东阳市住房与城乡建设局网站,怎么把网页里的视频提取出来,美食网站开发步骤,河北省建设工程教育网站信息安全#xff1a;防火墙技术原理与应用.
防火墙是网络安全区域边界保护的重要技术。为了应对网络威胁#xff0c;联网的机构或公司将自己的网络与公共的不可信任的网络进行隔离#xff0c;其方法是根据网络的安全信任程度和需要保护的对象#xff0c;人为地划分若干安全…信息安全防火墙技术原理与应用.
防火墙是网络安全区域边界保护的重要技术。为了应对网络威胁联网的机构或公司将自己的网络与公共的不可信任的网络进行隔离其方法是根据网络的安全信任程度和需要保护的对象人为地划分若干安全区域这些安全区域有公共外部网络内联网外联网内联网的扩展延伸常用作组织与合作伙伴之间进行通信军事缓冲区域简称 DMZ它一般安装在不同的安全区域边界处用千网络通信安全控制由专用硬件或软件系统组成. 目录
防火墙概述
防火墙安全风险
1网络安全旁路
2防火墙功能缺陷导致一些网络威胁无法阻断
3防火墙安全机制形成单点故障和特权威胁
4防火墙无法有效防范内部威胁
5防火墙效用受限于安全规则
防火墙发展
1防火墙控制粒度不断细化
2检查安全功能持续增强
3 产品分类更细化
4智能化增强
防火墙类型与实现技术
1包过滤
2状态检查技术
3应用服务代理
4网络地址转换技术NAT
5Web 防火墙技术
6数据库防火墙技术
7控防火墙技术
8下一代防火墙技术
9防火墙共性关键技术
防火墙主要产品与技术指标
1防火墙主要产品
2防火墙主要技术指标
防火墙防御体系结构类型
1基于双宿主主机防火墙结构
2基于代理型防火墙结构
3基于屏蔽子网的防火墙结构
防火墙技术应用
1防火墙应用场景类型
2防火墙部署基木方法 防火墙概述 ◆ 防火墙是由一些 软、硬件组合而成的网络访问控制器它根据一定的安全规则来控制流过防火墙的网络包如禁止或转发能够屏蔽被保护网络内部的信息、拓扑结构和运行状况从而起到网络安全屏障的作用。防火墙 般用来将内部网络与因特网或者其他外部网络互相隔离限制网络互访保护内部网络的安全. ◆ 防火墙的安全策略有两种类型 ▶ 白名单策略只允许符合安全规则的包通过防火墙其他通信包禁止 ▶ 黑名单策略禁止与安全规则相冲突的包通过防火墙其他通信包都允许 ◆ 防火墙的 功能 主要有以下几个方面 ▶ 过滤非安全网络访问将防火墙设置为只有预先被允许的服务和用户才能通过防火墙 ▶ 限制网络访问用来限制受保护网络中的主机访问外部网络的某些服务例如某些不良网址。 ▶ 网络访问审计防火墙是外部网络与受保护网络之间的唯一网络通道可以记录所有 通过它的访问并提供网络使用情况的统计数据。 ▶ 网络带宽控制防火墙可以控制网络带宽的分配使用实现部分网络质量服务 (QoS) 保障。 ▶ 协同防御防火墙和入侵检测系统通过交换信息实现联动增强网络安全 防火墙安全风险
1网络安全旁路 ◆ 防火墙只能对通过它的网络通信包进行访问控制而未经过它的网络通信就无能为力 2防火墙功能缺陷导致一些网络威胁无法阻断 ◆ 防火墙不能完全防止感染病毒的软件或文件传输因为己有的病毒、操作系统以及加密和压缩二进制文件的种类太多
◆ 防火墙不能防止基千数据驱动式的攻击。当有些表面看来无害的数据被邮寄或复制到主机上并被执行而发起攻击时就会发生数据驱动攻击效果。防火墙对此无能为力
◆ 防火墙不能完全防止后门攻击。防火墙是粗粒度的网络访问控制某些基于网络隐蔽通道的后门能绕过防火墙的控制例如 http tunnel 等 3防火墙安全机制形成单点故障和特权威胁 ◆ 防火墙处千不同网络安全区域之间所有区域之间的通信都经过防火墙受其控制从而形成安全特权。一旦防火墙自身的安全管理失效就会对网络造成单点故障和网络安全特权失控 4防火墙无法有效防范内部威胁 ◆ 处于防火墙保护的内网用户一旦操作失误网络攻击者就能利用内部用户发起主动网络连接从而可以躲避防火墙的安全控制 5防火墙效用受限于安全规则 ◆ 防火墙依赖于安全规则更新 防火墙发展 1防火墙控制粒度不断细化 ◆ 控制规则从以前的 IP 包地址信息延伸到 IP 包的内容 2检查安全功能持续增强 ◆ 检测 IP 包内容越来越细 DPI (Deep Packet Inspection) 用于防火墙 3 产品分类更细化 ◆ 针对保护对象的定制安全需求出现专用防火墙设备。如工控防火墙、 Web 防火墙、数据库数据防火墙等 4智能化增强 ◆ 通过网络安全大数据和人工智能技术的应用防火墙规则实现智能化更新 防火墙类型与实现技术 ◆ 按照防火墙的实现技术及保护对象常见的防火墙类型可分为包过滤防火墙、代理防火墙、 下一代防火墙、 Web 应用防火墙、数据库防火墙、工控防火墙。防火墙的实现技术主要有包过滤、状态检测、应用服务代理、网络地址转换、协议分析、深度包检查等 1包过滤 ◆ 包过滤是在 IP 层实现的防火墙技术包过滤根据包的源 IP 地址、目的 IP 地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过 ◆ 典型的过滤规则表示格式由“规则号、匹配条件、匹配操作“三部分组成 ◆ 匹配操作有拒绝、转发、审计三种 ◆ 匹配条件源 IP 地址、目的 IP 地址、源端口号、目的端口号、协议类型 (UDP TCP ICMP) 、通信方向、规则运算符 ◆ 包过滤防火墙技术的优点低负载、高通过率、对用户透明 ◆ 包过滤技术的弱点不能在用户级别进行过滤如不能识别不同的用户和防止 IP 地址的盗用。如果攻击者把自己主机IP 地址设成 个合法主机的 IP 地址就可以轻易通过包过滤器 2状态检查技术 ◆ 基于状态的防火墙通过利用 TCP 会话和 UDP“ 伪“会话的状态信息进行网络访问机制。 采用状态检查技术的防火墙首先建立并维护一张会话表当有符合已定义安全策略的 TCP 连接 或UDP 流时防火墙会创建会话项然后依据状态表项检查与这些会话相关联的包才允许通过防火墙 ◆ 状态防火墙处理包流程的主要步骤如下 ▶ 接收到数据包 ▶ 检查数据包的有效性若无效则丢掉数据包并审计 ▶ 查找会话表若找到则进一步检查数据包的序列号和会话状态如有效则进行地址转换和路由转发该数据包 否则丢掉数据包并审计 ▶ 当会话表中没有新到的数据包信息时则查找策略表如符合策略表则增加会话条目到会话表中并进行地址转换和路由转发该数据包否则丢掉该数据包并审计 3应用服务代理 ◆ 应用服务代理防火墙扮演着受保护网络的内部网主机和外部网主机的网络通信连接”中间人”的角色代理防火墙代替受保护网络的主机向外部网发送服务请求并将外部服务请求响应的结果返回给受保护网络的主机 ◆ 采用代理服务技术的防火墙简称为代理服务器 ◆ 受保护的内部用户对外部网络访问时首先需要通过代理服务器的认可才能向外提出请求而外网的用户只能看到代理服务器从而隐藏了受保护网络的内部结构及用户的计算机信息。因而代理服务器可以提高网络系统的安全性。 ◆ 应用服务代理技术的优点主要有 ▶ 不允许外部主机直接访问内部主机 ▶ 支持多种用户认证方案 ▶ 可以分析数据包内部的应用命令 ▶ 可以提供详细的审计记录 ◆ 应用服务代理技术的缺点是 ▶ 速度比包过滤慢 ▶ 对用户不透明 ▶ 与特定应用协议相关联代理服务器并不能支待所有的网络协议 4网络地址转换技术NAT ◆ NAT 中文含义是“网络地址转换”。 NAT术主要是为了解决公开地址不足而出现的它可以缓解少量因特网 IP 地址和大量主机之间的矛盾 ◆ 基于 NAT 技术的防火墙上配置有合法的公共 IP 地址集当内部某一用户访问外网时防火墙动态地从地址集中选一个未分配的地址分配给该用户该用户即可使用这个合法地址进行通信 ◆ 实现网络地址转换的方式主要有 ▶ 静态 NAT 内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址 ▶ NAT 池在外部网络中配置合法地址集采用动态分配的方法映射到内部网络 ▶ 端口 NAT (PAT) 内部地址映射到外部网络的一个 IP 地址的不同端口上 5Web 防火墙技术 ◆ Web 应用防火墙是一种用于保护 Web 服务器和 Web 应用的网络安全机制。 ◆ 技术原理根据预先定义的过滤规则和安全防护规则对所有访问 Web 服务器的 HTTP 请求和服务器响应进行 HTTP 协议和内容过滤进而对 Web 服务器和 Web 应用提供安全防护功能 ◆ Web 应用防火墙可抵御的典型攻击主要是 SQL 注入攻击、 XSS 跨站脚本攻击、 Web 应用扫描、 Webshell Cookie注入攻击、 CSRF 攻击等 6数据库防火墙技术 ◆ 数据库防火墙是一种用于保护数据库服务器的网络安全机制 ◆ 技术原理主要基于数据 通信协议 深度分析和 虚拟补丁 根据安全规则对数据库访问操作及通信进行安全访问控制防止数据库系统受到攻击威胁 ◆ 数据库通信协议深度分析可以获取访问数据库服务器的应用程序数据包的 ”源地址、目标地址、源端口、目标端口、 SQL 语句”等信息然后依据这些信息及安全规则监控数据库风险行为阻断违规 SQL 操作、阻断或允许合法的 SQL 操作执行 ◆ 虚拟补丁技术通过在数据库外部创建一个安全屏障层监控所有数据库活动进而阻止可疑会话、操作程序或隔离用户防止数据库漏洞被利用从而不用打数据库厂商的补丁也不需要停止服务可以保护数据库安全。 7控防火墙技术 ◆ 工业控制系统专用防火墙 简称为 工控防火墙是一种用于保护工业设备及系统的网络安全机制 ◆ 技术原理主要通过工控协议深度分析对访问工控设备的请求和响应进行监控防止恶意攻击工控设备实现工控网络的安全隔离和工控现场操作的安全保护 ◆ 工控防火墙与传统的网络防火墙有所差异工控防火墙侧重于分析工控协议主要包括 Modbus TCP 协议、 IEC 61850 协议、 OPC 协议、 Ethernet/IP 协议和 DNP3 协议等。同时工控防火墙要适应工业现场的恶劣环境及实时性高的工控操作要求 8下一代防火墙技术 ◆ 相对于传统网络防火墙而言下一代防火墙除了集成传统防火墙的包过滤、状态检测、地址转换等功能外还具有应用识别和控制、可应对安全威胁演变、检测隐藏的网络活动、动态快速响应攻击、支持统一安全策略部署、智能化安全管理等新功能 ▶ 应用识别和管控不依赖端口通过对网络数据包深度内容的分析实现对应用层协议和应用程序的精准识别提供应用程序级功能控制支持应用程序安全防护 ▶ 入侵防护 (IPS) 能够根据漏洞特征进行攻击检测和防护如 SQL 注入攻击 ▶ 数据防泄露对传输的文件和内容进行识别过滤可准确识别常见文件的真实类型 如 Word Excel PPT PDF 等并对敏感内容进行过滤 ▶ 恶意代码防护采用基千信誉的恶意检测技术能够识别恶意的文件和网站。构建Web 信誉库通过对互联网站资源 (IP URL 、域名等进行威胁分析和信誉评级将含有恶意代码的网站资源列入 Web 信誉库然后基千内容过滤技术阻挡用户访问不良信誉网站从而实现智能化保护终端用户的安全 ▶ URL 分类与过滤构建 URL 分类库内含不同类型的 URL 信息如不良言论、网络 “钓鱼”、论坛聊天等对与工作无关的网站、不良信息、高风险网站实现准确、高效过滤 ▶ 带宽管理与 QoS 优化通过智能化识别业务应用有效管理网络用户/IP 使用的带宽 确保关键业务和关键用户的带宽优化网络资源的利用 ▶ 加密通信分析通过中间人代理和重定向等技术对 SSL SSH 等加密的网络流量进行监测分析 9防火墙共性关键技术 ◆ 深度包检测 ▶ 深度包检测 ( DPI) 是一种用于对包的数据 内容 及 包头 信息进行检查分析的技术方法。传统检查只针对包的头部信息而 DPI 对包的数据内容进行检查深入应用层分析 ▶ DPI 需要不断更新维护深度检测策略以确保防火墙持续有效 ▶ 对于 DPI 的自身安全问题隐私保护技术使得 DPI 的检测能力受到限制加密数据的搜索匹配成为 DPI 的技术难点。 DPI 需要处理包的数据内容使得防火墙处理工作显著增加这将直接影响网络传输速度 ◆ 操作系统 ▶ 防火墙的运行依赖于操作系统操作系统的安全性直接影响防火墙的自身安全 ◆ 网络协议分析 ▶ 防火墙通过获取网络中的包然后利用协议分析技术对包的信息进行提取进而实施安全策略检查及后续包的处理 防火墙主要产品与技术指标 ◆ 防火墙是主流的网络安全产品按照应用场景防火墙的产品类型有网络防火墙、 Web 用防火墙、数据库防火墙、主机防火墙、工控防火墙、下一代防火墙、家庭防火墙 1防火墙主要产品 ◆ 防火墙是广泛应用的网络安全产品其产品形态有硬件实体模式和软件模式。商业产品的主要形态为物理硬件实体安全功能软件集成到硬件实体中 ◆ 网络防火墙部署在不同安全域之间解析和过滤经过防火墙的数据流具备网络层访问控制及过滤功能的网络安全产品 ◆ Web 应用防火墙对所有访问 Web 服务器的 HTTP 请求和服务器响应进行 HTTP 协议和内容过滤 ◆ 数据库防火墙基于数据库协议分析与控制技术可实现对数据库的访问行为控制和危险操作阻断的网络安全产品 ◆ 主机防火墙部署在终端计算机上监测和控制网络级数据流和应用程序访问的网络安全产品 ◆ 工控防火墙部署在工业控制环境基千工控协议深度分析与控制技术 ◆ 下一代防火墙部署在不同安全域之间解析和过滤经过防火墙的数据流集成应用识别和管控、恶意代码防护、入侵防护、事件关联等多种安全功能 ◆ 家庭防火墙家庭防火墙的产品特点是防火墙功能模块集成在智能路由器中具有 IP 地址控制、 MAC地址限制、不良信息过滤控制、防止躇网、智能家居保护等功能的网络安全产品 2防火墙主要技术指标 ◆ 防火墙评价指标可以分成四类即安全功能要求、性能要求、安全保障要求、 环境适应性要求 防火墙防御体系结构类型 ◆ 防火墙防御体系结构主要有基于双宿主主机防火墙、基于代理型防火墙、基于屏蔽子网的防火墙 1基于双宿主主机防火墙结构 ◆ 双宿主主机结构是最基本的防火墙结构。这种系统实质上是至少具有两个网络接口卡的主机系统。在这种结构中一般都是将一个内部网络和外部网络分别连接在不同的网卡上使内外网络不能直接通信。 2基于代理型防火墙结构 ◆ 代理型结构中由一台主机同外部网连接该主机代理内部网和外部网的通信 ◆ 代理型结构中还通过路由器过滤代理服务器和路由器共同构建一个网络安全边界防御架构 ◆ 一般情况下过滤路由器可按如下规则进行配置 ▶ 允许其他内部主机为某些类型的服务请求与外部网络建立直接连接 ▶ 任何外部网的主机只能与内部网络的代理主机建立连接 ▶ 任何外部系统对内部网络的操作都必须经过代理主机 ◆ 代理型结构的主要缺点只要攻击者设法攻破了代理主机那么对千攻击者来说整个内部网络与代理主机之间就没有任何障碍了攻击者变成了内部合法用户完全可以侦听到内部网络上的所有信息 3基于屏蔽子网的防火墙结构 ◆ 屏蔽子网结构是在代理型结构中增加一层周边网络的安全机制使内部网络和外部网络有两层隔离带。周边网络隔离堡垒主机与内部网减轻攻击者攻破堡垒主机时对内部网络的冲击力。攻击者即使攻破了堡垒主机也不能侦听到内部网络的信息不能对内部网络直接操作 ◆ 基于屏蔽子网的防火墙结构的 特点 如下 ▶ 应用代理位千被屏蔽子网中内部网络向外公开的服务器也放在被屏蔽子网中外部网络只能访问被屏蔽子网不能直接进入内部网络 ▶ 两个包过滤路由器的功能和配置是不同的。包过滤路由器A的作用是过滤外部网络对被屏蔽子网的访问。包过滤路由器B的作用是过滤被屏蔽子网对内部网络的访问。所有外部网络经由被屏蔽子网对内部网络的访问都必须经过应用代理服务器的检查和认证 ◆ 优点安全级别最高; ◆ 缺点成本高配置复杂; 防火墙技术应用 1防火墙应用场景类型 ◆ 上网保护利用防火墙的访问控制及内容过滤功能保护内网和上网计算机安全防止互联网黑客直接攻击内部网络过滤恶意网络流量切断不良信息访问 ◆ 网站保护通过 Web 应用防火墙代理互联网客户端对 Web 服务器的所有请求清洗异常流量有效控制政务网站应用的各类安全威胁 ◆ 数据保护在受保护的数据区域边界处部署防火墙对数据库服务器或数据存储设备的所有请求和响应进行安全检查过滤恶意操作防止数据受到威胁 ◆ 网络边界保护在安全域之间部署防火墙利用防火墙进行访问控制限制不同安全域之间的网络通信减少安全域风险来源 ◆ 终端保护在终端设备上安装防火墙利用防火墙阻断不良网址防止终端设备受到侵害 ◆ 网络安全应急响应利用防火墙对恶意攻击源及网络通信进行阻断过滤恶意流量防止网络安全事件影响扩大 2防火墙部署基木方法 第一步根据组织或公司的安全策略要求将网络划分成若干安全区域 第二步在安全区域之间设置针对网络通信的访问控制点 第三步针对不同访问控制点的通信业务需求制定相应的边界安全策略 第四步依据控制点的边界安全策略采用合适的防火墙技术和防范结构 第五步在防火墙上配置实现对应的网络安全策略 第六步测试验证边界安全策略是否正常执行 第七步运行和维护防火墙 学习书籍信息安全工程师教程...
