信息安全导论 印润远 第8章 防火墙技术新.pptVIP

第8章　防火墙技术 8.1 防火墙的基本概念 8.2 防火墙类型 8.3 防火墙的体系结构 8.4 防火墙的基本技术与附加功能 8.5 防火墙技术的几个新方向 8.6 常见的防火墙产品 思考题 8.1　防火墙的基本概念 8.1.1　有关的定义 8.1.2　防火墙的功能 8.1.3　防火墙的局限性 8.1.1　有关的定义 概括地说，防火墙是位于两个（或多个）网络间用于实施网络间访问控制的一组组件的集合。下图为防火墙示意图。 （1）防火墙 ； （2）主机； （3）堡垒主机 ； （4）双宿主主机 ； （5）包； （6）路由； （7）包过滤； （8）参数网络 ； （9）代理服务器 。 8.1.2　防火墙的功能 （1）隔离不同的网络，限制安全问题的扩散。防火墙作为一个中心“遏制点”，它将局域网的安全进行集中化管理，简化了安全管理的复杂程度。 （2）防火墙可以很方便地记录网络上的各种非法活动，监视网络的安全性，遇到紧急情况报警。 （3）防火墙可以作为部署NAT（Network Address Translation，网络地址变换?）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题或者隐藏内部网络的结构。 （4）防火墙是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。 （5）防火墙也可以作为IPSec的平台。 （6）防火墙可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署WWW服务器和FTP服务器，将其作为向外部发布内部信息的地点。从技术角度来讲，就是所谓的停火协议区（DMZ）。 8.1.3　防火墙的局限性 （1）网络上有些攻击可以绕过防火墙，而防火墙却不能对绕过它的攻击提供阻挡。 （2）防火墙管理控制的是内部与外部网络之间的数据流，它不能防范来自内部网络的攻击。 （3）防火墙不能对被病毒感染的程序和文件的传输提供保护。 （4）防火墙不能防范全新的网络威胁。 （5）当使用端到端的加密时，防火墙的作用会受到很大的限制。 （6）防火墙对用户不完全透明，可能带来传输延迟、瓶颈以及单点失效等问题。 8.2　防火墙类型 8.2.1　防火墙的类型 8.2.2　分组过滤路由器 8.2.3　应用级网关 8.2.4 电路级网关 8.2.1　防火墙的类型 随着Internet和Intranet的发展，防火墙的技术也在不断发展，其分类和功能不断细化，但总的来说，可以分为三类： （1）分组过滤路由器。 （2）应用级网关。 （3）电路级网关。 8.2.2 分组过滤路由器 分组过滤路由器也称包过滤防火墙，又称网络级防火墙，因为它是工作在网络层。 它一般是通过检查单个包的地址、协议、端口等信息来决定是否允许此数据包通过，有静态和动态两种过滤方式。路由器就是一个网络级防火墙。 1．包过滤防火墙 （1）数据包过滤技术的发展：静态包过滤、动态包过滤。 （2）包过滤的优点：不用改动应用程序、一个过滤路由器能协助保护整个网络、数据包过滤对用户透明、过滤路由器速度快、效率高。 （3）包过滤的缺点： 不能彻底防止地址欺骗； 一些应用协议不适合于数据包过滤； 一些应用协议不适合于数据包过滤； 正常的数据包过滤路由器无法执行某些安全策略； 安全性较差 ； 数据包工具存在很多局限性。 8.2.3 应用级网关 1. 层次 应用级网关主要工作在应用层。 应用级网关往往又称为应用级防火墙。 2. 功能 主要保存Internet上那些最常用和最近访问过的内容：在Web上，代理首先试图在本地寻找数据，如果没有，再到远程服务器上去查找。为用户提供了更快的访问速度，并且提高了网络安全性。 3. 基本工作过程 当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据， 然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到内部网络。 4. 常用的代理服务软件 HTTP； SMTP； FTP； Telnet等。 5. 不足 实现麻烦，而且有的应用级网关缺乏“透明度”。 用户在受信网络上通过防火墙访问Internet时，经常出现延迟和多次登录才能访问外部网络的问题。 应用级网关每一种协议需要相应的代理软件，使用时工作量大，速度相对较慢，效率明显不如网络级防火墙