网络安全设备应用与实践

网络安全设备应用与实践

穆显亮

2012/9/12

课程内容

知识子域：防火墙技术 理解防火墙的作用 理解包过滤技术、状态检测技术和应用代理技术 的原理和优缺点 掌握防火墙选择和使用中的基本注意事项

防火墙技术 什么是防火墙？ 为什么需要防火墙? 防火墙的功能 防火墙的典型部署 防火墙的分类 防火墙的工作模式 防火墙的相关技术 防火墙的弱点和局限性 选择防火墙需考虑的要素 防火墙使用中的注意事项4

防火墙技术--什么是防火墙？ 在网络间(内部/外部网 络、不同信息级别)提供 安全连接的设备； 用于实现和执行网络之间 通信的安全策略

Internet

防火墙

公司网站

防火墙技术—为什么需要防火墙? 阻止来自不可信网络的攻击 保护关键数据的完整性 维护客户对企业或机构的信任

防火墙技术--防火墙的功能 控制进出网络的信息流向和数据包，过滤不安全 的服务； 隐藏内部IP地址及网络结构的细节； 提供使用和流量的日志和审计功能； 部署NAT(Network Address Translation,网络 地址转换); 逻辑隔离内部网段，对外提供WEB和FTP; 实现集中的安全管理； 提供VPN功能。7

防火墙技术：防火墙的典型部署这是最为普通的企业环境防火墙部署案例。利用防火墙将网 络分为三个安全区域，企业内部网络，外部网络和服务器专 网(DMZ区)。不可信的网络&服务 可信网络 防火墙

Internet Intranet DMZ路由器 公开可访问的服务 & 网络

防火墙技术--防火墙的分类 防火墙从实现方式上来分 ，可分为硬件防火墙和软 件防火墙两类。硬件防火 墙通常部署在内、外部网 络之间，通过软、硬件结 合的方式来达到隔离内、 外部网络的目的；软件防 火墙可以在一个独立的机 器上运行，通过一定的规 则来达到限制非法用户访 问的目的。 从技术的发展阶段来分看 ，防火墙可分为包过滤、 应用代理和状态检测等几 大类型。

状态检测

应用代理

包过滤

防火墙的发展阶段9

防火墙技术--防火墙的相关技术 包过滤技术

应用代理技术 状态检测技术

防火墙的相关技术--包过滤(Packet filter) 在网络层检查数据包 简单的拒绝或接受策略模型 无法识别更高层协议

应用层 表示层

应用层 表示层 会话层 传输层 网络层 网络层 数据链路层 物理层

应用层 表示层

会话层传输层 网络层 数据链路层 物理层

会话层传输层 网络层 数据链路层 物理层

防火墙的相关技术--包过滤(Packet filter) 包过滤防火墙具有以下特点： 优点:

只对数据包的 IP 地址、 TCP

/UDP 协议和端 口进行分析，规则简单，处理速度较快 易于配置 对用户透明-用户访问时不需要提供额外的密 码或使用特殊的命令检查和过滤器只在网络层-不能识别应用层协 议或维持连接状态 安全性薄弱 –不能防止IP欺骗等 静态策略可能成为漏洞12

缺点：

防火墙的相关技术—应用网关或代理( Application Gateway or Proxy) 在应用层检查数据包 能够对应用或内容进行过滤 – 例如：禁止FTP的 “put”命令

防火墙的相关技术—应用网关或代理 ( Application Gateway or Proxy) 应用代理或网关防火墙具有以下特点： 优点： 可以检查应用层、传输层和网络层的协议特征，对 数据包的检测能力比较强 提供良好的安全性 - 所有数据的有效负载都在应 用层进行检查

缺点： 支持的应用数量有限，无法很好的支持新的应 用、技术和协议 对用户不透明度 性能表现欠佳14

防火墙的相关技术--状态检测 (Stateful Inspection) 内置tcp/ip协议状态机，创建状态表用于维护连接 上下文，检查每个会话连接的合法性(是否符合 tcp/ip通信原理和特征)。

能够识别和监听常用动态端口应用的协商过程，从 而自动为动态应用建立通过防火墙的安全连接。

防火墙的相关技术--状态检测( Stateful Inspection)状态检测防火墙具有以下特点： 性能大大提高 支持大量应用 在内核级实现检测过滤 在所有接口对进/出的数据包进行状态检查 支持应用层协议检查 在动态状态表中存储连接状态 检查对外的连接并预先计算出将返回的连接