第八章计算机网络基础祥解.pptVIP

防火墙（ Firewall ）是一个把互联网与内部网隔开的屏障，是一种由计算机硬件和软件的组合，使互联网与内部网之间建立起一个安全网关，从而保护内部网络免受非法用户的侵入。不同的防火墙侧重点不同。防火墙技术简单说就是一套身份认证、加密、数字签名和内容检查集成一体的安全防范措施。 三、防火墙技术 1.防火墙基本功能 防火墙是网络安全政策的有机组成部分，通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理，防止外部网络不安全的信息流入内部网络和限制内部网络的重要信息流到外部网络。从总体上看，防火墙应具有以下五大基本功能。 （1）过滤进、出内部网络的数据。 （2）管理进、出内部网络的访问行为。 （3）封堵某些禁止的业务。 （4）记录通过防火墙的信息内容和活动。 （5）对网络攻击进行检测和报警。 2.防火墙的局限性 （1）防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据，防火墙无法检查。传统的防火墙在工作时，入侵者可以伪造数据绕过防火墙或者找到防火墙中可能敞开的后门。 （2）防火墙不能防止来自网络内部的攻击和安全问题。网络攻击中有相当一部分攻击来自网络内部，对于那些对企业心怀不满或假意卧底的员工来说，防火墙形同虚设。防火墙可以设计为既防外也防内，但绝大多数单位因为不方便，不要求防火墙防内。 （3）由于防火墙性能上的限制，因此它通常不具备实时监控入侵的能力。 2.防火墙的局限性 （4）防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备。 （5）防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能，即使集成了第三方的防病毒的软件，也没有一种软件可以查杀所有的病毒。 （6）防火墙不能防止利用服务器系统和网络协议漏洞所进行的攻击。黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击，防火墙不能防止。 2.防火墙的局限性 （7）防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动式的攻击。 （8）防火墙不能防止内部的泄密行为。防火墙内部的一个合法用户主动泄密，防火墙是无能为力的。 （9）防火墙不能防止本身的安全漏洞的威胁。防火墙保护别人有时却无法保护自己，目前还没有厂商绝对保证防火墙不会存在安全漏洞。因此对防火墙也必须提供某种安全保护。 3. 按采用的技术分类 常见防火墙按采用的技术分类主要有包过滤防火墙、代理防火墙和状态检测防火墙。 ?（1）包过滤（Packet Filtering） 包过滤是第一代防火墙技术。其技术依据是网络中的分包传输技术，它作用在协议组的网络层和传输层，根据分组包头数据的源地址、目标地址、TCP/UDP源端口和目标端口等标志确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余的数据包则从数据流中丢弃。 3. 按采用的技术分类 （2）应用代理（Application Proxy） 也叫应用网关（Application Gateway），它作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。 3. 按采用的技术分类 （3）状态检测（Status Detection）： 直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断，然后决定是否允许该数据包通过。 4.防火墙软件 防火墙有不同类型。一个防火墙可以是硬件自身的一部分，你可以将因特网连接和计算机都插入其中。防火墙也可以在一个独立的机器上运行，该机器作为它背后网络中所有计算机的代理和防火墙。直接连在因特网的机器可以使用个人防火墙。 一个好的个人版防火墙必须是低的系统资源消耗，高的处理效率，具有简单易懂的设置界面，具有灵活而有效的规则设定。 常用个人版防火墙，国内的有天网个人版防火墙、蓝盾个人防火墙、瑞星防火墙、江民反黑王等，国外比较有名的有LOCKDOWN、NORTON、ZONEALARM、PC CILLIN、BLACKICE等。 四、计算机安全法律法规 1.与计算机安全相关的主要法规 我国的计算机立法工作开始于20世纪80年代。1989年，我国首次在重庆西南铝厂发现计算机病毒后，立即引起有关部门的重视。公安部发布了《计算机病毒控制规定（草案）》。1991年5月24日，国务院第八十三次常委会议通过了《计算机软件保护条例》。 1994年2月18日，我国政府颁布了《中华人民共和国计算机信息系统安全保护条例》，这是我国的第一部计算机安全法规，是我国现行计算机信息系统安全工作的总纲。