1、防火墙、入侵检测与VPN课件 防火墙篇,第1章 防火墙基础知识,第2章 防火墙的关键技术,第3章 主流防火墙的部署与实现,第4章 防火墙厂商及产品介绍,第5章 防火墙的发展趋势,防火墙、入侵检测与VPN课件 防火墙篇,第1章 防火墙基础知识,第2章 防火墙的关键技术,第3章 主流防火墙的部署与实现,第4章 防火墙厂商及产品介绍,第5章 防火墙的发展趋势,防火墙、入侵检测与VPN课件 防火墙篇,防火墙、入侵检测与VPN课件 防火墙篇,1.1 防火墙的定义,1.2 防火墙的位置,1.3 防火墙的理论特性和实际功能,1.4 防火墙的规则,1.5 防火墙的分类,1.6 使用防火墙的好处,1.7 防火墙
2、的不足,1.8 相关标准,本书的封面,2.1 TCP/IP协议简介,2.2 包过滤技术,2.3 状态检测技术,2.4 代理技术,第1章 防火墙基础知识,第2章 防火墙的关键技术,第3章 主流防火墙的部署与实现,第4章 防火墙厂商及产品介绍,第5章 防火墙的发展趋势,防火墙、入侵检测与VPN课件 防火墙篇,防火墙、入侵检测与VPN课件 防火墙篇,本书的封面,第1章 防火墙基础知识,第2章 防火墙的关键技术,第3章 主流防火墙的部署与实现,第4章 防火墙厂商及产品介绍,第5章 防火墙的发展趋势,防火墙、入侵检测与VPN课件 防火墙篇,防火墙、入侵检测与VPN课件 防火墙篇,本书的封面,3.1 过滤
3、路由器,3.2 堡垒主机,3.3 多重宿主主机,3.4 屏蔽主机,3.5 屏蔽子网,3.6 其它结构的防火墙,4.1 防火墙性能指标,4.2 知名防火墙厂商及其主要产品,第1章 防火墙基础知识,第2章 防火墙的关键技术,第3章 主流防火墙的部署与实现,第4章 防火墙厂商及产品介绍,第5章 防火墙的发展趋势,防火墙、入侵检测与VPN课件 防火墙篇,防火墙、入侵检测与VPN课件 防火墙篇,本书的封面,第1章 防火墙基础知识,第2章 防火墙的关键技术,第3章 主流防火墙的部署与实现,第4章 防火墙厂商及产品介绍,第5章 防火墙的发展趋势,防火墙、入侵检测与VPN课件 防火墙篇,防火墙、入侵检测与VP
4、N课件 防火墙篇,本书的封面,5.1 分布式执行和集中式管理,5.2 深度过滤,5.3 建立以防火墙为核心的综合安全体系,5.4 防火墙本身的多功能化,变被动防御为主动防御,5.5 强大的审计与自动日志分析动能,5.6 硬件化,5.7 专用化,防火墙的定义,1.1,从广泛、宏观的意义上说,防火墙是隔离在内部网络与外部网络之间的一个防御系统。 AT&T的工程师William Cheswick 和Steven Bellovin给出了防火墙的明确定义,他们认为防火墙是位于两个网络之间的一组构件或一个系统,具有以下属性:防火墙是不同网络或者安全域之间信息流的唯一通道,所有双向数据流必须经过防火墙。只有
5、经过授权的合法数据,即防火墙安全策略允许的数据才可以通过防火墙。防火墙系统应该具有很高的抗攻击能力,其自身可以不受各种攻击的影响。简而言之,防火墙是位于两个(或多个)网络间,实施访问控制策略的一个或一组组件集合。,防火墙的位置,1.2,1.2.2 防火墙的逻辑位置,1.2.1 防火墙的物理位置,本书的封面,1.3.2 防火墙的理论特性,1.3.1 防火墙面对的安全威胁,1.3.3 防火墙的实际功能,防火墙的理论特性和实际功能,1.3,本书的封面,防火墙的规则,1.4,规则的作用:系统的网络访问政策。 规则内容的分类:高级政策;低级政策。 规则的特点:规则是系统安保策略的实现和延伸;与网络访问行
6、为紧密相关;在严格安全管理和充分利用网络之间取得较好的平衡;防火墙可以实施各种不同的服务访问政策。 规则的设计原则:拒绝访问一切未予特许的服务;允许访问一切未被特别拒绝的服务。 规则的顺序问题:必须仔细考虑规则的顺序,防止出现系统漏洞。,防火墙的分类,1.5,1.5.2 按防火墙的具体实现划分,1.5.1 按防火墙采用的主要技术划分,1.5.4 按防火墙的形式划分,1.5.3 按防火墙部署的位置划分,1.5.6 按防火墙的使用者划分,1.5.5 按受保护的对象划分,使用防火墙的好处,1.6,防火墙允许网络管理员定义一个“检查点”来防止非法用户进入内部网络并抵抗各种攻击,增加了网络的安全性。防火
7、墙通过过滤存在着安全缺陷的网络服务来降低受保护网络遭受攻击的威胁。防火墙可以增强受保护节点的保密性,强化私有权。防火墙有能力较精确地控制对内部子系统的访问。防火墙系统具有集中安全性。在防火墙上可以很方便地监视网络的通信流,并产生告警信息。防火墙是审计和记录网络行为最佳的地方。防火墙可以作为向客户发布信息的地点。防火墙为系统整体安全策略的执行提供了重要的实施平台。,防火墙的不足,1.7,限制网络服务 对内部用户防范不足 不能防范旁路连接 不适合进行病毒检测 无法防范数据驱动型攻击 无法防范所有的威胁 防火墙配置比较困难无法防范内部人员泄露机密信息 防火墙对网络访问速度有影响单失效点,相关标准,1
8、.8,1.8.2 国外的信息安全标准,1.8.1 我国的信息安全标准,TCP/IP协议简介,2.1,2.1.2 TCP协议,2.1.1 IP协议,2.1.4 ICMP协议,2.1.3 UDP协议,本书的封面,包过滤技术,2.2,2.2.2 过滤对象,2.2.1 基本概念,2.2.4 包过滤技术存在的问题,2.2.3 包过滤技术的优点,本书的封面,状态检测技术,2.3,2.3.2 状态的概念,2.3.1 状态检测技术基本原理,2.3.4 状态检测技术的优缺点,2.3.3 深度状态检测,本书的封面,代理技术,2.4,2.4.2 代理技术的具体作用,2.4.1 代理技术概述,2.4.4 代理技术的优
9、缺点,2.4.3 代理技术的种类,本书的封面,过滤路由器,3.1,定义:放在内部网络和外部网络之间,具有数据过滤功能的路由器。 功能:按照预定义的过滤规则,允许授权数据通过,拒绝非授权数据通过。 与普通路由器的区别:要根据过滤规则决定是否允许转发该数据包。 优点:快速、耗费比高、透明、实现容易。 缺点:配置复杂,维护困难;只针对数据包本身进行检测,只能检测出部分攻击行为;无法防范数据驱动式攻击;只能简单地判断IP地址,而无法进行用户级的身份认证和鉴别;随着过滤规则的增加,路由器的吞吐量将会下降;无法对数据流进行全面地控制,不能理解特定服务的上下文环境和数据。 过滤规则的主要字段:源地址、源端口
10、号、目的地址、目的端口号、协议标志、过滤方式。 规则冲突:两个或两个以上的规则匹配同一个数据包、或者一个规则永远都无法匹配任何通过该过滤路由器的包。包括无用冲突、屏蔽冲突、泛化冲突、关联冲突和冗余冲突几种。,堡垒主机,3.2,定义:堡垒主机由一台计算机担当,并拥有两块或者多块网卡分别连接各内部网络和外部网络。 作用:隔离内部网络和外部网络,为内部网络设立一个检查点,对所有进出内部网络的数据包进行过滤,集中解决内部网络的安全问题。 设计原则:最小服务原则、预防原则。 类型:内部堡垒主机、外部堡垒主机、牺牲主机。 系统需求:强健性、可用性、可扩展性、易用性。 服务:堡垒主机一般要设置用户网络所需的
11、网络服务,并且还要设置对外提供的网络服务。分为无风险服务、低风险服务、高风险服务和禁用的服务4个级别。 部署位置:堡垒主机的位置问题是事关堡垒主机和内部网络的安全性的重要问题。,多重宿主主机,3.3,3.3.2 双宿主网关,3.3.1 双宿主主机,本书的封面,屏蔽主机,3.4,屏蔽主机防火墙实际上结合了两种不同类型的防火墙:过滤路由器实现的是包过滤防火墙的功能,而堡垒主机实现的是代理防火墙的功能。其优点是:能提供比单纯的过滤路由器和多重宿主主机更高的安全性;支持多种网络服务的深层过滤,并具有相当的可扩展性;系统本身稳固可靠。其缺点是:堡垒主机和其它内网主机放在一起,它们之间没有一道安全隔离屏障
12、;过滤路由器容易受到攻击。,屏蔽子网,3.5,非军事区(DMZ,Demilitarized Zone)又称屏蔽子网、周边网络或参数网络。它是在内网和外网间构建的一个缓冲网络,目的是最大限度地减少外部入侵者对内网的侵害。DMZ内部只部署安全代理网关和各种公用信息服务器。安全策略的实施由执行包过滤规则的内部过滤路由器和外部过滤路由器,以及DMZ内执行安全代理功能的堡垒主机共同实现。具有网络层包过滤和应用层代理两个不同级别的访问控制功能。,其它结构的防火墙,3.6,3.6.2 合并内部路由器和外部路由器,3.6.1 多堡垒主机,3.6.4 多外部路由器,3.6.3 合并外部路由器与堡垒主机,3.6.
13、5 多DMZ,本书的封面,防火墙性能指标,4.1,评估时需要考虑的因素:可靠性、可用性、可扩展性、可审计性、可管理性以及成本耗费。评估参数的选择:吞吐量(Throughput)、时延(Latency)、丢包率(Packet loss rate)、并发连接数、工作模式(包括路由模式、网络地址转换(NAT)模式和透明模式)、配置与管理方式、接口的数量和类型、日志和审计功能、可用性参数以及其它参数(一般指内容过滤、入侵检测、用户认证和VPN与加密几种主要的附加功能)等。,知名防火墙厂商及其主要产品,4.2,4.2.2 Cisco,4.2.1 Juniper/NetScreen,4.2.4 Forti
14、net,4.2.3 CheckPoint,4.2.6 安氏,4.2.5 WatchGuard,4.2.8 东软,4.2.7 天融信,本书的封面,分布式执行和集中式管理,5.1,分布式或分层的安全策略执行防火墙模块分别部署在各个内部网络和外部网络交界的节点上,解决了多接入点数据访问的问题;在接入点和内部网络关键数据交换节点上分级部署,实现了层层设防、分层过滤的更加安全的网络安全防护;网络防火墙与主机防火墙相互配合又加强了系统资源的安全性。这种方式又被称为区域联防或者深度防御。集中式管理集中式管理具有管理成本低、容易实现快速响应和快速防御、能够保证在大型网络中安全策略的一致性等优点。未来研究的重点
15、是集中式管理快速、高效、低耗的实现技术。,深度过滤,5.2,深度过滤技术又称为深度检测技术,是防火墙技术的集成和优化。深度过滤技术一般将状态检测技术和应用层技术结合在一起,对数据进行深入细致的分析和检查。具体实现上,深度过滤技术可以组合不同的现有防火墙技术,达到不同的检测深度。基本特征:正常化双向负载检测 应用层加密/解密协议一致性,建立以防火墙为核心的综合安全体系,5.3,不同产品都有其自身的特性,如何安排好它们的位置、设定好它们的功能是一个非常复杂的任务。一个需要考虑的问题是这些设备间的互操作问题。各个厂商的不同设备都有其专属性,包括代码和通信协议等都不相同,这是设备间实现互联互通的主要障
16、碍。,5.4,防火墙本身的多功能化,变被动防御为主动防御,用户在进行防火墙的选择时,出于降低复杂性和节约成本的目的,往往要求防火墙能够支持更多的功能。随着各种功能模块加入进防火墙,防火墙将从目前被动防护设备发展为可以智能、动态地保护网络的主动安全设备。,强大的审计与自动日志分析动能,5.5,随着安全管理工具不断完善,针对可疑行为的审计与自动安全日志分析工具将成为防火墙产品必不可少的组成部分。它们可以提供对潜在的威胁和攻击行为的早期预警。日志的自动分析功能还可以帮助管理员及时、有效地发现系统中存的安全漏洞,迅速调整安全策略以适应网络的态势,此外它还可以为自适应、个性化网络的建设提供重要的数据。,
17、硬件化,5.6,为了能够高速地执行更多的功能,防火墙必须实现硬件化。硬件化评判的标准是看在数据转发控制过程是由软件完成还是硬件完成。硬件化的系统使用的是专用的芯片级处理机制,主要有基于ASIC和基于网络处理器(NP)两种方式。采用ASIC技术的防火墙往往设计了专门的数据包处理流水线,对存储器等资源进行了优化。但其具有开发成本高、开发周期长、难度大、专物专用、灵活性差的缺陷。NP是专门为处理数据包而设计的可编程处理器。它包含多个数据处理引擎,这些引擎可以并发进行数据处理操作。NP对数据包处理的一般性任务进行了优化,同时其体系结构也采用高速的接口技术和总线规范。NP具有完全的可编程性、简单的编程模
18、式、最大化系统灵活性、高处理能力、高度功能集成、开放的编程接口和第三方支持能力几个特性。,专用化,5.7,用户已经不满足于对整个内部网络统一标准的安全防护,而是要求根据各个子系统的不同功能,对内部网络不同部门实施不同级别的安全防护。也即防火墙要能实施精细的安全管理,又称为防火墙的“包厢化”功能。由此,专用防火墙的概念也被提了出来。它可以根据特定的需求定制安全策略,实现了特殊用户的专属保护。目前,单向防火墙,又称为网络二极管,就是其中比较重要的一种。其作用是使网络上的信息只能从外部网络流入内部网络,而不能从内部网络流入外部网络,从而达到保密的目的。,防火墙的物理位置,1.2.1,从设备部署位置上
19、看,防火墙要部署在本地受保护区域与外部网络的交界点上。从具体的实现上看,防火墙运行在任何要实现访问控制功能的设备上。下图为防火墙在网络中的常见位置:,防火墙的逻辑位置,1.2.2,防火墙的逻辑位置指的是防火墙与网络协议相对应的逻辑层次关系。处于不同网络层次的防火墙实现不同级别的网络过滤功能,表现出来的特性也不同。 所有防火墙均依赖于对ISO OSI/RM网络七层模型中各层协议所产生的信息流进行检查。一般说来,防火墙越是工作在ISO OSI/RM模型的上层,能检查的信息就越多,其提供的安全保护等级就越高。 防火墙与网络层次关系如下表所示:,防火墙面对的安全威胁,1.3.1,通过更改防火墙配置参数
20、和其它相关安全数据而展开的攻击。攻击者利用高层协议和服务对内部受保护网络或主机进行的攻击。绕开身份认证和鉴别机制,伪装身份,破坏已有连接。任何通过伪装内部网络地址进行非法内部资源访问的地址欺骗攻击。未经授权访问内部网络中的目标数据。用户对防火墙等重要设备未经授权的访问。破坏审计记录。,防火墙的理论特性,1.3.2,2,防火墙的实际功能,1.3.3,记录、报警、分析与审计,按防火墙采用的主要技术划分,包过滤型防火墙,1,代理型防火墙,2,1.5.1,按防火墙的具体实现划分,多重宿主主机,1,筛选路由器,2,1.5.2,屏蔽主机,3,屏蔽子网,4,其它实现结构的防火墙,5,按防火墙部署的位置划分,
21、1.5.3,按防火墙的形式划分,1.5.4,按受保护的对象划分,1.5.5,按防火墙的使用者划分,1.5.6,我国的信息安全标准,1.8.1,我国的信息安全标准标准化建设正逐步走向完善。其中各种防火墙产品的设计、生产和评估的主要参考标准是:信息技术包过滤防火墙安全技术要求(GB/T 18019-1999)和信息技术应用级防火墙安全技术要求(GB/T 18020-1999)。这两个国家标准都是以信息技术安全评估通用准则(CC,ISO/IEC 15408)为基础制订的。信息技术包过滤防火墙安全技术要求主要规定了采用“传输控制协议/网间协议”的包过滤防火墙的安全技术要求,信息技术应用级防火墙安全技术
22、要求主要规定了应用级防火墙的安全技术要求。这两个国家标准定义了对防火墙的功能要求,包括五个功能类:用户数据保护、标识与鉴别、密码支持、可信安全功能保护和安全审计。包过滤防火墙和应用级防火墙针对每个功能类实现不同级别的功能组件。,国外的信息安全标准,1.8.2,IP协议,2.1.1,网际协议(Internet Protocl)报文格式如下图所示,详细内容请参见相关文献:,TCP协议,2.1.2,传输控制协议(Transmission Control Protocol)报文格式如下图所示,详细内容请参见相关文献:,UDP协议,2.1.3,用户数据报协议(User Datagram Protocol
23、)报文首部格式如下图所示,详细内容请参见相关文献:,ICMP协议,2.1.4,互联网控制报文协议(Internet Control Message Protocol)报文格式如下图所示,详细内容请参见相关文献:,基本概念,2.2.1,包过滤技术是最早、最基本的访问控制技术,又称报文过滤技术。其作用是执行边界访问控制功能,即对网络通信数据进行过滤(filtering,亦称筛选)。包过滤技术的工作对象是数据包。对TCP/IP协议族来说,包过滤技术主要对其数据包包头的各个字段进行操作。安全过滤规则是包过滤技术的核心,是组织或机构的整体安全策略中网络安全策略部分的直接体现。包过滤技术必须在操作系统协议
24、栈处理数据包之前拦截数据包,即防火墙模块应该被设置在操作系统协议栈网络层之下,数据链路层之上的位置上。包过滤防火墙将包头各个字段的内容与安全过滤规则进行逐条地比较判断,直至找到一条相符的规则为止。如果没有相符的规则,则执行默认的规则。具体实现包过滤技术的设备通常分为过滤路由器和访问控制服务器两类。包过滤的实现过程如右图所示:,过滤对象,2.2.2,针对ICMP协议的过滤,2,针对IP协议的过滤,1,针对UDP协议的过滤,4,针对TCP协议的过滤,3,包过滤技术的优点,2.2.3,包过滤技术实现简单、快速。经典的解决方案只需要在内部网络与外部网络之间的路由器上安装过滤模块即可。包过滤技术的实现对
25、用户是透明的。用户无需改变自己的网络访问行为模式,也不需要在主机上安装任何的客户端软件,更不用进行任何的培训。包过滤技术的检查规则相对简单,因此检查操作耗时极短,执行效率非常高,不会给用户网络的性能带来不利的影响。,包过滤技术存在的问题,2.2.4,包过滤技术过滤思想简单,对信息的处理能力有限。只能访问包头中的部分信息,不能理解通信的上下文,因此不能提供更安全的网络防护能力。当过滤规则增多的时候,对于过滤规则的维护是一个非常困难的问题。不但要考虑过滤规则是否能够完成安全过滤任务,还要考虑规则之间的关系防止冲突的发生。尤其是后一个问题是非常难于解决的。包过滤技术控制层次较低,不能实现用户级控制。
26、特别是不能实现对用户合法身份的认证以及对冒用的IP地址的确定。,状态检测技术基本原理,2.3.1,状态检测技术根据连接的“状态”进行检查。当一个连接的初始数据报文到达执行状态检测的防火墙时,首先要检查该报文是否符合安全过滤规则的规定。如果该报文与规定相符合,则将该连接的信息记录下来并自动添加一条允许该连接通过的过滤规则,然后向目的地转发该报文。以后凡是属于该连接的数据防火墙一律予以放行,包括从内向外的和从外向内的双向数据流。在通信结束、释放该连接以后,防火墙将自动地删除关于该连接的过滤规则。动态过滤规则存储在连接状态表中并由防火墙维护。为了更好地为用户提供网络服务以及更精确地执行安全过滤,状态
27、检测技术往往需要察看网络层和应用层的信息,但主要还是在传输层上工作。,状态的概念,2.3.2,TCP协议及状态,1,UDP协议及状态,2,ICMP协议及状态,3,深度状态检测,2.3.3,深度状态检测技术能够很好地实现对TCP协议的顺序号进行检测的功能,通过对TCP报文的顺序号字段的跟踪监测报文的变化,防止攻击者利用已经处理的报文的顺序号进行重放攻击。对于FTP协议,深度状态检测机制可以深入到报文的应用层部分来获取FTP协议的命令参数,从而进行状态规则的配置。其中最主要的,FTP协议连接端口的选择具有随机的特点。深度状态检测机制可以分析应用层的命令数据,找出其中的端口号等信息,从而精确地决定打
28、开哪些端口。与FTP协议类似的协议由很多,譬如RTSP、H.323等。深度状态检测机制都可以对它们的连接建立报文的应用层数据进行分析来决定相关的转发端口等信息,因此具有部分的应用层信息过滤功能。,状态检测技术的优缺点,2.3.4,代理技术概述,2.4.1,代理技术的具体应用,2.4.2,保护电子邮件,代理技术的种类,2.4.3,代理技术的优缺点,2.4.4,双宿主主机,3.3.1,双宿主主机防火墙实际上就是一台具有安全控制功能的双网卡堡垒主机。两块网卡中的一块负责连接内部网络,另一块负责连接外部网络。内网主机可登录双宿主主机,使用其提供的网络服务,而双宿主主机负责维护用户账户数据库。外网主机也
29、可使用双宿主主机提供的某些网络服务。若网络服务被安全策略允许,则内部用户和外部用户就可通过共享缓存共享数据以实现信息交换,但绝对不允许内部用户与外部用户直接进行连接。 双宿主主机防火墙的优点是:易于实现网络安全策略、成本较低。 双宿主主机防火墙的缺点是:用户帐户不安全;用户账户数据库管理维护困难;用户账户数据的频繁存取资源耗费大,降低了系统的稳定性和可靠性;允许用户登录到防火墙主机上威胁到防火墙系统的安全。下图为双宿主主机防火墙的示意图:,双宿主网关,3.3.2,双宿主网关无需用户登录至防火墙主机,而是在防火墙上安装各种代理服务器。内网主机要访问外网时,只需将请求发送至相应的代理服务器,通过过
30、滤规则的检测并获得允许后,再由代理服务器代为转发至外网指定主机。而外网主机所有对内网的请求都由代理服务接收并处理,规则允许的外部连接由相应的代理服务器转发至内网目标主机,规则不允许的外部连接则被拒绝。双宿主网关防火墙的优点是:无用户账户数据库,管理难度小、系统风险低;代理服务器技术使得防火墙提供的服务具有良好的可扩展性;屏蔽了内网主机,阻止了信息的泄露。双宿主网关防火墙的缺点是:存在单失效点,防火墙配置复杂;防火墙主机本身的性能是影响系统整体性能的瓶颈;灵活性较差。下图为双宿主网关防火墙的示意图:,多堡垒主机,3.6.1,在屏蔽子网中使用多台堡垒主机扮演不同的角色,可同时为多个用户提供多种不同
31、的网络服务,通过热备份机制增强了堡垒主机的可用性,此外还可隔离不同安全级别的数据和服务器。下图描述了多堡垒主机防火墙的结构:,合并内部路由器和外部路由器,3.6.2,这种方案是屏蔽子网的一种变形。它将屏蔽子网中的内部路由器和外部路由器的功能合并,只使用一台过滤路由器来实现。这台过滤路由器最少要有三个接口:一个接口连接内网,另一个接口连接外网,还有一个接口连接DMZ。这种方案的最大的优点是节约了路由器的成本,但是也存在单路由器安全性低的问题一旦该路由器被入侵者攻破,整个内部网络将直接面对入侵者。下图描述了合并内部路由器和外部路由器防火墙的结构:,合并外部路由器与堡垒主机,3.6.3,这种防火墙是
32、将屏蔽子网防火墙的外部路由器与堡垒主机合并而来,其功能等价于屏蔽子网。这么做的原因是外部路由器只执行很弱的安全过滤功能,所以可以用堡垒主机来替代。这种方案节约了外部路由器的成本,在功能上也没有下降,但是堡垒主机的安全性问题必须要着重考虑。左图描述了合并外部路由器与堡垒主机防火墙的结构:,多外部路由器,3.6.4,这种防火墙可以实现对具有多个接入点的用户网络进行安全防护。不同的外部路由器连接不同的外部网络。下图描述了多外部路由器屏蔽子网防火墙的结构:,多DMZ,3.6.5,如果用户网络不但需要多点接入,而且还需要和不同的外部网络交换安全等级不同的数据,或者用户不希望被任何人探知自己的数据流向,那
33、么最好的办法还是使用多个屏蔽子网。这种类型的防火墙叫做多DMZ防火墙。这种防火墙为用户提供了很好的策略可用性和服务可用性,并能增强系统的稳固性。但是具有配置复杂、管理困难的缺陷。左图描述了这种复杂的多DMZ防火墙的结构:,Juniper/NetScreen,4.2.1,NetScreen由三位留美的清华学子创建,其防火墙和VPN产品无论从性能指标还是质量上都位居世界前列。Juniper/NetScreen公司创造了多个世界第一:第一个基于特定应用集成电路(ASIC)的平台;第一个基于ASIC的防火墙;第一个入侵检测与防护(IDP)产品,以及最全的SSL VPN产品;第一台Gigabit防火墙。
34、Juniper/NetScreen出品的NetScreen系列防火墙是由硬件来实现防火墙技术的网络安全产品。它将NAT、包过滤、DMZ、VPN、负载均衡及流量控制等技术集成在同一设备里,具有速度快、功能完善、设置简单和高性能价格比的优点。 其防火墙产品的具体功能特性为:拥有专用的操作系统ScreenOS、拥有专门优化的硬件增强技术、集成VPN、灵活的流量管理、基于ASIC的访问策略的执行、管理简单快捷。,Cisco,4.2.2,可能是历史上最有名的网络公司。其安全产品特性如下:可在单一设备中集成丰富的安全服务。 使用专用的安全操作系统,消除了各种安全风险,提高可靠性。安全功能强大,可综合利用各
35、种先进技术。支持IKE和IPSec VPN标准。融合了入侵检测的功能。还可与思科网络入侵解决方案相集成,构成统一的网络防护体系。提供动态或者静态的网络地址解析(NAT)和端口地址解析(PAT)功能。用户可灵活地实现联网功能而且与PPPoE(PPP Over Ethernet)网络兼容。管理方便、快捷,手段灵活。提供了较强的可管理性和可审计性。,CheckPoint,4.2.3,CheckPoint公司是全球首屈一指的互联网安全解决方案供应商,是Internet安全领域的全球领先企业,在全球VPN及防火墙市场上居于领导地位。CHECKPOINT VPN-1/FireWall-1是业界领先的企业级
36、安全性套件。CheckPoint公司防火墙产品具有如下特性:状态检测技术OPSEC(Open Platform for Secure Enterprise Connectivity)集中管理下的分布式客户机/服务器结构对网络协议的广泛支持增强的身份认证(包括用户认证、客户认证和会话认证三种方法)加密内容安全,Fortinet,4.2.4,Fortinet公司的创始人、总裁与CEO谢青(Ken Xie)是NetScreen公司的原执行总裁兼创办人之一。Fortinet公司的技术总监为全球著名防毒专家、WildList的创始人Joe Wells。Fortinet是新一代网络实时安全防御网关的技术引
37、领者。首家推出基于ASIC硬件体系结构的FortiGate防火墙。该系列产品已获得国际著名的ICSA Lab的防病毒、IPSec、NIDS和防火墙四项认证证书,是全球唯一同时拥有这四项证书的厂家。FortiGate系列防火墙产品的功能特性如下:病毒检测与蠕虫防御。状态检测。实现了实时的、基于网络的IDS/阻断。虚拟专用网(VPN)。支持内容过滤。提供了多种管理配置手段。具有较强大的日志记录与分析功能。,WatchGuard,4.2.5,WatchGuard公司是全球排名前五位的专业生产防火墙的公司之一。WatchGuard公司以生产即插即用Internet安全设备“Firebox”系列和相应的
38、服务器安全软件而闻名于世。WatchGuard在全球首创了专用安全系统;首家将应用层安全结合到防火墙系统中;首创了可全面升级的整合安全网关;首创可全面升级的统一威胁管理(UTM)产品。 WatchGuard的产品包括从高端到低端的Firebox X Peak、Firebox X Core 和Firebox X Edge 三大系列,均具有防火墙、VPN、网关防毒、入侵防御、网站分类过滤(WebBlocker)、垃圾邮件拦截(spamBlocker)、反间谍软件等多项网络安全与内容安全防御功能。三个系列的主要区别是应用环境不同:Firebox X Peak系列适用于高级网络环境,Firebox X
39、 Core系列适用于公司和分支机构,Firebox X Edge系列适用于中小型企业、远程办公室和远程工作人员。 WatchGuard的产品具有高安全性、易用性、较高的性价比等特点。,安氏,4.2.6,安氏是一家以技术著称的专业信息安全公司,它成功开发了全新一代安全管理解决方案安全运行中心(Security Operation Center, 简称SOC)。 安氏公司在电信、金融等行业率先推出了整体信息安全管理方案,其主要产品是“领信”系列安全产品。,天融信,4.2.7,天融信公司于1996年推出了中国第一套自主版权的防火墙产品,具有填补国内空白的重要意义。随后几年又推出了VPN、IDS、过滤
40、网关、安全审计、安全管理等一系列安全相关产品。2001年组织并构建了TOPSEC联动协议安全标准,提出了一套集各类安全产品和集中管理、集中审计为一体的TOPSEC安全解决方案。又于2004年底率先提出“可信网络架构(TNA)”,强化可信安全管理在安全建设中的核心地位,通过全局安全管理,实现多层次的积极防御和综合防范。2000年至2004年,天融信公司市场份额连续五年均居国内安全厂商之首。据两大权威咨询机构IDC及CCID统计:天融信2004年全年防火墙市场份额超过了16%,名列所有国内外安全厂商第一位。天融信公司的银河防火墙(NGFW4000-UF TG-5736)是国内首款具备万兆网络接入能
41、力的防火墙产品。网络卫士猎豹系列防火墙则采用了真正拥有的具有国产知识产权的新一代可编程安全芯片。,东软,4.2.8,东软是中国领先的软件与解决方案提供商。东软的NetEye防火墙(FW)产品采用独创的基于状态包过滤的“流过滤”体系结构,保证了从数据链路层到应用层的完全高性能过滤,并可以进行应用级插件的及时升级和安全威胁的有效防护,实现网络安全的动态保障。NetEye防火墙采用NP架构,运行于NetEye安全操作系统之上,具有高吞吐量、低延迟、零丢包率和强大的缓冲能力。同时NetEye防火墙集成VPN功能,简单及人性化的虚拟通道设置,有效提高了VPN的部署灵活性、可扩展性,降低了部署维护的成本。
42、,防火墙的理论特性,1.3.2,根据美国国家安全局制定的信息保障技术框架,防火墙适用于网络系统的边界(network boundary),属于用户内部网络边界安全保护设备。所谓网络边界就是采用不同安全策略的两个网络连接位置。防火墙就是在网络的外边界或周边,在内部网络和外部网络之间建立的唯一一个安全控制检查点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。从而实现防止非法用户进入内部网络,禁止存在安全脆弱性的服务进出网络,并抵抗来自各种路线的攻击,进而提高被保护网络的安全性,降低风险。这样一个检查点被称为阻塞点。这是防火墙所处网络位置特性,同时也是一个
43、前提。如果没有这样一个供监视和控制信息的点,系统管理员要在大量的地方来进行监测。在某些文献里,防火墙又被称为内部网络与外部网络之间的单联系点。需要注意的是,虽然存在着许多的多接入点网络,但是每个出口也都要有防火墙设备,因此从逻辑上看,防火墙还是内部网络与外部网络之间的唯一联系点。,防火墙的理论特性,1.3.2,防火墙设备所处的位置,正好为系统提供了一个多种安全技术的集成支撑平台。通过相应的配置,可以将多种安全软件,譬如口令检查、加密、身份认证、审计等,集中部署在防火墙上。与分散部署方案相比,防火墙的集中安全管理更经济、更加有效,简化了系统管理人员的操作,从而强化了网络安全策略的实行。,防火墙的
44、理论特性,1.3.2,防火墙将网络划分成内部网络和外部网络两个不同的部分,因此网络隔离就成为防火墙的基本功能。防火墙通过将内部网络和外部网络相互隔离来确保内部网络的安全,同时限制局部重点或敏感网络安全问题对全局网络造成的影响,降低外部网络对内部网络一些统计数据的探测能力。限制来自外部网络的访问防火墙基础功能之一就是限制信息包进入网络。防火墙针对每一个进入内部网络的企图都要根据依照安全策略制订的规则进行过滤,即授权检查。如果该行为属于系统许可的行为则予以放行,否则将拒绝该连接企图。防火墙的这种功能实现了对系统资源的保护,防止了针对机密信息的泄漏、盗窃和破坏性为。限制网络内部未经授权的访问 传统防
45、火墙难于觉察内部的攻击和破坏行为。现代防火墙则加强了对内部访问数据的监控,主要表现就是一切都严格依照预先制订的系统整体安全策略,限制内部网络未经授权的访问。,防火墙的理论特性,1.3.2,由于防火墙处在内部网络和外部网络相连接的阻塞点,所以它可以对所有涉及内部网络和外部网络存取与访问的行为进行监控。当防火墙发现可疑的行为时,可以进行及时的报警,并提供网络是否受到破坏以及攻击的详细信息。对于内部用户的误操作防火墙也将进行严格的监控,预防内部用户的破坏行为。此外,防火墙还能进行网络使用情况的统计操做。以上提及的防火墙的操作和数据都将被详细地记录到日志文件(log file)中并提交给网络管理员进行
46、分析和审计。防火墙的日志文件既记录正常的网络访问行为又记录非正常的网络行为。对日志文件的分析和审计可以使管理员清楚地了解防火墙的安全保护能力和运行情况;优化防火墙,使其更加有效地工作;准确地识别入侵者并采取行之有效的措施;及时地对非法行为及其造成的后果做出反应;为网络的优化和建设提供必要的数据支撑。管理员需要关注的问题不是网络是否会受到攻击,而是网络何时会受到攻击。因此要求管理员要及时地响应报警信息并经常性地审查防火墙日志记录。,防火墙的理论特性,1.3.2,由于防火墙是一个关键点,所以其自身的安全性就显得尤为重要。一旦防火墙失效,则内部网络将完全曝光于外部入侵者的目光之下,网络的安全将受到严
47、重的威胁!一般来说,防火墙是一台安装了安全操作系统且服务受限的堡垒主机。即防火墙自身的操作系统符合相应的软件安全级别;除了必要的功能外,防火墙不开设任何多余的端口。这些措施在相当程度上增强了防火墙抵御攻击的能力,但这种安全性也只是相对的。,防火墙的实际功能,1.3.3,网络通信通过计算机之间的连接实现,而连接则是由两台主机之间相互传送的若干数据包组成。防火墙的基本功能之一就是对由数据包组成的逻辑连接进行过滤,即包过滤。数据包的过滤参数有很多,最基本的是通信双方的IP地址和端口号。随着过滤技术的不断发展,各层网络协议的头部字段以及通过对字段分析得到的连接状态等等内容都可以作为过滤技术考察的参数。
48、包过滤技术也从早期的静态包过滤机制发展到动态包过滤、状态检测等机制。总的说来,现在的包过滤技术主要包括针对网络服务的过滤以及针对数据包本身的过滤。,防火墙的实际功能,1.3.3,代理技术是与包过滤技术截然不同的另外一种防火墙技术。这种技术在防火墙处将用户的访问请求变成由防火墙代为转发,外部网络看不见内部网络的结构,也无法直接访问内部网络的主机。在防火墙代理服务中,主要有两种实现方式:一是透明代理(Transparent proxy),指内部网络用户在访问外部网络的时候,本机配置无需任何改变,防火墙就像透明的一样;二是传统代理,其工作原理与透明代理相似,所不同的是它需要在客户端设置代理服务器。相
49、对于包过滤技术,代理技术可以提供更加深入细致的过滤,甚至可以理解应用层的内容,但是实现复杂且速度较慢。,防火墙的实际功能,1.3.3,网络地址转换功能现在已经成为防火墙的标准功能之一。通过这项功能可以很好地屏蔽内部网络的IP地址,对内部网络用户起到保护作用;同时可以用来缓解由于网络规模需速增长而带来的地址空间短缺问题;此外还可以消除组织或机构在变换ISP时带来的重新编址的麻烦。下面描述一下从内部网络向外部网络建立连接时NAT工作的过程:1)防火墙对收到的内部访问请求进行过滤,决定允许该访问请求通过还是拒绝。2)NAT机制将请求中的源IP地址转换为防火墙处可以利用的一个公共IP地址。3)将变动后的请求信息转发往目的地。当从目的地返回的响应信息到达防火墙的接口时,防火墙执行如下步骤:4)NAT将响应数据包中的目的地址转换为发出请求的内部网络主机的IP地址。5)将该响应数据包发往发出请求的内部网络主机。,
