c信息安全课件hapter06.ppt

第六章 防火墙技术 防火墙是广泛应用的一种网络安全的防护手段，它对计算机通信网络起到访问控制的保护作用。 6.1 基本概念 6.2 包过滤技术 6.3 代理服务 6.4 防火墙产品举例 6.5 小结 6.1 基本概念 本节介绍防火墙的定义、作用、体系结构以及类型等基本概念。 6.1.1 防火墙基本知识 6.1.2 防火墙的作用 6.1.3 防火墙类型及体系结构 6.1.4 防火墙的形式 6.1.5 防火墙的局限性 6.1.1 防火墙基本知识 1、什么是防火墙 防火墙是在两个网络之间执行访问控制策略的一组硬件和软件系统，其目的是保护本地网络的通信安全。 从逻辑上讲，防火墙是分离器、限制器和分析器。 2、防火墙的保护功能 防火墙对内部网络的保护是双向的，从入的方向上，它阻止外面网络对本地网络的非法访问和入侵，从出的方向上，它控制本地网络对外部不良网络进行访问或者是未经允许的数据输出，防止内部信息的泄露。 6.1.1 防火墙基本知识 3、堡垒主机 典型的防火墙建立在一个服务器或主机的机器上，也称为“堡垒主机”，它是一个多边协议路由器。这个堡垒主机连接两个网络，一边与内部网相连，另一边与因特网相连。 6.1.2防火墙的作用 防火墙的作用可以体现在以下几个方面： 1、防火墙能够强化安全策略 2、防火墙能有效地记录因特网上的活动 3、防火墙限制暴露用户点 4、防火墙是一个安全策略的检查站 6.1.3防火墙类型及体系结构 防火墙的体系结构可分为以下三种类型： 1．双重宿主主机体系结构 双重宿主主机体系结构是围绕具有双重宿主的主体计算机而构筑的。 2、主机过滤体系结构 主机过滤体系结构中提供安全保护的主机仅仅与内部网相连。另外，主机过滤结构还有一台单独的路由器（过滤路由器）。 3、子网过滤体系结构 子网过滤体系结构添加了额外的安全层到主机过滤体系结构中，即通过添加参数网络，更进一步地把内部网络与因特网隔离开。 6.1.4防火墙的形式 为了提高网络的防护能力，在建造防火墙时，一般都是把多种单一的技术组合起来，构成复合的防火墙。 1、使用多堡垒主机 多堡垒主机是堡垒主机与堡垒主机的组合形式。这种组合形式中，如果一台堡垒主机被攻击瘫痪，可由另一台堡垒主机提供服务。 2、内部路由器与外部路由器的组合 将内部路由器与外部路由器可以合并为一个路由器，合并后的路由器应该具有更加强大的功能性和灵活性，合并的路由器，在每一个接口上指定入站和出站的过滤器。 6.1.4防火墙的形式 3、堡垒主机与路由器组合 堡垒主机与外部路由器组合。在这种情况下，用户使用单一的双重宿主主机作为用户的堡垒主机和外部路由器。 堡垒主机与内部路由器组合。如果将堡垒主机与内部路由器合并，其实已从根本上改变了防火墙的结构，这种组合对加强网络的安全性意义不大。 4、使用双重宿主主机与子网过滤 通过组合双重宿主主机体系结构与子网过滤体系结构，用户的安全防范便可得到明显的增强，这可以通过拆分参数网络并且插入双重宿主主机实现。 6.1.5 防火墙的局限性 在计算机通信信息安全中，任何安全措施都不是万能的，都存在一定的缺陷。防火墙也不例外，它在对网络的安全防护上也是有缺点的，存在一定的局限性。主要表现在以下几个方面： 1、不能防范内部威胁 2、不能防范绕开它的攻击 3、防火墙不能自动防御新威 4、防火墙不能有效防范病毒 6.2 包过滤技术 简单的防火墙可以是在路由器上安装一套具备包过滤功能的软件，这是使因特网联接更加安全的一种简单方法，因为包过滤是路由器的固有属性。 6.2.1 包过滤原理 6.2.2 包过滤的基本原则 6.2.3 包过滤技术特点 6.2.4 数据包结构 6.2.5