第9章 防火墙技术与应用课件.pptVIP

第9章 防火墙技术与应用 9.1 防火墙基础 1．防火墙的概念及作用 （1）什么是防火墙 防火墙的本义原是指古代人们在房屋与房屋之间修建的那道墙，这道墙可以阻挡火灾发生时火势蔓延到别的房屋。而这里所说的防火墙不是指物理上的防火墙，而是指隔离在本地网络与外界网络之间的一道防御系统，是这一类防范措施的总称。 防火墙的定义 防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。 它是不同网络或网络安全域之间信息的唯一出入口 。 防火墙的作用 一般的防火墙都可以达到以下目的： ? 可以限制他人进入内部网络，过滤掉不安全服务和非法用户； ? 防止入侵者接近防御设施； ? 限定用户访问特殊站点； ? 为监视Internet安全提供方便。 防火墙的基本特征 内部网络和外部网络之间的所有网络数据流都必须经过防火墙 只有符合安全策略的数据流才能通过防火墙 防火墙自身应具有非常强的抗攻击免疫力 防火墙的发展简史 2．防火墙的功能 一般来说，防火墙具有以下几种功能： ? 允许网络管理员定义一个中心点来防止非法用户进入内部网络； ? 可以很方便地监视网络的安全，并报警； ? 可以作为部署NAT（Network Address Translation，网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题； ? 是审计和记录Internet使用费用的一个最佳地点，网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费； ? 可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署WWW服务器和FTP服务器，将其作为向外部发布内部信息的地点，从技术角度来讲，就是所谓的停火区（DMZ）。 防火墙的局限性 防火墙不能防范不经过防火墙的攻击。如拨号访问、内部攻击等。 防火墙不能解决来自内部网络的攻击和安全问题。 防火墙不能防止策略配置不当或错误配置引起的安全威胁。 防火墙不能防止利用标准网络协议中的缺陷进行的攻击。 防火墙不能防止利用服务器系统漏洞所进行的攻击。 防火墙不能防止受病毒感染的文件的传输。 防火墙不能防止数据驱动式的攻击。有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动式的攻击。 防火墙不能防止本身的安全漏洞的威胁。目前还没有厂商绝对保证防火墙不会存在安全漏洞。 防火墙不能防止可接触的人为或自然的破坏。 防火墙的基本功能 ●防火墙能够强化安全策略 ●防火墙能有效地记录因特网上的活 动 ●防火墙限制暴露用户点 ●防火墙是一个安全策略的检查站 防火墙的不足之处 ●不能防范恶意的知情者 ●防火墙不能防范不通过它的连接 ●防火墙不能防备全部的威胁 ●防火墙不能防范病毒 3．防火墙的常用术语 （1）硬件和软件防火墙 （2）DMZ(Demilitarized Zone，非军事区或者停火区)：为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。 （3）VPN （4）SPI：状态封包检测。通过该功能可以过滤掉一些不正常的包，防止恶意攻击。 （5）DoS （6）IDS （7）访问控制 9.2.1 包过滤防火墙 1．静态包过滤 2．动态包过滤 3．包过滤防火墙的工作机理 4．包过滤检查内容 5．包过滤防火墙的优缺点 基本概念 包是网络上信息流动的单位。在网上传输的文件一般在发出端被划分成一串数据包，经过网上的中间站点，最终传到目的地，然后这些包中的数据又重新组成原来的文件。 每个包有两个部分：数据部分和包头。包头中含有源地址和目标地址等信息。 包过滤器又称为包过滤路由器，它通过将包头信息和管理员设定的规则表比较，如果有一条规则不允许发送某个包，路由器将它丢弃。 简单包过滤防火墙 数据包过滤技术的发展：静态包过滤、动态包过滤。 包过滤防火墙在网络层实现数据的转发，包过滤模块一般检查网络层、传输层内容，包括下面几项： ① 源、目的IP地址； ② 源、目的端口号； ③ 协议类型； ④ TCP报头的标志位。 简单包过滤防火墙的工作原理1 包过滤防火墙的工作流程 动态包过滤 (状态检测) 防火墙 动态包过滤防火墙的工作流程 包过滤防火墙的特点 优点： 保护整个网络；对用户透明；可用路由器，不需要其他设备。 缺点： 1.包过滤的一个重要的局限是它不能分辨好的和坏的用户，只能区分好的包和坏的包。 2.包过滤规则难配置。 3.新的协议的威胁。 4.IP欺骗 9.2.2 代理防火墙 1．代理防火墙 2．