第5章_防火墙技术(计算机网络基础与应用)祥解.ppt

* 第5章 防火墙技术 ???????? 防火墙及相关概念 ????????? 包过滤与代理 ????????? 防火墙的体系结构 ????????? 分布式防火墙与嵌入式防火墙 5.1 防火墙概述 防火墙的概念 防火墙（Firewall）是指隔离在内部网络与外部网络之间的一道防御系统，它能挡住来自外部网络的攻击和入侵，保障着内部网络的安全 ????????? 外部网络（外网）：防火墙之外的网络，一般为Internet，默认为风险区域。 ????????? 内部网络（内网）：防火墙之内的网络，一般为局域网，默认为安全区域。 ????????? 非军事化区（DMZ）：为了配置管理方便，内网中需要向外网提供服务的服务器（如WWW、FTP、SMTP、DNS等）往往放在Internet与内部网络之间一个单独的网段，这个网段便是非军事化区。 ????????? 包过滤，也被称为数据包过滤，是在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤规则，检查数据流中的每个数据包，根据数据包的源地址、目标地址以及端口等信息来确定是否允许数据包通过。 代理服务器，是指代表内部网络用户向外部网络中的服务器进行连接请求的程序 2、几个常用概念 3. 防火墙安全策略 （1）除非明确允许，否则就禁止 这种方法堵塞了两个网络之间的所有数据传输，除了那些被明确允许的服务和应用程序。因此，应该逐个定义每一个允许的服务和应用程序，而任何一个可能成为防火墙漏洞的服务和应用程序都不能允许使用。这是一个最安全的方法，但从用户的角度来看，这样可能会有很多限制，不是很方便。一般在防火墙配置中都会使用这种策略。 （2）除非明确禁止，否则就允许 这种方法允许两个网络之间所有数据传输，除非那些被明确禁止的服务和应用程序。因此，每一个不信任或有潜在危害的服务和应用程序都应该逐个拒绝。虽然这对用户是一个灵活和方便的方法，它却可能存在严重的安全隐患。 5.1.2 防火墙的作用 （1）可以限制未授权用户进入内部网络，过滤掉不安全服务和非法用户； （2）防止入侵者接近内部网络的防御设施，对网络攻击进行检测和告警； （3）限制内部用户访问特殊站点； （4）记录通过防火墙的信息内容和活动，监视Internet安全提供方便。 5.1.3 防火墙的优、缺点 1．优点 防火墙是加强网络安全的一种有效手段，它有以下优点： （1）防火墙能强化安全策略 （2）防火墙能有效地记录Internet上的活动 （3）防火墙是一个安全策略的检查站 2．缺点 （1）不能防范恶意的内部用户 防火墙可以禁止内部用户经过网络发送机密信息，但用户可以将数据复制到磁盘上带出去。如果入侵者已经在防火墙内部，防火墙也是无能为力的。内部用户可以不经过防火墙窃取数据、破坏硬件和软件，这类攻击占了全部攻击的一半以上。 （2）不能防范不通过防火墙的连接 防火墙能够有效防范地通过它传输的信息，却不能防范不通过它传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。 （3）不能防范全部的威胁 防火墙被用来防范已知的威胁，一个很好的防火墙设计方案可以防范某些新的威胁，但没有一个防火墙能自动防御所有的新的威胁。 （4）防火墙不能防范病毒 防火墙不能防范从网络上传染来的病毒，也不能消除计算机已存在的病毒。无论防火墙多么安全，用户都需要一套防毒软件来防范病毒。 5.2 防火墙技术分类 （1）包过滤防火墙 又称网络层防火墙，它对进出内部网络的所有信息进行分析，并按照一定的信息过滤规则对信息进行限制，允许授权信息通过，拒绝非授权信息通过。 （2）代理服务器 这种防火墙是目前最通用的一种，基本工作过程是：当客户机需要使用外网的服务器上的数据时，首先将数据请求发给代理服务器，代理服务器根据请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。同样的道理，代理服务器在外网向内网申请服务时也发挥了中间转接的作用。 5.2.1 包过滤技术 包过滤（Packet Filtering）技术在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤规则，检查数据流中的每个包，根据包头信息来确定是否允许数据包通过，拒绝发送可疑的包。 使用包过滤技术的防火墙叫做包过滤防火墙（Packet filter），因为它工作在网络层，又叫网络层防火墙（Network level firewall）。 包过滤防火墙一般由屏蔽路由器（Screening Router，也称为过滤路由器）来实现，这种路由器是在普通路由器基础上加入IP过滤功能而实现的，这是防火墙最基本的构件。 包过滤防火墙读取包头信息，与信息过滤规则比较，顺序检查规则表中每一条规则，直至发现包中的信息与某条规则相