安全主流产品与常见工具
个人防火墙(2)(图)
防火墙(Firewall)
• • • • 防火墙基础知识 防火墙体系结构 防火墙技术 防火墙评测指标
防火墙评测指标 (1)
• 对防火墙的评估通常包括对其功能、性
能和可用性进行测试评估。 • 对防火墙性能的测试指标主要有
–吞吐量 –延迟 –帧丢失率
防火墙评测指标 (2)
• 对防火墙的功能测试通常包含
体系结构的其他形式
• 使用多堡垒主机
• 合并内部与外部路由器
• 合并堡垒主机与外部路由器
• 使用多台外部路由器、多个周边网络 • 组合使用双重宿主主机和屏蔽子网
不宜采用的体系结构
• 合并堡垒主机与内部路由器
• 使用多台内部路由器
防火墙(Firewall)
• 防火墙基础知识 • 防火墙体系结构 • 防火墙技术
• 数据包过滤的缺点:
– 配置和检验较为困难 – 一些协议不适合数据包过滤 – 某些策略难以执行
应用代理(1)
• 是各种应用服务的转发器 • 它接收来自内部网络特定用户应用程序 的通信,然后建立与公共网络服务器单 独的连接 • 代理防火墙通常支持的一些常见的应用 程序有: HTTP、HTTPS/SSL、SMTP、POP3 等等
• 防火墙是在被保护网络与因特网之间, 或者在不同的网络之间,实施访问控制 的一种或一系列部件。
防火墙可以做什么
• 防火墙是安全决策的焦点(阻塞点)
• 防火墙能强制安全策略 • 防火墙能有效地记录网络活动
防火墙的局限性
• • • • 限制了可用性 对网络内部的攻击无能为力 不能防范不经过防火墙的攻击 不能防范因特网上不断产生的新的威胁 和攻击 • 不能完全防范恶意代码的通过
–当内部用户与一个公共主机通信时, NAT 追 踪是哪一个用户作的请求,修改传出的包, 这样包就像是来自单一的公共IP地址
个人防火墙(1)
• 是一种能够保护个人计算机系统安全的 软件,它可以直接在用户的计算机上运 行 • 可以对用户计算机的网络通信进行过滤 • 通常具有学习模式,可以在使用中不断 增加新的规则
防火墙(Firewall)
• 防火墙基础知识 • 防火墙体系结构
–双重宿主主机体系结构 –屏蔽主机体系结构 –屏蔽子网体系结构 –其他体系结构
• 防火墙技术 • 防火墙评测指标
双重宿主主机体系结构(图)
双重宿主主机体系结构
• 是最基本的防火墙系统结构 • 双重宿主主机位于外部网络和受保护网 络之间,至少有两个网络接口。所有在 这两个网络间发送的IP数据包都会经过 该主机,该主机可以对转发的IP包进行 安全检查 • 优点:构造简单 • 缺点:易受攻击
防火墙(Firewall)
• • • • 防火墙基础知识 防火墙体系结构 防火墙技术 防火墙评测指标
防火墙(Firewall)
• 防火墙基础知识
– 什么是防火墙 – 防火墙可以做什么 – 防火墙的局限性
• 防火墙体系结构 • 防火墙技术 • 防火墙评测指标
什么是防火墙(图)
Internet
什么是防火墙
安全主流产品与常见工具
课程内容
• • • • • 防火墙 VPN 内外网隔离 日志审计 入侵检测 • • • • • 隐患扫描 PKI(CA) PGP 安全加固 防病毒
课程内容
• • • • • 防火墙 VPN 内外网隔离 日志审计 入侵检测 • • • • • 隐患扫描 PKI(CA) PGP 安全加固 防病毒
应用代理(2)(图)
发送请求 客户 转发响应 应用代理 发送响应 转发请求 服务器
应用代理(3)(图)Fra bibliotek 应用代理(4)
• 它的优点是:
–对用户透明 –支持用户认证 –可以产生小并且更有效的日志。
• 它的缺点是:
–速度比较慢 –对一些新的或不常用的服务不支持
NAT(网络地址转换协议)
• • • • 可以使多个用户分享单一的IP地址 为Internet连接提供一些安全机制 可以向外界隐藏内部网结构 转换机制:
数据包过滤(2)(图)
数据包过滤(3)
• 判断依据有:
– – – – – – 数据包协议类型:TCP、UDP、ICMP、IGMP等 源、目的IP地址 源、目的端口:FTP、HTTP、DNS等 IP选项:源路由、记录路由等 TCP选项:SYN、ACK、FIN、RST等 其它协议选项:ICMP ECHO、ICMP ECHO REPLY等 – 数据包流向:in或out – 数据包流经网络接口:eth0、eth1
–数据包过滤 –应用代理 –NAT –个人防火墙
• 防火墙评测指标
数据包过滤(1)
• 数据包过滤是一个网络安全保护机制, 它用来控制流出和流入网络的数据 • 在 TCP/IP 网络中,数据都是以 IP 包的形 式传输的,数据包过滤机制就是对通过 防火墙的 IP 包进行安全检查,将通过安 去检查的 IP 包进行转发,否则就阻止通 过
–身份鉴别 –访问控制策略及功能 –密码支持 –审计 –管理 –对安全功能自身的保护
防火墙测评方法
NetScreen Vs. CheckPoint
供应商 架构 性能 NetScreen 硬件 在操作系统screenos版本 为3.0时防火墙的通透性 可以达到12Gbps之高 CheckPoint 软件 依赖于使用平台的CPU、 内存等配置,使用新技术 Application Integlligence后, 性能在原来的基础上进一 步提升了31%。 操作系统和硬件不是特定 为防火墙各项功能设计的, 因此可能会存在稳定性和 兼容方面的隐患
数据包过滤设置实例
规则 方向 1 2 3 出 入 双向 源地 址 源端 目标 目标 动作 口 地址 端口 61.X. * 内部 * * 25 拒绝 拒绝 拒绝
内部 * 211.X. * * *
数据包过滤(4)
• 数据包过滤的优点:
– 一个配置适当的数据包过滤器可以保护整个网络 – 对用户透明度高 – 易实现:大多数路由器都具有数据包过滤功能
屏蔽主机体系结构(图)
屏蔽主机体系结构
• 屏蔽主机结构将提供安全保护的堡垒主 机置于内部网上,使用一个单独的路由 器对该主机进行屏蔽 • 优点:能够提供更高层次的安全保护 • 缺点:堡垒主机一旦被攻破,整个网络 就会被攻破
屏蔽子网体系结构(图)
屏蔽子网体系结构
• 屏蔽子网结构在屏蔽主机结构基础上, 增加了一层周边网络的安全机制,使内 部网络与外部网络之间有两层隔离。 • 优点:即使堡垒主机被攻破,也不能直 接侵入内部网络。
