第5章防火墙技术.ppt.ppt

第5章　防火墙技术 　防火墙技术 3.1　防火墙技术概述 3.2　防火墙技术 3.3　防火墙设计实例 本章学习目标 （1）了解防火墙的定义、发展简史、目的、功能、局限性及其发展动态和趋势。 （2）掌握包过滤防火墙和和代理防火墙的实现原理、技术特点和实现方式；熟悉防火墙的常见体系结构。 （3）熟悉防火墙的产品选购和设计策略。 内容攻击的风险日趋增长 5.1　防火墙技术概述 　防火墙的定义 　防火墙的发展简史 　设置防火墙的目的和功能 防火墙的功能 1. 访问控制 2. 对网络存取和访问进行监控审计 3. 防止内部信息的外泄 4. 支持VPN功能 5. 支持网络地址转换 对防火墙的两大需求 保障内部网安全 保证内部网同外部网的连通 3.1.1　防火墙的定义 防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。 它是不同网络或网络安全域之间信息的唯一出入口 。 防火墙的发展简史 第一代防火墙：采用了包过滤（Packet Filter）技术。 第二代防火墙：应用层防火墙的初步结构。 第三代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。 第四代防火墙：1998年，NAI公司推出了一种自适应代理技术。 3.1.4　防火墙的局限性 （1）防火墙防外不防内。 （2）防火墙不能防范不通过它的连接。 （3）很难为用户在防火墙内外提供一致的安全策略。 （4）防火墙只实现了粗粒度的访问控制。 （5）防火墙对病毒的访问控制有局限。 3.2　防火墙技术 3.2.1　防火墙的技术分类 3.2.2　防火墙的主要技术及实现方式 3.2.3　防火墙的常见体系结构 3.2.1　防火墙的技术分类 1．包过滤防火墙 2．应用网关（代理服务） 3．混合防火墙 1．包过滤防火墙（Packet filtering） （1）数据包过滤技术的发展：静态包过滤、动态包过滤。 （2）包过滤的优点：不用改动应用程序、一个过滤路由器能协助保护整个网络、数据包过滤对用户透明、过滤路由器速度快、效率高。 包过滤 防火墙的工作流程 过滤规则-ACL 包过滤规则一般基于部分的或全部的包头信息： 1．IP协议类型 2．IP源地址 3．IP目标地址 4． TCP（ UDP ）源端口号 5． TCP （ UDP ）目标端口号 6． TCP ACK标识，指出这个包是否是联接中的第一个包，是否是对另一个包的响应。 包过滤防火墙的特点 优点： 保护整个网络；对用户透明；可用路由器，不需要其他设备。 缺点： 1.包过滤的一个重要的局限是它不能分辨好的和坏的用户，只能区分好的包和坏的包。 2.包过滤规则难配置。 3.新的协议的威胁。 4.IP欺骗 应用 默认安全策略 没有明确禁止的行为都是允许的 举例：华为的ACL 没有明确允许的行为都是禁止的 举例：思科的ACL 2．代理防火墙的原理 Proxy Server 代理防火墙（应用层网关型防火墙） 代理防火墙通过编程来弄清用户应用层的流量，并能在用户层和应用协议层间提供访问控制；而且，还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。 代理防火墙的原理 代理防火墙的工作过程 代理技术的优点 1）代理易于配置。 2）代理能生成各项记录。 3）代理能灵活、完全地控制进出流量、内容。 4）代理能过滤数据内容。 5）代理能为用户提供透明的加密机制。 6）代理可以方便地与其他安全手段集成。 代理技术的缺点 1）代理速度较路由器慢。 2）代理对用户不透明。 3）对于每项服务代理可能要求不同的服务器。 4）代理服务不能保证免受所有协议弱点的限制。 5）代理防火墙提供应用保护的协议范围是有限的 动态包过滤 防火墙的工作原理 自适应代理防火墙 概念 l???????? 堡垒主机(Bastion host):堡垒主机是一种配置了安全防范措施的网络上的计算机，堡垒主机为网络之间的通信提供了一个阻塞点，也就是说如果没有堡垒主机，网络之间将不能相互访问。可以配置成过滤型、代理型或混合型。 l???????? 双宿主主机(Dual-homed Host):有两个网络接口的计算机系统，一个接口接内部网，一个接口接外部网。 DMZ(Demilitarized Zone，非军事区或者停火区)：在内部网络和外部网络之间增加的一个子网。可以实现避免内外网用户的直接接触。 双宿主主机--Dual-Homed Host Firewall 被屏蔽主机(Screened Host Firewall) 被屏