計算機信息技術與安全課件第6章

1、授課教師：石元泉,計算機信息安全技術,第六章 防火墻工作原理及應用,了解防火墻的基本概念、發(fā)展簡史、目的、功能、局限性及其發(fā)展動態(tài)和趨勢;了解防火墻的不同分類方法;掌握包過濾技術的基本原理、技術特點和實現(xiàn)方式，了解包過濾技術的優(yōu)、缺點;掌握代理服務技術、應用層網(wǎng)關防火墻和電路級網(wǎng)關防火墻的基本原理、技術特點和實現(xiàn)方式，了解代理服務技術的優(yōu)、缺點;,本章學習要求,了解狀態(tài)檢測技術和自適應代理技術的基本原理和技術特點;掌握屏蔽路由

2、器體系結構、雙重宿主主機體系結構、屏蔽主機體系結構和屏蔽子網(wǎng)體系結構等4種防火墻體系結構的基本組成;了解多種組合體系結構的基本組成;熟悉防火墻的產(chǎn)品選購和設計策略;了解個人版防火墻的特點，了解瑞星個人版防火墻的操作方法。,本章學習要求,第六章 防火墻工作原理及應用,6.1 防火墻概述 6.2 防火墻技術 6.3 防火墻的體系結構 6.4 防火墻選型與產(chǎn)品簡介 6.5 個人防火墻實例簡介,主要內容,,第六章 防火墻工作原

3、理及應用,6.1 防火墻概述,6.1.1 防火墻的基本概念防火墻：通常是指設置在不同網(wǎng)絡或網(wǎng)絡安全域之間的一系列部件的組合。是設置在被保護網(wǎng)絡和外部網(wǎng)絡之間的一道屏障;是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)網(wǎng)絡安全策略控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力;是提供信息安全服務、實現(xiàn)網(wǎng)絡和信息安全的基礎和核心控制設備，能夠有效地監(jiān)控內部網(wǎng)和互聯(lián)網(wǎng)之間的任何活動，防止發(fā)生不可預測的、潛在破

4、壞性的侵入，從而保證內部網(wǎng)絡的安全;已經(jīng)成為世界上用得最多的網(wǎng)絡安全產(chǎn)品之一。,6.1 防火墻概述,防火墻布局圖：,圖6-1 網(wǎng)絡防火墻,6.1 防火墻概述,防火墻工作原理,圖6-2 防火墻工作原理,6.1 防火墻概述,防火墻具有以下5項基本功能。 過濾進出網(wǎng)絡的數(shù)據(jù)。管理進出網(wǎng)絡的訪問行為。封堵某些禁止的業(yè)務。記錄通過防火墻的信息內容和活動。對網(wǎng)絡攻擊進行檢測和報警。,,,6.1.2 防火墻的發(fā)展簡史,第一代防火墻

5、 1983年，第一代防火墻幾乎與路由器同時出現(xiàn)，采用了包過濾（Packet Filter）技術。第二代防火墻 1989年，貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火墻(電路級防火墻)，并提出了應用層防火墻（代理防火墻）的初步結構。第三代防火墻 1992年，美國南加州大學(USC) 的Bob Braden開發(fā)出基于動態(tài)包過濾（Dynamic Packe

6、t Filter）技術的第三代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視（State Fulinspection）技術；同時，以色列的Check Point公司于1994年開發(fā)出第一個基于這種技術的商業(yè)化產(chǎn)品。,6.1 防火墻概述,,,6.1.2 防火墻的發(fā)展簡史,第四代防火墻 防火墻技術和產(chǎn)品隨著網(wǎng)絡攻擊和安全防護手段的發(fā)展而演進，到1997年初，具有安全操作系統(tǒng)的防火墻產(chǎn)品面世，使防火墻技術步入了第四代。第五代防火墻

7、 1998年，美國網(wǎng)絡聯(lián)盟(NAI)公司推出一種自適應代理（Adaptive Proxy）技術，并在其產(chǎn)品Gauntlet Firewall for NT中得以實現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。,6.1 防火墻概述,,6.1.3 設置防火墻的目的和功能,目的：限制他人進入內部網(wǎng)絡；過濾掉不安全的服務和非法用戶；防止入侵者接近用戶的防御設施；限定人們訪問特殊站點；為監(jiān)視局域網(wǎng)安全提供方

8、便。功能:控制對受保護網(wǎng)絡的非法訪問，通過監(jiān)視、限制、更改通過網(wǎng)絡的數(shù)據(jù)流，一方面盡可能屏蔽內部網(wǎng)的拓撲結構，另一方面對內屏蔽外部危險站點，用以防范外對內、內對外的非法訪問。,6.1 防火墻概述,6.1 防火墻概述,防火墻功能主要表現(xiàn)在以下4個方面：防火墻是網(wǎng)絡安全的屏障 防火墻可以強化網(wǎng)絡安全策略 對網(wǎng)絡存取和訪問進行監(jiān)控審計 防止內部信息的外泄防火墻支持具有Internet服務特性的企業(yè)內部網(wǎng)絡技術體系VPN。,6.

9、1 防火墻概述,不能防范不經(jīng)由防火墻的攻擊；不能防止感染了病毒的軟件或文件的傳輸；不能防止數(shù)據(jù)驅動型攻擊；不能防范惡意的內部人員入侵；▲不能防范不斷更新的攻擊方式；難于管理和配置，易造成安全漏洞；很難為用戶在防火墻內外提供一致的安全策略。 防火墻不能解決所有網(wǎng)絡安全問題，它只是網(wǎng)絡安全策略中的一個組成部分,6.1.4 防火墻的局限性,,,6.1.5 防火墻技術的發(fā)展動態(tài)和趨勢 防火墻產(chǎn)品正向以下趨勢發(fā)展：優(yōu)

10、良的性能；可擴展的結構和功能；簡化的安裝與管理；主動過濾；防病毒與防黑客。防火墻技術下一步的走向和選擇，也可能會包含以下幾個方面：,6.1 防火墻概述,6.1 防火墻概述,6.1.5 防火墻技術的發(fā)展動態(tài)和趨勢 防火墻將從目前對子網(wǎng)或內部網(wǎng)絡管理的方式向遠程上網(wǎng)集中管理的方式發(fā)展。過濾深度不斷加強，從目前的地址、服務過濾，發(fā)展到URL（頁面）過濾、關鍵字過濾和對ActiveX、Java小應用程序等的過濾，并逐漸有病毒

11、清除功能。利用防火墻建立專用網(wǎng)VPN是較長一段時間的主流，IP的加密需求越來越強，安全協(xié)議的開發(fā)是一大熱點。對網(wǎng)絡攻擊的檢測和報警將成為防火墻的重要功能。安全管理工具不斷完善，特別是可疑活動的日志分析工具等將成為防火墻產(chǎn)品中的一部分 未來防火墻技術會全面考慮網(wǎng)絡的安全、操作系統(tǒng)的安全、應用程序的安全、用戶的安全、數(shù)據(jù)的安全等5個方面,,,,6.2 防火墻技術,6.2.1 防火墻的分類 基于實現(xiàn)方法分類軟件防火墻、硬

12、件防火墻和專用防火墻等；基于防火墻技術原理分類 包過濾防火墻、代理服務器防火墻、狀態(tài)檢測防火墻和自適應防火墻等；基于防火墻硬件環(huán)境分類 基于路由器、基于主機等；基于防火墻的功能分類E-mail防火墻、病毒防火墻和個人防火墻等；,,,,1．基本原理包過濾是防火墻為系統(tǒng)提供安全保障的主要技術，可在網(wǎng)絡層對進出網(wǎng)絡的數(shù)據(jù)包進行有選擇的控制與操作；包過濾操作一般都是在選擇路由的同時，在網(wǎng)絡層對數(shù)據(jù)包進行選擇或過濾；選擇的依據(jù)是

13、系統(tǒng)內設置的過濾邏輯（訪問控制表），并指定哪些類型的數(shù)據(jù)包可以流入或流出內部網(wǎng)絡；過濾規(guī)則一般以IP數(shù)據(jù)包信息為基礎，對IP數(shù)據(jù)包的源/目的地址、傳輸方向、分包、IP數(shù)據(jù)包封裝協(xié)議、TCP/UDP目標端口號等進行篩選和過濾。,6.2.2 包過濾技術,6.2 防火墻技術,,,,,圖6-3 包過濾防火墻工作原理,需遵循的一條基本原則就是“最小特權原則”，即明確允許管理員希望通過的那些數(shù)據(jù)包，禁止其他的數(shù)據(jù)包。,6.2 防火墻技術,,,

14、2．包過濾技術的優(yōu)點不用改動應用程序；一個過濾路由器能協(xié)助保護整個網(wǎng)絡 ；數(shù)據(jù)包過濾對用戶透明 ；過濾路由器速度快、效率高。包過濾技術是一種通用、廉價、有效的安全手段,6.2 防火墻技術,,,3．包過濾技術的缺點 安全性較差 一些應用協(xié)議不適用 正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略 不能徹底防止地址欺騙 數(shù)據(jù)包工具存在很多局限性 它是第一代防火墻技術，本身存在較多缺陷，不能提供較高的安全性

15、。在實際應用中，很少把包過濾技術當作單獨的安全解決方案，通常是把它與應用網(wǎng)關配合使用或與其他防火墻技術揉合在一起使用，共同組成防火墻系統(tǒng)。,6.2 防火墻技術,,,,6.2.3 代理服務技術代理防火墻模式提供了十分先進的安全控制機制，它通過在協(xié)議棧的最高層（應用層）檢查每一個包來提供足夠的應用級連接信息。代理防火墻工作于應用層，且針對特定的應用層協(xié)議，通過代理可以實現(xiàn)比包過濾更嚴格的安全策略。代理防火墻分為應用層網(wǎng)關和電路級網(wǎng)

16、關兩類。,,6.2 防火墻技術,,,,1．基本原理代理服務器：是運行在防火墻主機上的一些特定的應用程序或者服務程序，它們代表客戶在服務器端進行連接請求。當代理服務器收到一個客戶的連接請求時，它將核實客戶請求，并用特定的安全化的代理應用程序來處理連接請求，并將處理后的請求傳遞到真實的服務器上，然后接收服務器應答，并作進一步處理后，將答復交給發(fā)出請求的最終客戶。代理服務器在外部網(wǎng)絡向內部網(wǎng)絡申請服務時發(fā)揮了中間轉接和隔離內、外部網(wǎng)

17、絡的作用，所以又稱為代理防火墻。,,6.2 防火墻技術,,,,,,圖6-4 代理防火墻的應用層數(shù)據(jù)控制及傳輸過程,,6.2 防火墻技術,,,,代理防火墻最突出的特點：將所有跨越防火墻的網(wǎng)絡通信鏈路分為兩段。防火墻內外計算機系統(tǒng)間應用層的“鏈接”，由兩個代理服務器上的“鏈接”來實現(xiàn)，外部計算機的網(wǎng)絡鏈路只能到達代理服務器，從而起到隔離防火墻內外計算機系統(tǒng)的作用。代理防火墻在發(fā)現(xiàn)被攻擊的跡象時，將向網(wǎng)絡管理員發(fā)出警報，并保留攻擊現(xiàn)場。

18、在代理服務中，內部各站點之間的連接被切斷了，代理服務在幕后操縱著各站點間的連接。,,6.2 防火墻技術,,,,2．應用層網(wǎng)關防火墻 （1）工作原理應用層網(wǎng)關防火墻是傳統(tǒng)代理型防火墻，在網(wǎng)絡應用層上建立協(xié)議過濾和轉發(fā)功能。它針對特定的網(wǎng)絡應用服務協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時對數(shù)據(jù)包進行必要的分析、登記和統(tǒng)計，形成報告。其核心技術就是代理服務器技術，是基于軟件的，通常安裝在專用工作站系統(tǒng)上。這種防火墻

19、通過代理技術參與到一個TCP連接的全過程，并在網(wǎng)絡應用層上建立協(xié)議過濾和轉發(fā)功能，即：應用層網(wǎng)關。,,6.2 防火墻技術,,,,,圖6-5 應用網(wǎng)關防火墻實現(xiàn)原理,,,6.2 防火墻技術,,,,（2）優(yōu)點應用層網(wǎng)關防火墻最突出的優(yōu)點就是安全，這種類型的防火墻被網(wǎng)絡安全專家和媒體公認為是最安全的防火墻。 （3）缺點代理防火墻的最大缺點就是速度相對比較慢，當用戶對內外網(wǎng)絡網(wǎng)關的吞吐量要求比較高時，代理防火墻就會成為內外網(wǎng)絡之間

20、的瓶頸。,,6.2 防火墻技術,,,,3．電路級網(wǎng)關防火墻電路級網(wǎng)關（ /TCP通道）防火墻：數(shù)據(jù)包被提交給用戶的應用層進行處理，電路級網(wǎng)關用來在兩個通信的終點之間轉換數(shù)據(jù)包。電路級網(wǎng)關通過在TCP 3次握手建立連接的過程中，檢查雙方的SYN、ACK和序列號是否符合邏輯，來判斷該請求的會話是否合法。一旦網(wǎng)關認為會話是合法的，就為雙方建立連接，并維護一張合法會話連接表，當會話信息與表中的條目匹配時才允許數(shù)據(jù)通過，會話結束后，表中的條

21、目就被刪除。,6.2 防火墻技術,,,,,,圖6-6 電路級網(wǎng)關防火墻,,,6.2 防火墻技術,,,,,,圖6-7 電路級網(wǎng)關防火墻工作原理,,,6.2 防火墻技術,,,,4．代理服務技術的優(yōu)點 代理易于配置代理能生成各項記錄代理能靈活、完全地控制進出流量、內容代理能過濾數(shù)據(jù)內容代理能為用戶提供透明的加密機制代理可以方便地與其他安全手段集成,,6.2 防火墻技術,,,,5．代理服務技術的缺點 代理速度較路由器慢 代理

22、對用戶不透明 對于每項服務代理可能要求不同的服務器 代理服務不能保證免受所有協(xié)議弱點的限制 代理不能改進底層協(xié)議的安全性,,6.2 防火墻技術,,,,6．兩種防火墻技術的對比,,6.2 防火墻技術,,,,6．兩種防火墻技術的對比代理服務器對整個IP數(shù)據(jù)包的數(shù)據(jù)進行掃描，能夠比包過濾器提供更詳細的日志文件。如果數(shù)據(jù)包和包過濾規(guī)則匹配，就允許數(shù)據(jù)包通過防火墻；而代理服務器要用新的源IP地址重建數(shù)據(jù)包，這樣對外隱藏了內部用戶。

23、使用代理服務器，意味著在Internet上必須有一個服務器，且內部主機不能直接與外部主機相連，因此帶有惡意攻擊的外部數(shù)據(jù)包也就不能到達內部主機。對網(wǎng)絡通信而言，如果包過濾器由于某種原因不能工作，可能出現(xiàn)的結果是所有的數(shù)據(jù)包都能到達內部網(wǎng)；而如果代理服務器由于某種原因不能工作，整個網(wǎng)絡通信將被終止。,,6.2 防火墻技術,,,,6.2.4 狀態(tài)檢測技術狀態(tài)包檢測防火墻：在網(wǎng)絡層攔截輸入包，并利用足夠的企圖連接的狀態(tài)信息作出決策（

24、通過對高層的信息進行某種形式的邏輯或數(shù)學運算）。狀態(tài)包檢測模式增加了更多的包和包之間的安全上下文檢查，以達到與應用級代理防火墻相類似的安全性能。,,6.2 防火墻技術,圖6-8 狀態(tài)包檢測防火墻,6.2 防火墻技術,安全決策所需的相關狀態(tài)信息在操作系統(tǒng)內核的私有檢測模塊中進行檢測，然后保留在評價后續(xù)連接企圖的動態(tài)狀態(tài)表（庫）中；被檢查通過的包發(fā)往防火墻內部，允許直接連接內部、外部主機系統(tǒng)； 狀態(tài)包檢測防火墻工作在協(xié)議棧的較低層，

25、通過防火墻的所有數(shù)據(jù)包都在低層進行處理，無需協(xié)議棧的上層來處理任何數(shù)據(jù)包；狀態(tài)包檢測防火墻不依靠與應用有關的代理，而是依靠某種算法來識別進出的應用層數(shù)據(jù)。,,,,6.2.5 自適應代理技術自適應代理技術將前幾代防火墻的優(yōu)點合成到一個單一的完整系統(tǒng)中并使它們的弱點縮減到最小；組成這種類型防火墻的基本要素有兩個：自適應代理服務器與動態(tài)包過濾器。在自適應代理與動態(tài)包過濾器之間存在一個控制通道。在對防火墻進行配置時，用戶僅僅將所需要的

26、服務類型、安全級別等信息通過相應代理的管理界面進行設置就可以了。然后，自適應代理就可以根據(jù)用戶的配置信息，決定是使用代理服務從應用層代理請求或是從網(wǎng)絡層轉發(fā)數(shù)據(jù)包。,,6.2 防火墻技術,,,,,,6.3 防火墻的體系結構,6.3.1 屏蔽路由器 屏蔽路由器（Screening Router，SR）又稱為包過濾路由器，是最簡單也是最常見的防火墻。屏蔽路由器作為內外連接的唯一通道，要求所有的報文都必須在此通過檢查；

27、它除了具有路由功能外，還可安裝包過濾軟件，利用包過濾規(guī)則完成基本的防火墻功能。屏蔽路由器可以由廠家專門生產(chǎn)的路由器實現(xiàn)，也可以用主機來實現(xiàn)。,,,,,,,,,圖6-9 屏蔽路由器體系結構,,6.3 防火墻的體系結構,,,,,,缺點： （1）沒有或有很少的日志記錄能力，因此網(wǎng)絡管理員很難確定系統(tǒng)是否正在被入侵或已經(jīng)被入侵了。 （2）規(guī)則表隨著應用的不斷深化，將會很快變得很大而且復雜。 （3）這種防火

28、墻的最大弱點是依靠一個單一的部件來保護系統(tǒng)，一旦部件出現(xiàn)問題，會使網(wǎng)絡的大門敞開，而用戶可能還不知道。,6.3 防火墻的體系結構,,,,,,6.3.2 雙重宿主主機體系結構 雙重宿主主機（Dual Homed Host，DHH） 體系結構是圍繞具有雙重宿主的堡壘主機構筑的，該堡壘主機至少有兩塊網(wǎng)卡。使用應用代理網(wǎng)關作為雙重宿主主機；該體系結構對外屏蔽了內部網(wǎng)絡信息，且IP數(shù)據(jù)包并不是直接從一個網(wǎng)絡（例如因特網(wǎng)）發(fā)送

29、到其他網(wǎng)絡（例如內部的、被保護的網(wǎng)絡）的。,6.3 防火墻的體系結構,,,,,,,,,圖6-10 雙重宿主主機體系結構,,,6.3 防火墻的體系結構,,,,,,優(yōu)點：堡壘主機的系統(tǒng)軟件可用于維護系統(tǒng)日志、硬件復制日志或遠程日志。這對于日后的檢查很有用，但尚不足以幫助網(wǎng)絡管理者確認內部網(wǎng)中哪些主機可能已被黑客入侵。弱點：對內部網(wǎng)絡對外的網(wǎng)絡訪問控制過于嚴格，只能允許訪問應用代理所支持的一些網(wǎng)絡應用協(xié)議；一旦入侵者侵入堡壘主機并使

30、其只具有路由功能，則任何網(wǎng)上用戶均可以隨意訪問內部網(wǎng)。,6.3 防火墻的體系結構,,,,,,6.3.3 屏蔽主機體系結構 屏蔽主機網(wǎng)關（Screened Gateway，SG） 由屏蔽路由器和應用網(wǎng)關組成，屏蔽路由器的作用是包過濾，應用網(wǎng)關的作用是代理服務，即在內部網(wǎng)絡和外部網(wǎng)絡之間建立了兩道安全屏障，既實現(xiàn)了網(wǎng)絡層安全（包過濾），又實現(xiàn)了應用層安全（代理服務）。 它具有雙重保護，比雙重宿主主機網(wǎng)關防火墻更

31、靈活，安全性更高；但由于要求對兩個部件進行配置以便能協(xié)同工作，所以防火墻的配置工作很復雜。,6.3 防火墻的體系結構,,,,,,,,,圖6-11 屏蔽主機體系結構,,,6.3 防火墻的體系結構,,,,,,6.3 防火墻的體系結構,6.3.4 屏蔽子網(wǎng)體系結構 屏蔽子網(wǎng)（Screened Subnet，SS） 防火墻是在屏蔽主機網(wǎng)關防火墻的基礎上再加一個路由器，兩個屏蔽路由器分別放在子網(wǎng)的兩端，形成一個被稱為隔離區(qū)或非

32、軍事區(qū)（Demilitarized Zone，DMZ）的子網(wǎng)，即在內部網(wǎng)絡和外部網(wǎng)絡之間建立一個被隔離的子網(wǎng)。 內部網(wǎng)絡和外部網(wǎng)絡均可訪問被屏蔽子網(wǎng)，但禁止它們穿過被屏蔽子網(wǎng)進行通信，像WWW和 FTP服務器等對外提供服務的服務器可放在DMZ中。有的屏蔽子網(wǎng)中還設有一臺堡壘主機作為唯一可訪問點，支持終端交互或作為應用網(wǎng)關代理。,,,,,,,,,圖6-12 屏蔽子網(wǎng)體系結構,,,,6.3 防火墻的體系結構,,,,,,,,

33、,圖6-13 雙壘主機的屏蔽子網(wǎng)體系結構,,,,6.3.5 組合體系結構 1．多堡壘主機,,使用如圖6-13所示的多堡壘主機，可以改善網(wǎng)絡安全性能、引入冗余度以及隔離數(shù)據(jù)和服務器。,6.3 防火墻的體系結構,,,,,,,,,圖6-14 單個路由器的屏蔽子網(wǎng)體系結構,,,,2．合并內部路由器和外部路由器,,其優(yōu)點是節(jié)約了路由器的開支，最主要的缺點是黑客只要攻破該路由器就可以進入內部網(wǎng)絡。,,6.3 防火墻的體系結構,,,,,,,,

34、,圖6-15 堡壘主機充當外部路由器,,,,3．合并堡壘主機和外部路由器,,使用一個配有雙網(wǎng)卡的主機，既做堡壘主機又充當外部路由器。在這種體系結構中，堡壘主機沒有外部路由器的保護，直接暴露給了Internet，安全性不好。 該方案的唯一保護是堡壘主機自己提供的包過濾功能。,,,6.3 防火墻的體系結構,,,,,,,,,圖6-16 堡壘主機充當內部路由器,,,,4．合并堡壘主機和內部路由器,,使用一個配有雙網(wǎng)卡的主機，既

35、做堡壘主機又充當內部路由器。此時，堡壘主機與內部網(wǎng)通信，以便轉發(fā)從外部網(wǎng)獲得的信息。,,,,6.3 防火墻的體系結構,,,,,,,,圖6-17 多臺外部路由器的屏蔽子網(wǎng)過濾體系結構,,,,5．使用多臺外部路由器,,當有兩臺外部路由器時，黑客攻入任一個路由器的機會就增加了一倍，多臺亦然。,,,,6.3 防火墻的體系結構,,,,,,,,,圖6-18 雙DMZ的屏蔽子網(wǎng)體系結構,,,,6．使用多個周邊網(wǎng)絡,,優(yōu)點：提高了網(wǎng)絡冗余度，在數(shù)據(jù)

36、傳輸中將不同的網(wǎng)絡隔離開，增加了數(shù)據(jù)的保密性。缺點：存在多個路由器，它們都是進入內部網(wǎng)的通道。如果不能嚴格地監(jiān)控和管理這些路由器，就會給入侵者提供更多的機會。,,,,,,6.3 防火墻的體系結構,,,,,,6.4 防火墻選型與產(chǎn)品簡介,6.4.1 防火墻產(chǎn)品選購策略 首先，用戶需要了解一個防火墻系統(tǒng)應具備的基本功能，這是用戶選擇防火墻產(chǎn)品的依據(jù)和前提；其次，選購防火墻時主要應該考慮安全性、高效性、適用性、可管理性和

37、售后服務體系等因素。 1．防火墻的安全性 防火墻自身的安全性也很重要。防火墻也是網(wǎng)絡上的主機之一，也可能存在安全問題，當防火墻主機上所運行的軟件出現(xiàn)安全漏洞時，防火墻本身也將受到威脅，此時任何的防火墻控制機制都可能失效。,,,,,,6.4 防火墻選型與產(chǎn)品簡介,2．防火墻的高效性 用戶的需求是選購何種性能防火墻的決定因素。用戶常見的需求可能包括： （1）網(wǎng)絡地址轉換功能NAT

38、 （2）雙重域名服務DNS （3）虛擬專用網(wǎng)絡VPN （4）殺毒功能 （5）特殊控制需求,,,,,,6.4 防火墻選型與產(chǎn)品簡介,3．防火墻的適用性 適用性是指量力而行。 另外，還應該考慮用戶自身的因素。例如： （1）用戶網(wǎng)絡受威脅的程度。 （2）若入侵者闖入網(wǎng)絡，或由于硬件、軟件失效，將要受到的潛在損失。 （3）其他已經(jīng)用來保護網(wǎng)絡及其資源的

39、安全措施。 （4）希望能從Internet得到的服務以及可以同時通過防火墻的用戶數(shù)目。 （5）站點是否有經(jīng)驗豐富的管理員。 （6）今后可能的要求，例如要求增加通過防火墻的網(wǎng)絡活動或要求新的Internet服務等。,,,,,,6.4 防火墻選型與產(chǎn)品簡介,4．防火墻的可管理性 防火墻的管理是對安全性的一個補充。 對管理的評估，可以從以下3個方面進行。 （1）遠程管理

40、 （2）訪問控制規(guī)則的配置界面應該直觀、使用簡單 （3）日志文件不僅能幫助用戶追查攻擊者的蹤跡，還可以記錄流量。 因此，最好選擇擁有界面友好、易于編程的IP過濾語言及便于維護管理的防火墻。,,,,,,6.4 防火墻選型與產(chǎn)品簡介,5．完善、及時的售后服務體系 目前沒有任何一個防火墻的設計能夠適用于所有的環(huán)境，所以用戶在選購防火墻時不要把防火墻的等級看得過重，而應根據(jù)網(wǎng)絡站點的特點來選擇合適的防火墻，

41、能夠滿足安全要求即可，不要盲目追求高性能。 防火墻不是解決所有網(wǎng)絡安全問題的萬能藥方，而只是網(wǎng)絡安全策略中的一個組成部分，這是用戶在決定購買防火墻產(chǎn)品之前就應該明確的問題。,,6.4 防火墻選型與產(chǎn)品簡介,6.4.2 典型防火墻產(chǎn)品介紹 一個成功的防火墻產(chǎn)品應該具有以下基本功能：（1）防火墻的設計策略應遵循安全防范的基本原則——“除非明確允許，否則就應該禁止”。（2）防火墻本身支持安全策略，而不是

42、添加上去的。（3）若組織機構的安全策略發(fā)生改變，可以加入新的服務。（4）有先進的認證手段或有掛鉤程序，可以安裝先進的認證方法。（5）如果需要，可運用過濾技術允許和禁止服務。（6）可以使用FTP和Telnet等服務代理，以便先進的認證手段可以被安裝和運行在防火墻上。（7）擁有界面友好、易于編程的IP過濾語言，并可以根據(jù)數(shù)據(jù)包的性質進行包過濾。,,,,,6.4 防火墻選型與產(chǎn)品簡介,6.4.2 典型防火墻產(chǎn)品介紹從實力和市場地

43、位來分:國外防火墻廠家：比較著名的是Juniper（NetScreen），Cisco(ASA)，CheckPoint(FW)等。它們共同的特點就是自身擁有雄厚的開發(fā)實力，產(chǎn)品線比較齊全，有比較完善的銷售渠道和技術支持體系，它們的主要客戶包括電信、金融等高端用戶群。國內一線廠家：包括天融信、安氏、聯(lián)想、東軟等。它們的主要客戶包括政府、企業(yè)等用戶群。國內二線廠家：這里包含了許多廠商：方正、億陽、東方龍馬、中網(wǎng)、天網(wǎng)、網(wǎng)威、得實、華依等

44、等，這些廠商的共同特點就是有一定的研發(fā)實力和知名度，但在產(chǎn)品解決方案、銷售網(wǎng)絡和售后支持等方面相比起上兩類廠商還有很多不足。,,,,,6.4 防火墻選型與產(chǎn)品簡介,6.4.2 典型防火墻產(chǎn)品介紹從防火墻的性能上分：SOHO級產(chǎn)品的并發(fā)連接數(shù)小于1萬；百兆級產(chǎn)品的并發(fā)連接數(shù)中小于五、六萬的屬于低端，在五六萬到十五萬左右的屬于中端，十五萬以上的屬于高端；千兆產(chǎn)品的并發(fā)連接數(shù)應該在25萬以上。這些防火墻產(chǎn)品相應的成交價格范圍：

45、SOHO在1萬以內；百兆低端產(chǎn)品在兩萬以內，百兆中端產(chǎn)品在兩萬到五萬之內，百兆高端在五萬到九萬之間；千兆產(chǎn)品由于配置的區(qū)別價格都在10萬60萬不等。,,,,,6.4 防火墻選型與產(chǎn)品簡介,6.4.2 典型防火墻產(chǎn)品介紹,2010年第一季度國內主流防火墻品牌市場占有率,,,,,6.4 防火墻選型與產(chǎn)品簡介,6.4.2 典型防火墻產(chǎn)品介紹,,,,,,6.4 防火墻選型與產(chǎn)品簡介,1．3Com Office Connect Firewa

46、ll 其產(chǎn)品特性如下： （1）新增的網(wǎng)絡管理模塊使技術經(jīng)驗有限的用戶也能保障其商業(yè)信息的安全。 （2）Office Connect Internet Firewall使用全靜態(tài)數(shù)據(jù)包檢驗技術來防止非法的網(wǎng)絡接入和防止來自Internet的“拒絕服務”攻擊，它還可以限制局域網(wǎng)用戶對Internet的不恰當使用。 （3）Office Connect Internet Firewall DMZ可支持多達1

47、00個局域網(wǎng)用戶，整個辦公室可以共享ISP提供的一個IP地址，從而節(jié)省開支；局域網(wǎng)上的公共服務器既可以被Internet訪問，又不會使局域網(wǎng)遭受攻擊。 （4）3Com公司所有的防火墻產(chǎn)品很容易通過Getting Started Wizard進行安裝，使用方便。,,,,,,6.4 防火墻選型與產(chǎn)品簡介,2．Cisco PIX防火墻 Cisco防火墻與眾不同的特點是基于硬件。 （1）實時嵌入式操作系

48、統(tǒng)。 （2）保護方案基于自適應安全算法ASA，可以確保最高的安全性。 （3）用于驗證和授權的“直通代理”技術。 （4）最多支持250000個同時連接。 （5）URL過濾。 （6）HP Open View集成。 （7）通過電子郵件和尋呼機提供報警。 （8）通過專用鏈路加密卡提供VPN支持。 （9）符合委托技術評估計劃TTAP，經(jīng)過了美國安全事務

49、處NSA的認證，同時通過了中國公安部安全檢測中心的認證（PIX520除外）。,,,,,,6.4 防火墻選型與產(chǎn)品簡介,3．Check Point FireWall-1 Check Point成名的部分原因歸功于其安全性開放式平臺（Open Platform for Security，OPSEC）。OPSEC聯(lián)盟成立于1997年，Check Point當時的想法是向用戶提供完整的、能夠在多廠商之間進行緊密集成的網(wǎng)絡安全

50、解決方案。目前世界上許多著名的大公司，例如IBM、HP、Cisco、3Com、BAY Networks等，都已經(jīng)成為OPSEC的成員，而其合作伙伴超過了 300個。 FireWall-1是Check Point眾多網(wǎng)絡安全產(chǎn)品中最重要的之一，也是業(yè)界領先的企業(yè)級安全性套件。它集成了訪問控制、用戶認證、NAT、VPN、內容安全性、審計和報告等特性。OPSEC框架為FireWall-1和許多第三方安全應用提供了集

51、成能力和企業(yè)級管理能力。,,,,,,6.4 防火墻選型與產(chǎn)品簡介,4．AXENT Raptor Raptor是最優(yōu)秀的代理型防火墻之一。其界面易讀、易操作，在實時日志方面，僅次于FireWall-1。Raptor的優(yōu)勢在于其代理的深度和廣度。它提供對多種操作系統(tǒng)服務器的保護，還具有SQL*NET代理功能，可控制對Oracle數(shù)據(jù)庫的訪問。Raptor在SMTP方面做得很好，而且它是唯一可防止緩存溢出的防火墻。另外，它還

52、可以代理網(wǎng)絡新聞傳輸協(xié)議NNTP和網(wǎng)絡時間協(xié)議NTP。,,,,,,6.4 防火墻選型與產(chǎn)品簡介,5．CyberGuard Firewall CyberGuard Firewall是由CyberGuard公司開發(fā)的，其主要結構是基于CX/SX多層式安全操作系統(tǒng)的，操作簡單，很容易上手。CyberGuard Firewall與其他防火墻產(chǎn)品不同的地方在于，它提供一種可以安裝在防火墻上的加密卡。通過加密卡，可以進行硬件加

53、密，這對于整體性能有顯著的提高。另外，還支持網(wǎng)絡地址轉換、Sock、分布式DNS等。,,,,,,6.4 防火墻選型與產(chǎn)品簡介,6．東軟NetEye 于1991年在東北大學創(chuàng)立的東軟集團是中國領先的軟件與解決方案提供商。東軟NetEye防火墻基于專門的硬件平臺，使用專有的ASIC芯片和專有的操作系統(tǒng)，基于狀態(tài)包過濾的“流過濾”體系結構。圍繞流過濾平臺，東軟構建了網(wǎng)絡安全響應小組、應用升級包開發(fā)小組、網(wǎng)絡安全實驗室，不

54、僅帶給用戶高性能的應用層保護，還包括新應用的及時支持、特殊應用的定制開發(fā)、安全攻擊事件的及時響應等。,,,,,,6.4 防火墻選型與產(chǎn)品簡介,6.4.3 防火墻選型舉例 1．小型辦公和家用網(wǎng)絡 小型、家庭辦公和家用網(wǎng)絡（Small Office Home Office，SOHO）要管理的用戶和機器比較少，而且只需要訪問極少量的Internet服務，例如電子郵件、Web以及有時需要的流媒體。在這種情形下，簡

55、單的數(shù)據(jù)包過濾防火墻就足夠了?，F(xiàn)在大部分SOHO路由器都具有防火墻、VPN、地址映射、端口映射、DHCP服務、自動撥號、支持虛擬服務器以及支持動態(tài)DNS等功能。 華為Quidway R1600，清華同方TFB-104R+、Linksys、Netgear、D-Link，3Com等公司出品的寬帶路由器，WatchGuard的Firebox SOHO，Symantec的Norton Personal Firewall、NetSc

56、reen以及SonicWall SOHO完全適用于這種環(huán)境；Cisco和Check Point也提供小型辦公室版本的PIX和FireWall-1，不過價格要高一點。,,,,,,6.4 防火墻選型與產(chǎn)品簡介,2．中小型企業(yè)網(wǎng)絡 中小型企業(yè)以及遠程辦公環(huán)境需要提供Web服務、電子郵件、流媒體以及文件傳輸和終端訪問。防火墻較多考慮高容量、高速度、低延遲、高可靠性以及防火墻本身的健壯性，并且開始支持雙機熱備份。 東

57、軟NetEye、WatchGuard Firebox和SonicWall等產(chǎn)品比較適合這種場合。 3．大型網(wǎng)絡 大型企業(yè)、校園網(wǎng)和服務提供商面對的是復雜的大型環(huán)境，擁有眾多用戶并提供諸多復雜服務。有些服務看似簡單，但實際上需要防火墻開放多個端口服務。例如，VoIP和NetMeeting，這兩種服務都需要為25種以上的不同服務開放端口。因此在復雜的大型環(huán)境中，應該使用支持集中式防火墻管理和配置功能的防火墻。例如

58、，Cisco PIX、Check Point FireWall-1和NetScreen等。,,,,,,6.5 個人防火墻實例簡介,6.5.1 個人防火墻 1．個人防火墻的概念 所謂個人防火墻，就是指一種能夠保護個人計算機系統(tǒng)安全、可以直接在用戶計算機操作系統(tǒng)上運行的軟件。它是應用程序級的，使用與狀態(tài)檢測防火墻相同的方式來保護計算機免受攻擊。通常這些防火墻安裝在計算機網(wǎng)絡接口的較低級別上，使它們可以監(jiān)視通過

59、網(wǎng)卡的所有網(wǎng)絡通信。,,,,,,6.5 個人防火墻實例簡介,2．個人防火墻的優(yōu)點 （1）增加了保護功能 （2）易于配置 （3）廉價 3．個人防火墻的缺點 （1）接口通信受限 （2）集中管理比較困難 （3）性能限制,,,,,,6.5 個人防火墻實例簡介,6.5.2 瑞星個人版防火墻 瑞星個人防火墻是由瑞星軟件公司開發(fā)的，供個人計算機使用的網(wǎng)絡安全

60、防護工具。它可以保護網(wǎng)絡安全，使網(wǎng)絡免受黑客攻擊。 它采用先進的監(jiān)測技術，能夠有效地監(jiān)控網(wǎng)絡連接；利用內置的、細化的規(guī)則設置，使網(wǎng)絡保護更加智能；同時，它具有游戲防盜、應用程序保護等高級功能，可為個人計算機提供全面的安全保護；并且，通過過濾不安全的網(wǎng)絡訪問服務，極大地提高了用戶計算機的上網(wǎng)安全性，比較徹底地阻擋了黑客攻擊、木馬程序等網(wǎng)絡威脅，保護上網(wǎng)賬號、QQ密碼、網(wǎng)游賬號等信息不被竊取。,,,,,,6.5 個人防火墻實例

61、簡介,1．瑞星個人防火墻的安裝 2．瑞星個人防火墻的卸載 3．瑞星個人防火墻的使用與設置 4．選項卡介紹 5．瑞星個人防火墻的升級,小結,,,,,,防火墻通常是指設置在不同網(wǎng)絡（例如可信任的內部網(wǎng)絡和不可信的外部網(wǎng)絡）或網(wǎng)絡安全域之間的一系列部件的組合。它是一種必不可少的安全增長點，是設置在被保護網(wǎng)絡和外部網(wǎng)絡之間的一道屏障，也是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)網(wǎng)絡安全策略控制（

62、允許、拒絕、監(jiān)測）出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務、實現(xiàn)網(wǎng)絡和信息安全的基礎和核心控制設備，能夠有效地監(jiān)控內部網(wǎng)和互聯(lián)網(wǎng)之間的任何活動，防止發(fā)生不可預測的、潛在破壞性的侵入，從而保證內部網(wǎng)絡的安全。 防火墻的功能主要體現(xiàn)在：它是網(wǎng)絡安全的屏障、可以強化網(wǎng)絡安全策略、對網(wǎng)絡存取和訪問進行監(jiān)控審計以及防止內部信息的外泄4方面。,小結,,,,,,防火墻也有其局限性，它不是解決所有網(wǎng)絡安全問題的

63、萬能藥方，而只是網(wǎng)絡安全策略中的一個組成部分。 防火墻有多種不同的分類方法：根據(jù)采用的技術不同，可分為包過濾防火墻和代理服務器防火墻；按照應用對象的不同，可分為企業(yè)級防火墻與個人防火墻；依據(jù)實現(xiàn)的方法不同，又可分為軟件防火墻、硬件防火墻和專用防火墻。 包過濾是防火墻為系統(tǒng)提供安全保障的主要技術，它依據(jù)系統(tǒng)內設置的訪問控制表，在網(wǎng)絡層對進出網(wǎng)絡的數(shù)據(jù)包進行有選擇的控制與操作。包過濾操作一般都是在選擇路由的同時，

64、在網(wǎng)絡層對數(shù)據(jù)包進行選擇或過濾。 包過濾防火墻邏輯簡單、價格便宜、易于安裝和使用、網(wǎng)絡性能和透明性好，通常安裝在路由器上，而路由器是內部網(wǎng)絡與Internet連接必不可少的設備，因此在原有網(wǎng)絡上增加這樣的防火墻幾乎不需要任何額外的費用。,小結,,,,,,包過濾的缺點是安全性較差、一些應用協(xié)議不適用包過濾防火墻、正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略、不能徹底防止地址欺騙和數(shù)據(jù)包工具存在很多局限性等。 代

65、理服務器是運行在防火墻主機上的一些特定的應用程序或者服務程序，它們代表客戶在服務器端進行連接請求。當代理服務器收到一個客戶的連接請求時，它將核實客戶請求，并用特定的安全化的代理應用程序來處理連接請求，并將處理后的請求傳遞到真實的服務器上，然后接收服務器應答，并作進一步處理后，將答復交給發(fā)出請求的最終客戶。代理服務器在外部網(wǎng)絡向內部網(wǎng)絡申請服務時發(fā)揮了中間轉接和隔離內、外部網(wǎng)絡的作用，所以又稱為代理防火墻。 代理（Proxy

66、）防火墻分為應用層網(wǎng)關和電路級網(wǎng)關兩類。,小結,,,,,,應用層網(wǎng)關（Application Level Gateways）防火墻是傳統(tǒng)代理型防火墻，在網(wǎng)絡應用層上建立協(xié)議過濾和轉發(fā)功能。它針對特定的網(wǎng)絡應用服務協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時對數(shù)據(jù)包進行必要的分析、登記和統(tǒng)計，形成報告。 應用層網(wǎng)關防火墻最突出的優(yōu)點就是安全，最大缺點就是速度相對比較慢。 電路級網(wǎng)關是建立應用層網(wǎng)關的一種更加靈活

67、的方法，是針對包過濾和應用層網(wǎng)關技術存在的缺點而引入的防火墻技術。電路級網(wǎng)關通過在TCP 3次握手建立連接的過程中，檢查雙方的SYN、ASK和序列號是否符合邏輯，來判斷該請求的會話是否合法。一旦網(wǎng)關認為會話是合法的，就為雙方建立連接，并維護一張合法會話連接表，當會話信息與表中的條目匹配時才允許數(shù)據(jù)通過，會話結束后，表中的條目就被刪除。,小結,,,,,,代理技術具有代理易于配置、代理能生成各項記錄、代理能靈活并且完全地控制進出流量和內容、

68、代理能過濾數(shù)據(jù)內容、代理能為用戶提供透明的加密機制、代理可以方便地與其他安全手段集成等優(yōu)點。 代理技術具有代理速度較路由器慢、代理對用戶不透明、對于每項服務代理可能要求不同的服務器、代理服務不能保證免受所有協(xié)議弱點的限制和代理不能改進底層協(xié)議的安全性等缺點。 單純的包過濾技術簡單地查看每一個單一的輸入包信息，而狀態(tài)包檢測模式則增加了更多的包和包之間的安全上下文檢查，以達到與應用級代理防火墻相類似的安全性能。狀