网络管理与安全技术课件.ppt

网络管理与安全技术 第7章 防火墙 防火墙作为网络安全的一种防护手段得到了广泛的应用，已成为各企业网络中实施安全保护的核心，安全管理员可以通过其选择性地拒绝进出网络的数据流量，增强了对网络的保护作用 。 7.1 防火墙基本概念 UF3500/3100防火墙应用 三端口NAT模式 7.1.1 防火墙技术发展状况  自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统后，防火墙技术得到了飞速的发展。许多公司推出了功能不同的防火墙系统产品。 第一代防火墙，又称为包过滤防火墙，其主要通过对数据包源地址、目的地址、端口号等参数来决定是否允许该数据包通过或进行转发，但这种防火墙很难抵御IP地址欺骗等攻击，而且审计功能很差。 第二代防火墙，也称代理服务器，它用来提供网络服务级的控制，起到外部网络向被保护的内部网络申请服务时中间转接作用，这种方法可以有效地防止对内部网络的直接攻击，安全性较高。 第三代防火墙有效地提高了防火墙的安全性，称为状态监控功能防火墙，它可以对每一层的数据包进行检测和监控。 第四代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。 第五代防火墙：1998年，NAI公司推出了一种自适应代理技术，可以称之为第五代防火墙。 7.1.2 防火墙的任务 防火墙应能够确保满足以下四个目标 ： 1. 实现安全策略 防火墙的主要目的是强制执行人们所设计的安全策略。比如，安全策略中只需对E-mail服务器的SMTP流量作些限制，那么就要在防火墙中直接设置并执行这一策略。 防火墙一般实施两个基本设计策略之一 ： n???????? 凡是没有明确表示允许的就要被禁止； n???????? 凡是没有明确表示禁止的就要被允许。 7.1.2 防火墙的任务 2. 创建检查点 防火墙在内部网络和公网间建立一个检查点。 通过检查点防火墙设备可以监视、过滤和检查所有进来和出去的流量。 网络管理员可以在检查点上集中实现安全目的。 7.1.2 防火墙的任务 3. 记录Internet活动 防火墙可以进行日志记录，并且提供警报功能。通过在防火墙上实现日志服务，安全管理员可以监视所有从外部网或互联网的访问。好的日志策略是实现网络安全的有效工具之一。防火墙对于管理员进行日志存档提供了更多的信息。 7.1.2 防火墙的任务 7.2 防火墙技术 7.2.1 数据包过滤 7.2.1 数据包过滤 包过滤技术工作在OIS七层模型的网络层上并有两个功能，即允许和阻止； 如果检查数据包所有的条件都符合规则，则允许进行路由；如果检查到数据包的条件不符合规则，则阻止通过并将其丢弃。 包检查是对IP头和传输层的头进行过滤，一般要检查下面几项： 7.2.1 数据包过滤 7.2.1 数据包过滤 例如：FTP使用TCP的20和21端口。如果包过滤要禁止所有的数据包只允许特殊的数据包通过。 7.2.1 数据包过滤 规则号 功能 源IP地址 目标IP地址 源端口 目标端口 协议 1 Allow * * 21 TCP 2 Block * 20 1024 TCP 3 Allow * 20 * TCP ACK=1 7.2.1 数据包过滤 包过滤防火墙的优点 速度快、逻辑简单、成本低、易于安装和使用，网络性能和透明度好。它通常安装在路由器上，因内部网络与Internet连接必须通过路由器，所以在原有网络上增加这类防火墙，几乎不需要任何额外的费用。 包过滤防火墙的缺点 不能对数据内容进行控制，缺乏用户级的授权；非法访问一旦突破防火墙，即可对主机上的系统和配置进行攻击。数据包的源地址、目的地址以及IP端口号都在数据包的头部，很有可能被冒充或窃取。 7.2.2 应用级网关 应用层网关技术是在网络的应用层上实现协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、记录和统计，形成报告。实际的应用网关通常安装在专用工作站系统上 7.2.2 应用级网关 应用级网关能够理解应用层上的协议，进行复杂一些的访问控制。但每一种协议需要相应的代理软件，使用时工作量大，效率不如网络级防火墙。 常用的应用级防火墙有相应的代理服务器，应用级网关有较好的访问控制，但实现困难，而且有的应用级网关缺乏“透明度” 7.2.2 应用级网关 应用层网关防火墙和数据包过滤有一个共同的特点，就是它们仅仅依靠特定的逻辑来判断是