第五讲防火墙技术与应用研讨.ppt

回顾上章内容 上次课我们讲了数字签名及CA认证技术，它们是用于电子商务安全中心内容六个要求中的保密性、完整性、认证性、不可否认性。 回顾上章内容 另外我们通过两个实训内容了解如何进行个人数字签名及数字证书申请、颁发及使用。 回顾上章内容 通过这些手段保证了电子商务中交易的真实性和不可抵赖性。但无法保证电子商务中交易所使用的计算机网络安全。 第5章 防火墙技术与应用 第5章 防火墙技术与应用 第5章 防火墙技术与应用 第五章 防火墙技术与应用 5.1 网络防火墙概述 防火墙：防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。 5.1 网络防火墙概述 网络防火墙 ：在可信和不可信网络间设置的保护装置，用于保护内部资源免遭非法入侵。 5.1.1 网络防火墙基本概念 主机：与网络系统相连的计算机系统。 堡垒主机：指一个计算机系统，它对外部网络暴露，同时又是内部网络用户的主要连接点。 双宿主主机：又称双宿主机或双穴主机，是具有两个网络接口的计算机系统。 包：在互联网上进行通信的基本上信息单位。 5.1.1 网络防火墙基本概念 包过滤：设备对进出网络的数据流（包）进行有选择的控制与操作。通常是对从外部网络到内部网络的包进行过滤。 参数网络：为了增加一层安全控制，在内部网与外部网之间增加的一个网络，有时也称为非军事区，即DMZ（Demilitarized Zone）。 代理服务器：代表内部网络用户与外部服务器进行信息交换的计算机（软件）系统。 为什么需要防火墙？ 5.1.2 网络防火墙的目的与作用 1.构建网络防火墙的主要目的 限制某些访问者进入一个被严格控制的点。 防止进攻者接近防御设备。 限制某些访问者离开一个被严格控制的点。 检查、筛选、过滤和屏蔽信息流中的有害服务，防止对计算机系统进行蓄意破坏。 5.1.2 网络防火墙的目的与作用 2.网络防火墙的主要作用 有效地收集和记录internet上活动和网络误用情况。 能有效隔离网络中的多个网段，防止一个网段的问题传播到另外网段。 防火墙作为一个防止不良现象发生的警察，能执行和强化网络的安全策略。 防火墙的局限性 没有万能的网络安全技术，防火墙也不例外。防火墙有以下三方面的局限： 防火墙不能防范网络内部的攻击。比如：防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。 防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予其临时的网络访问权限。 防火墙不能防止传送己感染病毒的软件或文件，不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。 5.2 防火墙的类型 防火墙的演变： 第一代防火墙：包过滤，路由器； 第二代防火墙：（电路层）代理防火墙，NEC公司，1989年； 第三代防火墙：TIS防火墙套件，美国防部； 第四代防火墙：状态检测技术，USC信息科学院，1992年； 第五代防火墙：自适应代理技术，NAI公司，1998年。 5.2 防火墙的类型 尽管防火墙的发展经过了将近20年，但是按照防火墙对内外来往数据的处理方法，大致可以将防火墙分为两大体系： (1)包过滤型； (2)代理服务器型； 5.2.1 包过滤型防火墙 1.工作原理 包过滤器一般安装在路由器上，工作在网络层（IP）。 基于单个包实施网络控制，根据所收到的数据包的源地址、目的地址等参数与访问控制表比较来实施信息过滤。 一般容许内网主机直接访问外网，而外网主机对内网的访问则要受到限制。 5.2.1 包过滤型防火墙 2.优缺点 优点：简单、方便、速度快、透明性好，对网络性能影响不大。 缺点：缺乏用户日志和审计信息,缺乏用户论证机制，不具备审核管理，且过滤规则的完备性难以得到检验，复杂过滤规则的管理也比较困难。 包过滤型防火墙的安全性较差！ 5.2.2 IP级包过滤型防火墙 1. 概述 IP级包过滤又称为动态包过滤，它工作在传输层，对每一报文根据报头进行过滤，通过预定义规则对报文进行操作。 规则定义在转发控制表中，因产品不同控制表格式不同，这里讨论抽象的过滤规则。 5.2.2 IP级包过滤型防火墙 报文遵循自上至下的次序运用每一条规则，直到遇到与其相匹配的规则为止。 操作方式有：转发、丢弃、报错、备忘等。 根据不同实现方式，报文过滤可在进入或者离开防火墙时进行。 防火墙规则制订实例 访问要求： 1）网络/16不愿其他Internet 主机访问其站点； 2）但它的一个子网/24和某大学/16有合作项目，因此允许该大学访问该子网； 3）然而大学中有一子网/24是黑客天堂，需要禁止。 防火墙规则制订实例 注意这些规则之间并不是互斥的，因此