第9章_防火墙技术.pptVIP

图10.1 防火墙在网络中的位置 防火墙主要提供以下四种服务： (1) 服务控制：确定可以访问的网络服务类型。 (2) 方向控制：特定服务的方向流控制。 (3) 用户控制：内部用户、外部用户所需的某种形式的认证机制。 (4) 行为控制：控制如何使用某种特定的服务。 （1）保护那些易受攻击的服务和禁止未授权的用户访问受保护的网络。过滤不安全的服务（如Finger、NFS等）只有预先被允许的服务才能通过防火墙，这样就降低了受到非法攻击的风险，大大提高了网络的安全性。 （2）控制对特殊站点的访问。防火墙可以允许受保护网的一部分主机被外部网访问，而另一部分保护起来，例如：受保护网中的Mail、FTP、WWW服务器等可被外部网访问，而其他访问被禁止。 （3）对网络的存取访问进行记录和统计。作为网络安全的集中监视点，防火墙可以记录所有通过它的访问，并提供统计数据，提供预审和审计等功能。 应用级网关 应用级网关，也称代理服务器(proxy server)： 它作用在应用层，其特点是完全阻隔了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。 应用代理网关防火墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的 TCP 连接，应用层的协议会话过程必须符合代理的安全策略要求。 缺点: 难于配置。由于每个应用都要求单独的代理进程，这就要求网管能理解每项应用协议的弱点，并能合理的配置安全策略，由于配置繁琐，难于理解，容易出现配置失误，最终影响内网的安全防范能力。 处理速度非常慢。断掉所有的连接，由防火墙重新建立连接.  防火墙技术—应用级网关(续) 防火墙技术—电路级网关 电路级网关（不允许进行端点到端点的TCP连接，而是建立两个TCP连接） 电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session) 是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。 例：SOCKS软件包。 通常采用一台过滤路由器实现 过滤规则基于IP包的头信息，如IP源地址、IP目的地址、内装协议(TCP,UDP,ICMP等)、TCP/IP目标端口、ICMP消息类型等 主要优点 处理速度快，对用户透明，用户不必改变客户端程序 实现简单，开发费用低 不必在客户主机上安装特定的软件 主要缺点 维护困难，需要网络管理员对各种服务、包格式等非常清楚才能定义和修改过滤规则 只能防止对内部主机IP地址的冒充，不能防止对外部主机IP地址的冒充 因为不对载荷的数据进行检查，因此不能防止数据驱动式攻击 随着过滤规则的增加，路由器的数据转发效率会降低 包含两个连接在不同网络上的网络接口，一个连在外部网络上，另一个连在内部网络上 阻止两个网络在IP层直接进行通信，通过应用层代理服务来完成 防火墙既是外部网络的宿主主机，也是内部网络的宿主主机 双宿主机型 外部网络能与双重宿主主机通信，内部网络也能与双重宿主主机通信，但是外部网络与内部网络不能直接通信，它们之间的通信必须经过双重宿主主机的过滤和控制，它安装了防火墙的软件，一般在双重宿主主机上安装代理服务器软件，可以为不同的服务提供转发，并同时根据策略进行过滤和控制。 双重宿主主机直接暴露在外部网络中，充当了堡垒主机的角色，这种体系的弱点是，一旦堡垒主机被攻破，使其成为一个路由器，那么外部网络就可以直接访问内部网络。 屏蔽主机型 通过一个分组过滤路由器将外部主机的连接限制到一个堡垒主机上，再由它提供向内部主机的连接 前两种类型的结合，既提供了分组过滤的安全保护，也提供了代理服务的安全保护，实现了更高等级的安全 屏蔽主机型（续一） 堡垒主机被配置在内部网络之中，分组过滤路由器被配置在内部网络与外部网络之间 外部的访问要通过两个安全体系才能进入内部网络 分组过滤路由器的规则配置使得外部系统只能直接访问堡垒主机，去往内部网络其他主机的信息被阻隔 对分组过滤路由器进行规则配置也使内部用户只能通过堡垒主机的代理服务而不能直接与外部通信，从而可以对内部信息向外传递采取统一的强制的安全措施 屏蔽子网型 在内部网络和外部网络之间建立一个屏蔽子网，用两个分组过滤路由器将这个子网分别与内部网络和外部网络隔开 外部网络与屏蔽子网间的分组过滤路由器被称为外部路由器，屏蔽子网与内部网络之间的分组过滤路由器被称为内部路由器 周边网络是一个被隔离的独立子网，充当了内部网络和外部网