信息安全原理与技术ch09-防火墙new.pptVIP

Ch9-防火墙 信息安全原理与技术 第9章 防火墙 主要知识点： -- 防火墙概述 -- 防火墙技术 -- 防火墙的体系结构 9.1 防火墙概述 为了保护计算机通信的安全，人们需要开发一种能阻止计算机之间直接通信的技术。 防火墙的基本功能 对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络，即对网络进行访问控制。 防火墙位于内部可信任的网络和外部不可信任的网络，对跨越防火墙的数据流进行监测和限制。向外部屏蔽内部可信任的网络的信息、拓扑结构和运行状况，实现对内部可信任的网络的保护。 9.1.1 防火墙的基本概念 防火墙的来源 “防火墙”一词源自于早期建筑。在古代，构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称为“防火墙”（FireWall）。如今在计算机网络中，沿用了古代这个名字来表示实现类似的网络安全功能。 所谓“防火墙”，指的就是一种被放置在自己的计算机与外界网络之间的防御系统，从网络发往计算机的所有数据都要经过它的判断处理后，才会决定能不能把这些数据交给计算机，一旦发现有害数据，防火墙就会拦截下来，实现了对计算机的保护功能。 防火墙可以在主机或路由器上设置，允许可信的数据通过，拒绝恶意访问，保护内部的网络免受外部的恶意攻击。 图9.1防火墙示意图 防火墙的两条基本规则 一切未被允许的就是禁止的。 基于该规则，防火墙应封锁所有信息流，然后对希望提供的服务逐项开放，即只允许符合开放规则的信息进出。这种方法非常实用，可以造成一种十分安全的环境，因为所能使用的服务范围受到了严格的限制，只有特定的被选中的服务才被允许使用。但这就使得用户使用的方便性受到了影响。 一切未被禁止的就是允许的。 基于该规则，防火墙逐项屏蔽被禁止的服务，而转发所有其它信息流。这种方法可以提供一种更为灵活的应用环境，可为用户提供更多的服务。但却很难提供可靠的安全防护，特别是当网络服务日益增多或受保护的网络范围增大时。 典型的防火墙具有的基本特性 内部网络和外部网络之间的所有网络数据流都必须经过防火墙。 只有符合安全策略的数据流才能通过防火墙。 防火墙自身应具有非常强的抗攻击免疫力。 9.1.2 防火墙的作用及局限性 防火墙的作用 集中的安全管理 安全警报 重新部署网络地址转换（NAT) 审计和记录网络的访问及使用情况 向外发布信息 1.集中的安全管理 防火墙允许网络管理员定义一个中心来防止非法用户进入网络，禁止不安全的因素进出网络，并抗击外部攻击。防火墙定义的安全规则适用于整个内部网络，无需为每台内部主机配置安全策略，可以简化网络安全管理，提高网络的安全性。 2.安全警报 防火墙监视网络通信并产生报警信号。 3.重新部署网络地址转换（NAT) 防火墙使用NAT技术完成内部私有IP地址到外部注册IP地址的转换，可以节约IP地址空间。 4.审计和记录网络的访问及使用情况 由于所有的网络访问都经过防火墙，防火墙是审计和记录网络访问和使用情况的最佳地点。 5.向外发布信息 防火墙既可以形成内部安全屏障，也可以部署WWW服务器，提供对外访问。 防火墙的局限性 防火墙不能防范不经由防火墙的攻击和威胁 不能防御已经授权的访问，以及存在于网络内部系统间的攻击，不能防御合法用户恶意的攻击以及社交攻击等非预期的威胁 防火墙不能防止感染了病毒的软件或文件的传输 防火墙不能防止数据驱动式攻击,表面无害的数据被驱动发起攻击。 不能修复脆弱的管理措施和存在问题的安全策略 9.1.3 防火墙的分类 根据物理特性分类 软件防火墙：运行在系统网络接口设备与系统网络驱动程序接口之间。会占用系统资源。 硬件防火墙：专用的硬件平台和相关的软件。 从结构上分类 单一主机防火墙：基于单独的硬件设备的防火墙。 路由集成式防火墙：将防火墙的功能嵌入路由器。 分布式防火墙：防火墙不仅位于网络边界，在网络的每台主机都可以部署。 按工作位置分类 边界防火墙 个人防火墙 混合防火墙 按防火墙性能分类 百兆级防火墙 千兆级防火墙 从实现技术上分类 数据包过滤技术 代理服务 数据包过滤在网络层，根据IP的首部信息制定的过滤规则对数据包进行选择。通常结合路由器实现，但不对数据进行核查，过滤规则较复杂，不易配置包过滤规则。 代理服务工作在应用层，介于外部的客户与内部的服务器之间。对外部客户发起的服务请求和内部的服务器返回的应答信息进行检查。每一种应用服务根据需要赢设置安全代理。 9.2 防火墙技术 数据包过滤技术 静态包过滤 动态包过滤 代理服务