防火墙及防病毒技术详解课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《防火墙及防病毒技术详解课件.ppt》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 防病 技术 详解 课件
- 资源描述:
-
1、培训讲师:白滨培训讲师:白滨网络安全综合管理高级工程师22023-1-17防火墙及防病毒技术防火墙及防病毒技术32023-1-17第一部分:防火墙技术第一部分:防火墙技术42023-1-17 防火墙的定义防火墙的定义概念:概念:防火墙被设计用来防火墙被设计用来防止火从大厦的一部分传播到另一部分防止火从大厦的一部分传播到另一部分52023-1-17两个安全域之间通信流的唯一通道安全域1Host A Host B 安全域2Host C Host D UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource根据访问控
2、制规则决定进出网络的行为 一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同网络安全域网络安全域之间的一系列部件的组合,它是之间的一系列部件的组合,它是不同网络安全域间通信流的不同网络安全域间通信流的唯一通道唯一通道,能根据企业有关的安全政策,能根据企业有关的安全政策控制控制(允许、拒(允许、拒绝、监视、记录)进出网络的访问行为。绝、监视、记录)进出网络的访问行为。62023-1-17防火墙发展防火墙发展软件防火墙 软硬件结合防火墙 硬件防火墙 运行在通用操作系统上运行在通用操作系统上性能依靠于计算机性能依靠于计算机CPU,内存等内存等极易造成网络带宽瓶颈极易造成网络带宽瓶颈(20%
3、-70%)可以满足低带宽低流量环境下可以满足低带宽低流量环境下的安全需要的安全需要高速环境下容易造成系统崩溃高速环境下容易造成系统崩溃有用户限制,性价比较低有用户限制,性价比较低管理复杂,与系统有关管理复杂,与系统有关机箱机箱+CPU+防火墙软件防火墙软件采用专用或通用操作系统采用专用或通用操作系统核心技术仍然为软件核心技术仍然为软件只能满足中低带宽要求只能满足中低带宽要求(20%-70%)在高流量环境下会造成堵塞在高流量环境下会造成堵塞甚至系统崩溃甚至系统崩溃性价比不高性价比不高管理比较方便管理比较方便 用专用芯片处理数据包用专用芯片处理数据包使用专用的操作系统平台使用专用的操作系统平台高带
4、宽,高吞吐量,真正线速防火高带宽,高吞吐量,真正线速防火墙墙安全与速度同时兼顾安全与速度同时兼顾性价比高性价比高管理简单,快捷,具有良好的总体管理简单,快捷,具有良好的总体成本低成本低72023-1-17 防火墙分类防火墙分类82023-1-17防火墙放置于不同防火墙放置于不同网络安全域网络安全域之间之间92023-1-17 第一代防火墙和最基本形式防火墙检查每一个通过的第一代防火墙和最基本形式防火墙检查每一个通过的网络包,或者丢弃,或者放行,取决于所建立的一套规则。网络包,或者丢弃,或者放行,取决于所建立的一套规则。所以称为包过滤防火墙。所以称为包过滤防火墙。包过滤防火墙包过滤防火墙的特点1
5、02023-1-17112023-1-17包过滤防火墙包过滤防火墙 缺点:缺点:配置困难配置困难,因为包过滤防火墙的配置很复杂,因为包过滤防火墙的配置很复杂,人们经常会忽略建立一些必要的规则,或者错误配置人们经常会忽略建立一些必要的规则,或者错误配置了已有的规则,在防火墙上留下漏洞。了已有的规则,在防火墙上留下漏洞。为特定服务开放的端口存在着危险,可能会被为特定服务开放的端口存在着危险,可能会被用于其他传输。用于其他传输。可能还有其他方法绕过防火墙进入网络,例如可能还有其他方法绕过防火墙进入网络,例如拨入连接。拨入连接。优点:优点:防火墙对每条传入和传出网络的包实行低水平控制。防火墙对每条传入
6、和传出网络的包实行低水平控制。防火墙可以识别和丢弃带欺骗性源防火墙可以识别和丢弃带欺骗性源IPIP地址的包。地址的包。122023-1-17安全网域安全网域Host C Host D UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource数据包数据包数据包数据包数据包数据包数据包数据包数据包数据包查找对应的查找对应的控制策略控制策略拆开数据包拆开数据包根据策略决定如根据策略决定如何处理该数据包何处理该数据包控制策略控制策略数据包数据包过滤依据主要是过滤依据主要是TCP/IP报头里面的报头里面的信息,不能对应用
7、层数据进行处理信息,不能对应用层数据进行处理数据数据TCP报头报头IP报头报头分组过滤判断信息分组过滤判断信息包过滤防火墙工作原理图包过滤防火墙工作原理图132023-1-17应用代理防火墙应用代理防火墙应用程序代理防火墙接受来自内部网络特定用户应用程序的通应用程序代理防火墙接受来自内部网络特定用户应用程序的通信,然后建立于公共网络服务器单独的连接。网络内部的用户不直接信,然后建立于公共网络服务器单独的连接。网络内部的用户不直接与外部的服务器通信,所以服务器不能直接访问内部网的任何一部分。与外部的服务器通信,所以服务器不能直接访问内部网的任何一部分。142023-1-17152023-1-17
8、 优点:优点:指定对连接的控制,例如允许或拒绝基于服务器指定对连接的控制,例如允许或拒绝基于服务器IPIP地址的访问,或者是地址的访问,或者是允许或拒绝基于用户所请求连接的允许或拒绝基于用户所请求连接的IPIP地址的访问。地址的访问。通过限制某些协议的传出请求,来减少网络中不必要的服务。通过限制某些协议的传出请求,来减少网络中不必要的服务。大多数代理防火墙能够记录所有的连接,包括地址和持续时间。这些信大多数代理防火墙能够记录所有的连接,包括地址和持续时间。这些信息对追踪攻击和发生的未授权访问的事件事很有用的。息对追踪攻击和发生的未授权访问的事件事很有用的。缺点:缺点:必须在一定范围内定制用户的
9、系统,这取决于所用的应用程序。必须在一定范围内定制用户的系统,这取决于所用的应用程序。一些应用程序可能根本不支持代理连接。一些应用程序可能根本不支持代理连接。应用代理防火墙应用代理防火墙162023-1-17安全网域Host C Host D 数据包数据包数据包数据包数据包数据包数据包数据包查找对应的控制策略拆开数据包拆开数据包根据策略决定如何处理该数据包数据包应用代理可以对数据包的数据区进行分析应用代理可以对数据包的数据区进行分析,并以此判断数据是否允许通过,并以此判断数据是否允许通过控制策略数据数据TCP报头报头IP报头报头分组过滤判断信息应用代理判断信息172023-1-17状态状态/动
10、态检测防火墙动态检测防火墙状态检测技术:在包过滤的同时,检察数据包之间的关联性,数据包中状态检测技术:在包过滤的同时,检察数据包之间的关联性,数据包中动态变化的状态码。跟踪通过防火墙的网络连接和包,使用一组附加的动态变化的状态码。跟踪通过防火墙的网络连接和包,使用一组附加的标准,以确定是否允许和拒绝通信。标准,以确定是否允许和拒绝通信。监测引擎技术:采用一个或若干个在网关上执行网络安全策略的软件模监测引擎技术:采用一个或若干个在网关上执行网络安全策略的软件模块,抽取有关数据的方法对网络通信的各层实施监测,获得状态信息,块,抽取有关数据的方法对网络通信的各层实施监测,获得状态信息,并动态地保存起
11、来作为以后执行安全策略的参考。并动态地保存起来作为以后执行安全策略的参考。当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或行分析,结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。可以实现给该通信加密等处理动作。可以实现 拒绝携带某些数据的网络通拒绝携带某些数据的网络通信,如带有附加可执行程序的传入电子消息,或包含信,如带有附加可执行程序的传入电子消息,或包含ActiveXActiveX程序的程序的WebWeb页面。页面。1820
12、23-1-17应用层应用层表示层表示层会话层会话层传输层传输层应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理物理层层网络层网络层数据链路层数据链路层物理层物理层网络层网络层数据链路层数据链路层物理层物理层应用层应用层表示层表示层会话层会话层传输层传输层监测引擎状态检测示意图状态检测示意图192023-1-17优点:优点:检查检查IPIP包的每个字段的能力,并遵从基于包中信息的过滤规则。包的每个字段的能力,并遵从基于包中信息的过滤规则。识别带有欺骗性源识别带有欺骗性源IPIP地址包的能力。地址包的能力。包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信
13、必须通过防火包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙,绕过是困难的。墙,绕过是困难的。基于应用程序信息验证一个包的状态的能力,基于应用程序信息验证一个包的状态的能力,例如基于一个已经建立的例如基于一个已经建立的FTPFTP连连接,允许返回的接,允许返回的FTPFTP包通过。包通过。基于应用程序信息验证一个包状态的能力,例如允许一个先前认证过的连接继基于应用程序信息验证一个包状态的能力,例如允许一个先前认证过的连接继续与被授予的服务通信。续与被授予的服务通信。记录有关通过的每个包的详细信息的能力。基本上,防火墙用来确定包状态的记录有关通过的每个包的详细信息的能力。基
14、本上,防火墙用来确定包状态的所有信息都可以被记录,包括应用程序对包的请求,连接的持续时间,内部和所有信息都可以被记录,包括应用程序对包的请求,连接的持续时间,内部和外部系统所做的连接请求等。外部系统所做的连接请求等。状态状态/动态检测防火墙动态检测防火墙202023-1-17状态状态/动态检测防火墙的缺点动态检测防火墙的缺点 状态状态/动态检测防火墙唯一的缺点就是所有这些记录、测试和分动态检测防火墙唯一的缺点就是所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞,特别是在同时有许多连接激析工作可能会造成网络连接的某种迟滞,特别是在同时有许多连接激活的时候,或者是有大量的过滤网络通信的规则
15、存在时。活的时候,或者是有大量的过滤网络通信的规则存在时。解决办法就是将特定信息通过硬件进行处理,硬件速度越快,解决办法就是将特定信息通过硬件进行处理,硬件速度越快,这个问题就越不易察觉这个问题就越不易察觉,而且防火墙的制造商一直致力于提高他们产,而且防火墙的制造商一直致力于提高他们产品的速度。品的速度。212023-1-17安全网域Host C Host D 数据包数据包数据包数据包数据包数据包数据包数据包数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包数据包 状态检测可以结合前后数据包里的数据信状态检测可以结合前后数据包里的数据信息进行综合分析决定是否允许该包通过息进行
16、综合分析决定是否允许该包通过控制策略数据数据3TCP报头报头IP报头报头数据数据2TCP报头报头IP报头报头数据数据1TCP报头报头IP报头报头状态检测222023-1-17市场发展需要的新技术市场发展需要的新技术软件防火墙软件防火墙专用硬件专用硬件防火墙防火墙软件软件 VPN专用专用 VPN 网关网关加密处理芯片加密处理芯片软件内容扫描软件内容扫描安全内容安全内容处理网关处理网关内容处理芯片内容处理芯片状态检测处理芯片状态检测处理芯片232023-1-17基于状态检测的硬件防火墙基于状态检测的硬件防火墙采用采用ASICASIC芯片硬件设计体系芯片硬件设计体系具有内容处理芯片和内容处理加速单元
17、具有内容处理芯片和内容处理加速单元可以实现实时分析和数据包协调处理可以实现实时分析和数据包协调处理具有优化内容搜索、模式识别和数据分析功能具有优化内容搜索、模式识别和数据分析功能同时具有病毒扫描、同时具有病毒扫描、VPNVPN、内容过滤和基于网络的入侵检测功、内容过滤和基于网络的入侵检测功能。能。主流防火墙发展趋势主流防火墙发展趋势242023-1-17底层内容过滤原理图底层内容过滤原理图物理接口物理接口(10/100,GigE,etc.)OS 操作系统操作系统系统总线系统总线中心中心CPU(s)会话调度会话调度ASIC内容处理内容处理 器器特征存储器特征存储器 内容重组和扫内容重组和扫描存储
18、器描存储器系统管理系统管理(CLI,Web,SNMP,AutoUpdate)加密引擎加密引擎(DES,3DES,MD5,SHA1,AES)包过滤引擎包过滤引擎特征扫描引擎特征扫描引擎流量管理引擎流量管理引擎252023-1-17 延时延时 并发连接数并发连接数 平均无故障时间平均无故障时间 吞吐量吞吐量防火墙在不丢包的情况下能够达到的最大包转发速率数据包通过防火墙所用的时间防火墙能够同时处理的点对点连接的最大数目 系统平均能够正常运行多长时间,才发生一次故障 262023-1-17防火墙产品功能特性组防火墙产品功能特性组业界标准:符合工业标准的防火墙业界标准:符合工业标准的防火墙工作模式:网络
19、地址转换,透明模式,路由模式。工作模式:网络地址转换,透明模式,路由模式。用户认证:内建用户认证数据库,支持用户认证:内建用户认证数据库,支持RADIUSRADIUS认证数据库。认证数据库。服服 务:支持标准服务(例如:务:支持标准服务(例如:FTPFTP、HTTPHTTP),用户自定义服务,),用户自定义服务,还支持用户定义服务组。还支持用户定义服务组。时时 间间 表:根据小时、日、周和月建立一次性或循环时间表,防火墙表:根据小时、日、周和月建立一次性或循环时间表,防火墙 根据不同的时间表定义安全策略。根据不同的时间表定义安全策略。虚拟映射:外部地址映射到内部或虚拟映射:外部地址映射到内部或
20、DMZDMZ网络上的地址网络上的地址IP/MACIP/MAC绑定:阻止来自绑定:阻止来自IPIP地址欺骗的攻击地址欺骗的攻击 272023-1-17操作模式操作模式:NAT/Route/Transparent:NAT/Route/Transparent NAT NAT 网络地址翻译,每个接口有一个网络地址翻译,每个接口有一个IPIP地址,向外地址,向外的包的包IPIP地址翻译成对外端口的地址翻译成对外端口的IPIP地址地址 Route Route 每个接口有每个接口有IPIP地址,地址,IPIP包从一个端口路由到包从一个端口路由到另一端口,没有地址翻译另一端口,没有地址翻译 Transpare
21、nt Transparent 网络接口没有网络接口没有IPIP地址,类似于二层交地址,类似于二层交换机换机282023-1-17双向双向NATNAT202.94.1.1外部的端口:外部的端口:8080正向正向NAT反向反向NAT(端口映射)(端口映射)InternetINTERNAL端口:端口:80端口:端口:21192.168.1.0/24客户机http:/外部影射的外部影射的IP:8080INTERNAL外部的端口:外部的端口:2121External292023-1-17透明模式的支持透明模式的支持受保护网络如果防火墙支持透明模式则内部网络主机的配置不用调整Host A 199.168.
22、1.2Host C199.168.1.4Host D199.168.1.5Host B199.168.1.3199.168.1.8同一网段透明模式下,这里不用配置IP地址透明模式下,这里不用配置IP地址Default Gateway=199.168.1.8防火墙相当于网桥,原网络结构没有改变Internet302023-1-17基于时间的策略控制基于时间的策略控制管理员设置员工上网时间限制管理员设置员工上网时间限制在防火墙上制定基于在防火墙上制定基于时间的访问控制策略时间的访问控制策略上班时间不允许上班时间不允许访问访问Internet下班时间可以自由下班时间可以自由访问公司的网络访问公司的网
23、络InternetHost C Host D 312023-1-17 IP/MAC IP/MAC绑定绑定Internal 1.1.1.1 External 2.2.2.21.1.1.2 00-20-ED-A8-81-60IP/MAC Table:1.1.1.3 00-20-Ef-A8-82-611.1.1.4 00-20-ED-A8-81-641.1.1.3(甲)甲)1.1.1.21.1.1.4(丙)(丙)严格限制内部用户的网络地址严格限制内部用户的网络地址增加网络安全,抵御网络攻击增加网络安全,抵御网络攻击没有在表中的配置项不能通过没有在表中的配置项不能通过Internet322023-1-
24、17HAHA功能功能高可用性高可用性(HA)(HA)提高可靠性和负载分配。负载分配:负载分配:增强性能,在失败恢复的时候不会发生服务中断。客户机客户机客户机客户机客户机客户机服务器服务器服务器服务器服务器服务器332023-1-17病毒检测病毒检测Exe/doc/zip病毒库病毒库病毒检测病毒检测:扫描邮件附件(SMTP,POP3,IMAP)、Web内容和插件(HTTP)的病毒特征码和宏病毒InternetDMZEmailHTTP财务部市场部研发部Router342023-1-17蠕虫保护蠕虫保护蠕虫保护:蠕虫保护:扫描所有进出的电子邮件及附件(SMTP,POP3,IMAP)检测网页里的插件和
25、下载的内容(HTTP)352023-1-17内容安全控制内容安全控制内容安全控制内容安全控制 网络访问的内容控制,支持网络访问的内容控制,支持WEB内容的关键字过滤,屏蔽具有内容的关键字过滤,屏蔽具有激激越或敏感的网页内容,提供了内容级可控制手段。越或敏感的网页内容,提供了内容级可控制手段。阻塞有害的阻塞有害的Web语言攻击,包括语言攻击,包括Java Applet、Activex、Cookie等等管理与控制Reject: /xxx.asp?返回结果:所访问网页包含管理员禁止内容,以被屏蔽!362023-1-17入侵检测入侵检测InternetDMZEmailHTTP财务部市场部研发部Rout
展开阅读全文