信息安全概论 徐茂智 邹维 信息安全概论第18讲新.pptVIP

信息安全概论 第18讲 2008年x月y日 6.3.3 防火墙的应用 1. 防火墙体系结构 2. 防火墙的局限性 6.3.4 防火墙的发展趋势 作业 * * 在实际应用中，防火墙技术的应用都不是单一的，而是结合多种技术构筑防火墙的体系结构，实现一个实用、有效的防火墙系统。 先介绍一下堡垒主机的概念。 堡垒主机 顾名思义，就是位于内部网络的最外层，象堡垒一样防护内部网络的设备。堡垒主机是防火墙体系结构中暴露在Internet上、最容易遭受攻击的设备，因此对其安全性要给予特别的关注。 （1）屏蔽路由器结构 这是一种最简单的体系结构，屏蔽路由器（或主机）作为内外连接的唯一通道，对进出网络的数据进行包过滤。其结构参见图 （2）双重宿主主机结构 （2）双重宿主主机结构 双重宿主主机是至少有两个网络接口的主机，一个网络接口连接内部网络，另一个网络接口连接外部网络，因此主机可以充当内外网的路由器，并能从一个网络向另一个网络直接发送IP数据包。 内部网络与外部网络通过双重宿主主机的过滤、转接方式进行通信，而不是直接的IP通信，双重宿主主机，为不同的服务提供代理。 双重宿主主机充当了堡垒主机的角色，其弱点就在于主机的脆弱性，一旦入侵者攻破堡垒主机，使其仅仅为一个路由器，则外部网络的用户就可以直接访问内部网络。 （2）双重宿主主机结构 （3）屏蔽主机结构 屏蔽主机结构=路由器隔离内部网络和外部网络+代理服务器堡垒主机部署在内部网络上。 路由器上设置数据包过滤规则，使堡垒主机成为外部网络唯一可以访问的主机，通过路由器的包过滤技术和堡垒主机的代理服务器技术防护内部网络的安全。 屏蔽主机的防火墙体系结构易于实现，而且比双重宿主主机结构的安全性高，应用比较广泛。 （2）双重宿主主机结构 （4）屏蔽子网结构 屏蔽子网结构的防火墙通过建立一个周边网络来分隔内部网络和外部网络。 周边网络：被隔离的子网，在内、外之间形成一个“非军事化区”（DeMilitarized Zone，DMZ）的隔离带。 不带堡垒主机的屏蔽子网：用两个屏蔽路由器把周边网络分别与内部网络、外部网络分开，内部网络和外部网络均可访问周边网络，但不允许穿过周边网络进行通信。 带堡垒主机的屏蔽子网：在屏蔽子网中安装堡垒主机，为内部网络与外部网络之间的通信提供代理服务，但对堡垒主机的访问都必须通过两个屏蔽路由器。 如果攻击者试图完全破坏屏蔽子网结构的防火墙，需要重新配置连接外部网络、周边网络、内部网络的路由器，大大增加了攻击的难度。如果进一步禁止访问路由器或者只允许内部网络中的特定主机才可以访问，则攻击会变得更加困难。 屏蔽子网结构的防火墙具有很高的安全性，但所需设备较多，费用较高，而且实施和管理比较复杂。 （2）双重宿主主机结构 防火墙只是一种边界安全保护系统，要保证边界的所有出口都有防火墙的保护，才能形成对网络边界内环境的防护。 防火墙只能保护边界内的环境，通信数据在穿越边界出去后，将失去防火墙的防护。而内部人员发起的攻击，因没有经过防火墙，所以防火墙也无法提供防护。 防火墙的配置是基于已知攻击知识制定的，因此无法对一种新的攻击进行防护，需要经常更新配置。 防火墙对通信内容的控制很弱，因此其对病毒、蠕虫、木马等恶意代码的防护能力很弱。 （2）双重宿主主机结构 分布式防火墙 防火墙一般部署在网络的边界，无法对网络内部计算机之间的访问进行监测、控制，为了解决这一问题，提出了分布式防火墙的概念。分布式防火墙是一种新的防火墙体系结构，在内外网络边界、内部网各子网之间、关键主机等不同节点分布式部署防火墙，通过管理中心进行统一监测、控制。 2. 网络安全技术的集成与融合 传统包过滤技术仅检查TCP/IP数据包的报头信息，不能检查隐藏在数据包内容里的恶意行为，如垃圾邮件、不良信息、病毒、木马程序等，无法适应安全需求的发展，在此背景下产生了全面的数据包检查技术。 除了检查报头信息后，还引入模式识别、人工智能等技术，对数据包内容进行辨识，判别其是否携带不良信息和恶意代码，从而阻止这些数据包通过防火墙。 另外，新的网络协议、服务的出现，也促使防火墙技术要发展相应的处理机制来适应。如IPv6的迅速发展，使网络边界更加复杂，基于IPv4的防火墙技术肯定无法满足需求。 攻击技术不断变化，新的病毒、蠕虫、木马程序等恶意代码层出不穷，仅靠防火墙单一技术已经不能满足网络安全的需求，因此防火墙技术正逐渐与入侵检测技术、防病毒技术、抗攻击技术（如抗DDOS攻击等）、VPN、PKI等集成、融合，成为一个更加全面、完善的网络安全防