网络安全,防火墙技术.pptVIP

网络安全与管理 第8章 防火墙技术 本章学习目标 防火墙及相关概念 包过滤与代理 防火墙的体系结构 分布式防火墙与嵌入式防火墙 8.1 防火墙概述 8.1.1 相关概念 8.1.2 防火墙的作用 8.1.3 防火墙的优、缺点 8.1.1 相关概念 防火墙的概念 防火墙（Firewall）是指隔离在内部网络与外部网络之间的一道防御系统，它能挡住来自外部网络的攻击和入侵，保障着内部网络的安全。 8.1.1 相关概念 其它概念: 外部网络（外网） 内部网络（内网） 非军事化区（DMZ） 包过滤 代理服务器 状态检测技术 虚拟专用网（VPN） 漏洞 数据驱动攻击 IP地址欺骗 8.1.1 相关概念 防火墙安全策略 一个防火墙应该使用以下两种基本策略中的一种: 除非明确允许，否则就禁止 除非明确禁止，否则就允许 8.1.2 防火墙的作用 防火墙的基本功能 从总体上看，防火墙应具有以下基本功能： 可以限制未授权用户进入内部网络，过滤掉不安全服务和非法用户； 防止入侵者接近内部网络的防御设施，对网络攻击进行检测和告警； 限制内部用户访问特殊站点； 记录通过防火墙的信息内容和活动，监视Internet安全提供方便。 8.1.3 防火墙的优、缺点 1．优点 防火墙是加强网络安全的一种有效手段，它有以下优点： 防火墙能强化安全策略； 防火墙能有效地记录Internet上的活动； 防火墙是一个安全策略的检查站。 8.1.3 防火墙的优、缺点 2．缺点 有人认为只要安装了防火墙，所有的安全问题就会迎刃而解。但事实上，防火墙并不是万能的，安装了防火墙的系统仍然存在着安全隐患。以下是防火墙的一些缺点： 不能防范恶意的内部用户； 不能防范不通过防火墙的连接； 不能防范全部的威胁； 防火墙不能防范病毒； 8.2 防火墙技术分类 8.2.1 包过滤技术 8.2.2 代理技术 8.2.3 防火墙技术的发展趋势 8.2.1 包过滤技术 包过滤（Packet Filtering）技术在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤规则，检查数据流中的每个包，根据包头信息来确定是否允许数据包通过，拒绝发送可疑的包。 8.2.1 包过滤技术 包过滤防火墙具有明显的优点： 一个屏蔽路由器能保护整个网络 包过滤对用户透明 屏蔽路由器速度快、效率高 8.2.1 包过滤技术 包过滤防火墙的缺点： 它没有用户的使用记录，这样就不能从访问记录中发现黑客的攻击记录 没有一定的经验，是不可能将过滤规则配置得完美 不能在用户级别上进行过滤，只能认为内部用户是可信任的、外部用户是可疑的 8.2.1 包过滤技术 包过滤防火墙的发展阶段 第一代：静态包过滤防火墙 第二代：动态包过滤（Dynamic Packet Filter）防火墙 第三代：全状态检测（Stateful Inspection）防火墙 第四代：深度包检测（Deep Packet Inspection）防火墙 8.2.2 代理技术 所谓代理服务器，是指代表内网用户向外网服务器进行连接请求的服务程序。 代理服务器运行在两个网络之间，它对于客户机来说像是一台真的服务器，而对于外网的服务器来说，它又是一台客户机。 代理服务器的基本工作过程是：当客户机需要使用外网服务器上的数据时，首先将请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。 8.2.2 代理技术 代理的优点 代理易于配置 代理能生成各项记录 代理能灵活、完全地控制进出信息 代理能过滤数据内容 8.2.2 代理技术 代理的缺点： 代理速度比路由器慢 代理对用户不透明 对于每项服务，代理可能要求不同的服务器 代理服务通常要求对客户或过程进行限制 代理服务受协议弱点的限制 代理不能改进底层协议的安全性 8.2.2 代理技术 代理防火墙的发展阶段： 应用层代理（Application Proxy） 电路层代理（Circuit Proxy） 自适应代理（Adaptive Proxy） 8.2.3 防火墙技术的发展趋势 代理服务器在对应用层的数据过滤方面能力优于包过滤防火墙，但是在性能方面的表现就会大大逊色。总体来说，传统的防火墙已经无法满足人们的安全需求，其功能不足以应付众多的安全威胁。 发展趋势： 功能融合 集成化管理 分布式体系结构 8.3 防火墙体系结构 8.3.1 双重宿主主机结构 8.3.2 屏蔽主机结构 8.3.3 屏蔽子网结构 8.3.4 防火墙的组合结构 8.3.1 双重宿主主机结构 双重宿主主机结构