新计算机网络安全与应用技术 教学课件 张兆信 赵永葆 赵尔丹 等 第5章 防火墙技术.pptVIP

第5章 防火墙技术 学习要点 防火墙的概念、功能及其局限性 防火墙的分类 怎样选择防火墙 天网防火墙的使用 5.1 .1防火墙概述 防火墙是一个或一组实施访问控制策略的系统，在内部网络（专用网络）与外部网络（公用网络）之间形成一道安全保护屏障，以防止非法用户访问内部网络上的资源和非法向外传递内部消息，同时也防止这类非法和恶意的网络行为导致内部网络的运行遭到破坏。 5.1.1 防火墙概述 防火墙目的就是要通过各种控制手段，保护一个网络不受来自另一个网络的攻击，它能够限制用户访问网络内部的数据，防止网络中的攻击者来访问内部的网络或者更改、拷贝、毁坏用户的重要信息。所以防火墙应该是双向的作用，是一种将内部部网络和外部网络在一定程度上隔离的技术。 各站点的防火墙的构造是不同的，通常一个防火墙由一套硬件 (如一个路由器，或其他设备的组合，一台堡垒主机)和适当的软件组成。组成的方式可以有很多种，这要取决于站点的保护要求、经费的多少以及其他的综合因素。但是防火墙也不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合，它是安全策略的一个部分。 5.1.2 防火墙的功能 防火墙的功能 过滤出入网络的数据 强化网络安全策略 对网络存取和访问进行监控审计 控制不安全的服务 对站点的访问控制 防火墙支持具有 Internet 服务特性的企业内部网络技术体系 VPN 。 防火墙是阻止外面的用户对你的网络进行访问的系统，此系统根据网络管理员的一些规则和策略来保护内部网络的计算机。 5.1.3 防火墙得局限性 防火墙主要是保护网络系统的可用性，不能保护数据的安全，缺乏一整套身份认证和授权管理系统。 防火墙不能防范不经过它本身的攻击。 防火墙只是实现粗粒度的访问控制，不能防备全部的威胁 。 防火墙难于管理和配置。 5.2 防火墙的分类 从防火墙的软、硬件形式来分的话，防火墙可以分为软件防火墙和硬件防火墙。 根据防火墙应用在网络中的层次不同进行划分，从总体来讲可分为三大类：网络层防火墙、应用层防火墙、复合型防火墙。 5.2.1 网络层防火墙 网络层防火墙又称包过滤防火墙，数据包过滤技术是防火墙为系统提供安全保障的主要技术，包过滤技术是防火墙的初级产品,其技术依据是网络中的分包传输技术。 5.2.1 网络层防火墙 在整个网络层防火墙技术的发展过程中，根据防火墙采用的过滤技术及出现的先后顺序，我们将包过滤防火墙分为两种： 第一代静态包过滤和第二代动态包过滤。 5.2.1 网络层防火墙 包过滤防火墙优点：网络层防火墙的最大的优点就是它对于用户来说是透明的，也就是说不需要用户名和密码来登录。这种防火墙速度快而且易于维护，通常作为第一道防线。另外包过滤方式不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。其次包过滤路由速度快、效率高，它只是检查报头相应的字段，一般不去查看数据包的内容。 包过滤防火墙缺点： 不能防范地址欺骗。 不支持应用层协议 。 不能处理新的安全威胁。 5.2.2 应用层网关 应用层网关又称双宿主网关，它工作在OSI的最高层，即应用层。它通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。应用层网关由两部分组成:代理服务器和筛选路由器。这种防火墙技术是目前最通用的一种，它是把过滤路由器技术和软件代理技术结合在一起，由过滤路由器负责网络的互联，进行严格的数据选择，应用代理则提供应甩层服务的控制，起到外部网络向内部网络申请服务时中间转接的作用。它通常运行在Internet和内部网络之间，检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。 5.2.2 应用层网关 代理服务器是一台通过安装特殊的服务软件来实现传输作用的主机 5.2.2 应用层网关 在代理型防火墙技术的发展过程中经历了两个不同的版本: 第一代应用网关型代理防火墙 第二代自适应代理防火墙 5.2.2 应用层网关 代理类型防火墙的优点:安全，它能够应用层上的协议，做一些复杂的访问控制，限制了命令集并决定哪些内部主机可以被该服务访问，详细地记录所有地访问状态信息以及相应地安全审核，具有较强的访问控制能力 . 代理类型防火墙缺点:缺乏一定的透明度，速度相对比较慢 5.2.3复合型防火墙 复合型防火墙将包过滤路由器和应用层网关这两种技术结合起来使用. 复合型防火墙一般分为两种： 主机屏蔽防火墙:是由单个网络端口的应用层网关防火墙和一个包过滤路由器组成 . 5.2.3复合型防火墙 子网屏蔽防火墙 子网屏蔽防火墙是在主机屏蔽防火墙上加上一个路由器，它在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器将这一子网分