第八章防火墙解析：.pptVIP

第八章 防火墙 8.1 防火墙概念 8.2 防火墙体系结构 ★ 8.3 防火墙配置 ★ 8.4 构造路由器访问列表 ★ 8.5 防火墙产品介绍 8.1 防火墙概念 8.1.1 防火墙定义 防火墙原是建筑设计中用于防止火灾从建筑物的一部分传播到另一部分的一种安全设施。 网络中的防火墙是一个或一组实施访问控制策略的系统。是内部系统和外部网之间加强访问控制的系统。本质上是一种保护装置。其基本手段是隔离。当用户决定需要使用某种水平的连接时，就由防火墙来保证不允许出现其他超出此范围的访问行为。防火墙用来保证所有用户都遵守访问控制策略。 从逻辑上看防火墙是隔离器、限制器、分析器。 从物理上看防火墙是路由器、专用设备、配有适当软件的计算机或网络。 防火墙的目的是控制网络传输，这一点与其他网络设备是一致的。 与其他设备不同的地方是，防火墙认为所有主机都会欺骗自己，以把信息偷偷传进去。防火墙不能把通信规则作为依据，而是要考虑到不遵守这些规则的情况。 防火墙的发展阶段： 第一代防火墙：第一代防火墙技术几乎与路由器同时出现，采用了包过滤技术(Packet filter)。 第二、三代防火墙：1989年，贝尔实验室推迟了第二代防火墙—电路层防火墙，同时提出了第三代防火墙—应用层防火墙(代理防火墙)的初步结构。 第四代防火墙： 1992年，开发出了基于动态包过滤技术的第四代防火墙，后来演变为目前所说的状态监视(Stateful inspection)技术。1994年，以色列的CheckPoint公司开发出了第一个基于这种技术的商业化的产品。 第五代防火墙：1998年，NAI公司推出了一种自适应代理(Adaptive proxy)技术，并在其产品Gauntlet proxy for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。 8.1.2 防火墙特征 1、防火墙的设计目标 防火墙的特征是和其设计目标密切相关的，下面列出了一些防火墙的主要设计目标： 内部网和外部网之间的所有通信都必须经过防火墙，物理地阻塞所有不经过防火墙的网络访问通道。 只有被认可的网络通信量，并在本地安全策略中进行定义后，才允许通过防火墙。 防火墙对渗透应是免疫的(理想之一)。这一点除了针对防火墙自身的安全性能外，还暗示了防火墙的运行平台也应是安全的。 2、防火墙使用的通用技术 防火墙:用来控制访问和执行站点安全策略的通用技术。 服务控制：确定允许访问的Internet服务的类型，分为入站或出站两类。防火墙可以根据IP地址和端口号对通信量进行过滤；也可以通过代理软件在传递每个服务请求之前进行过滤。 方向控制：确定特定的服务请求可以发起并允许通过防火墙流动的方向。 用户控制：根据赋予某个用户访问服务的权限来控制特定服务的访问。该特征可应用于防火墙边界以内的用户(本地用户)，也可以应用于来自外部用户的进入通信量。 行为控制：控制如何使用特定的服务。如防火墙可以过滤电子邮件来消除垃圾邮件，或者可以控制外部主机对本地WWW服务器信息的访问范围。 3、防火墙的主要功能 定义了单个安全检查点。单个检查点的使用简化了安全管理。 提供了监视与安全有关事件的场所。在防火墙系统中可以实现审计和告警。 是一些与安全无关的Internet功能的自然集成平台。这些功能包括网络地址转换、审计和记录Internet使用日志等网络管理功能。 可以作为IPSec的平台。防火墙可以被用来实现虚拟专用网。 4、防火墙的局限性 不能对绕过防火墙的攻击提供保护。 不能对内部的威胁提供防护(内对内)。 8.2 防火墙体系结构 任何防火墙都能够为与互联网相连的私有网络提供安全防护，但防护的等级却不尽相同，它和防火墙所选用的体系结构直接相关。大多数可得到的商品化防火墙都使用了如下防火墙体系结构中的一种或多种： ? ?? 静态包过滤(static packet filter) ??? 动态包过滤(stateful inspection) ??? 电路级网关(circuit level gateway) ??? 应用级网关(application level gateway) 所有的防火墙都是通过检查协议运行所产生的信息来实现安全防护的，因此了解防火墙所工作的OSI层次是理解不同类型防火墙体系结构的关键之一。 网络安全就是性能与安全性之间的适当平衡。一般来说，一种结构检查包内信息时所处的OSI层次越高，所消耗的处理器周期就越多。从发展过程来看，防火墙一直在速度(吞吐量)和安全性之间徘徊。 另一个影响防火墙使用效果的因素是“谁”来做性能和安全性之间的选择。目前有两种方案： 由防火墙厂商来决定，厂商通过限制管理者对体系结构的选择来达到这一目的； 由防火墙的管理者来决定。 8.2.1静态包过滤 包过滤