新计算机网络安全教程 教学课件 梁亚声 ch4 防火墙技术.pptVIP

第4章 防火墙技术 内容提要： 概述 防火墙体系结构 防火墙技术 防火墙的安全防护技术 防火墙应用示例 个人防火墙 防火墙技术发展动态和趋势 小结 4.1 概述 防火墙的定义 防火墙是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，构成一道屏障，以防止发生对被保护网络的不可预测的、潜在破坏性的侵扰。 防火墙的五大基本功能 过滤进、出网络的数据； 管理进、出网络的访问行为； 封堵某些禁止的业务； 记录通过防火墙的信息内容和活动； 对网络攻击的检测和告警。 防火墙的局限性 网络的安全性通常是以网络服务的开放性和灵活性为代价 防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失 4.2 防火墙体系结构 防火墙可以在OSI七层中的五层设置。 ????????????????????????????????????????????????????????????????????????????? ???????????????? 防火墙组成结构图 防火墙的体系结构 目前，防火墙的体系结构一般有以下几种： （1）双重宿主主机体系结构； （2）屏蔽主机体系结构； （3）屏蔽子网体系结构。 4.2.1 双重宿主主机体系结构 围绕具有双重宿主的主机计算机而构筑； 计算机至少有两个网络接口； 计算机充当与这些接口相连的网络之间的路由器； 防火墙内部的系统能与双重宿主主机通信； 防火墙外部的系统（在因特网上）能与双重宿主主机通信。 双重宿主主机体系结构 4.2.2 屏蔽主机体系结构 提供安全保护的堡垒主机仅仅与被保护的内部网络相连； 是外部网络上的主机连接内部网络的桥梁； 堡垒主机需要拥有高等级的安全； 还使用一个单独的过滤路由器来提供主要安全； 路由器中有数据包过滤策略。 屏蔽主机体系结构 4.2.3 屏蔽子网体系结构 1．周边网络 周边网络是另一个安全层,是在外部网络与被保护的内部网络之间的附加网络,提供一个附加的保护层防止内部信息流的暴露 . 2．堡垒主机 堡垒主机为内部网络服务的功能有： （1）接收外来的电子邮件（SMTP），再分发给相应的站点； （2）接收外来的FTP连接，再转接到内部网的匿名FTP服务器； （3）接收外来的对有关内部网站点的域名服务（DNS）查询。 堡垒主机向外的服务功能按以下方法实施： （1）在路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器。 （2）设置代理服务器在堡垒主机上运行，允许内部网的用户间接地访问外部网的服务器。也可以设置数据包过滤，允许内部网的用户与堡垒主机上的代理服务器进行交互，但是禁止内部网的用户直接与外部网进行通信。 3．内部路由器 保护内部的网络使之免受外部网和周边网的侵犯，内部路由器完成防火墙的大部分数据包过滤工作。? 4．外部路由器 保护周边网和内部网使之免受来自外部网络的侵犯，通常只执行非常少的数据包过滤。 外部路由器一般由外界提供。 4.2.4 防火墙体系结构的组合形式 使用多堡垒主机； 合并内部路由器与外部路由器； 合并堡垒主机与外部路由器； 合并堡垒主机与内部路由器； 使用多台内部路由器； 使用多台外部路由器； 使用多个周边网络； 使用双重宿主主机与屏蔽子网。 4.3 防火墙技术 从工作原理角度看，防火墙主要可以分为网络层防火墙和应用层防火墙。这两种类型防火墙的具体实现技术主要有包过滤技术、代理服务技术、状态检测技术、NAT技术等。 4.3.1 包过滤技术 包过滤防火墙工作在网络层 利用访问控制列表（ACL）对数据包进行过滤 过滤依据是TCP/IP数据包： 源地址和目的地址 所用端口号 协议状态 优点是逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好 缺点有二，一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。 包过滤模型 ： 包检查模块深入到操作系统的核心，在操作系统或路由器转发包之前拦截所有的数据包。当包过滤型防火墙安装在网关上之后，包过滤检查模块深入到系统的网络层和数据链路层之间，即TCP层和IP层之间。抢在操作系统或路由器的TCP层对IP包的所有处理之前对IP包进行处理。包过滤型防火墙位于软件层次的最底层。 包过滤模型 数据包过滤的主要依据有： （1）数据包的源地址； （2）数据包的目的地址； （3）数据包的协议类型（TCP、UDP、ICMP等）； （4）TCP或UDP的源端口； （5）TCP或UDP的目的端口； （6）ICM