【计算机网络安全】防火墙技术.pptVIP

防火墙技术 第八章 防火墙技术 本章内容： 第一节 防火墙简介 第二节 防火墙的类型 第三节 防火墙配置 第四节 防火墙系统 第五节 防火墙的选购和使用 第六节 防火墙产品介绍 知识点 防火墙的概念、功能特点和安全性 防火墙的分类 防火墙配置及防火墙系统 防火墙的选购、安装和维护 难 点 防火墙系统 防火墙的选购、安装和维护 要求 熟练掌握以下内容： 防火墙的概念、功能特点和安全性 防火墙的分类、防火墙的配置 防火墙的选购、安装和维护 了解以下内容： ?防火墙系统 常用防火墙产品 第一节 防火墙简介 防火墙的概念 防火墙的功能特点 防火墙的安全性 8.1.1 防火墙的概念 防火墙是具有以下特征的计算机硬件或软件： （1）由内到外和由外到内的所有访问都必须通过它；（2）只有本地安全策略所定义的合法访问才被允许通过它；（3）防火墙本身无法被穿透。 通常意义上讲的硬防火墙为硬件防火墙，它是通过硬件和软件的结合来达到隔离内、外部网络的目的，价格较贵，但效果较好，一般小型企业和个人很难实现；软件防火墙是通过软件的方式来达到，价格很便宜，但这类防火墙只能通过一定的规则来达到限制一些非法用户访问内部网的目的。 8.1.2 防火墙的功能特点 1. 保护那些易受攻击的服务 2. 控制对特殊站点的访问 3. 集中化的安全管理 4. 对网络访问进行记录和统计 8.1.3 防火墙的安全性设计 1. 用户认证 对于防火墙来说，认证主要是对防火墙用户的认证和防火墙管理员对认证的认证。 2. 域名服务 防火墙可以对内部网内外用户提供修改名录的服务功能。防火墙不能将内部网内主机的IP地址泄露出去。因此，对于来自Internet主机的请求，防火墙应当分辨内部网内所有到防火墙IP地址的主机名字；而对于来自内部网内主机的请求，防火墙提供寻址名字，以分辨Internet上的主机。 3. 邮件处理 电子邮件是内部网络到Internet连通的一个主要业务，是Internet上用户之间交换信息时广泛采用的手段，一般采用SMTP（简单邮件传送协议――Simple Mail Transfer Protocol）。这些邮件都要通过防火墙验证通行，在内部网上设置一个邮件网关，通过它与防火墙连通，再与Internet上用户连通。 4. IP层的安全性 IP层的安全包括两个功能：认证和保密。认证机构保证接收的数据组就是由数据组报头中所识别出的作为该数据组的源所发送的。此外，认证机构还要保证该数据组在传送中未被篡改。保密性保证通信节点对所传消息进行加密，防止第三者窃听。 5. 防火墙的IP安全性 防火墙可以提供保密性和完整性。一个协作网可能由两个或更多内部网通过Internet相互连接而成。这些网之间的数据保密性和完整性可以通过IP的安全机制实现。 第二节 防火墙的类型 包过滤防火墙 代理服务器防火墙 状态监视器防火墙 8.2.1 包过滤防火墙 1. 包过滤防火墙的工作原理 采用这种技术的防火墙产品，通过在网络中的适当位置对数据包进行过滤，根据检查数据流中每个数据包的源地址、目的地址、所有的TCP端口号和TCP链路状态等要素，然后依据一组预定义的规则，以允许合乎逻辑的数据包通过防火墙进入到内部网络，而将不合乎逻辑的数据包加以删除。 2. 包过滤防火墙的优缺点 包过滤防火墙最大的优点是：价格较低、对用户透明、对网络性能的影响很小、速度快、易于维护。 但它也有一些缺点：包过滤配置起来比较复杂、它对IP欺骗式攻击比较敏感、它没有用户的使用记录，这样就不能从访问记录中发现黑客的攻击记录。而攻击一个单纯的包过滤式的防火墙对黑客来说是比较容易的，他们在这一方面已经积累了大量的经验。 8.2.2代理服务器防火墙 1. 代理服务器防火墙的工作原理 代理服务器运行在两个网络之间，它对于客户来说像是一台真的服务器一样，而对于外界的服务器来说，它又是一台客户机。当代理服务器接收到用户的请求后，会检查用户请求的站点是否符合公司的要求，如果公司允许用户访问该站点的话，代理服务器会像一个客户一样，去那个站点取回所需信息再转发给客户。 2. 代理服务器防火墙的优缺点 代理服务器防火墙的优点：可以将被保护的网络内部结构屏蔽起来，增强网络的安全性；可用于实施较强的数据流监控、过滤、记录和报告等。 代理服务器防火墙的缺点：使访问速度变慢，因为它不允许用户直接访问网络；应用级网关需要针对每一个特定的Internet服务安装相应的代理服务器软件，用户不能使用未被服务器支持的服务，这就意味着用