网络安全讲义第7章.pptVIP

第 7 章 防火墙技术 7.1 防火墙概述 7.2 防火墙的功能 7.3 防火墙技术 7.4 防火墙的不足 7.5 防火墙产品介绍 7.6 防火墙应用典型案例（方案设计） 反弹端口木马： 单宿堡垒主机类型。一个包过滤路由器连接外部网络，同时一个堡垒主机安装在内部网络上。堡垒主机只有一个网卡，与内部网络连接。通常在路由器上设立过滤规则，并使这个单宿堡垒主机成为从Internet惟一可以访问的主机，确保了内部网络不受未被授权的外部用户的攻击。而Intranet内部的客户机，可以受控制地通过屏蔽主机和路由器访问Internet。 双宿堡垒主机类型。堡垒主机有两块网卡，一块连接内部网络，一块连接包过滤路由器。双宿堡垒主机在应用层提供代理服务，与单宿型相比更加安全。 3 屏蔽子网体系机构 在屏蔽主机体系结构上再加一个过滤路由器，两个路由器形成了一个隔离带，将堡垒主机安装在此隔离带中。 隔离带也称停火区或非军事区（DMZ）。 屏蔽子网是在内网和外网之间建立一个被隔离的子网，用两个包过滤路由器将这一子网分别与内网和外网分开。 两个包过滤路由器放在子网的两端，在子网内构成一个“缓冲地带” （DMZ），两个路由器一个控制内网数据流，另一个控制外网据流，内网和外网均可访问DMZ，但禁止它们直接穿过DMZ通信。在DMZ中的堡垒主机，为内、外网络的互相访问提供代理服务，而且来自两网络的访问都必须通过两个包过滤路由器的检查。对于向Internet公开的服务器，像WWW、FTP、Mail等Internet服务器也可安装在DMZ，这样无论是外部用户，还是内部用户都可访问。 这种结构的防火墙安全性能高，具有很强的抗攻击能力，但需要的设备多，造价高。 7.3.5 防火墙的主要技术指标 1 并发会话（并发连接数）数：是防火墙能够处理的点对点会话连接的最大数目，反映防火墙对多个连接的访问控制能力和连接跟踪能力。 打开的一个窗口或一个Web页面，可以把它叫做一个“会话”。在一个局域网内，所有用户要通过防火墙上网，要打开很多个窗口或Web页面（即会话），这个防火墙所能处理的最大会话数量，就是“并发连接数”。 防火墙维持一个并发连接表，用以存放并发连接信息，其大小也就是防火墙所能支持的最大并发连接数。 并发连接数越大，相应允许支持的客户终端越多，但对系统内存的消耗和CPU的需求就越多。 以每个用户需要10.5个并发连接来计算，一个中小型企业网络（1000个信息点以下，容纳4个C类地址空间）大概需要10.5×1000=10500个并发连接，因此支持20000～30000最大并发连接的防火墙设备便可以满足需求； 大型的企事业单位网络（比如信息点数在1000～10000之间）大概会需要105000个并发连接，所以支持100000～120000最大并发连接的防火墙就可以满足企业的实际需要; 2 网络吞吐量：在不丢包的情况下单位时间内通过防火墙的数据包数量。 吞吐量的大小主要由防火墙内网卡，及程序算法的效率决定。若防火墙的算法依靠软件实现，则100M防火墙的吞吐量实际只有10M-20M。纯硬件防火墙，吞吐量可以达到90-95M。 ??? 安全过滤带宽是指防火墙在某种加密算法标准下，如DES(56位)或3DES（168位）下的整体过滤性能。它是相对于明文带宽提出的。一般来说，防火墙总的吞吐量越大，其对应的安全过滤带宽越高。 3 工作模式：目前防火墙的三种工作模式是路由模式、透明模式和混合模式。 4 接口：防火墙接口分为以太网（10M）、快速以太网（100M）、千兆以太网（光纤）接口等 防火墙上一般都预设有：内网口、外网口、DMZ接口和控制端接口。 防火墙的主要缺陷： 1 防火墙防外不防内,不能防止内部攻击 2 不能防止未经过防火墙的攻击 3 不能取代杀毒软件 4 不易防止反弹端口木马攻击 目前，最大的三家防火墙生产商是：Check Point、Cisco和NetScreen；Checkpoint Firewall 出色的老牌子，在世界范围内的软件防火墙中销售量排名第一； Cisco软硬结合，效率高但使用不便； NetScreen公司的NetScreen防火墙产品是一种新型的网络安全硬件产品； CISCO ASA5510-SEC-BUN-K9 ： 并发连接数：130000； 网络吞吐量：300Mbps； 内存：256M 安全过滤带宽：170Mbps； 用户数无限制； 报价：22800；适用于中型企业 CISCO PIX-501： 并发连接数：7500； 网络吞吐量：60Mbps； 内存：16M；CPU:133MHz AMD 用户数限制：10； 报价：3090； 适用于小型办公室环境 CISCO PIX-535-UR-GE-BUN ： 并发连接数：50万； 网络吞吐量：