信息安全原理与技术ch09-防火墙.pdfVIP

信息安全原理与技术 郭亚军 宋建华 李莉 清华大学出版社 2011-7-20 Ch9-防火墙 1 第9章 防火墙 • 主要知识点： -- 防火墙概述 -- 防火墙技术 -- 防火墙的体系结构 2011-7-20 Ch9-防火墙 2 9.1 防火墙概述 • 防火墙的基本功能 对网络通信进行筛选屏蔽以防止 未授权的访问进出计算机网络，即对 网络进行访问控制。 2011-7-20 Ch9-防火墙 3 9.1.1 防火墙的基本概念 • 防火墙的来源 “ 防火墙”一词源自于早期建筑。在古 代，构筑和使用木制结构房屋的时候为 防止火灾的发生和蔓延，人们将坚固的 石块堆砌在房屋周围作为屏障，这种防 护 构 筑 物 就 被 称 为 “ 防 火 墙 ” （FireWall）。如今在计算机网络中， 沿用了古代这个名字来表示实现类似的 网络安全功能。 2011-7-20 Ch9-防火墙 4 所谓“ 防火墙” ，指的就是一种被放 置在自己的计算机与外界网络之间的防 御系统，从网络发往计算机的所有数据 都要经过它的判断处理后，才会决定能 不能把这些数据交给计算机，一旦发现 有害数据，防火墙就会拦截下来，实现 了对计算机的保护功能。 2011-7-20 Ch9-防火墙 5 图9.1防火墙示意图 防火墙的两条基本规则 • 一切未被允许的就是禁止的。 基于该规则，防火墙应封锁所有信息流，然后 对希望提供的服务逐项开放，即只允许符合开放规 则的信息进出。这种方法非常实用，可以造成一种 十分安全的环境，因为所能使用的服务范围受到了 严格的限制，只有特定的被选中的服务才被允许使 用。这就使得用户使用的方便性受到了影响。 • 一切未被禁止的就是允许的。 基于该规则，防火墙逐项屏蔽被禁止的服务，而 转发所有其它信息流。这种方法可以提供一种更为 灵活的应用环境，可为用户提供更多的服务。但却 很难提供可靠的安全防护，特别是当网络服务日益 增多或受保护的网络范围增大时。 2011-7-20 Ch9-防火墙 7 典型的防火墙具有的基本特性 • 内部网络和外部网络之间的所有网络 数据流都必须经过防火墙。 • 只有符合安全策略的数据流才能通过 防火墙。 • 防火墙自身应具有非常强的抗攻击免 疫力。 2011-7-20 Ch9-防火墙 8 9.1.2 防火墙的作用及局限性 • 防火墙的作用 – 集中的安全管理 – 安全警报 – 重新部署网络地址转换（NAT) – 审计和记录网络的访问及使用情况 – 向外发布信息 2011-7-20