信息安全第13章_防火墙技术.ppt

防火墙技术 第十三章 本章提要 了解防火墙的基本概念 掌握防火墙的类型 掌握防火墙在网络上的设置方法 理解包过滤技术的基本原理 理解应用代理技术的基本原理 13.1 防火墙技术 防火墙是网络安全中重要技术之一 防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止不可预测的、潜在破坏性的侵入 防火墙作为网络安全体系的基础和核心控制设备，在网络安全中具有举足轻重的地位 13.1 防火墙基本概念 防火墙作为网络防护的第一道防线，它由软件或/和硬件设备组合而成，它位于企业或网络群体计算机与外界网络的边界，限制着外界用户对内部网络的访问以及管理内部用户访问外界网络的权限 13.2 防火墙的类型 包过滤型防火墙 应用代理防火墙 电路级网关防火墙 状态包检测型防火墙 13.2 防火墙的类型 包过滤型防火墙 应用代理防火墙 电路级网关防火墙 状态包检测型防火墙 13.2.1 包过滤防火墙 包是网络上信息流动的基本单位，它由数据负载和协议头两个部分组成 包过滤是基于协议头的内容进行过滤的 包过滤防火墙特点： 最快的防火墙，因为它们的操作处于网络层与运输层，只粗略地检查头部信息 因为端点之间可以通过防火墙建立直接连接，一旦防火墙允许某一连接，就会允许外部计算机直接连接到防火墙后的目标，从而潜在地暴露了内部网络，使之容易遭到攻击 13.2 防火墙的类型 包过滤型防火墙 应用代理防火墙 电路级网关防火墙 状态包检测型防火墙 真正可靠的安全防火墙应该禁止所有通过防火墙的直接连接——在协议栈的最高层检验所有的输入数据 在协议栈的最高层（应用层）检查每一个包，能够看到所有的数据，从而实现各种安全策略 这种防火墙容易识别重要的应用程序命令，例如：FTP的“put”上传请求和“get”下载请求，还能够看到传输文件的内容 内建代理机制：有内部连接与外部连接两条连接 将内部和外部系统隔离开来，从外面只看到应用代理防火墙，而看不到任何内部资源 优点： 花费更多处理时间，可疑行为绝不会被允许通过 安全性高，可以过滤多种协议，通常认为它是最安全的防火墙类型 缺点： 不能完全透明地支持各种服务与应用，同时一种代理只提供一种服务 另外需要消耗大量的CPU资源，导致相对低的性能 13.2 防火墙的类型 包过滤型防火墙 应用代理防火墙 电路级网关防火墙 状态包检测型防火墙 起一定的代理服务作用，它监视两台主机建立连接时的握手信息，从而判断该会话请求是否合法，一旦会话连接有效，该网关仅复制、传递数据 在IP层代理各种高层会话，具有隐藏内部网络信息的能力，且透明性高 对会话建立后所传输的具体内容不再作进一步地分析，因此安全性稍低 电路级网关建立两个TCP连接，确定哪些连接是允许的 包过滤防火墙一样，都是依靠特定的逻辑来判断是否允许数据包通过，但并不检测包中的内容 又同应用代理防火墙一样，不允许内外计算机建立直接的连接 13.2 防火墙的类型 包过滤型防火墙 应用代理防火墙 电路级网关防火墙 状态包检测型防火墙 状态包检测模式增加了更多的包和包之间的安全上下文检查，以达到与应用级代理防火墙相类似的安全性能 特点： 查看完前面的包后，把它记在状态信息库中，来确定对后面包采取的动作 抵御 SYN 洪水攻击：如果接收到的TCP 第一次握手数据速率超过设定值，就阻止 TCP 第一次握手数据通过 抵御 TCP 端口扫描：如果发现某个 IP 地址向另一 IP 地址的多个不同端口发送 TCP 报文段的速率超过设定值，就阻止来自该 IP 地址的 TCP 报文段 优点： 工作在协议栈的较低层，通过防火墙的所有数据包都在网络层与运输层处理, 因此减少了开销，提高效率 一个连接在防火墙中建立起来，就不用再对该连接进行更多的处理，系统就可以去处理其他连接，执行效率可以得到进一步的提高 本章提要 了解防火墙的基本概念 掌握防火墙的类型 掌握防火墙在网络上的设置方法 理解包过滤技术的基本原理 理解应用代理技术的基本原理 13.3 防火墙在网络上的设置 13.3.1 单防火墙结构 1．屏蔽防火墙 只对进出的数据进行各种过滤与检查，功能单一，主要适用于小型的内部网络 主要是内部计算机访问外部网络，而外部计算机很少主动访问内部网络 13.3 防火墙在网络上的设置 2．单 DMZ 防火墙 如果一个内部网络规模较大，同时内部有很多服务器对外提供服务，这时就应该使用单 DMZ 防火墙 单 DMZ 防火墙功能强，设置简单，是应用最为广泛的防火墙结构 13.3 防火墙在网络上的设置 3．多 DMZ 防火墙 防火墙上有较多的接口，可以对外提供多种服务 13.3.2 双防火墙结构 课堂练习 哪个子网最容易受到来自互联网中黑客攻击 对外服务网所在的区域通常称为什么 该公司与商业合作伙伴通过互联网进行业