第04章 防火墙技术.pptVIP

第4章 防火墙技术 当网络涉及不同的信任级别时（例如内部网、Internet 或者网络划分），要保证安全必须安装控制设备。此类 控制设备几乎总是某种形式的防火墙。防火墙允许授权 的数据通过，而拒绝未经授权的数据通信，并记录访问 报告等。由于使用防火墙能增强内部网络的安全性，因 此防火墙技术的研究已经成为网络信息安全技术的主导 研究方向。本章将介绍防火墙的基本概念、防火墙的作 用、防火墙的优缺点以及防火墙的分类等问题。 4.1.1 防火墙的基本概念 如果一个网络连接到Internet，其内部用户就可以访问外部世界并与之通信。同时，外部世界也可以访问该网络并与之交互。为保证系统安全，就需要在该网络和Internet之间插入一个中介系统，竖起一道安全屏障，以阻挡来自外部网络对本网络的威胁和入侵，这种中介系统叫做防火墙，或防火墙系统。 4.1.1 防火墙的基本概念 ---路由器----网卡│防火墙│网卡│-----内部网络 防火墙一般有两个以上的网络卡，一个连到外部（router)，另一个是连到内部网络。当打开主机网络转发功能时，两个网卡间的网络通讯能直接通过。当有防火墙时，他好比插在网卡之间，对所有的网络通讯进行控制。  4.1.1 防火墙的基本概念 在没有防火墙时，局域网内部的每个节点都暴露给Internet 上的其它主机，此时内部网的安全性要由每个节点的坚固程 度来决定，且安全性等同于其中最薄弱的节点。使用防火墙 后，防火墙会将内部网的安全性统一到它自身，网络安全性 在防火墙系统上得到加固，而不是分布在内部网的所有节点 上。 防火墙把内部网与Internet隔离，仅让安全、核准了的信息 进入，而阻止对内部网构成威胁的数据，它防止黑客更改、 拷贝、毁坏重要信息；同时又不会妨碍人们对Internet的访 问 4.1.2 防火墙的作用 防火墙能为管理人员提供对下列问题的答案： 什么人在使用网络? 他们什么时间，使用了什么网络资源? 他们连接了什么站点? 他们在网上做什么? 谁要上网,但是没有成功? 4.1.2 防火墙的作用 4.1.3 防火墙的优缺点 优点 : 防火墙能强化安全策略。防火墙能有效地记录Internet上的活动。防火墙是一个安全策略的检查站。 尽管防火墙有许多防范功能，但由于互连网的开放性，它 也有一些不如人意的地方，主要表现在以下几个方面。 1）防火墙不能防范绕过防火墙的攻击。 2）防火墙不能防止数据驱动式攻击。 3）防火墙不能防止感染了病毒的软件或文件的传输。 4）防火墙不能防止来自内部变节者和用户带来的威胁。 4.1.4 防火墙的分类 防火墙有很多种分类方法： 根据采用的技术不同，可分为包过滤防火墙和 代理服务防火墙； 按照应用对象的不同，可分为企业级防火墙与 个人防火墙； 依据实现的方法不同，又可分为软件防火墙、 硬件防火墙和专用防火墙。 4.1.4 防火墙的分类 软件防火墙： 防火墙运行于特定的计算机上，一般来说这台计算机 就是整个网络的网关。软件防火墙像其它的软件产品 一样需要先在计算机上安装并做好配置才可以使用。 使用这类防火墙，需要网络管理人员对所工作的操作 系统平台比较熟悉。 4.1.4 防火墙的分类 硬件防火墙 由PC硬件、通用操作系统和防火墙软件组成。在定制 的PC硬件上，采用通用PC系统、Flash盘、网卡组成 的硬件平台上运行Linux、FreeBSD、Solaris等经过 最小化安全处理后的操作系统及集成的防火墙软件。 特点是开发成本低、性能实用、稳定性和扩展性较 好，价格也低廉。由于此类防火墙依赖操作系统内 核，因此会受到操作系统本身安全性影响，处理速度 也慢。 4.2 防火墙技术 随着防火墙技术的不断发展，目前应用的防火墙 技术主要有包过滤技术、应用代理技术和状态检 测技术等。 包过滤技术 应用代理技术 状态检测技术 技术展望 1．包过滤防火墙技术 数据包过滤 技术是防火墙为系统提供安全保障的主要技术，它 依据系统内事先设定的过滤逻辑，通过设备对进出网络的数据 流进行有选择的控制与操作。 数据包过滤技术作为防火墙的应用有3种。第1种是路由设备 在完成路由选择和数据转发的同时进行包过滤。第2种是在工 作站上使用软件进行包过滤。第3种是在一种称为屏蔽路由器 的路由设备上启动包过滤功能。目前较常用的方式是第一种。 包过滤作用在网络层和传输层，以IP包信息为基础，对通过防 火墙的IP包的源,目的地址，TCP/UDP的端口标识符进行检查。 4.2 防火墙技术 包过滤防火墙技术的优缺点： 1）包过滤技术不用改动客户机和主机上的应