计算机信息安全课件(07081-7) 第8章 防火墙技术.pptVIP

第8章 防火墙技术 内容提要 防火墙的基本概念 防火墙的类型 防火墙的体系结构 防火墙的基本技术与附加功能 防火墙技术的几个新方向 常见的防火墙产品 8.1 防火墙的基本概念 定义 防火墙结构 防火墙应满足的条件 防火墙的功能 防火墙的不足之处 8.1.1 定义 概括地说，防火墙是位于两个（或多个）网络间实施网间访问控制的一组组件的集合。 8.1.2 防火墙结构 8.1.3 防火墙应满足的条件 作为网络间实施网间访问控制的一组组件的集合，防火墙应满足的基本条件如下： 内部网络和外部网络之间的所有数据流必须经过防火墙。 只有符合安全策略的数据流才能通过防火墙。 防火墙自身具有高可靠性，应对渗透（Penetration）免疫。 8.1.4 防火墙的功能 隔离不同的网络，限制安全问题的扩散。防火墙作为一个中心“遏制点”，它将局域网的安全进行集中化管理，简化了安全管理的复杂程度。 防火墙可以很方便地记录网络上的各种非法活动，监视网络的安全性，遇到紧急情况报警。 防火墙可以作为部署NAT（Network Address Translation，网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题或者隐藏内部网络的结构。 防火墙是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。 防火墙也可以作为IPSec的平台。 防火墙可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署WWW服务器和FTP服务器，将其作为向外部发布内部信息的地点。从技术角度来讲，就是所谓的停火协议区（DMZ）。 8.1.5 防火墙的不足之处 尽管目前的防火墙一般都具有非常丰富的功能，但仍有很多方面需要改进和完善。防火墙的不足之处主要有： 网络上有些攻击可以绕过防火墙，而防火墙却不能对绕过它的攻击提供阻挡。 防火墙管理控制的是内部与外部网络之间的数据流，它不能防范来自内部网络的攻击。 防火墙不能对被病毒感染的程序和文件的传输提供保护。 防火墙不能防范全新的网络威胁。 当使用端到端的加密时，防火墙的作用会受到很大的限制。 防火墙对用户不完全透明，可能带来传输延迟、瓶颈以及单点失效等问题。 8.2 防火墙的类型 类型 分组过滤路由器 应用级网关 电路级网关 8.2.1 类型 随着Internet和Intranet的发展，防火墙的技术也在不断发展，其分类和功能不断细化，但总的来说，可以分为三类： 分组过滤路由器。 应用级网关。 电路级网关。 8.2.2 分组过滤路由器 分组过滤路由器也称包过滤防火墙，又称网络级防火墙，因为它工作在网络层。 它一般是通过检查单个包的地址、协议、端口等信息来决定是否允许此数据包通过，有静态和动态两种过滤方式。路由器就是一个网络级防火墙。 这种防火墙可以提供内部信息来说明所通过的连接状态和一些数据流的内容，把判断的信息同规则表进行比较，在规则表中定义了各种规则来表明是否同意或拒绝包的通过，包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则相符，防火墙就会使用默认规则。一般情况下，默认规则就是要求防火墙丢弃该包。其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。 网络级防火墙的优点是简洁、速度快、费用低，并且对用户透明，但它也有不少的缺点，如定义复杂，容易出现因配置不当而带来问题；它只检查地址和端口，允许数据包直接通过，容易造成数据驱动式攻击的潜在危险；不能理解特定服务的上下文环境，相应控制只能在高层由代理服务和应用层网关来完成。 8.2.3 应用级网关 应用级网关主要工作在应用层。应用级网关往往又称为应用级防火墙。 应用级网关检查进出的数据包，通过自身（网关）复制传递数据，防止在受信主机与非受信主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和审核。其基本工作过程是：当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到内部网络。 应用级网关有较好的访问控制能力，是目前最安全的防火墙技术。但实现麻烦，而且有的应用级网关缺乏“透明度”。在实际使用中，用户在受信网络上通过防火墙访问Internet时，经常会出现延迟和多次登录才能访问外部网络的问题。此外，应用级网关每一种协议需要相应的代理软件，使用时工作量大，效率明显不如网络级防