第7章防火墙技术摘要.pptVIP

通常防火墙建立在内部网和Internet之间的一个路由器或计算机上，该计算机也叫堡垒主机。它就如同一堵带有安全门的墙，可以阻止外界对内部网资源的非法访问和通行合法访问，也可以防止内部对外部网的不安全访问和通行安全访问。 包过滤防火墙是最简单的防火墙，通常它只包括对源 IP 地址和目的 IP 地址及端口的检查。 包过滤防火墙通常是一个具有包过滤功能的路由器。因为路由器工作在网络层，因此包过滤防火墙又叫网络层防火墙。 包过滤是在网络的出口(如路由器上)对通过的数据包进行检测，只有满足条件的数据包才允许通过，否则被抛弃。这样可以有效地防止恶意用户利用不安全的服务对内部网进行攻击。 代理服务是运行在防火墙主机上的特定的应用程序或服务程序。防火墙主机可以是具有一个内部网接口和一个外部网接口的双穴(Duel Homed)主机，也可以是一些可以访问Internet并可被内部主机访问的堡垒主机。 代理服务位于内部用户和外部服务之间。代理程序在幕后处理所有用户和Internet服务之间的通信以代替相互间的直接交谈。 对于用户，代理服务器给用户一种直接使用“真正”服务器的感觉；对于真正的服务器，代理服务器给真正服务器一种在代理主机上直接处理用户的假象。 用户将对“真正”服务器的请求交给代理服务器，代理服务器评价来自客户的请求，并作出认可或否认的决定。如果一个请求被认可，代理服务器就代表客户将请求转发给“真正”的服务器，并将服务器的响应返回给代理客户。 状态检测防火墙监视每一个有效连接的状态，并根据这些信息决定网络数据包是否能通过防火墙。它在协议底层截取数据包，然后分析这些数据包，并且将当前数据包和状态信息与前一时刻的数据包和状态信息进行比较，从而得到该数据包的控制信息，来达到保护网络安全的目的。 状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性，能够根据协议、端口及源地址、目的地址的具体情况决定数据包是否可以通过。对于每个安全策略允许的请求，状态检测防火墙启动相应的进程，可以快速地确认符合授权标准的数据包，这使得本身的运行速度很快。 状态检测防火墙试图跟踪通过防火墙的网络连接和包，这样它就可以使用一组附加的标准，以确定是否允许和拒绝通信。状态检测防火墙是在使用了基本包过滤防火墙的通信上应用一些技术来做到这点的。 由状态检测防火墙跟踪的不仅是包中包含的信息，为了跟踪包的状态，防火墙还记录有用的信息以帮助识别包，例如已有的网络连接、数据的传出请求等。 状态检测技术还能监视RPC(远程调用请求)和UDP的端口信息。包过滤防火墙和代理服务防火墙都不支持此类端口的检测。 4.自适应代理技术 新型的自适应代理(Adaptive proxy)防火墙，本质上也属于代理服务技术，但它也结合了动态包过滤(状态检测)技术。 自适应代理技术是在商业应用防火墙中实现的一种革命性的技术。组成这类防火墙的基本要素有两个：自适应代理服务器与动态包过滤器。它结合了代理服务防火墙安全性和包过滤防火墙的高速度等优点，在保证安全性的基础上将代理服务器防火墙的性能提高10倍以上。 在自适应代理与动态包过滤器之间存在一个控制通道。在对防火墙进行配置时，用户仅仅将所需要的服务类型、安全级别等信息通过相应代理的管理界面进行设置就可以了。然后，自适应代理就可以根据用户的配置信息，决定是使用代理服务器从应用层代理请求，还是使用动态包过滤器从网络层转发包。如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。 常见的免费个人防火墙有：天网防火墙个人版、瑞星个人防火墙、360木马防火墙、江民黑客防火墙和金山网标等。著名的个人防火墙产品如著名Symantec公司的诺顿、Network Ice公司的BlackIce Defender、McAfee公司的思科及Zone Lab的Free ZoneAlarm 等。 　　*　　　　　　 第7章 防火墙技术 　　*　　　　　　 课程主要内容 防火墙概述 防火墙体系结构 防火墙分类 防火墙配置 * 防火墙的英文名称为Firewall，该词是早期建筑领域的专用术语，原指建筑物间的一堵隔离墙，用途是在建筑物失火时阻止火势的蔓延。 在现代计算机网络中，防火墙通常位于一个可信任的内部网络与一个不可信任的外界网络之间，用于保护内部网络免受非法用户的入侵。它在网络环境下构筑内部网和外部网之间的保护层，并通过网络路由和信息过滤的安全实现网络的安全，其会依照特定的规则，允许或是限制传输的数据通过。 §7.1 防火墙概述 * 防火墙系统的逻辑部署下图所示。 防火墙逻辑部署示意图 防火墙一般具有三个显著的特性： （1）内部网络和外部网络之间的所有网络数据流都必