。、给操作系统打补丁。、给操作系统打补丁。、给操作系统打补丁。、去掉或关闭服务器中不用的物理网络、去掉或关闭服务器中不用的物

24、理网络、去掉或关闭服务器中不用的物理网络、去掉或关闭服务器中不用的物理网络接口（网卡）。接口（网卡）。接口（网卡）。接口（网卡）。第第4949页页防火墙热恢复策略防火墙热恢复策略两种方法两种方法、采用网络、采用网络Switch提供负载均衡及提供负载均衡及热恢复功能。热恢复功能。Switch监视主防火墙的响应，监视主防火墙的响应，在主防火墙出故障时将全部通信转移到备在主防火墙出故障时将全部通信转移到备份防火墙。份防火墙。、采用、采用“心跳心跳”机制。备份防火墙机制。备份防火墙监视主防火墙的心跳，在主防火墙出故障监视主防火墙的心跳，在主防火墙出故障时代替之。时代替之。第第5050页页 基本概念基本

25、概念 防火墙技术发展防火墙技术发展 解决方案解决方案 防火墙安全策略防火墙安全策略 防火墙管理防火墙管理 防火墙技术发展趋势防火墙技术发展趋势第第5151页页1、多级过滤、多级过滤在网络层，过滤掉全部源路由分组在网络层，过滤掉全部源路由分组和假冒的和假冒的IP源地址；在传输层，遵源地址；在传输层，遵循过滤规则，过滤掉所有禁止出循过滤规则，过滤掉所有禁止出入的协议和有害数据包；在应用层，入的协议和有害数据包；在应用层，利用等各种网关，控制和监视利用等各种网关，控制和监视Internet提供的通用服务。提供的通用服务。第第5252页页、形成安全体系、形成安全体系将防火墙与将防火墙与IDS、VPN、

26、病毒检测、病毒检测等相关安全产品联合起来，充分发等相关安全产品联合起来，充分发挥各自的长处，协同配合，建立以挥各自的长处，协同配合，建立以防火墙为核心的网络安全防范体系，防火墙为核心的网络安全防范体系，提升网络系统的安全性。提升网络系统的安全性。第第5353页页第第5454页页、网络安全设备的集中控管、网络安全设备的集中控管设置网络安全设备管理中心，按照统一的设置网络安全设备管理中心，按照统一的安全策略，安全策略，构建安全防护与监控体系，统构建安全防护与监控体系，统一监控管理防火墙、入侵检测、漏洞扫描、一监控管理防火墙、入侵检测、漏洞扫描、防病毒等网络安全产品，使之互相协同工防病毒等网络安全产

27、品，使之互相协同工作，进行数据相关性、综合性分析和处理，作，进行数据相关性、综合性分析和处理，为机构的网络安全提供战略指导，达到整为机构的网络安全提供战略指导，达到整体、动态、立体的安全防护和监控目的。体、动态、立体的安全防护和监控目的。第第5555页页北大青鸟将在信息安全领域北大青鸟将在信息安全领域作出自己的贡献！作出自己的贡献！Thank you！1、有时候读书是一种巧妙地避开思考的方法。5月-235月-23Monday,May 1,20232、阅读一切好书如同和过去最杰出的人谈话。16:49:0816:49:0816:495/1/2023 4:49:08 PM3、越是没有本领的就越加自命

28、不凡。5月-2316:49:0816:49May-2301-May-234、越是无能的人，越喜欢挑剔别人的错儿。16:49:0816:49:0816:49Monday,May 1,20235、知人者智，自知者明。胜人者有力，自胜者强。5月-235月-2316:49:0816:49:08May 1,20236、意志坚强的人能把世界放在手中像泥块一样任意揉捏。01五月20234:49:08下午16:49:085月-237、最具挑战性的挑战莫过于提升自我。五月234:49下午5月-2316:49May 1,20238、业余生活要有意义，不要越轨。2023/5/116:49:0816:49:0801

29、May 20239、一个人即使已登上顶峰，也仍要自强不息。4:49:08下午4:49下午16:49:085月-2310、你要做多大的事情，就该承受多大的压力。5/1/2023 4:49:08 PM16:49:0801-5月-2311、自己要先看得起自己，别人才会看得起你。5/1/2023 4:49 PM5/1/2023 4:49 PM5月-235月-2312、这一秒不放弃，下一秒就会有希望。01-May-2301 May 20235月-2313、无论才能知识多么卓著，如果缺乏热情，则无异纸上画饼充饥，无补于事。Monday,May 1,202301-May-235月-2314、我只是自己不放过自己而已，现在我不会再逼自己眷恋了。5月-2316:49:0801 May 202316:49谢谢大家谢谢大家