计算机安全技术修订版课件 计算机安全技术 —第九章.pptVIP

第九章 防 火 墙 技 术 9.1 防火墙技术概述 随着Internet的迅速发展，越来越多的公司或个人加入到其中，使Internet本身成为了世界上空前庞大以至于无法确切统计的网络系统。当一个机构将其内部网络与Internet连接之后，所关心的一个重要问题就是安全。人们需要一种安全策略，既可以防止非法用户访问内部网络上的资源，又可以阻止用户非法向外传递内部信息。在这种情况下，防火墙技术便应运而生了。 防火墙（Firewall）是一种能将内部网和公众网分开的方法。它能限制被保护的网络与互联网络及其他网络之间进行的信息存取、传递等操作。在构建安全的网络环境过程中，防火墙作为第一道安全防线，正受到越来越多用户的关注。 9.1 防火墙技术概述 9.1.1 防火墙的定义 用于保护计算机网络中敏感数据不被窃取和篡改的计算机软硬件系统叫做“防火墙”。简单的说,防火墙实际上是一种访问控制技术，它在一个被认为是安全和可信的内部网络和一个被认为是不那么安全和可信的外部网络之间设置障碍，阻止对信息资源的非法访问, 也可以阻止保密信息从受保护网络上被非法输出。 9.1 防火墙技术概述 9.1.2 防火墙的作用 应用防火墙的主要目的是要强制执行一定的安全策略，能够过滤掉不安全服务和非法用户、控制对特殊站点的访问，并提供监视系统安全和预警的方便端点。具体来说，防火墙的作用主要体现在以下几个方面： （1）防火墙是网络安全的屏障 （2）防火墙可以强化网络安全策略 （3）防火墙可以对网络的存取和访问进行监控、审计 （4）防火墙可以防止内部信息的外泄 （5）防火墙可以限制网络暴露 除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN（虚拟专用网）。通过VPN，可以将企事业单位在地域上分布在全世界各地的LAN或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。 9.1 防火墙技术概述 9.1.3 防火墙的局限性 尽管防火墙有许多防范功能，但由于互连网的开放性，它也有一些力不能及的地方，具体表现在以下几个方面： （1）防火墙不能防范不经过防火墙的攻击。 （2）防火墙不能防止感染了病毒的软件或文件的传输。 （3）防火墙不能防止数据驱动式攻击。 （4）防火墙不能防止来自内部变节者和用户带来的威胁。 总的来说，防火墙只是整体安全防范政策的一部分。整个网络易受攻击的各个点必须以相同程度的安全防护措施加以保护。在没有全面的安全政策情况下设置防火墙，就如同在一顶帐篷上安装一个防盗门。 9.1 防火墙技术概述 9.1.4 防火墙技术的现状及发展趋势 纵观防火墙技术的发展，可将其分为以下四个阶段：第一代防火墙，又称包过滤防火墙。第二代防火墙，也称代理防火墙 。第三代防火墙，称为状态监控功能防火墙 。第四代防火墙已超出了原来传统意义上防火墙的范畴，演变成为了一个全方位的安全技术集成系统。 归纳起来，一个好的防火墙系统应具有以下的一些特性： （1）所有在内部网络和外部网络之间传输的数据都必须经过防火墙。 （2）只有被授权的合法数据，即防火墙系统中安全策略允许的数据，可以通过防火墙。 （3）防火墙本身应能抵御各种攻击的影响。 （4）防火墙应使用目前较先进的信息安全技术。 （5）防火墙应具有良好的人机界面，方便用户配置及管理。 9.1 防火墙技术概述 从防火墙的发展趋势来看，未来的防火墙将变得更加能够识别通过的信息，同时在目前的功能上向“透明”、“低级”方面发展。主要有以下的一些发展趋势： （１）防火墙的性能将更加优良。 （２）防火墙具有可扩展的结构和功能。 （３）防火墙要有简化的安装与管理。 （４）防火墙要有主动过滤的能力。 （５）防火墙应有防病毒与黑客的能力。 最终防火墙将成为一个快速注册稽查系统，可保护数据以加密方式通过，使所有组织可以放心地在节点间传送数据。 ９.２　防火墙技术的分类 防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型。按照防火墙对数据的处理方法，大致分为二大类：包过滤防火墙和代理防火墙。 ９.２.１　包过滤防火墙技术 数据包过滤技术作为防火墙的应用有三种。 第一种是路由设备在完成路由选择和数据转发的同时进行包过滤。第二种是在工作站上使用软件进行包过滤。第三种是在一种称为屏蔽路由器的路由设备上启动包过滤功能。目前较常用的方式是第一种。 包过滤作用在网络层和传输层，以IP包信息为基础，对通过防火墙的IP包的源、目的地址、TCP/UDP的端口标识符及ICMP等进行检查。 包过滤规则检查数据流中每个数据包后, 根据规则来确定是否允许数据包通过，其核心是过滤算法的设计。 数据包过滤在网络中起着举足轻重的作用，它允许你在某个地方为整个网络