计算机网络安全_06防火墙技术.ppt

网络安全概述 第6章 防火墙技术 本章主要内容： 6.1 防火墙简介 6.2 防火墙的类型 6.3 防火墙配置 6.4 防火墙系统 6.5 防火墙的选购和使用 6.6 防火墙产品介绍 知识点 防火墙的概念\功能特点和安全性 防火墙的分类 防火墙的配置和防火墙系统 防火墙的选购、安装和维护 难 点 防火墙系统 要求 熟练掌握以下内容： ●防火墙的概念、功能特点和安全性 ● 防火墙分类、配置 ● 防火墙的选购、安装和维护 了解以下内容： ● 防火墙系统和防火墙产品 提起防火墙，大家比较熟悉，大凡有计算机的人都用过。所以对这个名字并不陌生，“防火墙”这个术语来自建筑结构中的安全术语，过去人们常在寓所之间建起一道砖墙，一旦某个单元起火，它就能够防止火势蔓延到其他单元起到防火的作用。现在的防火墙和古代寓意已不同。本章将从防火墙的主要功能、基本类型及其体系结构等方面介绍防火墙的有关知识。 6.1 防火墙简介 防火墙的概念 防火墙的功能特点 防火墙的安全性设计 6.1.1 防火墙的概念 防火墙原意是古典建筑在房屋之间的一道墙。当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙。 Rich Kosinski(Internet Security公司总裁）指出防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问。换句话说，防火墙是一道门槛，控制进/出两个方向的通信。 防火墙是一种广泛应用的一种技术,是控制两个不同安全策略的网络之间互访，从而防止不同安全域之间的相互危害。防火墙定义为置于两个网络之间的保障网络安全的一组构件或一个系统。用于加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取，安全、管理、速度是防火墙的三大要素。防火墙在系统中的位置如图6-1所示。 6.1.1 防火墙的概念 防火墙可以嵌入到某种硬件产品中，以硬件设备形式出现，即硬件防火墙。它也可以是一种软件产品，即软件防火墙。 6.1.2 防火墙的功能特点 防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。防火墙主要功能有： 1. 防止易受攻击的服务 防火墙能过滤不安全的服务。防火墙能防止非授权用户进入内部网络。大大提高了企业内部网的安全性。 6.1.2 防火墙的功能特点 2. 防火墙对内部实现了集中的安全管理 对一个企业而言，使用防火墙比不使用防火墙可能更加经济一些。这是因为如果使用了防火墙可以对软件、附件统一到防火墙上集中管理。如果不使用防火墙，软件分散到个主机上单独管理。 3. 控制访问网点 利用防火墙对内部网段的划分，可以实现重点网段分离，限制安全问题的扩散。 4. 对网络存取和访问进行监控审计 可以方便监视网络的安全并及时报警. 所有访问都经过防火墙，因此它是审计和记录网络的访问和使用的理想位置。 6.1.2 防火墙的功能特点 5. 提供网络地址翻译NAT功能，可以实现网络地址转换 利用NAT技术可以缓解地址资源短缺，隐藏内部网的结构。Internet防火墙可以作为部署NAT(Network Address Translator，网络地址变换）的逻辑地址。因此防火墙可以保护及隐藏内部网络资源并减少由于架设网络防火墙所引起的IP地址变动，方便网络管理，缓解地址空间短缺的问题. 6.1.3 防火墙的安全性设计 1．防火墙经典安全模型 防火墙技术的思想源于经典安全，经典模型策略是为了保护计算机安全。该安全模型是一个抽象，用来定义实体和实体之间是如何允许进行交互的。经典安全模型中包括识别和验证、访问控制、审计三大部件，通过参考监视器的参考和授权功能来控制主题针对对象的访问。 参考监视器提供两个功能：第一功能是参考功能，用于评价由主体发出的访问请求，而参考监视器使用一个授权数据库来决定是否接受或拒绝收到的请求；而第二个功能就是控制对授权数据库改变的授权功能，通过改变授权数据库的配置来改变主体的访问权限。 识别和验证部件的作用就是确定主体的身份。访问控制部件的作用就是控制主体的访问对象，由参考监视器、授权数据库构成；而审计部件的功能就是监测访问控制的具体执行情况，由审计子系统构成。 6.1.3 防火墙的安全性设计 2. 用户认证 对于防火墙来说，认证主要是对防火墙用户的认证和防火墙管理员的认证。 3. 域名服务