新计算机网络安全 教学课件 鲁立 1_ 05.pptVIP

第5章 防火墙技术 本章要点 防火墙的功能 。 防火墙的实现技术 。 防火墙的体系结构 。 防火墙的工作模式。 防火墙的实施方式。 瑞星防火墙介绍。 ISA2004防火墙介绍。 Linux的Iptables防火墙介绍。 Cisco PIX防火墙介绍。 5.1 防火墙概述 在计算机网络中，防火墙是内网和外网之间的枢纽。通常内部网络被认为是安全和可信赖的，而外部网络（通常是Internet）被认为是不安全和不可信赖的。防火墙的作用是阻止未经授权的流量进出被保护的内部网络，通过访问控制，保护内网用户不受外网的攻击。 1、一切未被允许的就是禁止的。 2、一切未被禁止的就是允许的。 1．内部网络和外部网络之间的数据流都必须经过防火墙。 2．只有满足防火墙访问控制的数据流才能通过防火墙。 3．防火墙自身能够抵抗攻击。 5.1.3 防火墙的局限性 1、不能防御内部攻击。 2、不能防御数据驱动的攻击。 5.2 防火墙的实现技术 防火墙的实现技术主要是数据包过滤与应用层代理。这两种技术可以单独使用也可以结合起来使用，使得防火墙产品可以向内部网络用户同时提供数据包过滤与应用层代理功能。 5.2.1 数据包过滤 数据包过滤技术就是对内、外网络之间传输的数据包按照某些特征事先设置一系列的安全规则（或称安全策略），进行过滤或筛选，使符合安全规则的数据包通过，而丢弃那些不符合安全规则的数据包。 5.2.2 应用层代理 应用层代理是指在应用层上为转发数据的客户端服务，防火墙会根据应用层的协议来进行访问控制，防火墙不仅能够看到下面几层的内容还可以看到应用层的信息。防火墙根据应用层的信息来作出是否进行转发和阻止的决定。 5.2.3 状态检测技术 防火墙可以检测到当前的通信数据是否属于同一连接状态下的信息，若是就直接放行。它采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块，通过其抽取部分网络数据（即状态信息），并动态保存起来作为以后安全决策的参考，对于无连接的协议（如RPC和基于UDP的应用），使用它可以为之提供虚拟的会话信息。 5.3 防火墙的体系结构 防火墙有3种基本结构：双宿/多宿主机模式、屏蔽主机模式和屏蔽子网模式。 5.3.1 双宿/多宿主机模式 双宿／多宿主机防火墙通常拥有两个或多个网卡，每个网卡连接到不同网段 5.3.2 屏蔽主机模式 屏蔽主机防火墙由包过滤路由器和堡垒主机组成 ，在这种方式的防火墙中，堡垒主机安装在内部网络上，通常在路由器上设立过滤规则，并使这个堡垒主机成为外部网络唯一可直接到达的主机 5.3.3 屏蔽子网模式 屏蔽子网防火墙的配置，采用了两个包过滤路由器和一个堡垒主机，在内外网络之间建立了一个被隔离的子网，通常周边网络又叫非军事化区域或者DMZ 5.4 防火墙的工作模式 防火墙的工作模式包括路由模式、透明模式和NAT（网络地址转换）模式。如果防火墙的接口可同时工作在透明与路由模式下，那么这种工作模式叫做混合模式。 5.5 防火墙的实施方式 1、基于单个主机的防火墙 这种防火墙通常是安装在单个系统上的一种软件，它只保护这个系统不受侵害。 2、基于网络主机的防火墙 3、硬件防火墙 5.6 瑞星个人防火墙的应用 瑞星个人防火墙针对目前流行的黑客攻击、钓鱼网站等做了针对性的优化，采用未知木马识别、家长保护、反网络钓鱼、多账号管理、上网保护、模块检查、可疑文件定位、网络可信区域设置、IP攻击追踪等技术，可以帮助用户有效抵御黑客攻击、网络诈骗等安全风险。 5.7 ISA Server 2004配置 ISA服务器是防火墙，可以实现数据包级别、电路级别和应用程序级别的通信筛选、状态筛选和检查等类型的防火墙功能。ISA Server 2004支持各种网络应用程序，同时支持虚拟专用网络（VPN）、入侵检测和智能的第7层应用程序筛选器，对所有客户端透明，支持高级身份验证，可以安全的服务器发布。 ISA Server 2004 可实现下列功能： ???保护网络免受未经授权的访问。 ???保护 Web 和电子邮件服务器防御外来攻击。 ???检查传入和传出的网络通信以确保安全性。 ???接收可疑活动警报。 5.8 iptables防火墙 iptables是用户配置Netfilter的工具。iptables可以配置有状态的防火墙。iptables把有次序的规则“链（chain）”应用到网络数