第八章防火墙技术及应用-1.ppt

第8章 防火墙(Firewall)技术及应用 防火墙技术概述 防火墙的概念 防火墙是指设置在不同网络（如可信赖的企业内部局域网和不可信赖的公共网络）之间或网络安全域之间的一系列部件的组合，通过监测、限制、更改进入不同网络或不同安全域的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以防止发生不可预测的、潜在破坏性的入侵，实现网络的安全保护。 防火墙是实现网络和信息安全的基础设施，一个高效可靠的防火墙应用具备以下的基本特性： 防火墙是不同网络之间，或网络的不同安全域之间的唯一出入口，从里到外(inbound)和从外到里(outbound)的所有信息都必须通过防火墙； 通过安全策略来控制不同网络或网络不同安全域之间的通信，只有本地安全策略授权的通信才允许通过； 防火墙本身是免疫的，即防火墙本身具有较强的抗攻击能力。 防火墙的基本功能 监控并限制访问 控制协议和服务 保护内部网络 网络地址转换（NAT） 虚拟专用网（VPN） 日志记录与审计 防火墙的基本原理 所有的防火墙功能的实现都依赖于对通过防火墙的数据包的相关信息进行检查，而且检查的项目越多、层次越深，则防火墙越安全。 由于现在计算机网络结构采用自顶向下的分层模型，而分层的主要依据是各层的功能划分，不同层次功能的实现又是通过相关的协议来实现的。 所以，防火墙检查的重点是网络协议及采用相关协议封装的数据。 防火墙提供的机制-服务控制(service control) 确定可以访问的Internet服务类型(双向的)。防火墙可以基于IP地址、协议和TCP端口号对流量进行过滤；或者提供代理软件，对收到的每个服务请求进行解释，然后才允许通过 防火墙提供的机制-方向控制(direction control) 确定特点服务请求发起和允许通过防火墙的方向。 防火墙提供的机制-用户控制(user control) 根据试图访问服务器的用户来控制服务器的访问权限。通常这个功能应用于在防火墙周界以内的用户(即本地用户)。也可以用于来自外部用户的流量。 防火墙提供的机制-行为控制(behavior control) 控制特点服务的使用方法。 过滤垃圾邮件；控制外部用户只能对本地Web服务器上的部分信息进行访问。 防火墙的基本准则 默认丢弃-所有未被允许的就是禁止的 所有未被允许的就是禁止的，这一准则是指根据用户的安全管理策略，所有未被允许的通信禁止通过防火墙。 默认转发-所有未被禁止的就是允许的 所有未被禁止的就是允许的，这一准则是指根据用户的安全管理策略，防火墙转发所有信息流，允许所有的用户和站点对内部网络的访问，然后网络管理员按照IP地址等参数对未授权的用户或不信任的站点进行逐项屏蔽。 防火墙的应用 防火墙在网络中的位置-多应用于一个局域网的出口处或置于两个网络中间。 使用了防火墙后的网络组成-三部分 防火墙是构建可信赖网络域的安全产品。当一个网络在加入了防火墙后，防火墙将成为不同安全域之间的一个屏障，原来具有相同安全等级的主机或区域将会因为防火墙的介入而发生变化 . 防火墙应用的局限性 防火墙不能防范未通过自身的网络连接 对于有线网络来说，防火墙是进出网络的唯一节点。但是如果使用无线网络（如无线局域网），内部用户与外部网络之间以及外部用户与内部网络之间的通信就会绕过防火墙，这时防火墙就没有任何用处。 防火墙不能防范全部的威胁 防火墙安全策略的制定建立在已知的安全威胁上，所以防火墙能够防范已知的安全威胁。 防火墙不能防止感染了病毒的软件或文件的传输 即使是最先进的数据包过滤技术在病毒防范上也是不适用的，因为病毒的种类太多，操作系统多种多样，而且目前的病毒编写技术很容易将病毒隐藏在数据中。 防火墙不能防范内部用户的恶意破坏 据相关资料统计，目前局域网中有80%以上的网络破坏行为是由内部用户所为(80/20规则)，如在局域网中窃取其他主机上的数据、对其他主机进行网络攻击、散布计算机病毒等。这些行为都不通过位于局域网出口处的防火墙，防火墙对其无能为力。 防火墙本身也存在安全问题 防火墙的工作过程要依赖于防火墙操作系统，与我们平常所使用的Windows、Linux等操作系统一样，防火墙操作系统也存在安全漏洞，而且防火墙的功能越强、越复杂，其漏洞就会越多 。 加密 笔记本 防火墙的基本类型 包过滤防火墙-CHeckpoint 代理防火墙-Cauntlet 状态检测防火墙-Cisco PIX 分布式防火墙 防火墙的基本类型 包过滤(packet filtering)防火墙 包过滤防火墙是最早使用的一种防火墙技术，它在网络的进出口