截图
简介
这是防火墙介绍的ppt,包括了网络安全现状,防火墙概念,防火墙关键技术,防火墙功能一览,防火墙性能指标,防火墙发展及趋势等内容,欢迎点击下载。
防火墙介绍的ppt是由红软PPT免费下载网推荐的一款课件PPT类型的PowerPoint.
防火墙知识介绍
提纲
网络安全现状
随着信息化进程的深入和互联网的迅速发展,网络安全问题已成为信息时代人类共同面临的挑战,国内的网络安全问题也日益突出。具体表现为:
计算机系统受病毒感染和破坏的情况相当严重
电脑黑客活动已形成重要威胁
信息基础设施面临网络安全的挑战
信息系统在预测、防范、反应和恢复能力方面存在许多薄弱环节
网络政治颠覆活动频繁
……
网络安全现状
据统计,目前美国每年由于网络安全问题而遭受的经济损失超过170亿美元,德国、英国也均在数十亿美元以上,法国为100亿法郎,日本、新加坡问题也很严重。在国际刑法界列举的现代社会新型犯罪排行榜上,计算机犯罪已名列榜首。
2003年,CSI/FBI调查所接触的524个组织中,有56%遇到电脑安全事件,其中38%遇到1~5起、16%以上遇到11起以上。因与互联网连接而成为频繁攻击点的组织连续3年不断增加;遭受拒绝服务攻击(DoS)则从2000年的27%上升到2003年的42%。调查显示,521个接受调查的组织中96%有网站,其中30%提供电子商务服务,这些网站在2003年1年中有20%发现未经许可入侵或误用网站现象。更令人不安的是,有33%的组织说他们不知道自己的网站是否受到损害。据统计,全球平均每20s就发生1次网上入侵事件,黑客一旦找到系统的薄弱环节,所有用户均会遭殃。
国内网络安全现状
从国内情况来看,目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。
据2001年调查,我国约73%的计算机用户曾感染病毒,2003年上半年升至83%。其中,感染3次以上的用户高达59%,而且病毒的破坏性较大,被病毒破坏全部数据的占14%,破坏部分数据的占57%。
近年来,国内与网络有关的各类违法行为以每年30%的速度递增。据某市信息安全管理部门统计,2003年第1季度内,该市共遭受近37万次黑客攻击、2.1万次以上病毒入侵和57次信息系统瘫痪。
网络风险
业内安全专家公认:所谓的“周界杀手”蠕虫和“零日攻击”将大量增加,这将是目前及今后网络安全面临的最大威胁。
(“周界杀手”:那些不通过传统的电子邮件方式传播而是通过进攻系统、软件的漏洞而对网络实施攻击的病毒软件)
(“零日攻击”: 病毒或蠕虫利用操作系统或者软件某个未知和未修补的漏洞发起攻击)
基于“零日”漏洞而制造的一种“冲击波”式的蠕虫可以毁坏计算机网络,并使管理人员对网络保护束手无策。
部署防火墙的必要性
基于目前网络安全的现状,为了保证网络的安全,防止机密信息被盗取,各企业、政府机关、高校等均纷纷采取相应的安全措施,而防火墙则一般是众多网络安全产品中首要考虑的重要一环,是网络的第一道安全门坎。
提纲
什么是防火墙
防火墙的分类
从产品形式上分为:
软件防火墙:纯软件防火墙,安装在操作系统之上
硬件防火墙:硬件/软件一体化防火墙(X86结构)、ASIC芯片级防火墙、网络处理器(Network Processor,NP处理器)架构防火墙
从部署位置上分为:
网关防火墙:边界防火墙,部署于网络边界出口处
个人防火墙:多为软件防火墙,安装在单个主机系统上
分布式防火墙:包括边界防火墙、主机防火墙以及集中管理平台,把防火墙的安全防护系统延伸到网络中各台主机,准确地说,它不是一个单一的产品,而是一个完整的体系
防火墙的分类
从产品性能上分为:
百兆防火墙
千兆防火墙
从发展历程上分为:
包过滤防火墙:基本包过滤访问控制功能,安全性差
应用代理防火墙:应用代理功能,支持应用层内容级控制,但是支持协议有限
状态检测防火墙:跟踪网络会话状态实现访问控制,性能好,安全性高
复合型防火墙:结合状态检测、应用代理以及众多其他功能,功能强大,安全性高
提纲
(一)包过滤访问控制
包过滤工作原理
包过滤的检查项
IP 源地址
IP目的地址
封装协议
TCP/UDP源端口
TCP/UDP目的端口
ICMP包类型
包输入接口
包输出接口
(二)状态检测工作原理
状态检测工作原理
状态检查的检查项
IP 源地址
IP目的地址
封装协议
TCP/UDP源端口
TCP/UDP目的端口
ICMP包类型
包输入接口
包输出接口
TCP通信的连接状态
UDP/ICMP通信的通信状态
(三)应用代理的工作原理
应用代理工作原理
(四)地址转换
网络地址转换,Network Address Translation,简称NAT,是用于将一个地址域如专用Intranet映射到另一个地址域如Internet的标准方法。NAT对终端用户是透明的,用于全球唯一注册地址连接私有地址域到外部域。
RFC1597 “专用网络地址分配”规定,以下地址为保留地址,路由器不在互联网上对这些地址进行路由选择:
-10.0.0.0-10.255.255.255
-172.16.0.0-172.31.255.255
-192.168.0.0-192.168.255.255
一般在内部网络均选用以上保留地址作为私有地址进行NAT,转换成合法注册地址访问互联网。
地址转换技术种类
NAT技术有三种类型:静态NAT(Static NAT)、动态地址NAT(Pooled NAT)、网络地址端口转换NAPT(Port-Level NAT)
静态NAT:内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址(一个公有地址对应一个私有地址 )
动态NAT:在外部网络中定义了一系列的合法地址,采用动态分配的方法分配给内部网络私有地址(多个公有地址对应一大群私有地址)
NAPT:把内部地址映射到外部网络的一个IP地址的不同端口上(一个公有地址对应一大群私有地址)
地址转换工作原理
地址转换的作用
解决IP地址不足的问题
隐藏内部网络的网络结构,加强内部网络的安全
提纲
防火墙功能一览(1)
防火墙功能一览(2)
防火墙功能一览(3)
防火墙功能一览(4)
防火墙功能一览(5)
提纲
防火墙性能指标(1)
吞吐量:吞吐量是指防火墙在不丢包的情况下能够达到的最大包转发速率。吞吐量越大,说明防火墙数据处理能力越强
延迟:延迟是指防火墙转发数据包的延迟时间,延迟越低,防火墙数据处理速度越快
丢包率:丢包率是指在正常稳定网络状态下,应该被转发由于缺少资源而没有被转发的数据包占全部数据包 的百分比。较低的丢包率,意味着防火墙在强大的负载压力下,能够稳定地工作,以适应各种网络的复杂应用和较大数据流量对处理性能的高要求
背对背(Back to Back):是用于衡量网络设备缓冲数据包能力的一个指标,指的是固定长度的数据帧以合法的最小帧间隔在传输媒介上突发一段较短的时间(以太网标准规定最小帧间隔为96bits),一般以帧数多少来表示,背对背帧数越大,缓冲能力就越强。网络上经常有一些 应用会产生大量的突发数据包(例如:NFS,备份,路由更新等),而且这样的数据包的丢失可能会 产生更多的数据包,防火墙强大的缓冲能力可以减小这种突发数据对网络造成拥塞等不良影响
防火墙性能指标(2)
平均无故障时间:平均无故障时间(MTBF)是指防火墙连续无故障正常运行的平均时间
并发连接数:并发连接数是防火墙能够同时处理的点对点连接的最大数目,它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,这个参数的大小直接影响到防火墙所能支持的最大信息点数
最大连接速率:是指在指定时间(比如1秒)内防火墙能成功建立的最大连接数目
乍看并发连接数越大越好,其实不然:
并发连接数的增大意味着对系统内存资源的消耗
并发连接数的增大应当充分考虑CPU的处理能力
物理链路的实际承载能力将严重影响防火墙发挥出其对海量并发连接的处理能力
提纲
(一)防火墙发展历程
目前防火墙技术主要经历了四个发展历程:
简单包过滤技术阶段
应用代理网关技术阶段
状态检测包过滤技术阶段
复合型防火墙
第一代简单包过滤防火墙
优点:
包过滤工作在网络层和传输层,只对数据包的头部信息进行控制,过滤效率较高,性能较好
缺点:
早期的包过滤技术无法分辨IP具体来源,即无法区分该IP处于内部网络还是外部网络,这样便不能防止IP欺骗
只对数据包的头部信息进行过滤,不支持应用层协议,访问控制粒度粗糙,灵活性低
不能处理新的安全威胁,它不能跟踪TCP状态,所以对TCP层的控制有漏洞。比如当它配置了仅允许从内到外的TCP访问时,一些以TCP应答包的形式从外部对内网进行的攻击仍可以穿透防火墙
第二代应用代理防火墙
优点:
跟应用层紧密结合,可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强,具备应用层内容级的高级访问控制能力,安全性较高
缺点:
并发连接数低,吞吐量小,性能非常差。对于内网的每个访问请求,应用代理都需要开一个单独的代理进程;要保护内网的Web服务器、数据库服务器、文件服务器、邮件服务器,及业务程序等,就需要建立一个个的服务代理,以处理客户端的访问请求。这样,应用代理的处理延迟会很大,内网用户的正常访问难以及时得到响应
支持协议有限。针对每一种应用都需要相应的协议分析,应用代理网关防火墙只能支持一些常见常用的协议,而针对众多的其他协议、各行业的业务应用难以支持,不用不够广泛
第三代状态检测包过滤防火墙
优点:
状态检测防火墙在内核部分建立状态连接表,并利用状态表跟踪每一个数据包的会话状态,提供了完整的对传输层的控制能力,安全性较高
状态监测技术采用了一系列优化技术,使防火墙性能大幅度提升
缺点:
与具体应用结合程度较低,无法做到应用层内容级控制
对一些网络攻击、病毒难以防范,比如红色代码、nimda、冲击波、振荡波等。
第四代复合型防火墙
优点:
融合了状态检测、应用代理技术,并结合了其他众多辅助功能比如:用户认证、VPN、IPMAC绑定、策略路由等等,安全性高,功能强大,适应范围广泛
缺点:
使用应用代理功能时,性能不够高;使用包过滤功能时,由于不检查数据包内容,难以防范一些网络攻击、病毒入侵
(二)防火墙发展趋势
随着新的网络攻击的出现,对防火墙的挑战也越来越严峻,必然要求防火墙新技术的出现来满足不断增长的新需求。这主要可以从以下四个方面来体现 :
包过滤技术
硬件体系结构
系统管理体制
产品联动体系
(1)过滤技术发展趋势
采用多级过滤技术:
在网络层,分组过滤掉所有的源路由攻击数据包和假冒IP源地址的数据包;
在传输层,遵循过滤规则,过滤掉所有禁止出或/和入的协议和非法数据包、蠕虫病毒等;
在应用层,对数据包进行协议分析并还原,控制和监测Internet提供的常见服务,比如HTTP、FTP、SMTP等,提供细粒度内容级过滤。
深度包检测技术
下一代过滤技术:深度包检测技术(Deep Packet Inspection)
深度包检测技术,不仅检查IP包头,并且能对IP包进行重组、拆包,检查数据包的具体内容,深入检查信息包流,查出恶意行为,可以根据特征检测和内容过滤,来寻找已知的攻击,阻止异常的访问,很好地提供了入侵检测和攻击防范的功能
深度包检测技术成功地解决了普遍存在的拒绝服务攻击(DDoS)的问题、病毒传播问题和高级应用入侵问题,能识别并有效地阻断恶意数据流量,有效地切断恶意病毒或木马的流量攻击;能防范黑客攻击,能识别黑客的恶意扫描,并有效地阻断或欺骗恶意扫描者。深度包检测技术代表着防火墙的主流发展方向
(2)硬件体系结构发展趋势
随着网络应用的增加、多媒体应用的普及,对网络带宽提出了更高的要求,这意味着防火墙要能够以非常高的速率处理数据,延迟足够小,传统的X86结构防火墙已经难以满足如此高性能的要求。
防火墙的硬件体系结构目前已经处于一个更新换代的门槛上,未来的发展趋势基本上是网络处理器(Network Processor,简称NP处理器)与ASIC芯片两种解决方案,各有优劣。
硬件体系结构另外一个需要考虑的问题,为了避免运输等过程中造成内存等接插件的松动、脱落,尽量少使用接插件,采取贴片等方式避免此类问题
X86结构方案特点
ASIC方案特点
网络处理器方案特点
ASIC、通用CPU、和NP的综合对比
(3)系统管理体制发展趋势
网络风险的来源是多方面的,有来自外部的,更多的是来自内部的,单一的网络边界防火墙难以防范来自内部的攻击。
分布式防火墙技术不是一个单一的产品,而是一个完整的体系,一般包括边界防火墙、主机防火墙、集中管理中心三个部分,把防火墙的安全防护系统延伸到网络中各台主机,大大加强内部网络的安全性
分布式防火墙技术
在新的安全体系结构下,分布式防火墙代表新一代防火墙技术的潮流,它可以在网络的任何交界和节点处设置屏障,从而形成了一个多层次、多协议,内外皆防的全方位安全体系。主要优势如下:
增强系统安全性:增加了针对主机的入侵检测和防护功能,加强了对来自内部攻击防范,可以实施全方位的安全策略,对网络中的各节点可以起到更安全的防护作用
提高了系统性能:消除了结构性瓶颈问题,提高了系统性能
良好的系统扩展性:分布式防火墙随系统扩充提供了安全防护无限扩充的能力。
(4)产品联动体系
一个全方位立体结构的网络安全防护体系,包括了各种类型的网络安全产品:防火墙、入侵检测系统、防病毒、VPN、漏洞扫描系统、身份认证系统、邮件安全系统等等,如何能使这些安全产品更好的协同工作,将对网络安全性起着至关重要的影响。
很多安全厂商纷纷提出自己的产品联动协议,比如防火墙与IDS、Scanner等的联动。目前没有一个统一的产品联动协议。
展开