第7章防火墙等(免费阅读).pptVIP

防火墙技术 第七章 防火墙技术 虚拟专网入侵检测系统 一、防火墙 （一）、 防火墙基本知识 防火墙的概念 防火墙的功能 防火墙的安全性 防火墙的优缺点 1.1防火墙的概念 因特网防火墙是这样的（一组）系统，它能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的哪些可以访问的服务，以及哪些外部服务可以被内部人员访问。 1.防火墙的功能 过滤进出网络的数据包 管理进出网络的访问行为 封堵某些禁止的访问行为 记录通过防火墙的信息内容和活动 对网络攻击进行检测和告警 2.防火墙的特性 所有在内部网络和外部网络之间传输的数据都必须通过防火墙； 只有被授权的合法数据，可以通过防火墙； 防火墙本身不受各种攻击的影响； 使用目前新的信息安全技术； 人机界面良好，用户配置使用方便，易管理。 3.安全策略 防火墙最基本的构件既不是软件又不是硬件，而是构造防火墙人的思想。 构造一个好的防火墙需要直觉、创造和逻辑的共同作用。 1.2防火墙的发展 第一阶段：基于路由器的防火墙 由于多数路由器本身就包含有分组过滤功能，故网络访问控制功能可通过路由控制来实现，从而使具有分组过滤功能的路由器称为第一代防火墙产品。 特点 利用路由器本身的对分组的解析，以访问控制表方式实现对分组的过滤。 过滤判决的依据可以是地址、端口号、ICMP报文类型等。 只有分组过滤的功能，且防火墙与路由器是一体的，对安全要求低的网络采用路由器附带防火墙的功能的方法，对安全性要求较高的网络则可单独利用一台路由器组成防火墙。 不足： 路由协议十分灵活，本身具有安全漏洞，外部网络要探询内部网络十分容易。 路由器上的分组过滤规则的设置和配置存在安全隐患。 路由器防火墙的最大隐患是：攻击者可以“假冒”地址路由器防火墙的本质性缺陷 第二阶段：用户化的防火墙工具套 为了弥补路由器防火墙的不足，很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络，从而推动了用户化的防火墙工具套的出现。 将过滤功能从路由器中独立出来，并加上审计和告警功能； 针对用户需求，提供模块化的软件包； 软件可通过网络发送，用户可自己动手构造防火墙； 与第一代防火墙相比，安全性提高了，价格降低了。 第三阶段：建立在通用操作系统上的防火墙 基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品. 它是批量上市的防火墙专用产品； 包括分组过滤或者借用路由器的分组过滤功能； 装有专用的代理系统，监控所有协议的数据和指令； 保护用户编程空间和用户可配置内核参数的设置； 安全性和速度大为提高。 第四阶段：具有安全操作系统的防火墙 具有安全操作系统的防火墙本身就是一个操作系统，因而在安全性上较之第三代防火墙有质量上的提高。获得安全操作系统的办法有两种：一种是通过许可证方式获得操作系统的源码；另一种是通过固化操作系统内核来提高可靠性。 防火墙厂商具有操作系统的源代码，并可实现安全内核； 对安全内核实现加固处理，即去掉不必要的系统特性，加上内核特性，强化安全保护； 对每个服务器、子系统都作了安全处理，一旦黑客攻破了一个服务器，它将会被隔离在此服务器内，不会对网络的其他部分构成威胁； 在功能上包括了分组过滤、应用网关、电路级网关，且具有加密与鉴别功能； 透明性好，易于使用。 1.3 防火墙的优缺点 优点： 允许定义一个中心“扼制点” 保护网络种脆弱的服务 方便的监视网络的安全性 集中安全性 作为部署NAT的逻辑地址 增强保密性、强化私有权 审计和记录因特网使用量 向客户发布信息的地点 缺点： 限制有用的网络服务 无法防护内部网络用户的攻击 无法防范通过防火墙以外的其他途径的攻击 不能完全防止传送已感染病毒的软件或文件 无法防范数据驱动型的攻击 不能防范新的网络安全问题 1.4 防火墙的设计 在设计因特网防火墙时，网络管理员必须做出几个决定： 防火墙的姿态（Stance）； 机构的整体安全策略； 防火墙的经济费用； 防火墙系统的组件或构件。 （1）拒绝没有特别允许的任何事情。 （2）允许没有特别拒绝的任何事情。 FW： 网络策略+验证工具+包过滤+应用网关 （二）、 防火墙体系结构 包过滤防火墙 双宿网关防火墙 屏蔽主机防火墙 屏蔽子网防火墙 1、 包过滤防火墙 工作原理 采用这种技术的防火墙产品，通过在网络中的适当位置对数据包进行过滤，根据检查数据流中每个数据包的源地址、目的地址、所有的TCP端口号和TCP链路状态等要素，然后依据一组预定义的规则，以允许合乎逻辑的数据包通过防火墙进入到内部网络，而将不合乎逻辑的数据包加以删除。 ? 包过滤路由