新信息安全概论 教学课件 李剑 张然 第8章 防火墙技术.pptVIP

版权所有，盗版必纠 第8章　防火墙技术 李 剑 北京邮电大学信息安全中心 E-mail: lijian@ 电话：130概 述 防火墙是网络安全的第一道防线，在网络安全中有着不可或缺的重要作用。本章主要介绍防火墙的一些基本概念、实现技术、体系结构和发展趋势等。 目 录 第8章　防火墙技术 8.1 防火墙概述 8.2 防火墙技术 8.3 防火墙的体系结构 8.4 防火墙的硬件实现技术 8.5 防火墙的性能指标 8.6 防火墙常见功能指标 8.7 防火墙的常见产品介绍 8.8 防火墙的发展趋势 8.1.1 防火墙的定义 防火墙（Firewall）一词来源于早期的欧式建筑，它是建筑物之间的一道矮墙，用来防止发生火灾时火势蔓延。在计算机网络中，防火墙通过对数据包的筛选和屏蔽，可以防止非法的访问进入内部或外部计算机网络。因此，防火墙可以定义为：位于可信网络与不可信网络之间并对二者之间流动的数据包进行检查的一台、多台计算机或路由器。如图8.1所示。通常内部网络是可信的和安全的，外部网（如Internet）是不可信和不安全的。 防火墙通常是运行在一台或多台计算机之上的一组特别的服务软件，用于对网络进行防护和通信控制。但是在很多情况下防火墙以专门的硬件形式出现，这种硬件也被称为防火墙，它是安装了防火墙软件，并针对安全防护进行了专门设计的网络设备，本质上还是软件在进行控制。 内部网络与外部网络所有通信的数据包都必须经过防火墙，而防火墙只放行合法的数据包，因此它在内部网络和外部网络之间建立了一个屏障。只要安装一个简单的防火墙，就可以屏蔽掉大多数外部的探测与攻击。 如果没有防火墙，那么内部网络的安全性是由内部网络中安全性最差的主机决定。如果内部网络很大，那么维护并提高每一台主机的安全性是非常困难的，即使能够成功，代价也是非常大的。但是如果安装了防火墙，防火墙就是内部网络和外部网络通信的唯一通道，管理员不必去担心每一台主机的安全，只要把精力放在防火墙上就可以了。 第一代防火墙技术几乎与路由器同时出现，它采用包过滤技术，主要由附加在边界路由器上的访问控制列表ACL构成。实践证明，因为网络协议的复杂性，路由器的ACL无法满足实际需要，于是诞生了代理型防火墙，也就是电路层网关和应用层网关。当时具有非常重要的意义。1992年，USC信息科学院的BobBraden开发了基于动态包过滤技术（Dynamic Packet Filter）的新一代防火墙，后来演变为所说的状态监视技术。1994年，Check point公司开发了第一个基于动态包过滤技术的防火墙产品。1998年，美国网络联盟公司NAI（Network Associate Inc.）发明了一种自适应代理（Adaptive Proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，赋予了代理型防火墙全新的意义。表8.1总结了防火墙的发展历史。 既然防火墙要对内部网络与外部网络的通信数据包进行筛选，那么它必然要有一些规则来判定哪些数据包是合法的，哪些是非法的。这种安全规则也可称为安全策略。 防火墙安全规则由匹配条件和处理方式两部分组成。匹配条件是一些逻辑表达式，用于对通信流量是否合法做出判断。若匹配条件值为真，那么就进行处理。处理方式主要有以下几种： 接受：允许通过。 拒绝：拒绝信息通过，通知发送信息的信息源。 丢弃：直接丢弃信息，不通知信息源。 网络安全防御从防病毒开始到防火墙再到入侵检测系统，以及到立体的、纵深的防御策略，经历了不同层次的安全产品阶段，现在已经基本认识到防火墙只是网络安全机构中的一部分。 防火墙的优点主要包括： 可以完成整个网络安全策略的实施。防火墙可以把通信访问限制在可管理范围内。 可以限制对某种特殊对象的访问。如限制某些用户对重要服务器的访问。 具有出色的审计功能，可以对网络连接的记录和审计、历史记录、故障记录等都具有很好的审计功能。 可以对有关的管理人员发出警告。 可以将内部网络结构隐藏起来。 对于个人用户来说，安装一个简单的个人防火墙就可以屏蔽掉绝大数非法的探测和访问。它不仅可以防止入侵者对主机的端口、漏洞进行扫描，还能阻止木马进入主机。总之，防火墙能够减轻内部网络被入侵和破坏的危险，使得内部网络的机密数据得到保护。 但是防火墙和其它任何技术一样，也有其弱点。 不能防止不经过它的攻击和不能防止授权访问的攻击。 只能对配置的规则有效，不能防止没有配置的访问。 不能防止通过社交工程手段的攻击和一个合法用户的攻击行为 不能防止针对一个设计上有问题的系统攻击。 防火墙好像大门上的锁，主要职能是保护内部网络的安全。由于防火墙处于内部网络和外部网络之间这个特殊位置，因此，防火墙上还可以添加一些其它功能，主要包括：