《网络信息安全》教程 第十章 防火墙技术及其应用
石鉴
e-mail:
报告内容
• 基本概念 • 防火墙配置模式 • 防火墙相关技术 • 几个新的方向
基本概念
• 防火墙定义 • 为什么需要防火墙 • 对防火墙的两大需求 • 防火墙系统四要素 • 防火墙技术的发展过程 • 引入防火墙技术的好处 • 争议及不足
分布式防火墙
分布式防火墙 (续一)
安全增强方面
• – 严格MAC 在不同安全级别网络间传递 文件
• DTE Firewall – 采用一种基于表的MAC 较为灵活
• 安全网关
安全网关
安全网关 (续一)
安全网关 (续二)
安全网关 (续三)
学习总结
经常不断地学习,你就什么都知道。你知道得越多,你就越有力量 Study Constantly, And You Will Know Everything. The More
网络地址翻译 (NAT)
虚拟专用网 (VPN)
各级网络安全技术
报告内容
• 基本概念 • 防火墙配置模式 • 防火墙相关技术 • 几个新的方向
关于防火墙技术的一些观点
• 防火墙技术是一项已成熟的技术 • 目前更需要的是提高性能尤其是将它集 成到更大的安全环境中去时 – 用户界面和管理 – 互操作性 – 标准化 • 当然其他方面的改进也是存在的
报告内容
• 基本概念 • 防火墙配置模式 • 防火墙相关技术 • 几个新的方向
防火墙相关技术
• 静态包过滤 • 动态包过滤 • 应用程序网关(代理服务器) • 电路级网关 • 网络地址翻译 • 虚拟专用网
静态包过滤
包过滤示例
包过滤示例 (续)
动态包过滤
• Check point一项称为“Stateful Inspection”的技术 • 可动态生成/删除规则 • 分析高层协议
防火墙定义
防火墙是位于两个(或多个)网络间,实施 网间访问控制的一组组件的集合,它满足 以下条件: – 内部和外部之间的所有网络数据流必 须经过防火墙 – 只有符合安全政策的数据流才能通过 防火墙 – 防火墙自身应对渗透(peneration)免
为什么需要防火墙
Why Security is Harder than it Looks
防火墙系统四要素
• 安全策略 • 内部网 • 外部网 • 技术手段
防火墙技术发展过程
• 20世纪70年代和80年代多级系统和安全 模型吸引了大量的研究 • 屏蔽路由器网关 • 防火墙工具包 • 商业产品防火墙 • 新的发展
防火墙技术带来的好处
• 强化安全策略 • 有效地记录Internet上的活动 • 隔离不同网络限制安全问题扩散 • 是一个安全策略的检查站
双宿主机模式
多宿主机模式
屏蔽主机模式
实施中的其他问题
• 最少服务最小特权原则 • 使用多堡垒主机 • 合并内部路由器与外部路由器 • 合并堡垒主机与外部路由器 • 合并堡垒主机与内部路由器 • 使用多台内部路由器 • 使用多台外部路由器 • 使用多个周边网络 • 使用双重宿主主机与屏蔽子网
上一个示例的另一种解法 (续)
包过滤技术的一些实现
应用程序网关 (代理服务器)
应用程序网关的一些实现
电路级网关
• 拓扑结构同应用程序网关相同 • 接收客户端连接请求代理客户端完 成网络连接 • 在客户和服务器间中转数据 • 通用性强
电路级网关实现方式
电路级网关的一些实现
• Socks • Winsock • Dante
争议及不足
报告内容
• 基本概念 • 防火墙配置模式 • 防火墙相关技术 • 几个新的方向
防火墙简图
防火墙的位置
默认安全策略
• 没有明确禁止的行为都是允许的 • 没有明确允许的行为都是(dualhomed/multi-homed) • 屏蔽主机模式 • 屏蔽子网模式
内部网特点
• 组成结构复杂 • 各节点通常自主管理 • 信任边界复杂缺乏有效管理 • 有显著的内外区别 • 机构有整体的安全需求 • 最薄弱环节原则
为什么需要防火墙
• 保护内部不受来自Internet的 攻击 • 为了创建安全域 • 为了增强机构安全策略
对防火墙的两大需求
• 保障内部网安全 • 保证内部网同外部网的连通
You Know, The More Powerful You Will Be
结束语
当你尽了自己的最大努力时，失败 也是伟大的，所以不要放弃，坚持 就是正确的。
When You Do Your Best, Failure Is Great, So Don'T Give Up, Stick To The End
演讲人：XXXXXX 时 间：XX年XX月XX日