1、第七章 外部安全和防火墙技术,7.1 防火墙的定义和功能,防火墙(FireWall)是一种隔离控制技术,在某个机构的网络和不安全的网络(如Internet)之间设置屏障,阻止对信息资源的非法访问,也可以使用防火墙阻止专利信息从企业的网络上被非法输出。 防火墙作为以一种网络安全部件,他可以使硬件也可以使软件,还可能是软硬件的结合。,防火墙的特点,1、广泛的服务支持:通过将动态的、应用层的过滤能力和认证相结合,可实现WWW浏览器、HTTP服务器、 FTP等; 2、对私有数据的加密支持:保证通过Internet进行虚拟私人网络和商务活动不受损坏; 3、客户端认证只允许指定的用户访问内部网络或选择服务
2、:企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分; 4、反欺骗:欺骗是从外部获取网络访问权的常用手段,它使数据包好似来自网络内部。防火墙能监视这样的数据包并能扔掉它们; 5、C/S模式和跨平台支持:能使运行在一平台的管理模块控制运行在另一平台的监视模块。,7.2 防火墙的分类,7.2.1从软、硬件形式上的分类软件防火墙硬件防火墙芯片级防火墙,硬件防火墙,这里说的硬件防火墙是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁
3、剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。,芯片级防火墙,芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。,7.2.2从防火墙技术上的分类,“包过滤型”防火墙 “应用代理型”防火墙,1、包过滤(Packet Fliter),包过滤(PacketFliter)通常安装在路由器上,而且大多数商用路由器都提供了包过滤的功能。
4、包过滤规则以IP包信息为基础,对IP源地址、目标地址、封装协议、端口号等进行筛选。包过滤在网络层进行。它是一种通用、廉价和有效的安全手段。,包过滤的发展过程,在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本:第一代静态包过滤 第二代动态包过滤,第一代 静态包过滤类型防火墙,这类防火墙几乎是与路由器同时产生的,它是根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。,第二代 动态包过滤类型防火墙,这类防
5、火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。这种技术后来发展成为包状态监测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目。,2、应用代理(Application Proxy)型,第一代 应用网关型代理防火,第二代 自适应代理防火墙,3. 从防火墙结构分类,从防火墙结构上分,防火墙主要有单一主机防火墙路由器集成式防火墙分布式防火墙,单一主机防火墙,单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。这种防火墙其实与一台计算机结构差不多,但我们不能说它就与我
6、们平常的PC机一样,因为它的工作性质,决定了它要具备非常高的稳定性、实用性,具备非常高的系统吞吐性能,中、高档的路由器中已集成了防火墙功能,还有的防火墙已不再是一个独立的硬件实体,而是由多个软、硬件组成的系统,这种防火墙,俗称“分布式防火墙”。,4. 按防火墙的应用部署位置分类,边界防火墙 个人防火墙 混合防火墙,边界防火墙,边界防火墙是最为传统的那种,它们于内、外部网络的边界,所起的作用的对内、外部网络实施隔离,保护边界内部网络。这类防火墙一般都是硬件类型的,价格较贵,性能较好。,个人防火墙,个人防火墙安装于单台主机中,防护的也只是单台主机。这类防火墙应用于广大的个人用户,通常为软件防火墙,
7、价格最便宜,性能也最差。,混合式防火墙,混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。,7.3 防火墙产品,国外的产品:checkpoint,cisco,NAI,Trend Micro,Netscreen,Gauntlet,watch guard,IBM,norton 国内的产品有:天融信、天网、金山网彪、东大阿尔派、联想网御、北信源、青鸟、网眼、清华得实、清华紫光、清华顺风
8、、KILL、中网、上海华依、东方龙马、实达郎新、中科网威、 中科安胜、 海信、四川能士等等。,虚拟专用网 VPN 简介,虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。,Cisco Secure PIX 525防火墙,Cisco Secure PIX 525防火墙是世界领先的Cisco Secure PIX防火墙系列的组成部分,能够为当今的网络客户
9、提供无与伦比的安全性、可靠性和性能。它所提供的完全防火墙保护以及IP安全虚拟专网(VPN)能力使特别适合于保护企业总部的边界。,Internet的发展为企业、政府和专用网络带来了更大的安全风险。Cisco Secure PIX防火墙能够提供空前的安全保护能力,它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法(ASA)。 静态安全性虽然比较简单,但与包过滤相比,功能却更加强劲;另外,与应用层代理防火墙相比,其性能更高,扩展性更强。ASA可以跟踪源和目的地址、传输控制协议(TCP)序列号、端口号和每个数据包的附加TCP标志。只有存在已确定连接关系的正确的连接时,访问才被允许通过C
10、isco Secure PIX防火墙。 这样做,内部和外部的授权用户就可以透明地访问企业资源,而同时保护了内部网络不会受到非授权访问的侵袭。,主要特性和优点Cisco端到端解决方案的组成部分 - 允许各公司将经济高效、无缝的网络基础设施扩展到分支机构。 最低的拥有成本 - 安装、配置简单,网络中断时间更少。另外,允许透明地支持Internet多媒体应用,不再需要实际调整和重新配置每一台客户工作站或PC机。 非UNIX的安全、实时和嵌入式系统 - 消除了通用操作系统所带来的风险,提供了突出的性能。 基于标准的虚拟专网 - 使管理员可以降低通过Internet或其它公共IP网络将移动用户和远程站点
11、与企业网络相连的成本。 自适应安全算法 - 为所有的TCP/IP对话提供静态安全性,以保护敏感的保密资源。,静态故障切换/热备用 - 提供高可用性,使网络可靠性最大。网络地址转换(NAT)- 节省宝贵的IP地址;扩展网络地址空间;隐藏IP地址,使之不被外部得到。 截断通过代理 - 提供业界最高的认证性能;通过重新使用现有认证数据库降低拥有成本。 多种网络接口卡 - 为Web和所有其它的公共访问服务器、与不同合作伙伴的多种外部网链路、得到保护的记录和URL过滤服务器提供强大的安全性。 支持多达28万个同时连接 - 部署很少的防火墙就能极大地提高代理服务器的性能。 防止拒绝服务攻击 - 保护防火墙
12、及其后面的服务器和客户机不受破坏性的黑客攻击。 支持各种应用 - 全面降低防火墙对网络用户的影响。,Java Applet过滤 - 使防火墙可以在每个客户机或每个IP地址上终止具有潜在危险的Java应用。 支持多媒体应用 - 降低了支持这些协议所需要的管理时间和成本。无需特殊的客户机配置。 设置简单 - 只需6条命令就能实现一般的安全策略。 紧凑设计 - 可以更加容易地部署在桌面或更小的办公设置中。 URL过滤 - 当与Websense企业软件配合使用时,可以提供控制哪些Web站点的用户可以出于计费的目的来访问和维护审计跟踪数据的能力。对PIX防火墙性能的影响最小。 邮件保护 - 不再需要外部
13、邮件在外围网络中转发,也防止了外部邮件转发过程中的拒绝服务攻击,技术规范,硬件 处理器:600MHz Intel Pentium III 随机读写内存:高达256 MB 闪存:16 MB 接口:双集成10 Base-T快速以太网,RJ45 PCI插槽:3个 控制台端口:RJ-45 设备更新处理:仅使用小型文件传输协议(TFTP) 故障切换端口:DB-15(RS 232),限制软件 包含有限软件许可证的PIX 525提供了入门级的企业安全和性能。525-R包括128MB的RAM,能够使用多达6个10/100快速以太网接口。 无限制软件 包含有无限制许可证的PIX 525是为大型企业而设计,能够提
14、供所有PIX 525-R的功能。另外,525-UR还增加了静态切换到备用PIX防火墙的能力,支持并又增加了两个(总共8个)10/100快速以太网端口。它具备足够的能力来处理28万同时连接,纯文本吞吐量高达370 Mbps。,天网千兆防火墙,产品概述:天网千兆防火墙是一个千兆级别的网络安全系统,面向需要进行大量数据处理与交换的应用环境,包括有:电子商务站点、电信骨干交换网络以及校园骨干交换网络等。天网千兆防火墙集合了基本防火墙系统和虚拟专网安全功能,并且通过千兆网络接口来对进出防火墙的数据进行处理。天网千兆防火墙利用优化的内核把硬件的高效数据交换能力和系统并行处理能力进行有效的结合,实现了高性能
15、、高处理能力和高安全性的防火墙系统,完全能满足各种宽带网络应用服务的数据处理要求,并且能适应更多的高要求的应用环境。,电子商务站点需要高性能的防火墙安全,但传统的基于软件的防火墙达不到电子商务站点的要求。大规模的并发连接和普通的黑客攻击,如:sys flood, 可以轻易的使基于软件的防火墙垮掉。不合适的防火墙会使电子商务陷于瘫痪。现在的电子商务站点需要支持数以万计的并发连接,网络安全设备需要支持大量的用户连接并对上万个请求同时进行回应。许多站点依靠额外的网络设备来在多个防火墙之间达到负载平衡。多防火墙系统的管理是困难的,因为管理员要在各台防火墙之间做到同步。,天网千兆防火墙支持多达50000
16、0个并发连接,可以满足高通信量的电子商务站点的要求。由于许多主机都是象征性的处于同一地点,天网千兆防火墙支持VPN模式,使主机之间的数据和命令在一个“安全隧道”之中传输(这个安全隧道其实是在公共网络之中,但因为防火墙将数据加了密,使其看起来就好像在一条隧道中传送一样)。千兆防火墙还支持高实用性的双机热备份,其软件可以保持正在进行的并发连接。这就保证了即使系统出现故障,连接仍然可以保持,消费者不会因受到损失而转向别的站点。,CheckPoint 防火墙,i-Security安全系列 SP-3040 i-Security SP-3040是一个经过预配置的专业型安全防火墙,适合中小型企业级客户使用。
17、 使用了领先市场的Check Point 防火墙/VPN安全软件和SecurePlatform安全操作系统,紧密结合具备i-Security 独有的SEC(Security Enhancement Chip)硬件及TOE网络优化处理的硬件平台,i-Security SP-3040的安全性与性能是毋庸置疑的。,系统性能特点 预安装Check Point Firewall-1, VPN-1 让您轻松地实施及部署 标准配置4 x 10/100Mbps RJ-45 接口 防火墙吞吐量: 400 Mbps 并发连接数: 300,000 策略数: 无限 最高VPN 流量: 90 Mbps,SP-4060,
18、i-Security SP-4060是一个经过预配置的专业型安全防火墙,适合中型企业级客户使用。 使用了领先市场的Check Point防火墙/VPN安全软件和SecurePlatform安全操作系统,紧密结合具备i-Security 独有的SEC(Security Enhancement Chip)硬件及TOE网络优化处理的硬件平台,i-Security SP-4060的安全性与性能是毋庸置疑的。 具备了3个千兆铜缆网络接口及3个百兆网口,SP-4060已经具备中型客户所需要的网络布局要求,从外网、内网、DMZ,亦预备了网口作为高可用性双机热备的同步需求。特别适合中型企业关键网络的应用。,系
19、统性能特点 预安装Check Point Firewall-1, VPN-1 让您轻松地实施及部署 默认网络端口3x 10/100/1000M、3x 10/100M,网络端口扩展2x 百兆 或 2x 千兆电口 防火墙吞吐率: 1.2 Gbps 最高VPN 流量:240 Mbps 最高并发连接数:800,000 策略数: 无限,SP-4500,一体化集成的高可用性解决方案 i-Security 的SP4500是一个全面状态检测的防火墙,预安装Check Point SecurePlatform系统平台和FireWall-1/VPN-1,用户完全无忧于硬件的安装及其兼容性。 SP-4500的4个标
20、配千兆、可扩展至12个千兆网口,及其热插拔电源冗余和硬盘镜像的硬件级的高可用性,完全可以满足大型企业的网络需求。,系统性能特点 预安装Check Point SecurePlatform,Firewall-1/VPN-1 免去安装烦恼 4个10/100/1000兆以太网口,可扩展至12口,提供4.8G的防火墙吞吐率 防火墙吞吐率:4.8 Gbps 最高VPN 流量:1.2 Gbps 最高并发连接数:1,500,000 策略数: 无限 高可用性: 电源冗余/硬盘镜像/多机热备ClusterXL,NS-500安全系统 NetScreen-500 NetScreen-500 是一个定制化、高性能的安
21、全系统, 针对中型和大型企业的总部服务供应商而提供灵活、高性能的解决方案。 NetScreen-500 安全系统把防火墙、DoS、VPN 和流量管理等功能集成在扁薄型的标准机壳中。 它可以为防火墙和VPN提供很高水平的总体吞吐量, 并能够支持虚拟系统和安全区划分。 灵活而富弹性的硬件结构同模块化物理接口、冗余电源、风扇和高可用性接口相结合, NetScreen-500 可以轻松支持大多数企业典型的流量条件。它特别适合于满足最苛刻环境下的峰值负载和很高的防御需求。,Net Screen 防火墙,Juniper Networks NetScreen-500 防火墙性能 700 Mbps 3DES
22、性能 250Mbps 深度检测性能 300Mbps 并行会话数 250, 000 每秒处理新会话数目 18, 000 策略数目 (Policies) 20, 000 接口 8 个10/100 Base-T 或者mini-GBIC(SX 或LX), 4 个GBIC (SX 或LX),ISA Sever 简介,Microsoft ISA Sever 囊括了网管们所关注的集安全防火墙、VPN、缓存器于一体的特性,ISA Server 的设计目标正是为了防止最新的 Internet 攻击和蠕虫危害。 ISA Server 2006 是集成的边界安全网关,可帮助保护企业IT 环境免于基于 Interne
23、t 的威胁,同时通过安全地、随时、随地访问 Microsoft 应用系统和数据,使您的用户能具有更强的生产能力。ISA Server 2006 帮助企业保护Microsoft 应用系统体系构架,流水化操作企业网络,并维护企业IT 环境的安全.,ISA Server 2006 提供两个版本:标准版和企业版。ISA Server主要由以下三方面的功能。 保护企业的Microsoft 应用系统体系构架,通过状态信息包检测、应用层过滤、和全面的发布工具,穿越不同的网络层面,保护您企业的应用系统、服务、和数据。 改善企业的IT网络,使用统一的防火墙,以及结合了 Web 缓存、带宽管理、及全面的访问控制的
24、 VPN,简化管理和用户体验。 保护您的 IT 环境,使用细化策略,以及深入扫描和屏蔽有害内容及 Web 站点的全面的工具,排除有害软件和其他攻击的破坏性影响。,下面我们就简单的介绍有一下如何在ISA Sever中建立ISA规则来管理企业内部的网络。 这里所说的所有访问规则都没有限定内容类型的,因为它可能给 HTTP 访问带来一些的困难,我们只是在 HTTP 过滤里面设置的不允许访问的文件扩展名。企业的ISA 设置是根据需要允许特定的用户利用特定的协议在特定的时间内访问特定的网络。,规则一:这个规则是内网所有用户在所有时间都可以用 HTTP 、 HTTP 、 POP3 、 SMTP 协议访问公司的指定内部服务器 : 以上是规则的协议元素,以上是访问源,我是设定允许所有内部网用户,以上是服务器地址,E-mail:,这是访问 的内容类型,E-mail:,规则二:特殊用户在特殊时间访问外网,例如公司的一个领导特殊时间要访问外网,这是为他建立的规则,以上的允许的协议。,E-mail:,以上是访问源,我新建的计算机,然后输入他的 IP 地址。,E-mail:,例如上网助手属于流氓软件,所以把它封了,这个领导访问外部网的时候,有一个叫 3721 的 URL 集例外,也可以把不允许访问的地址放在里面,电子商务网站管理与维护,E-mail:,本章结束,
