1、第5章 防火墙与VPN技术,2,第5章 防火墙与VPN技术,5.1 防火墙 5.2 VPN技术,3,5.1 防火墙,什么是防火墙?防火墙是一类防范措施的总称,它使得内部网络与Internet之间或者与其它外部网络互相隔离、限制网络互访,用来保护内部网络。设置防火墙的目的:在内部网和外部网之间设立唯一通道提供内、外两个网络间的访问控制通过一定的安全策略防止发生网络安全事件引起的危害,4,5.1 防火墙,防火墙的应用示意图:,5,5.1 防火墙,Internet,网关,Intranet,外部过滤器,内部过滤器,不安全网络,安全网络,防火墙的基本组成框架,6,5.1 防火墙,防火墙具备的功能:针对个
2、人终端和端口提供信息流过滤对网络信息流进行稽核和监控Who do What? Why? Where? When and How?,7,5.1 防火墙,(1)外网:一般为Internet,非受信网络(2)内网:一般为Intranet,受信网络(3)非军事化区:DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FT
3、P服务器和论坛等。,8,5.1 防火墙,Internet,Intranet,不安全网络,安全网络,业务Web服务器放在防火墙之内的配置图,防火墙+路由器,Web服务器,9,5.1 防火墙,Internet,Intranet,不安全网络,安全网络,业务Web服务器放在防火墙之外的配置图,防火墙+路由器,Web服务器,10,5.1 防火墙,防火墙的作用保护主系统的安全过滤不安全的、易受攻击的服务,如NFS、ICMP控制对网点系统的访问集中身份认证、安全访问等软件,降低成本提供网络使用率的统计数字,可供分析或告警提供实施和执行网络访问安全策略,11,5.1 防火墙,防火墙的设计原则由内到外和由外到内
4、的业务流必须经过防火墙只允许本地安全政策认可的业务流通过防火墙尽可能控制外部用户访问内域网,应严格限制外部用户进入内域网具有足够的透明性,保证正常业务的流通具有抗穿透攻击能力、强化记录、审计和告警,12,5.1 防火墙,防火墙的基本组成:安全操作系统、过滤器、网关、域名服务、Email处理。,13,5.1 防火墙,防火墙的分类包过滤型: 检查进出防火墙的IP包标头内容,如来源及目的IP地址、控制协议TCP或UDP、访问端口Port等信息。缺点是无法控制“连线”能力。包检验型: 包过滤型的加强版,增加了控制“连线”能力。缺点是无法识别“IP欺骗”。,14,5.1 防火墙,包过滤式防火墙,Inte
5、rnet,包过滤防火墙+路由器,Intranet,优点:对用户来说是透明的,处理速度快,易于维护,进行网络及维护,缺点:不能鉴别不同的用户和防止IP地址盗用,配置繁琐,15,5.1 防火墙,防火墙的分类应用层网关型:分析连线内容是否符合应用协定的标准。,Internet,优点:比包过滤式防火墙更为安全、可靠,详细记录所有访问状态信息,Intranet,内部服务器等,代理服务器,路由器,16,5.1 防火墙,防火墙的分类状态监测防火墙:使用一个在网关上执行网络安全策略的软件模块,称为监测引擎,是第三代防火墙技术原理:监测引擎软件在不影响网络正常运行的前提下,采用抽取有关数据的方法对网络通信的各层
6、实施监测,抽取状态信息,并动态的保存起来,作为执行安全策略的参考,根据这些状态信息,可对防火墙外界用户的访问操作进行“行为分析”,对“正常行为”放过,拦截“不正常行为”。,17,5.1 防火墙,“行为分析”:鉴别行为是否正常。计算机世界是现实世界的映射或反映!现实世界、现实生活中的“行为分析”以“资本的行为分析”为例,18,5.1 防火墙,资本的本性:英国工会活动家、政治家邓格宁说:“资本害怕没有利润或利润太少,就像自然害怕真空一样。一旦资本有了适当的利润,资本就胆大起来,如果有10%的利润,它就保证到处被使用;有20%的利润,它就活跃起来;有50%的利润,它就铤而走险;为了100%的利润,它
7、就敢践踏一切人间法律;有300%的利润,它就敢犯任何罪,甚至冒绞首的危险。”,19,5.1 防火墙,蔬菜快要“烂在地里”为何卖不出去?2011年4月CCTV经济半小时近一段时间以来,各地频频爆出菜价下跌的消息。山东、河南、湖北等地的蔬菜价格竟然降到只卖几分钱都无人问津。菜农们只能眼睁睁地看着辛辛苦苦种出来的蔬菜烂在地里。但与此同时,我们看到城市里超市的菜价却没有相应地下降。究竟是什么原因导致了今年蔬菜种植环节价格大跌? 近来在CPI高企的背景下,“买菜贵”让城市居民生活成本陡增。然而另一方面,却出现了农民“卖菜难”的状况,菜价屡创新低却无人收购,蔬菜甚至面临“烂在地里”的局面。强烈的反差背后,
8、问题究竟出在哪里?,20,5.1 防火墙,廉价药厂商不生产心脏病手术中常用廉价药鱼精蛋白的断货似乎并不是个例,一位市民近日跑遍烟台全城都买不到治疗皮肤病的廉价老药。2011年9月,记者调查了解到,有的廉价老药断了货,有的价格猛涨变得不再廉价,这让老百姓很不习惯。不过药店和厂家说,他们也有苦衷。知情人士指出,目前医药供销上下游链条里已没有廉价老药生存的空间。 从治疗白血病的复方磺胺甲噁唑注射针剂、环磷酰胺针剂,到缓解胃病的复方胃友、双层胃友等,这些应急救命或者日常必备的药物,因为价格“过于”低廉,而没有厂家愿意生产,在广州正逐步走向急缺、退市的局面。,21,5.1 防火墙,防火墙的优缺点:优点1
9、.遏制来自Internet各种路线的攻击2.借助网络服务选择,保护网络中脆弱的易受攻击的服务3.监视整个网络的安全性,具有实时报警提醒功能4.作为部署NAT的逻辑地址5.增强内部网中资源的保密性,强化私有权,22,5.1 防火墙,防火墙的优缺点:缺点1.限制了一些有用的网络服务的使用,降低了网络性能2.只能限制内部用户对外的访问,无法防护来自内部网络用户的攻击3.不能完全防止传送感染病毒的软件或文件,特别是一些数据驱动型的攻击数据4.被动防守,不能防备新的网络安全问题,23,5.1 防火墙,防火墙的局限需要过多的人工审查和记录无法防范防火墙漏洞攻击无法防范来自内部网的攻击无法防止传送病毒无法防
10、范数据驱动型的攻击(恶意代码的攻击),24,5.1 防火墙,网络攻击行为:10次以上试密码、端口扫描、服务扫描对网络有害信息的“疏导”技术“蜜网技术”蜜网是一个“诱捕网络”,属于主动型的防御系统。,25,5.1 防火墙,蜜罐(HoneyPot)是受到严密监控的网络诱骗系统,它通过真实或模拟的网络和服务来吸引攻击,从而在黑客攻击蜜罐期间对其攻击行为及过程进行记录分析,以搜集信息,同时对新攻击发出预警。蜜罐本身并不直接增强网络的安全性,但可以延缓攻击和转移攻击目标。简单地说,蜜罐就是诱捕攻击者的一个陷阱。蜜网(Honeynet)是蜜罐技术的延伸和发展,是一种高交互性的蜜罐,,在一台或多台蜜罐主机基
11、础上,结合防火墙、 路由器、 入侵检测系统组成的网络系统。蜜网可以合理记录下攻击者的行动,同时尽量减小或排除对因特网上其它系统造成的风险。法律问题:存不存在“诱导犯罪”、“钓鱼执法”的嫌疑?,26,5.2 VPN技术,问题的提出(VPN的需求来源):地理分散的分支机构,如跨国公司、连锁店、地区办事处、分销点、各地子公司等。两种解决方式:从电信公司租用专用的通信信道,如DDN(Digital Data Network)专线投资构建EDI(Electronic Data Interchange )或电子商务平台通过DSL(Digital Subscriber Line,数字用户线)或其它宽带方式接
12、入网络,27,5.2 VPN技术,虚拟专用网VPN(Virtual Private Network)通过一个公共网络(Internet)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道,它是对企业内部网(Intranet)的扩展。,28,5.2 VPN技术,VPN提供如下功能:加密数据:保证通过公网传输的信息不泄漏。信息认证和身份认证:保证信息的完整性、合法性,鉴别用户的身份。提供访问控制:不同的用户有不同的访问权限。,29,5.2 VPN技术,VPN的优点成本较低:相对于专线网络结构灵活:易于实施和扩展管理方便:网络设备较少VPN是一种特殊的、虚拟的“点对点”(end
13、to end)连接,它使用“隧道”(Tunnel)技术,数据包在公共的Internet网络上专门开辟的“隧道”内传输。,30,5.2 VPN技术,VPN的基础隧道协议第2层隧道协议PPTP(Point to Point Tunneling Protocol),由3Com、Access、Ascend、Microsoft、ECI Telematics公司共同制定,客户机/服务器模式L2F(Layer 2 Forwarding),由Cisco公司提出,可在ATM、帧中继、IP网上建立VPN通信方式L2TP(Layer 2 Tunneling Protocol),由Cisco公司提出,综合PPTP和L
14、2F的优点,向IETF(Internet Engineering Task Force )提交标准化申请,31,5.2 VPN技术,32,5.2 VPN技术,第3层隧道协议IPSec(Internet Protocol Security),由IETF RFC 2401-2409定义,是一个与互联网密钥交换IKE(Internet Key Exchange)有关的框架协议,主要用于基于防火墙的VPN系统GRE(Generic Routing Encapsulation),由IETF RFC 1701/1702定义,规定了怎样用一种网络层协议去封装另一种网络层协议的方法,33,5.2 VPN技术,
15、隧道的基本组成一个隧道启动器一个路由网络(Internet)一个可选的隧道交换机一个或多个隧道终结器,34,5.2 VPN技术,场点到场点VPN,VPN应用实例1,35,5.2 VPN技术,L2TP+IPSEC VPN,VPN应用实例2,36,5.2 VPN技术,IPSec IPSEC 协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括以下主要协议: AH(Authentication Header):认证头标 -为IP通信提供数据源认证、数据完整性和防重播保证,它能保护通信免受篡改,但不能防止窃听,适合用于传输非机密数据。 ESP(Encapsulating S
16、ecurity Payload):封装安全净载-ESP为IP数据包提供完整性检查、认证和加密,可以看作是“超级AH”, 因为它提供机密性并可防止篡改。 IKE(Internet Key Exchange):Internet密钥交换协议-负责协商安全关联和建立隧道,37,5.2 VPN技术,IPSec有两种工作模式: 隧道模式(Tunnel) 可以对IP头和IP数据进行加密认证,即协议使IP包通过隧道传输。 传输模式(Transport) 可以对IP数据进行加密认证,即协议为高层数据提供基本的保护。,38,5.2 VPN技术,选择VPN解决方案:认证方法:PKI支持的加密算法:三重DES、AES
17、支持的认证算法:MD5、SHA1支持的IP压缩算法:DEFI、ATE、LZS易于部署兼容分布式或个人防火墙的可用性,39,5.2 VPN技术,VPN的适用范围:位置众多,特别是单个用户和远程办公室站点多用户/站点分布范围广,彼此距离远带宽和时延要求相对不高对线路保密性和可用性有一定要求VPN不适用的范围:非常重视传输数据的安全性性能第一位采用不常见的专用协议,不能在IP隧道中传送实时的多媒体通信,40,5.2 VPN技术,VPN的分类:1.按VPN的部署模式分类:端到端(end to end)模式供应商企业(Provider-Enterprise)模式内部供应商(Intra-Provider)
18、模式2.按VPN的服务类型分类:远程接入VPN (Access VPN)企业内联网VPN (Intranet VPN)企业外联网VPN (Extranet VPN),41,Access VPN,流动员工、远程办公人员使用Access VPN通过公用网络与企业的内部网络建立专用的网络连接,42,Intranet VPN,通过公用网络、使用专用连接把企业总部和各远程分部(或分支)连接到内部网络注意:它只允许企业内部员工访问,43,Extranet VPN,通过公用网络、使用专用连接把外部客户、合作伙伴等连接到企业的内部网络注意:它允许企业之外的用户访问,44,5.2 VPN技术,组建VPN应该遵循的设计原则:安全性:VPN直接构建在Internet公用网上网络优化:充分利用有限的广域网资源VPN管理:网管功能无缝地延伸到公用网VPN应用的前景客观因素:Internet带宽和服务质量主观因素:用户数据在Internet上传输的安全性用户自身的业务应用的多少,
