《计算机网络安全》-防火墙.pptVIP

计算机网络安全-防火墙 第 7 章　防火墙 第 7 章　防火墙 7.1　防火墙概述 7.2　防火墙的分类 7.3　防火墙的体系结构 7.4　防火墙的主要应用 7.1　防火墙概述 7.1.1　防火墙的基本概念 防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。 有关防火墙的一些基本术语 1）屏蔽子网(screened subnet) 2）主机(host) 3）堡垒主机(bastion host) 4）双宿主主机(dwal homed host) 5）数据包过滤(package filtering) 6）屏蔽路由器(screened router) 7）屏蔽主机(screened host) 8）防火墙(firewall) 有关防火墙的一些基本术语 9）代理服务器(proxy server) 10）IP地址欺骗(IP spoofing) 11）隧道路由器(tunneling routcr) 12）虚拟私用网(Virtual Private Network， VPN) 13）DNS欺骗(DNS spoofing ) 14）差错与控制报文(ICMP) 15）纵深防御(Defense in Depth) 16）最小特权(Least Privilege) 使用防火墙保护的益处： （1）所有风险区域都集中在单一系统即防火墙上，安全管理者就可针对网络的某个方面进行管理，而采取的安全措施对网络中的其他区域并不会有多大影响。 （2）监测与控制装置仅需安装在防火墙中。 （3）内部网络与外部的一切联系都必须通过防火墙进行，因此防火墙能够监视与控制所有联系过程。 7.1.2　防火墙的功能 （1）防火墙是网络安全的屏障 （2）防火墙可以强化网络安全策略 （3）对网络存取和访问进行监控审计 （4）防止内部信息的外泄 7.1.3　防火墙的规则 第一步：制定安全策略 第二步：搭建安全体系结构 第三步：制定规则次序 第四步：落实规则集 第五步：注意更换控制 第六步：做好审计工作 7.2　防火墙的分类 7.2.1　按软硬件分类　 软件防火墙和硬件防火墙以及芯片级防火墙。 1.软件防火墙 软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其他的软件产品一样需要先在计算机上安装并做好配置才可以使用。使用这类防火墙，需要网管对所工作的操作系统平台比较熟悉。 2.硬件防火墙 3.芯片级防火墙 芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS（操作系统），因此防火墙本身的漏洞比较少，不过价格相对比较高昂。 7.2.2　按技术分类 1.包过滤防火墙 包过滤防火墙具有根本的缺陷： （1）不能防范黑客攻击 （2）不支持应用层协议 （3）不能处理新的安全威胁 2.应用代理防火墙 ?缺点也非常突出，主要有： （1）难于配置 （2）处理速度非常慢 3.状态检测防火墙 状态检测防火墙摒弃了包过滤防火墙仅考查数据包的IP地址等几个参数，而不关心数据包连接状态变化的缺点，在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。 7.2.3 防火墙的选择 1. 选择防火墙须考虑的基本原则 首先，应该明确你的目的 第三，是费用问题。 其次，是想要达到什么级别的监测和控制。 2. 选择防火墙的基本标准 （1）防火墙的管理难易度 （2）防火墙自身的安全性 （3）NCSC的认证标准 （4）最好能弥补其他操作系统之不足 （5）能否为使用者提供不同平台的选择 （6）能否向使用者提供完善的售后服务 （7）应该考虑企业的特殊需求 ① IP地址转换(IP Address Translation) ② 双重DNS ③ 虚拟企业网络(VPN) ④ 扫毒功能 ⑤ 特殊控制需求 7.3　防火墙的体系结构 7.3.1　双宿/多宿主机模式 双宿／多宿主机防火墙是一种拥有两个或多个连接到不同网络的网络接口的防火墙