现代网络安全技术第5章.ppt

第5章 防火墙技术 第5章 防火墙技术 本章学习目标 理解防火墙工作原理与安全策略 理解包过滤与代理技术 了解屏蔽路由器体系结构、屏蔽主机体系结 构与屏蔽子网体系结构 了解防火墙的攻击 5.1 防火墙概述 5.1.1 防火墙概念 5.1.2 防火墙的功能 5.1.2 防火墙的功能 5.1.2 防火墙的功能 5.1.2 防火墙的功能 5.1.2 防火墙的功能 5.1.2 防火墙的功能 5.1.3 防火墙工作原理 5.1.3 防火墙工作原理 5.1.3 防火墙工作原理 5.1.3 防火墙工作原理 5.1.4 防火墙的类型 根据工作在网络中作用层的不同，防火墙可以分为网络层防火墙和应用层防火墙等： （1）网络层防火墙 该类防火墙运行在TCP/IP协议的网络层上，主要采用数据包过滤技术对每个连接请求的IP数据包进行检查，因而可被视为一种IP封包过滤器。根据用户（管理员）设置的过滤规则，防火墙将符合条件的IP包允许通过，而禁止不符合条件的包穿越防火墙。 （2）应用层防火墙 该类防火墙运行在 TCP/IP协议的应用层上，主要采用了应用代理技术，该类防火墙上运行有各种代理服务程序，直接对各种特定的应用进行服务。应用层防火墙主要负责检查进出某些应用程序的数据包（如使用浏览器浏览网页、使用FTP上传下载信息等产生的数据流），根据用户事先设置的拦截规则，防火墙对满足安全条件的合法数据包予以放行，而对可能带来安全隐患的数据包则予以拦截。 5.2 防火墙技术 5.2.1 包过滤技术 5.2.2 代理技术 5.3 防火墙的体系结构 5.3.1 屏蔽路由器体系机构 5.3.2 屏蔽主机防火墙体系机构 屏蔽主机防火墙体系结构由堡垒主机和包过滤路由器两部分组成，如图5-7所示，堡垒主机位于内部网络上，包过滤路由器置于内外部网络之间，它是网络层安全（包过滤）和应用层安全（堡垒主机代理服务）的结合。 在该体系结构中，系统管理员可以设置相应的路由规则，限定外部网络只能访问堡垒主机；内部网络由于在逻辑上与堡垒主机在一个网络中，因而可以根据企业的安全需要来决定内部网络用户是直接访问外部网络，还是通过堡垒主机代理访问外部网络。这样既加强了对内部网络用户访问外网的管理，又防范了外部用户对内部网络的入侵，增强了内部网络系统的安全行。 此外，如果企业内部有需要提供公开信息的服务器（如浏览企业主页、FTP服务等），可放到与堡垒主机相同的网段上。这样的好处在于：如果企业对安全性要求不高，则可以通过路由配置使外部用户直接访问信息服务器；如果安全性要求较高，则通过路由配置使堡垒主机运行代理服务，内外部用户要访问信息服务器都要先通过堡垒主机。 屏蔽主机体系结构的不足之处在于：在增强安全性的同时增 加了系统成本，降低了网络速度和数据处理效率，用户往往需要 更多的时间来等待堡垒主机响应自己的请求。 5.3.2 屏蔽主机防火墙体系机构 5.3.3 双宿主主机防火墙体系结构 双宿主主机体系结构的基本构件与屏蔽主机体系类似，也由堡垒主机和包过滤防火墙组成。但不同的是在双宿主主机体系结构中，内部网络要与外部网络通信，必须要经过堡垒主机和包过滤防火墙这两重过滤和控制，内部网络与外部网络之间通信的所有数据包都不能直接从一个网络发送到另外一个网络，而必须通过双重宿主主机的检测和过滤。 双宿主主机体系结构的优点在于以双重过滤和控制机制来增强网络系统的安全性；其不足之处在于增加了堡垒主机的负担和开销，如果堡垒主机的安全性得不到足够保障，则整个企业网络系统的安全性能就会大大降低。 双宿主主机体系的拓扑结构如图5-8所示。 5.3.3 双宿主主机防火墙体系结构 5.3.4 屏蔽子网防火墙体系结构 概述： 屏蔽子网体系结构就是在内部网络与外部网络之间设置两个包过滤路由器，在这两个包过滤路由器之间再构建一个被隔离的子网，将堡垒主机和信息服务器置于其间，如图5-9所示，形成一个非军事区（Demilitarized Zone，DMZ）。内部网络和外部网路都可以访问被屏蔽子网，但被禁止穿过子网直接建立通信。如果在屏蔽子网中再通过路由规则将堡垒主机设置成唯一可访问点，并充当应用网关代理。则外部攻击者要想入侵网络，就必须突破两重包过滤路由器和堡垒主机这三道安全防线而不被发现，但事实上这是非常不容易的事。因此，屏蔽子网体系结构是一种较为安全的防火墙体系结构。 屏蔽子网防火墙系统结构优点： ①入侵者必须攻克三个不同的设备且不被发现才能侵袭到内部网络。 ②内部网络对Internet来说是不可见的，因为所有进出的数据包都会直 接送到D